Устранение неполадок службы клиентских политик Office (OCPS)

Служба облачных политик Office (OCPS) позволяет применить параметры политики для Office 365 ProPlus  на любом пользовательском устройстве. Поскольку пользователи получают все больше «мобильности», ИТ-специалистам необходимо разработать универсальный метод защиты Office 365 ProPlus для традиционных локальных доменных устройств, зарегистрированных устройств Azure AD, присоединенных Azure AD и гибридных подключенных устройств Azure AD. OCPS применяется ко всем вышеописанным сценариям без необходимости загружать и копировать любой контент. Цель этой статьи — обеспечить определенную прозрачность работы службы, чтобы облегчить ИТ-этап проверки, а также поспособствовать переходу от классической политики на основе доменов к службе OCPS для Office 365 ProPlus.

Требования OCPS:

1. Office 365 ProPlus (не ниже версии 1808).
2. Аккаунты, созданные или синхронизированные с Azure Active Directory.
3. Группы безопасности, созданные или синхронизированные с AAD.
4. Чтобы создать конфигурацию политики, следует назначить одну из ролей админа в Azure Active Directory — глобальный, безопасности, приложений Office.
5. Подключение к нижеуказанным адресам. Microsoft рекомендует в белый список эти URL — manage.microsoft.com, officeconfig.msocdn.com, config.office.com.

Шаги для подтверждения проверки и входа

1. Создайте пользовательский аккаунт под соответствующим именем.
2. Создайте группу безопасности «Проверка службы OCPS» и добавьте пользователя в группу «Пользователи и компьютеры Active Directory».
3. Разрешите AAD Connect проводить синхронизацию пользователя и группы с Azure AD. Перейдите на портал Azure AD, затем во вкладку «Пользователи» – «Все пользователи», затем выберите вашего пользователя, после чего перейдите в «Группы». Убедитесь, что группа «Проверка службы OCPS» отмечена и источник сообщает «Windows Server AD». Это подтверждает, что пользователь и группа были синхронизированы с Azure AD и можно перейти к следующим шагам.
4. Создайте свою первую политику OCPS и нажмите кнопку «Создать»:

5. Заполните поля ввода, при выборе назначенной группы безопасности введите «OCPS», и сервис должен отфильтровать результаты в группе «OCPS Service Validation». Затем определите политику.

6. Из Управления политиками мы теперь можем видеть, что наша политика существует.

Традиционная групповая политика использует клиентские расширения в Windows, которые применяют ее каждые 90 минут. ИТ-специалисты могут выполнить это действие самостоятельно при помощи командной строки «gpupdate/force» и активировать проверку реестра. OCPS проверяет политику при первоначальном запуске приложения Office и  определяет применимость политики на основе членства в группах и назначения приоритетов, а также ключей реестра.