Office 中默认阻止来自 Internet 的宏
VBA 宏是恶意参与者获取部署恶意软件和勒索软件访问权限的常见方式。 因此,为了帮助提高 Office 的安全性,我们将更改 Office 应用程序的默认行为,以阻止来自 Internet 的文件中的宏。
此更改会影响用户与来自 Internet 的文件(例如包含宏的电子邮件附件)的交互方式。 现在,当用户打开此类文件时,会看到以下消息:
“ 了解详细信息 ”按钮转到 面向最终用户和信息工作者的文章 ,其中包含有关使用宏的不良参与者的安全风险的信息、防止网络钓鱼和恶意软件的安全做法,以及如何在需要时 (启用这些宏的说明) 。
在某些情况下,如果文件来自 Intranet 中的某个位置且未标识为受信任,则用户也会看到消息。 例如,如果用户使用共享的 IP 地址访问网络共享上的文件。 有关详细信息,请参阅 位于网络共享或受信任网站上的文件。
重要
即使在我们引入此更改之前,组织也可以使用 “阻止宏从 Internet 在 Office 文件中运行 ”策略,以防止用户无意中打开包含宏的 Internet 中的文件。 建议启用此策略作为Microsoft 365 企业应用版安全基线的一部分。 如果配置策略,则组织不会受到此默认更改的影响。
有关详细信息,请参阅 使用策略管理 Office 处理宏的方式。
准备此更改
通过与组织中利用 Office 文件中宏的业务单位协作,为此更改做好准备。 这些文件通常从 Intranet 网络共享或 Intranet 网站等位置打开。 你需要标识这些宏,并确定 要执行哪些步骤 来继续使用这些宏。 与独立软件供应商 (ISV) 合作,这些供应商从这些位置在 Office 文件中提供宏。 例如,若要查看他们是否可以对代码进行数字签名,并且你可以将其视为受信任的发布者。
此外,请查看以下信息:
| 准备操作 | 更多信息 |
|---|---|
| 了解每个更新通道中的哪个版本具有此更改 | 受此更改影响的 Office 版本 |
| 查看 Office 确定是否在文件中运行宏的流程图 | Office 如何确定是否从 Internet 运行文件中的宏 |
| 了解可用于控制 VBA 宏执行的策略 | 使用策略管理 Office 处理宏的方式 |
允许 VBA 宏在你信任的文件中运行的步骤
如何允许 VBA 宏在你信任的文件中运行取决于这些文件所在的位置或文件类型。
下表列出了取消阻止 VBA 宏并允许其运行的不同常见方案和可能的方法。 不必为给定方案执行所有可能的方法。 在列出了多种方法的情况下,请选择最适合组织的方法。
| 应用场景 | 可能采用的方法 |
|---|---|
| 单个文件 |
• 选中文件“属性”对话框的“常规”选项卡上的“取消阻止”复选框 • 在 PowerShell 中使用 Unblock-File cmdlet 有关详细信息,请参阅 从文件中删除 Web 标记。 |
| 位于网络共享或受信任网站上的文件 | 使用“单个文件”下列出的方法取消阻止文件。 如果没有“ 取消阻止 ”复选框,并且你想要信任该网络位置中的所有文件: • 将位置指定为受信任的站点 • 将位置添加到 本地 Intranet 区域 有关详细信息,请参阅 位于网络共享或受信任网站上的文件。 |
| 存储在 OneDrive 或 SharePoint 上的文件,包括 Teams 频道使用的网站 | • 让用户使用“ 在桌面应用中打开 ”选项直接打开文件 • 如果用户在打开文件之前在本地下载文件,请从文件的本地副本中删除 Web 标记 (查看“单个文件”下的方法 ) • 将位置指定为受信任的站点 有关详细信息,请参阅 OneDrive 或 SharePoint 上的文件。 |
| Word、PowerPoint 和 Excel 的已启用宏的模板文件 | 如果模板文件存储在用户的设备上: • 从模板文件中删除 Web 标记 (查看“单个文件”下的方法 ) • 将模板文件保存到受信任位置 如果模板文件存储在网络位置: • 使用数字签名并信任发布者 • 信任模板文件 (查看“位于网络共享或受信任网站上的文件集中”下的方法 ) 有关详细信息,请参阅 Word、PowerPoint 和 Excel 的已启用宏的模板文件。 |
| PowerPoint 的已启用宏的加载项文件 | • 从外接程序文件中删除 Web 标记 • 使用数字签名并信任发布者 • 将外接程序文件保存到受信任位置 有关详细信息,请参阅 PowerPoint 和 Excel 的已启用宏的加载项文件。 |
