共用方式為

使用 Microsoft Intune 管理適用於 iOS 和 Android 的 Teams 共同作業體驗

  • 發行項

Microsoft Teams 是 Microsoft 365 中的團隊共同作業中樞,可整合小組需要更投入且更有效率的人員、內容和工具。

當您訂閱 Enterprise Mobility + Security 套件時,可以使用Microsoft 365 數據最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。 您至少會想要部署條件式存取原則,以允許從行動裝置連線到iOS和Android版Teams,以及可確保共同作業體驗受到保護的Intune應用程式保護原則。

套用條件式存取

組織可以使用 Microsoft Entra 條件式存取原則,以確保使用者只能使用適用於iOS和Android的Teams存取公司或學校內容。 若要這樣做,您需要以所有潛在用戶為目標的條件式存取原則。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。

注意事項

若要利用應用程式型條件式存取原則,Microsoft驗證器應用程式必須安裝在iOS裝置上。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取

請遵循使用行動 裝置要求核准的用戶端應用程式或應用程式保護原則中的步驟,這會允許適用於 iOS 和 Android 的 Teams,但會封鎖第三方支援 OAuth 的行動裝置用戶端連線到Microsoft 365 端點。

注意事項

此原則可確保行動裝置使用者可以使用適用的應用程式存取所有 Microsoft 365 端點。

建立 Inunte 應用程式防護原則

應用程式防護原則 (APP) 定義允許哪些應用程式,以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序,Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。

APP 資料保護架構會組織成三個不同的設定層級,其中每個層級會根據上一個層級來建置:

  • 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
  • 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
  • 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。

若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構

無論裝置是否已在整合端點管理 (UEM) 解決方案中註冊,都必須使用 如何建立和指派應用程式防護原則 中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式防護原則。 這些原則至少必須符合下列條件:

  1. 它們包含所有 Microsoft 365 行動應用程式,例如 Edge、Outlook、OneDrive、Office 或 Teams,因為這可確保使用者可以安全的方式存取及操作任何 Microsoft 應用程式內的工作或學校資料。

  2. 它們會指派給所有使用者。 這可確保所有使用者都受到保護,無論他們使用適用於 iOS 或 Android 的 Teams 為何。

  3. 判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。

如需可用設定的詳細資訊,請參閱 Android 應用程式防護原則設定iOS 應用程式防護原則設定

重要事項

若要對未在 Intune 中註冊的 Android 裝置上套用 Intune 應用程式保護原則,使用者也必須安裝 Intune 公司入口網站。

利用應用程式設定

iOS 和 Android 版 Teams 支援允許統一端點管理的應用程式設定,例如 Microsoft Intune 系統管理員自定義應用程式的行為。

應用程式設定可以透過已註冊裝置上的行動裝置管理 (MDM) 作業系統通道 (適用于 iOS 的 受管理的應用程式設定 通道或適用于 Android 的 Android 企業版 通道) 或透過 Intune 應用程式防護原則 (APP) 通道傳遞。 適用於 iOS 和 Android 的 Teams 支援下列設定案例:

  • 只允許公司或學校帳戶

重要事項

針對需要在 Android 上註冊裝置的設定案例,裝置必須在 Android Enterprise 中註冊,而適用於 Android 的 Teams 必須透過受控 Google Play 商店部署。 如需詳細資訊,請參閱 設定 Android Enterprise 個人擁有工作設定檔裝置的註冊新增受控 Android Enterprise 裝置的應用程式組態原則

每個設定案例都會強調其特定需求。 例如,設定案例是否需要裝置註冊,因此可與任何 UEM 提供者搭配使用,或需要 Intune 應用程式防護原則。

重要事項

應用程式組態金鑰會區分大小寫。 使用適當的大小寫以確保設定生效。

注意事項

使用 Microsoft Intune,透過 MDM 作業系統通道傳遞的應用程式設定稱為 [受管理的裝置] 應用程式設定原則 (ACP);透過應用程式防護原則通道傳遞的應用程式設定稱為 [受管理的應用程式] 應用程式設定原則。

只允許公司或學校帳戶

遵守我們最大且高度管制客戶的資料安全性與合規性原則是 Microsoft 365 價值的重要要素。 有些公司需要擷取其公司環境中的所有通訊資訊,以及確保裝置僅用於公司通訊。 為了支持這些需求,已註冊裝置上的iOS和Android Teams 可以設定為只允許在應用程式內布建單一公司帳戶。

您可以在這裡深入瞭解如何設定組織允許的帳戶模式設定:

