Office 365 条件访问

Office 365 条件访问策略允许您确保只有通过 MDM 注册的 Windows 10 及以上设备能够访问 Office 365（和/或需要 Microsoft Azure 登录的其他应用），同时限制未注册设备的访问。您可以通过创建 基于设备的条件访问策略 在 Azure 门户.

授权访问仅限于 Windows 10 及以上设备，必要时可阻止所有其他类型设备。

前提条件

• 必须将 Azure Active Directory 与 MDM 集成。

配置条件访问策略

配置条件访问策略包括两个步骤：

• 在 Azure 门户上创建策略
• 在 MDM 上应用策略

在 Azure 门户上创建条件访问策略

• 使用您的帐户凭据登录到 Azure 门户 并导航至 Azure Active Directory -> 安全 -> 条件访问.
• 点击 +新建策略 以创建条件访问策略。
• 输入策略名称后，选择 用户和组 在 分配.
  • 这里，识别并选择此条件访问策略适用的用户和/或组。
  • 点击 完成.

在较小的用户群体中测试该策略，以确保其按预期工作。

• 在 分配下，选择 云应用或操作.
  • 这里，选择 Office 365 （包括 这些应用）和/或识别您想要通过此条件访问策略保护的其他应用或服务。
  • 点击 完成.
• 在 分配下，选择 条件.
  • 点击 设备平台 并识别您希望此条件访问策略适用的平台。
  • 点击 完成.
    注意：Microsoft Azure 允许第三方 MDM 解决方案仅授权已注册的 Windows 10 及以上设备访问，阻止所有其他设备平台。
• 在 访问控制下，选择 授权.
  • 根据您设置的条件配置要采取的操作。选择 授予访问权限 并确保 需要设备标记为合规 已选中。
• 在 启用策略下，选择 在 上点击 创建.

在 Azure 上启用条件访问策略后，所选用户和组将无法访问 Office 365 及策略中选定的其他应用。

在 MDM 上应用策略

• 在 MDM 控制台中，导航至 设备管理 -> Office 365 （位于 条件访问).
• 如果您还未集成您的 Azure Active Directory，点击 集成.
• 现在，点击 应用策略 选项，位于 访问策略 视图中。 

在设备详情视图中，所有已注册的 Windows 10 及以上设备将被标记为合规，用户可使用这些设备登录其 Azure 帐户并访问 Office 365（和/或创建策略时包含的其他应用）。

未注册设备将被标记为 不合规 用户无法使用这些设备登录 Azure。

注意：为了使 Office 365 条件访问策略高效顺畅运行，建议使用 Windows Azure Autopilot 注册.

删除条件访问策略

删除条件访问策略包括两个步骤：

• 在 MDM 上停止策略
• 在 Azure 门户上禁用策略

在 MDM 上停止策略

• 在 MDM 控制台中，导航至 设备管理 -> Office 365 （位于 条件访问).
• 在 Office 365 条件访问策略的 访问策略 视图中，点击 停止策略.

停止策略后，MDM 不会再授权注册设备访问。已经应用该策略的设备如果已注册，仍可继续访问 Office 365（和/或创建策略时包含的其他应用）。本质上，停止策略不会影响已经应用了该条件访问策略的设备。
若要完全删除该策略，请按照下一节中的步骤操作。

在 Azure 门户上禁用策略

若要从所有已应用该策略的设备中彻底移除此策略，必须在 Azure 门户中禁用条件访问策略。请按以下步骤操作。

• 使用您的帐户凭据登录到 Azure 门户 并导航至 Azure Active Directory -> 安全 -> 条件访问.
• 现在，找到并选择您想要从 Azure 中移除的策略。
• 在 启用策略下，选择 关闭 上点击 保存.

此操作将确保策略被完全移除，之前所有选定的用户和组将能够访问 Office 365 及创建条件访问策略时包含的其他应用。