| Excel 的已启用宏的加载项文件 | • 从外接程序文件中删除 Web 标记 • 将外接程序文件保存到受信任位置 有关详细信息,请参阅 PowerPoint 和 Excel 的已启用宏的加载项文件。 |
| 由受信任的发布者签名的宏 | • [推荐] 将受信任的发布者的公共代码签名证书部署到用户,并阻止用户自己添加受信任的发布者。 • 从文件中删除 Web 标记,并让用户将宏的发布者添加为受信任的发布者。 有关详细信息,请参阅 由受信任的发布者签名的宏。 |
| 保存到用户设备上的文件夹的文件组 | 将文件夹指定为受信任位置 有关详细信息,请参阅 受信任位置。 |
受此更改影响的 Office 版本
此更改仅影响运行 Windows 的设备上的 Office,并且仅影响以下应用程序:Access、Excel、PowerPoint、Visio 和 Word。
下表显示了此更改何时在每个更新通道中可用。
| 更新频道 | 版本 | 日期 |
|---|---|---|
| 当前频道(预览) | 版本 2203 | 开始于 2022 年 4 月 12 日推出 |
| 当前频道 | 版本 2206 | 开始于 2022 年 7 月 27 日推出 |
| 月度企业频道 | 版本 2208 | 2022 年 10 月 11 日 |
| 半年企业频道(预览) | 版本 2208 | 2022 年 10 月 11 日 |
| 半年度企业频道 | 版本 2208 | 2023 年 1 月 10 日 |
此更改不会影响 Mac 上的 Office、Android 或 iOS 设备上的 Office 或Office web 版。
Office 如何确定是否从 Internet 运行文件中的宏
下面的流程图显示了 Office 如何确定是否从 Internet 运行文件中的宏。
以下步骤说明流程图中的信息,Excel 外接程序文件除外。 有关这些文件的详细信息,请参阅 PowerPoint 和 Excel 的已启用宏的加载项文件。 此外,如果文件位于不在 本地 Intranet 区域中或不是受信任站点的网络共享上,则会阻止该文件中的宏。
- 用户打开包含从 Internet 获取的宏的 Office 文件。 例如,电子邮件附件。 该文件具有 Web (MOTW) 的标记。
注意
- Windows 将 Web 标记添加到来自不受信任的位置(如 Internet 或受限区域)的文件。 例如,浏览器下载或电子邮件附件。 有关详细信息,请参阅 Web 和区域的标记。
- Web 标记仅适用于保存在 NTFS 文件系统上的文件,不适用于保存到 FAT32 格式设备的文件。
如果文件来自受信任的位置,则会打开该文件并启用宏。 如果文件不是来自受信任位置,则评估将继续。
如果宏具有数字签名,并且设备具有相应的受信任发布者证书,则会打开启用宏的文件。 如果没有,则继续评估。
检查策略以查看宏是否被允许或阻止。 如果策略设置为“未配置”,则评估将继续执行步骤 6。
() 如果宏被策略阻止,则会阻止宏。 (b) 如果宏由策略启用,则会启用宏。
如果用户之前打开了文件,在默认行为发生此更改之前,并选择了“从信任栏 启用内容” ,则会启用宏,因为该文件被视为受信任。
注意
- 有关详细信息,请参阅 受信任的文档的新安全强化策略。
- 对于永久版本的 Office(如 Office LTSC 2021 或 Office 2019),此步骤发生在步骤 3 之后和步骤 4 之前,并且不受默认行为更改的影响。
- 此步骤是 Office 默认行为的更改生效的地方。 通过此更改,将阻止来自 Internet 的文件中的宏,并且用户在打开文件时会看到 “安全风险 ”横幅。
注意
以前,在默认行为发生此更改之前,应用将检查,以查看是否启用了 VBA 宏通知设置策略以及如何对其进行配置。
如果策略设置为“禁用”或“未配置”,则应用将在“文件>选项>信任中心信任中心>设置...”下检查设置。>宏设置。 默认设置为“禁用所有带有通知的宏”,这允许用户在信任栏中启用内容。
有关允许 VBA 宏在你信任的文件中运行的指南
从文件中删除 Web 标记
若要取消阻止文件中的宏(例如 Internet 中的宏或电子邮件附件中的宏),请删除本地设备上的 Web 标记。 若要删除,请右键单击文件,选择“属性”,然后选中“常规”选项卡上的“取消阻止”复选框。
注意
- 在某些情况下,通常对于网络共享上的文件,用户可能不会看到阻止宏的文件的“ 取消阻止 ”复选框。 对于这些情况,请参阅位于 网络共享或受信任网站上的文件。
- 即使“ 取消阻止 ”复选框可用于网络共享上的文件,但如果共享被视为在 Internet 区域中,则选中该复选框不会有任何影响。 有关详细信息,请参阅 Web 和区域的标记。
