Office 365条件访问

• 总览
• 先决条件
• 配置条件访问策略
• 在Azure门户上创建策略
• 在MDM上应用策略
• 删除条件访问策略
• 在MDM上停止策略
• 在Azure门户上禁用策略

总览

Office 365条件访问策略确保只有登记在MDM上的Windows 10设备才能访问Office 365（或其他需要Microsoft Azure登录的应用程序），同时限制对未登记设备的访问。您可以通过在 Azure门户 创建 基于设备的条件访问策略 来实现。

如果需要，可以仅授予Windows 10设备访问权限，而阻止所有其他类型的设备。

先决条件

• Azure活动目录必须与MDM集成。

配置条件访问策略

配置条件访问策略包括两个步骤：

• 在Azure门户上创建策略
• 在MDM上应用策略

在Azure门户上创建条件访问策略

• 使用您的账户凭证登录 Azure门户，点击 Azure活动目录 -> 安全 -> 条件访问。
• 点击 新建策略 以创建条件访问策略。
• 提供策略名称后，在 分配 下选择 用户和组。
• 在这里，选择并确定应用此条件访问策略的用户或组。
• 点击 完成。

在小范围的用户组中测试策略，确保能正常应用。

• 在 分配 下，选择 云应用或操作。
• 在这里，选择 Office 365（包括 这些应用），或选择您想使用此条件访问策略保护的其他应用或服务。
• 点击 完成。
• 在 分配 下，选择 条件。
• 点击 设备平台 并选择您想要应用此条件访问策略的平台。
• 点击 完成。
  注意：Microsoft Azure允许第三方MDM解决方案只对登记的Windows 10设备授予访问权限，而阻止所有其他设备平台。
• 在 访问控制 下，选择 授权。
• 根据已设置的条件配置要采取的操作。选择 授予访问权限 并确保勾选了 将设备标记为合规。
• 在 启用策略 下，选择 打开 并点击 创建。

在Azure上启用条件访问策略后，选定的用户和组无法访问策略中选定的Office 365和其他应用程序。

在MDM上应用策略

• 在MDM控制台，点击 设备管理 -> Office 365（在 条件访问 下）。
• 如果您还没有集成 Azure活动目录，点击 集成。
• 现在，点击 访问策略 视图下的 应用策略。

在“设备信息”视图中，所有登记的Windows 10设备都将被标记为合规，用户可以登录自己的Azure账户，使用这些设备访问Office 365（或创建策略时包含的其他应用程序）。

未登记的设备将被标记为 不合规，用户不能使用这些设备登录Azure。

注意：为使Office 365条件访问策略能精简有效地发挥作用，建议使用 Windows Azure Autopilot enrollment 登记Windows 10设备。

删除条件访问策略

删除条件访问策略包含两个步骤：

• 在MDM上停止策略
• 在Azure门户上禁用策略

在MDM上停止策略

• 在MDM控制台，点击 设备管理 -> Office 365（在 条件访问 下）。
• 在 Office 365条件访问策略的 访问策略 视图中，点击 停止策略。

在停止策略之后，MDM将不再授予对登记的设备的访问权。已经应用策略的设备，如果已在MDM中登记，将能够继续访问Office 365（或在创建策略时包含的其他应用程序）。从本质上讲，停止策略不会对已经应用了条件访问策略的设备产生影响。

要完全删除策略，请参考下面的步骤。

在Azure门户上禁用策略

要完全删除策略，甚至从已经应用该策略的所有设备中删除该策略，您必须禁用Azure门户上的条件访问策略。步骤如下：

• 使用您的账户凭证登录  Azure门户，打开 Azure活动目录 -> 安全 -> 条件访问。
• 现在，找到并选择您想要从Azure中删除的策略。
• 在 启用策略 下，选择 关闭 并点击 保存。

这将确保策略被完全删除，所有之前选择的用户和组将能够访问Office 365，以及在创建条件访问策略时包含的其他应用程序。