使用 Microsoft Intune 管理適用於 iOS 和 Android 的 Microsoft 365 (Office) 的共同作業體驗
適用於 iOS 和 Android 的 Microsoft 365 (Office) 提供數個重要優點,包括:
- 結合 Word、Excel 和 PowerPoint,可簡化下載或切換應用程式較少的體驗。 相較於安裝個別應用程式,其需要的手機記憶體要少得多,同時維持現有行動裝置應用程式已知道和使用的所有功能。
- 整合 Microsoft Lens 技術,藉由將影像轉換成可編輯的 Word 和 Excel 檔、掃描 PDF,以及使用自動數位增強功能擷取白板等功能來釋放相機的功能,讓內容更容易閱讀。
- 為在手機上工作時經常遇到的常見工作新增功能,例如製作快速筆記、簽署 PDF、掃描 QR 代碼,以及在裝置之間傳輸檔案。
當您訂閱 Enterprise Mobility + Security 套件時,可以使用 Microsoft 365 資料最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。 您至少會想要部署條件式存取原則,以允許從行動裝置連線到適用於iOS和Android的 Microsoft 365 (Office) ,以及可確保共同作業體驗受到保護的 Intune 應用程式保護原則。
套用條件式存取
組織可以使用 Microsoft Entra 條件式存取原則,以確保使用者只能使用適用於iOS和Android的 Microsoft 365 (Office) 存取公司或學校內容。 若要這樣做,您需要以所有潛在用戶為目標的條件式存取原則。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
請遵循使用行動 裝置要求核准的用戶端應用程式或應用程式保護原則中的步驟,這可讓 Microsoft 365 (適用於 iOS 和 Android 的 Office) ,但會封鎖第三方 OAuth 支援的行動裝置用戶端連線到 Microsoft 365 端點。
注意事項
此原則可確保行動使用者可以使用適用的應用程式存取所有 Microsoft 365 端點。
注意事項
若要使用應用程式型條件式存取原則,必須在 iOS 裝置上安裝 Microsoft Authenticator 應用程式。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取。
建立 Inunte 應用程式防護原則
應用程式防護原則 (APP) 定義允許哪些應用程式,以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序,Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。
APP 資料保護架構會組織成三個不同的設定層級,其中每個層級會根據上一個層級來建置:
- 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
- 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
- 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。
若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構。
無論裝置是否已在整合端點管理 (UEM) 解決方案中註冊,都必須使用 如何建立和指派應用程式防護原則 中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式防護原則。 這些原則至少必須符合下列條件:
它們包含所有 Microsoft 365 行動應用程式,例如 Edge、Outlook、OneDrive、Microsoft 365 (Office) 或 Teams,因為這可確保使用者可以安全的方式存取及操作任何 Microsoft 應用程式內的工作或學校數據。
它們會指派給所有使用者。 這可確保所有使用者都受到保護,無論他們使用 Microsoft 365 (Office) for iOS 或 Android。
判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。
如需可用設定的詳細資訊,請參閱 Android 應用程式防護原則設定 和 iOS 應用程式防護原則設定。
重要事項
若要對 Intune 中已註冊 Android 裝置上的應用程式套用 Intune 應用程式防護原則,使用者也必須安裝 Intune Company Portal。
利用應用程式設定
適用於 iOS 和 Android 的 Microsoft 365 (Office) 支援允許統一端點管理的應用程式設定,例如 Microsoft Intune 系統管理員自定義應用程式的行為。
應用程式設定可以透過已註冊裝置上的行動裝置管理 (MDM) OS 通道 (iOS 的受控 應用程式組態 通道或 Android 企業版 Android) 信道,或透過 Intune 應用程式保護原則 (APP) 信道傳遞。 適用於 iOS 和 Android 的 Microsoft 365 (Office) 支援下列設定案例:
- 只允許公司或學校帳戶
- 一般應用程式設定
- 資料保護設定
重要事項
針對需要在 Android 上註冊裝置的設定案例,裝置必須在 Android Enterprise 中註冊,而 Microsoft 365 (適用於 Android 的 Office) 必須透過受控 Google Play 商店部署。 如需詳細資訊,請參閱 設定 Android Enterprise 個人擁有工作設定檔裝置的註冊 和 新增受控 Android Enterprise 裝置的應用程式組態原則。
每個設定案例都會強調其特定需求。 例如,設定案例是否需要裝置註冊,因此可與任何 UEM 提供者搭配使用,或需要 Intune 應用程式防護原則。
重要事項
應用程式組態金鑰會區分大小寫。 使用適當的大小寫以確保設定生效。
注意事項
透過 Microsoft Intune,透過 MDM OS 通道傳遞的應用程式設定稱為受控裝置 應用程式組態 原則 (ACP) ;透過應用程式保護原則通道傳遞的應用程式設定稱為受控應用程式 應用程式組態 原則。
只允許公司或學校帳戶
遵守我們最大且高度管制客戶的資料安全性與合規性原則是 Microsoft 365 價值的重要要素。 有些公司需要擷取其公司環境中的所有通訊資訊,以及確保裝置僅用於公司通訊。 若要支持這些需求,您可以將已註冊裝置上的 Microsoft 365 (Office) for Android 設定為只允許在應用程式內布建單一公司帳戶。
您可以在這裡深入瞭解如何設定組織允許的帳戶模式設定:
此設定案例僅適用于已註冊的裝置。 不過,支援任何 UEM 提供者。 如果您非使用 Microsoft Intune,您必須參閱 UEM 文件,以瞭解如何部署這些設定金鑰。