还可以使用 PowerShell 中的 Unblock-File cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值允许默认情况下运行 VBA 宏。 使用 cmdlet 的作用与选中文件的“属性”对话框的“常规”选项卡上的“取消阻止”复选框相同。 有关 ZoneId 值的详细信息,请参阅 Web 和区域的标记。
位于网络共享或受信任网站上的文件
如果让用户从受信任的网站或内部文件服务器访问文件,则可以执行以下步骤之一,以便不阻止来自这些位置的宏。
- 将位置指定为受信任的站点
- 如果网络位置在 Intranet 上,请将该位置添加到 本地 Intranet 区域
注意
- 如果将某些内容添加为受信任的网站,则还会为与 Office 无关的方案授予整个网站提升的权限。
- 对于 本地 Intranet 区域方法,建议将文件保存到已被视为 本地 Intranet 区域的一部分的位置,而不是将新位置添加到该区域。
- 通常,我们建议使用受信任的站点,因为它们与 本地 Intranet 区域相比具有一些额外的安全性。
例如,如果用户使用网络共享的 IP 地址访问网络共享,除非文件共享位于 受信任的站点 或 本地 Intranet 区域中,否则会阻止这些文件中的宏。
提示
- 若要查看受信任的站点列表或本地 Intranet 区域中的内容,请转到控制面板>Internet 选项>更改 Windows 设备上的安全设置。
- 若要检查单个文件是否来自受信任的站点或本地 Intranet 位置,请参阅 Web 和区域的标记。
例如,可以通过将文件服务器或网络共享的 FQDN 或 IP 地址添加到受信任的站点列表中,将其添加为受信任的站点。
如果要添加以 http:// 或网络共享开头的 URL,请清除 “要求对此区域中所有站点进行服务器验证 (https:) ”复选框。
重要
由于宏不会阻止来自这些位置的文件中,因此应仔细管理这些位置。 请确保控制允许谁将文件保存到这些位置。
可以使用组策略和“站点到区域分配列表”策略将位置添加为受信任的站点,或添加到组织中 Windows 设备的本地 Intranet 区域。 此策略位于 组策略 管理控制台的 Windows 组件\Internet Explorer\Internet 控制面板\安全页下。 它在计算机配置\策略\管理模板和用户配置\策略\管理模板下均可用。
OneDrive 或 SharePoint 上的文件
如果用户使用 Web 浏览器在 OneDrive 或 SharePoint 上下载文件,则 Windows Internet 安全区域的配置 (控制面板>Internet Options>Security) 确定浏览器是否设置 Web 标记。 例如,如果文件来自 Internet 区域,Microsoft Edge 会设置文件的 Web 标记。
如果用户在从 OneDrive 网站或 SharePoint 网站打开的文件中选择“ 在桌面应用中打开 ” (包括 Teams 频道) 使用的网站,则该文件将不具有 Web 标记。
如果用户运行 OneDrive 同步 客户端,并且同步客户端下载了文件,则该文件将没有 Web 标记。
Windows 已知文件夹中的文件 (桌面、文档、图片、屏幕截图和本机照片) ,并且同步到 OneDrive,没有 Web 标记。
如果你有一组用户(例如财务部门)需要在不阻止宏的情况下使用 OneDrive 或 SharePoint 中的文件,下面是一些可能的选项:
让他们使用“ 在桌面应用中打开 ”选项打开文件
让他们将文件下载到 受信任位置。
将 OneDrive 或 SharePoint 域的 Windows Internet 安全区域分配设置为“受信任的站点”。 管理员可以使用“站点到区域分配列表”策略,并将策略配置为将
https://{your-domain-name}.sharepoint.comSharePoint) (或https://{your-domain-name}-my.sharepoint.comoneDrive () 放入“受信任的站点”区域。此策略位于 组策略 管理控制台的 Windows 组件\Internet Explorer\Internet 控制面板\安全页下。 它在计算机配置\策略\管理模板和用户配置\策略\管理模板下均可用。
通过将这些位置添加到受信任的网站,SharePoint 权限和 OneDrive 共享不会更改。 维护访问控制非常重要。 有权将文件添加到 SharePoint 的任何人都可以添加包含活动内容的文件,例如宏。 从“受信任的站点”区域中的域下载文件的用户会绕过默认设置来阻止宏。
