如何在智能手机上执行Office 365的远程擦除操作

DebugUsery
375 阅读7分钟

如何对智能手机上的Office 365进行远程擦除

员工喜欢在他们的智能手机上使用电子邮件和其他Office 365应用程序。然而,移动设备访问企业数据时存在安全风险。

对于许多企业来说,Office应用程序套件是一套必不可少的工具。随着移动设备在工作场所的增长,确保这些应用程序的安全也是至关重要的,无处不在。

用户对设备和应用程序的期望不断变化。反过来,IT组织必须适应用户对访问工作应用程序和工作流程的要求。管理员必须确保团队在任何地方都能在移动和台式机上取得成效,同时努力确保所有数据的安全。

为了保护移动设备上的公司信息,IT团队通常使用管理平台,如移动设备管理(MDM)或统一端点管理(UEM)。然而,终端用户往往对放弃对其设备的控制犹豫不决。许多人对公司对他们的设备有多少控制权有顾虑。为了确保员工在他们的设备上拥有他们想要的自由,同时也确保办公应用和数据的安全,企业可以考虑使用移动应用管理(MAM)工具。

什么是MAM?

MAM是MDM或UEM产品的一项功能。然而,也有提供MAM功能的独立产品,但这些通常不足以实现全面的移动性管理,所以企业倾向于使用更有效的MDM和UEM工具。

IT部门使用MAM来保护设备上的应用和数据,而不必将其注册到设备管理平台上。微软端点管理器提供MAM功能,其他UEM如VMware Workspace One也是如此。然而,要将保护策略专门应用于Office应用程序,需要微软的Intune工具。使用Office 365的组织可以订阅Intune--它是Microsoft Endpoint Manager的一部分--但需要额外付费。

MAM使用应用保护策略为未注册的和完全管理的用户设备配置应用。企业通常将MAM用于个人或BYOD设备,在这些设备上,用户希望访问企业数据,而不需要注册到公司的设备管理平台。用户可以直接从苹果应用商店或谷歌应用商店下载应用程序,并使用他们的公司凭证来验证应用程序。这些应用程序将嵌入特定的应用内安全配置。MAM保护策略可以包括以下内容。

  • 阻止或允许数据备份到iCloud(仅限iOS)。
  • 阻止或允许将公司数据导入其他管理或未管理的应用程序。
  • 限制其他应用程序之间的剪切、复制和粘贴。
  • 阻止或允许第三方键盘。
  • 强制执行应用程序加密。
  • 配置用户必须满足的引脚和凭证要求,以访问管理的应用程序。
  • 设置设备和应用程序阻止;以及
  • 为诸如越狱设备、最大引脚尝试和离线宽限期等条件设置行动。

管理员可以在 "有条件启动 "下设置设备和应用条件。

Intune等平台支持以下MAM场景,其他同样支持MAM的MDM也会类似。

  • 完全注册,或企业拥有,个人启用(COPE**)。**IT部门在设备层面和应用层面都进行管理。
  • 不由MDM管理,或BYOD管理IT部门只管理设备上的应用。
  • 由第三方MDM管理。I T可以利用微软的应用保护策略,同时使用不同的MDM在设备层面上进行全面管理和额外的安全配置。

应用保护策略要求用户拥有Azure Active Directory账户和适当的Microsoft 365许可,其中必须包括Microsoft Enterprise Mobility and Security许可。此外,应用保护策略只适用于微软Office移动应用或已与Intune SDK集成或由Intune应用包装工具包装的应用。微软维护了一个符合这些要求并可供公众使用的应用程序列表

如何为Office应用程序设置应用程序保护策略

要在Microsoft Intune中设置应用保护策略,IT管理员可以导航到他们的端点管理Web控制台,选择应用>应用保护策略>创建策略。

在应用程序选项卡的 "政策 "下,管理员可以创建应用程序保护政策。

如何用Microsoft Intune擦除Office应用程序的数据

除了能够限制基于MAM的应用程序的数据访问外,管理员还可以远程删除或有选择地擦除应用程序数据。如果设备丢失或被盗,或者终端用户决定离开公司,远程擦除就很有用。因为移动设备比其他端点更小,更容易丢失,所以远程擦除选项特别重要。如果设备最终落入恶意行为者的手中,管理员必须擦除其中的任何企业数据,以防止未经授权访问敏感信息。

有三种不同的方法来擦除设备:完全擦除、退休或选择性擦除。全面擦除会从设备上删除所有数据和应用程序,并将其恢复到出厂重置状态。这是一个理想的方法,当管理员不再使用一个设备,需要重置和重新使用一个设备的另一个功能,或想确保数据不会丢失在一个丢失的设备上。另一方面,对于BYOD环境来说,退休是一个更好的选择。这种类型的擦除保留了用户的个人数据,同时只针对特定应用程序的业务数据,将设备从MDM的管理中移除。

用户和管理员都可以从MDM的门户,如Intune的公司门户,向被管理的设备发出远程命令。这对于希望重新控制其设备和体验的用户来说,是理想的自助服务。

要在Intune内启动完全擦除或退役,请遵循以下步骤。

  1. 登录到微软端点管理器门户
  2. 选择设备
  3. 选择你要擦除的设备。
  4. 在屏幕的顶部,选择 "擦除 或 "退役"。

在 "设备 "选项卡中,管理员可以擦除或退出设备。

管理员还可以一次对多个设备应用擦除和退役命令。这通常被称为批量或组行动。要应用批量设备操作,选择设备>所有设备>批量设备操作。

选择性擦除是BYOD的另一个理想方法。通过这种类型的擦除,管理员可以从设备上删除企业MDM策略和应用程序,而将个人应用程序和数据保留下来。要在Intune中启动选择性的设备或用户擦除,请遵循以下步骤。

  1. 登录到微软端点管理器门户。
  2. 在左栏中选择应用程序
  3. 向下滚动到 "其他 "部分,选择应用程序的选择性擦除
  4. 选择首选擦除请求(基于设备或基于用户)。
  • 对于基于设备的选择性擦除,选择擦除请求,并按照提示选择你要擦除的用户和数据。然后,选择创建擦除请求
  • 对于基于用户的选择性擦除,选择用户级擦除,它提示你选择用户。然后,选择创建擦除请求

在应用程序标签的 "其他 "下,管理员可以创建擦除请求。

用户的自助服务请求

终端用户也可以通过MDM门户的应用程序擦除、删除和检查他们自己设备的状态和合规性。对于终端用户通过Microsoft Intune自助删除或出厂重置设备,管理员可以指导用户遵循这个过程。

在Intune公司门户中,终端用户可以删除或出厂重置公司设备。

  1. 打开iOS或Android的Intune公司门户
  2. 在屏幕底部选择设备
  3. 选择你需要重置或移除的设备。
  4. 选择省略号图标,它看起来像这样。....
  5. 根据你想执行的操作,选择以下选项之一。
  • 移除 设备
  • 检查 状态
  • 出厂 重置
avatar
文章
阅读
粉丝