一般應用程式組態案例
適用於 iOS/iPadOS 和 Android 的 Microsoft 365 (Office) 可讓系統管理員使用 iOS/iPadOS 或 Android 應用程式設定原則來自定義數個應用程式內設定的預設組態。 當 Microsoft 365 (適用於 iOS 和 Android 的 Office) 套用 Intune 應用程式保護原則時,透過任何 UEM 提供者和未註冊的裝置,都會為已註冊的裝置提供這項功能。
注意事項
如果應用程式保護原則是以用戶為目標,建議您在受控 應用程式 註冊模型中部署一般應用程式組態設定。 這可確保 應用程式組態 原則同時部署到已註冊的裝置和未註冊的裝置。
Microsoft 365 (Office) 支援下列設定:
- 管理建立 自黏便箋
- 設定載入宏喜好設定
- 管理在適用於 iOS 和 Android 的 Microsoft 365 (Office) 上執行的 Teams 應用程式
- 啟用或停用適用於 iOS 和 Android 的 Microsoft 365 摘要
管理建立 自黏便箋
根據預設,適用於 iOS 和 Android 的 Microsoft 365 (Office) 可讓使用者建立 自黏便箋。 對於具有 Exchange Online 信箱的使用者,記事會同步處理到使用者的信箱中。 對於具有內部部署信箱的使用者,這些附註只會儲存在本機裝置上。
| 機碼 | 值 |
|---|---|
| com.microsoft.office.NotesCreationEnabled | true (預設) 可為公司或學校帳戶建立 自黏便箋 false 會停用 自黏便箋 建立公司或學校帳戶 |
設定載入宏喜好設定
對於執行 Office 的 iOS/iPadOS 裝置,您 (系統管理員) 可以設定是否啟用 Microsoft 365 (Office) 載入宏。 您可以使用 Intune 中的 應用程式設定原則 來部署這些應用程式設定。
| 機碼 | 值 |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs | true (預設) 停用整個載入宏平臺 false 會啟用載入宏平臺 |
如果您需要為 iOS 裝置啟用或停用平臺的 Microsoft 365 (Office) Store 部分,您可以使用下列密鑰。
| 機碼 | 值 |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog | true (預設) 只停用平臺的 Microsoft 365 (Office) Store 部分 false 會啟用平臺的 Microsoft 365 (Office) Store 部分 注意: 側載會繼續運作。 |
如需新增設定金鑰的詳細資訊,請 參閱為受控 iOS/iPadOS 裝置新增應用程式設定原則。
管理在適用於 iOS 和 Android 的 Microsoft 365 (Office) 上執行的 Teams 應用程式
IT 系統管理員可以使用 Teams 系統管理中心建立 自定義許可權 原則,並將 這些原則指派給使用者 ,以管理 Teams 應用程式的存取權。 您現在也可以在適用於 iOS 和 Android 的 Microsoft 365 (Office) 中執行 Teams 個人索引卷標應用程式。 使用 Microsoft Teams JavaScript 用戶端 SDK v2 (2.0.0 版) 和 Teams 應用程式指令清單 (1.13 版建置的 Teams 個人索引卷標應用程式) 會出現在 Microsoft 365 (Office) for iOS 和 Android 的 [應用程式] 功能表底下。
可能有適用於 iOS 和 Android 的 Microsoft 365 (Office) 特有的其他管理需求。 您可能想要:
- 只允許組織中的特定使用者在適用於 iOS 和 Android 的 Microsoft 365 (Office) 上試用增強型 Teams 應用程式,或
- 禁止組織中的所有使用者在適用於 iOS 和 Android 的 Microsoft 365 (Office) 上使用增強的 Teams 應用程式。
若要管理這些專案,您可以使用下列金鑰:
| 機碼 | 值 |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed | true (預設) 會在適用於 iOS 和 Android 的 Microsoft 365 (Office) 上啟用 Teams 應用程式 false 會停用適用於 iOS 和 Android 的 Microsoft 365 (Office) 上的 Teams 應用程式 |
受控裝置和受控應用程式都可以使用此金鑰。
Microsoft 365 (Office) 中的數據保護設定
當應用程式保護原則封鎖 [另存新檔至本機記憶體] 時,您可以啟用或停用離線快取。
重要事項
此設定僅適用於 Android 上的 Microsoft 365 (Office) 應用程式。 若要設定此設定,您可以使用下列金鑰:
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked | false (封鎖 [另存新檔至 本機記憶體 ] 時,預設) 停用脫機快取 true 會在 [另 存新檔至本機記憶體 ] 遭到封鎖時啟用離線快取 |
啟用或停用適用於 iOS 和 Android 的 Microsoft 365 摘要
系統管理員現在可以在 Intune 系統管理中心設定下列設定,以啟用或停用 Microsoft 365 摘要。 若要部署此應用程式設定,請在 Intune 中使用 應用程式設定原則 。
若要管理 Microsoft 365 摘要,您可以使用下列密鑰:
| 機碼 | 值 |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed | true (租使用者啟用預設) 摘要 false 會停用租用戶的摘要 |
受控裝置和受控應用程式可以使用此金鑰。
具有商業數據保護的 Copilot
系統管理員現在可以在 Intune 系統管理中心設定下列設定,以在 Microsoft 365 應用程式中啟用或停用 Copilot。 若要部署此應用程式設定,請在 Intune 中使用 應用程式設定原則 。
若要在 Microsoft 365 應用程式中管理 Copilot,您可以使用下列密鑰:
| 機碼 | 值 |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed | true (為租用戶啟用預設) Copilot false 會停用租使用者的 Copilot |
受控裝置和受控應用程式可以使用此金鑰。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應