Word、PowerPoint 和 Excel 的已启用宏的模板文件
从 Internet 下载的 Word、PowerPoint 和 Excel 的启用了宏的模板文件具有 Web 标记。 例如,具有以下扩展名的模板文件:
- .dot
- .dotm
- 。锅
- .potm
- .xlt
- .xltm
当用户打开启用了宏的模板文件时,将阻止用户运行模板文件中的宏。 如果用户信任模板文件的源,他们可以从模板文件中删除 Web 标记,然后在 Office 应用中重新打开模板文件。
如果有一组用户需要使用启用了宏的模板而不阻止宏,则可以执行以下操作之一:
- 使用数字签名并信任发布者。
- 如果不使用数字签名,可以将模板文件保存到 受信任的位置 ,并让用户从该位置获取模板文件。
PowerPoint 和 Excel 的已启用宏的加载项文件
从 Internet 下载的 PowerPoint 和 Excel 的已启用宏的外接程序文件具有 Web 标记。 例如,具有以下扩展名的加载项文件:
- .ppa
- .ppam
- .xla
- .xlam
当用户尝试使用“文件>选项加载项”或“开发人员”>功能区安装启用了宏的外接程序时,外接程序将加载为禁用状态,并阻止用户使用外接程序。 如果用户信任外接程序文件的源,则可以从外接程序文件中删除 Web 标记,然后重新打开 PowerPoint 或 Excel 以使用外接程序。
如果你有一组需要使用启用了宏的外接程序文件而不阻止宏,则可以执行以下操作。
对于 PowerPoint 外接程序文件:
- 从 .ppa 或 .ppam 文件中删除 Web 标记。
- 使用数字签名并信任发布者。
- 将外接程序文件保存到 受信任的位置 供用户检索。
对于 Excel 外接程序文件:
- 从 .xla 或 .xlam 文件中删除 Web 标记。
- 将外接程序文件保存到 受信任的位置 供用户检索。
注意
使用数字签名并信任发布者不适用于具有 Web 标记的 Excel 外接程序文件。 对于具有 Web 标记的 Excel 外接程序文件来说,此行为并不新。 自 2016 年以来,它一直以这种方式工作,这是由于以前的安全强化工作 (与 Microsoft 安全公告 MS16-088) 相关的。
由受信任的发布者签名的宏
如果宏已签名,并且你验证了证书并信任源,则可以使该源成为受信任的发布者。 建议尽可能为用户管理受信任的发布者。 有关详细信息,请参阅 Office 文件的受信任发布者。
如果只有几个用户,则可以让他们 从文件中删除 Web 标记, 然后在其设备上 将宏的源添加为受信任的发布者 。
警告
- 使用同一证书有效签名的所有宏都会被识别为来自受信任的发布者并运行。
- 添加受信任的发布者可能会影响与 Office 相关的方案以外的方案,因为受信任的发布者是 Windows 范围的设置,而不仅仅是特定于 Office 的设置。
受信任位置
将文件从 Internet 保存到用户设备上的受信任位置会忽略 Web 标记检查,并在启用 VBA 宏的情况下打开。 例如,业务线应用程序可以定期发送包含宏的报表。 如果将包含宏的文件保存到“受信任位置”,则用户无需转到该文件 的“属性” ,然后选择“ 取消阻止 ”以允许宏运行。
由于宏不会在保存到受信任位置的文件中被阻止,因此应仔细管理受信任位置并谨慎使用它们。 网络位置也可以设置为“受信任位置”,但不建议这样做。 有关详细信息,请参阅 Office 文件的受信任位置。
有关 Web 标记的其他信息
Web 和受信任文档的标记
将文件下载到运行 Windows 的设备时,Web 标记将添加到该文件,并将其源标识为来自 Internet。 目前,当用户打开带有“Web 标记”的文件时,将显示一个 “安全警告” 横幅,其中包含 “启用内容 ”按钮。 如果用户选择 “启用内容”,则该文件被视为“受信任的文档”,并允许宏运行。 即使实现默认行为更改以阻止来自 Internet 的文件中的宏,宏仍将继续运行,因为该文件仍被视为受信任的文档。
更改默认行为以阻止来自 Internet 的文件中的宏后,用户在第一次打开包含来自 Internet 的宏的文件时将看到不同的横幅。 此 安全风险 横幅没有 “启用内容”选项。 但用户可以转到文件的 “属性 ”对话框,并选择“ 取消阻止”,这将从文件中删除 Web 标记并允许宏运行,前提是没有阻止策略或信任中心设置。
Web 和区域的标记
默认情况下,Web 标记仅从 Internet 或 受限站点 区域添加到文件中。
