ניהול פוליסי Office 365 Pro Plus

by · 12/01/2019

ניהול פוליסי ואפשרויות בתוך Office 365 Pro Plus נעשה עד היום בצורה שונה בין היתר מתוך ממשקי ניהול באמצעות Intune או באמצעות MobileIron, באמצעות Office Configuration tool הישן וכלים צד שלישי נוספים.

כיום ניתן לנהל פוליסי ואפשרויות של Office 365 Pro Plus באמצעות Office Customization Tool המתבסס על גבי הרכיב Office Client Policy Service, כלומר ניהול מבוסס ענן גם להפצת הגדרות וגם להגדרת דלתאות וביצוע הגדרות נוספות.

למי שינסה לגשת לכלי הישן יקבל את ההודעה הבאה2019-01-12_19h09_43.png

כלי Office Client Policy Service

הכלי החדש Office Client Policy Service או בשמו המקצועי Config Office מבוסס על שירות Office365.

כיום משתמשים עובדים ביומיום עם Office 365 Pro Plus מתוך התקני קצה שונים, בין אם התקן קצה מנוהל או התקן קצה שאינו מנוהל, בכל אותם התקני קצה המשתמש צריך לקבל את אותן הגדרות שוות ערך ולכן ע"י הרכיב החדש משתמש יקבל פוליסי אחיד.

הערה: החסרון היחיד של הרכיב הנ"ל שהוא אינו מאפשר הפצה של Office 365 Pro Plus כמו שניתן לבצע מתוך תשתית ניהול התקני קצה (UEM).

מה ניתן לבצע באמצעות Office Client Policy Service?

  • בניית קונפיגורציה של Office 365 Pro Plus
  • הפעלת פוליסי לפי קבוצות מבוססות Azure AD
  • הגדרת אוטומטית של פוליסי

דרישות סף

דרישות סף של Office Client Policy Service:

  • משתמש מבוסס Azure AD עם לוגין ברמת Office 365 Pro Plus
  • גרסת 1808 (לפחות) של Office 365 ProPlus
  • קבוצה מבוססת Azure AD ומסוג Security

איך עובד התהליך

מנגנון הפעלה, הגדרה ושינוי אצל המשתמש נעשה על גבי מספר פרמטרים ותנאים שונים של רכיב Office Client Policy Service.

בגלל היותו רכיב ענן, הרכיב Office Client Policy Service מדבר עם כל בקשה של Office 365 Pro Plus בין אם המשתמש הוא התקן קצה מנוהל או לא, ברגע שמזוהה כניסת משתמש וביצוע לוגין מתוך Office 365 Pro Plus, מאותו רגע מתבצעת בדיקה האם המשתמש שייך לקבוצה, מהם הפוליסי החלים על אותו משתמש, האם ישנו קונפליקט ולאחר מספר בדיקות הפוליסי יורד אל המשתמש ולאותו Office 365 Pro Plus. ישנם מספר מאפיינים חשובים בהגדרה ושימוש עם הרכיב של Office Client Policy Service, בין היתר:

  • בתהליך לוגין ראשוני ברמת Office 365 Pro Plus נבדק האם ישנו פוליסי והמשתמש שייך לקבוצה מסוימת מבוססת Azure AD
  • במידה והמשתמש אינו מוגדר עם פוליסי אותו פליסי יעודכן באותו רגע, במידה ולא תתבצע נוספת רק לאחר 24 שעות נוספות (ביצוע יציאה וכניסה עלול לגרום לאיבוד קיצורי דרך והגדרות ספציפיות של משתמש ולכן לא מומלץ לבצע "משחקים" כאלה)
  • בכל שינוי פוליסי משתמש חייב לסגורולפתו מחדש את האפליצקיות הנדרשות של Office 365 Pro Plus
  • לאחר הגדרת פוליסי בפים הראשונה ובמצב מוצלח תתבצע בדיקה של פוליסי כל 90 דקות
  • במידה וישנו קונפליקט בין פוליסי חייב לבצע Prioritize של פוליסי, כאשר 0 משמעותו הגבוה ביותר
  • פוליסי באמצעות Office Client Policy Service גובר על פוליסי מסוג Group Policy
  • מיקום הפוליסי נשמר ברמת Regedit בנתיב הבא
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office

הערות נוספות

ישנם מספר מגבלות ברכיב Office Client Policy Service:

  • הפוליסי הוא ברמת משתמש (Office 365 Pro Plus בלבד) ולא ברמת התקן קצה
  • למרות האפשרויות הרבות בפוליסי, עדיין ישנם הגדרות חסרות שאינן ניתנות ליישום
  • במידה וישנו ניהול באמצעות Intune אין לבצע את אותן הגדרות כי עלול להיווצר קונפליקט
  • ניתן לייצא קובץ XML לטובת הגדרת מול Intune או UEM צד שלישי
  • אין צורך לעבוד עם פוליסי מבוסס ADMX/ADML כי עלול ליצור קונפליקטים

יצירת פוליסי

יצירת פוליסי בכלי Office Client Policy Service הינה פשוטה אך לא קצרה כי מכילה 1600 הגדרות, חלקם הגדרות אבטחה נדרשות.

2019-01-12_18h42_04.png

2019-01-12_18h42_572019-01-12_18h43_262019-01-12_18h44_192019-01-12_18h45_352019-01-12_18h45_552019-01-12_18h47_312019-01-12_18h49_002019-01-12_18h49_082019-01-12_18h49_36

הגדרת פוליסי היא תהליך פשוט ובחירת ההגדרות היא החלק הארוך בתהליך יחד עם הבדיקה על גבי משתמשי קצה.

Tags:

השאר תגובה

error: Content is protected !!