此設定案例僅適用于已註冊的裝置。 不過,支援任何 UEM 提供者。 如果您不是使用 Microsoft Intune,您必須參閱 UEM 檔,以瞭解如何部署這些設定金鑰。

簡化無網域登入的登入體驗

您可以藉由套用下列原則,在共用和受控裝置上的使用者登入畫面上預先填入功能變數名稱,以簡化適用於 iOS 和 Android 的 Teams 登入體驗:

名稱
domain_name 提供要附加之租用戶網域的字串值。 使用分號分隔值來新增多個網域。 此原則僅適用於已註冊的裝置。
enable_numeric_emp_id_keypad 布爾值,用來指出員工標識碼都是數值,而且應該啟用數字鍵台以方便輸入。 如果未設定值,則會開啟英數位元鍵盤。 此原則僅適用於已註冊的裝置。

注意事項

這些原則僅適用於已註冊的共用和受控裝置。

Microsoft Teams 中的通知設定

通知可讓您隨時掌握您所發生或即將發生的狀況。 它們會根據設定出現在主畫面或鎖定畫面上。 使用下列選項,透過應用程式保護原則在入口網站上設定您的通知。

選項 描述
允許 在標題和內容) (顯示實際通知。
封鎖組織數據 拿掉標題,並將內容取代為聊天通知的「您有新訊息」,以及其他人的「有新活動」。 用戶將無法從鎖定畫面 回復 通知。
已封鎖 隱藏通知,且不會通知使用者。

若要在 Intune 中設定原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 在左邊瀏覽窗格中,瀏覽至 [應用程式 > 應用程式防護 原則]

    建立原則

  3. 按兩下 [建立原則 ],然後選取您想要的平臺,例如 iOS/iPadOS

  4. 在 [ 基本] 頁面上,新增 名稱和 描述等詳細 數據。 按一下[下一步]

  5. 在 [ 應用程式] 頁面上,按兩下 [選取公用應用程式],然後尋找並選 取 [Microsoft Teams 應用程式]。 按一下[下一步]

  6. 在 [ 數據保護] 頁面上,尋找 [組織數據通知 ] 設定,然後選取 [ 封鎖組織數據] 選項。 設定要包含的使用者群組指 ,然後建立您的原則。

  7. 建立應用程式保護原則之後,請移至 [應用程式>] [應用程式設定原則>] [新增>受控應用程式]

    app-configuration-policies-at-a-glance

  8. 在 [ 基本概念] 頁面上,新增 [名稱] ,然後按兩下 [ 選取公用應用程式],然後尋找並選 取 [Microsoft Teams 應用程式]。 按一下[下一步]

  9. 在 [ 一般組態設定] 下,將任何通知密鑰設定為 1 ,以開 聊天、頻道、所有其他通知或上述任何組合的功能。 並將設定為 0 以關閉功能。

    名稱
    com.microsoft.teams.chat.notifications.IntuneMAMOnly 1 for on, 0 for off
    com.microsoft.teams.channel.notifications.IntuneMAMOnly 1 for on, 0 for off
    com.microsoft.teams.other.notifications.IntuneMAMOnly 1 for on, 0 for off

    app-configuration-properties-at-a-glance

  10. 設定要包含的使用者群組指 ,然後建立您的原則。

  11. 建立原則之後,請移至 [應用程式>應用程式防護 原則]。 檢閱 [已部署] 數據行,以尋找新建立的 應用程式防護 原則,並檢查原則是否已部署。 [ 已部署] 資料行應該會針對已建立的原則顯示 [ ]。 如果顯示 [否],請重新整理頁面,並在 10 分鐘後檢查。

讓通知顯示在 iOS 和 Android 裝置上

  1. 在裝置上,登入Teams和 公司入口網站。 將它設定為 [永遠顯示預覽>],以確保您的裝置通知設定允許來自Teams的通知。
  2. 鎖定裝置,並將通知傳送給登入該裝置的使用者。 點選通知以在鎖定畫面上展開它,而不會解除鎖定裝置。
  3. 鎖定畫面上的通知應如下所示 (螢幕快照來自iOS,但相同的字串應顯示在Android) :

    • 應該看不到 [ 回復 ] 或其他來自鎖定畫面之快速通知反應的選項。

    • 寄件者的虛擬人偶不可見;不過,縮寫沒問題。

    • 通知應該會顯示標題,但將內容取代為聊天通知的「您有新訊息」,而其他人則會顯示「有新活動」。

      iphone-screenshot

如需應用程式設定原則和應用程式保護原則的詳細資訊,請參閱下列主題:

後續步驟