提示
若要在 Windows 设备上查看这些区域,请转到控制面板>“Internet 选项>”“更改安全设置”。
可以通过在命令提示符处运行以下命令,并将 {name of file} 替换为文件名来查看文件的 ZoneId 值。
notepad {name of file}:Zone.Identifier
运行此命令时,记事本将打开并在 [ZoneTransfer] 部分下显示 ZoneId。
下面是 ZoneId 值及其映射到的区域的列表。
- 0 = 我的电脑
- 1 = 本地 Intranet
- 2 = 受信任的站点
- 3 = Internet
- 4 = 受限站点
例如,如果 ZoneId 为 2,则默认情况下不会阻止该文件中的 VBA 宏。 但是,如果 ZoneId 为 3,则默认情况下会阻止该文件中的宏。
可以使用 PowerShell 中的 Unblock-File cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值允许默认情况下运行 VBA 宏。 使用 cmdlet 的作用与选中文件的“属性”对话框的“常规”选项卡上的“取消阻止”复选框相同。
使用策略管理 Office 处理宏的方式
可以使用策略来管理 Office 处理宏的方式。 建议使用 “阻止宏从 Internet 在 Office 文件中运行 ”策略。 但是,如果该策略不适合你的组织,另一个选项是 VBA 宏通知设置 策略。
有关如何部署这些策略的详细信息,请参阅 可用于管理策略的工具。
重要
仅当使用Microsoft 365 企业应用版时,才能使用策略。 策略不适用于Microsoft 365 商业应用版。
阻止宏从 Internet 在 Office 文件中运行
此策略可防止用户无意中打开包含来自 Internet 的宏的文件。 将文件下载到运行 Windows 的设备或从网络共享位置打开时,会将 Web 标记添加到文件中,标识该文件源自 Internet。
建议启用此策略作为Microsoft 365 企业应用版安全基线的一部分。 应为大多数用户启用此策略,并且仅根据需要为某些用户创建例外。
这五个应用程序各有一个单独的策略。 下表显示了可在 组策略 管理控制台的用户配置\策略\管理模板下找到每个策略的位置:
| 应用程序 | 策略位置 |
|---|---|
| Access | Microsoft Access 2016\Application Settings\Security\Trust Center |
| Excel | Microsoft Excel 2016\Excel Options\Security\Trust Center |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center |
你为策略选择哪个状态决定了你提供的保护级别。 下表显示了在实现默认行为更改之前,每种状态的当前保护级别。
| 图标 | 保护级别 | 策略状态 | 说明 |
|---|---|---|---|
 |
受保护的 [建议] | 已启用 | 用户被阻止在从 Internet 获取的文件中运行宏。 Microsoft 建议的安全基线的一部分。 |
 |
不受保护 | Disabled | 将遵循在 “文件>选项>信任中心信任中心>设置...”下配置的设置。>宏设置。 |
|
不受保护 | 未配置 | 将遵循在 “文件>选项>信任中心信任中心>设置...”下配置的设置。>宏设置。 |
注意
- 如果将此策略设置为“已禁用”,则默认情况下,当用户使用宏打开文件时,会看到安全警告。 该警告将告知用户宏已被禁用,但会允许他们通过选择“ 启用内容 ”按钮来运行宏。
- 此警告与之前显示的警告用户相同,在最近实现的此更改之前,我们将阻止宏。
- 建议不要将此策略永久设置为“已禁用”。 但在某些情况下,在测试新的宏阻止行为如何影响组织以及开发允许安全使用宏的解决方案时,暂时执行此操作可能很实用。
实现对默认行为的更改后,当策略设置为“未配置”时,保护级别会更改。
| 图标 | 保护级别 | 策略状态 | 说明 |
|---|---|---|---|
|
Protected | 未配置 | 用户被阻止在从 Internet 获取的文件中运行宏。 用户会看到带有“了解详细信息”按钮的安全风险横幅 |
VBA 宏通知设置
如果不使用“阻止宏从 Internet 在 Office 文件中运行”策略,则可以使用“VBA 宏通知设置”策略来管理 Office 如何处理宏。
此策略可防止用户被引诱启用恶意宏。 默认情况下,Office 配置为阻止包含 VBA 宏的文件,并显示信任栏,并警告宏存在且已被禁用。 用户可以检查和编辑文件(如果适用),但在信任栏上选择“ 启用内容 ”之前,不能使用任何禁用的功能。 如果用户选择“ 启用内容”,则文件将添加为“受信任的文档”,并允许宏运行。
这五个应用程序各有一个单独的策略。 下表显示了可在 组策略 管理控制台的用户配置\策略\管理模板下找到每个策略的位置:
| 应用程序 | 策略位置 |
|---|---|
| Access | Microsoft Access 2016\Application Settings\Security\Trust Center |
| Excel [1] | Microsoft Excel 2016\Excel Options\Security\Trust Center |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center |
注意
- [1] 对于 Excel,策略名为“宏通知设置”。
- “VBA 宏通知设置”策略也可用于 Project 和 Publisher。
你为策略选择哪个状态决定了你提供的保护级别。 下表显示了每种状态可获得的保护级别。
| 图标 | 保护级别 | 策略状态 | 策略值 |
|---|---|---|---|
|
受保护的 [建议] | 已启用 | 禁用除数字签名的宏 (,然后选择“要求由受信任的发布者对宏进行签名”) |
|
Protected | 已启用 | 禁用所有宏,并且不通知 |
 |
部分保护 | 已启用 | 禁用所有宏,并发出通知 |
|
部分保护 | Disabled | (与“禁用所有通知”相同的行为 ) |
|
不受保护 | 已启用 | 启用所有宏 (不建议) |
重要
保护宏非常重要。 对于不需要宏的用户,可以通过选择“禁用所有宏而不通知”来关闭所有宏。
我们的安全基线建议是,应执行以下操作:
- 启用“VBA 宏通知设置”策略。
- 对于需要宏的用户,请选择“禁用除数字签名宏以外的所有宏”,然后选择“要求由受信任的发布者对宏进行签名”。证书需要作为受信任的发布者安装在用户的设备上。
如果未配置策略,用户可以在“文件>选项>信任中心信任中心>设置...”下配置宏保护设置。>宏设置。
下表显示了用户可以在 “宏设置” 下做出的选择,以及每个设置提供的保护级别。
| 图标 | 保护级别 | 已选择设置 |
|---|---|---|
|
Protected | 禁用无数字签署的所有宏 |
|
Protected | 禁用所有宏,并且不通知 |
|
部分保护 | 禁用所有带有通知 (默认) 的宏 |
|
不受保护 | 启用所有宏(不推荐;可能会运行有潜在危险的代码) |
注意
在 Excel 的策略设置值和产品 UI 中,“all”一词将替换为“VBA”。例如,“禁用 VBA 宏而不发出通知”。
可用于管理策略的工具
可以使用多种工具来配置策略设置并将其部署到组织中的用户。
云策略
可以使用云策略配置策略设置并将其部署到组织中的设备,即使设备未加入域。 云策略是基于 Web 的工具,可在Microsoft 365 应用版管理中心找到。
在云策略中,创建策略配置,将其分配给组,然后选择要包含在策略配置中的策略。 若要选择要包含的策略,可以按策略名称进行搜索。 云策略还显示哪些策略属于 Microsoft 建议的安全基线。 云策略中可用的策略与 组策略 管理控制台中提供的相同用户配置策略。
有关详细信息,请参阅 Microsoft 365 云策略服务概述。
Microsoft Intune管理中心
在Microsoft Intune管理中心,可以使用设置目录 (预览) 或管理模板为运行Windows 10或更高版本的设备配置和部署策略设置。
若要开始,请转到 “设备>配置文件”>“创建配置文件”。 对于“平台”,请选择“Windows 10及更高版本”,然后选择配置文件类型。
有关详细信息,请参阅以下文章:
组策略管理控制台
如果你在组织中部署了 Windows Server 和 Active Directory 域服务 (AD DS) ,则可以使用 组策略 配置策略。 若要使用组策略,请下载最新的管理模板文件 (ADMX/ADML) for Office,其中包括Microsoft 365 企业应用版的策略设置。 将管理模板文件复制到 AD DS 后,可以使用 组策略 管理控制台创建组策略对象 (GPO) ,其中包含用户和已加入域的设备的策略设置。
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