使用 Microsoft Intune 管理 iOS 和 Android 版 Microsoft 365 (Office) 中的共同作業體驗
iOS 和 Android 版 Microsoft 365 (Office) 提供數個重要優點,包括:
- 結合 Word、Excel 和 PowerPoint,以簡化體驗,減少下載或切換的應用程式的數量。 相較於安裝個別應用程式,其需要的手機儲存空間要少得多,同時保留人們已熟知和使用的現有行動裝置應用程式的所有功能。
- 整合 Microsoft Lens 技術,來釋放相機的強大功能 (如將影像轉換成可編輯的 Word 和 Excel 文件、掃描 PDF,以及使用自動數位增強功能來擷取白板等),以讓內容更容易閱讀。
- 針對人們在手機上作業時經常遇到的常見工作新增了新功能 — 例如快速做筆記、簽署 PDF、掃描 QR 代碼,以及在裝置之間傳輸檔案。
當您訂閱 Enterprise Mobility + Security 套件時,可以使用 Microsoft 365 資料最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。 建議您至少部署條件式存取原則,允許從行動裝置連線到 iOS 和 Android 版 Microsoft 365 (Office),和可確保共同作業體驗受到保護的 Intune 應用程式防護原則。
套用條件式存取
組織可以使用 Microsoft Entra 條件式存取原則,以確保使用者只能使用 iOS 和 Android 版 Microsoft 365 (Office) 存取公司或學校內容。 若要這樣做,您需要以所有潛在使用者為目標的條件式存取原則。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
請遵循 使用行動裝置要求核准的用戶端應用程式或應用程式防護原則 中的步驟,這會允許 iOS 和 Android 版 Microsoft 365 (Office),但會封鎖第三方 OAuth 支援行動裝置用戶端連線到 Microsoft 365 端點。
注意事項
此原則可確保行動裝置使用者可以使用適用的應用程式存取所有 Microsoft 365 端點。
注意事項
若要使用應用程式型條件式存取原則,必須在 iOS 裝置上安裝 Microsoft Authenticator 應用程式。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取。
建立 Inunte 應用程式防護原則
應用程式防護原則 (APP) 定義允許哪些應用程式,以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序,Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。
APP 資料保護架構會組織成三個不同的設定層級,其中每個層級會根據上一個層級來建置:
- 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
- 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
- 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。
若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構。
無論裝置是否已在整合端點管理 (UEM) 解決方案中註冊,都必須使用 如何建立和指派應用程式防護原則 中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式防護原則。 這些原則至少必須符合下列條件:
它們包含所有 Microsoft 365 行動應用程式,例如 Edge、Outlook、OneDrive、Microsoft 365 (Office) 或 Teams,因為這可確保使用者可以安全的方式存取及操作任何 Microsoft 應用程式內的工作或學校資料。
這些應用程式已經指派給所有使用者。 這可確保所有使用者都受到保護,不論他們是否使用 iOS 或 Android 版 Microsoft 365 (Office)。
判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。
如需可用設定的詳細資訊,請參閱 Android 應用程式防護原則設定 和 iOS 應用程式防護原則設定。
重要事項
若要對 Intune 中已註冊 Android 裝置上的應用程式套用 Intune 應用程式防護原則,使用者也必須安裝 Intune Company Portal。 針對 Android 應用程式保護原則,新增 Office 中樞、Office 中樞 [HL] 和 Office Hub [ROW] 應用程式。 如需詳細資訊,請參閱 支援提示: 如何使用 Office 行動裝置啟用 Intune 應用程式保護原則。
利用應用程式設定
iOS 和 Android 版 Microsoft 365 (Office) 支援允許整合端點管理的應用程式設定,例如 Microsoft Intune 系統管理員自訂應用程式的行為。
應用程式設定可以透過已註冊裝置上的行動裝置管理 (MDM) 作業系統通道 (適用于 iOS 的 受管理的應用程式設定 通道或適用于 Android 的 Android 企業版 通道) 或透過 Intune 應用程式防護原則 (APP) 通道傳遞。 iOS 和 Android 版 Microsoft 365 (Office) 支援下列設定案例:
- 只允許公司或學校帳戶
- 一般應用程式設定
- 資料保護設定
重要事項
針對需要在 Android 上註冊裝置的設定案例,必須在 Android Enterprise 中註冊裝置,而 Android 版 Microsoft 365 (Office) 必須透過受管理的 Google Play 商店部署。 如需詳細資訊,請參閱 設定 Android Enterprise 個人擁有工作設定檔裝置的註冊 和 新增受控 Android Enterprise 裝置的應用程式組態原則。 針對 Android 應用程式設定,新增 Office 中樞、Office 中樞 [HL] 和 Office Hub [ROW] 應用程式。 如需詳細資訊,請參閱 支援提示: 如何使用 Office 行動裝置啟用 Intune 應用程式保護原則。
每個設定案例都會強調其特定需求。 例如,設定案例是否需要裝置註冊,因此可與任何 UEM 提供者搭配使用,或需要 Intune 應用程式防護原則。
重要事項
應用程式組態金鑰會區分大小寫。 使用適當的大小寫以確保設定生效。
注意事項
使用 Microsoft Intune,透過 MDM 作業系統通道傳遞的應用程式設定稱為 [受管理的裝置] 應用程式設定原則 (ACP);透過應用程式防護原則通道傳遞的應用程式設定稱為 [受管理的應用程式] 應用程式設定原則。
只允許公司或學校帳戶
遵守我們最大且高度管制客戶的資料安全性與合規性原則是 Microsoft 365 價值的重要要素。 有些公司需要擷取其公司環境中的所有通訊資訊,以及確保裝置僅用於公司通訊。 為了支援這些需求,在已註冊裝置上的 Android 版 Microsoft 365 (Office) 可以設定為只允許在應用程式內佈建單一公司帳戶。
您可以在這裡深入瞭解如何設定組織允許的帳戶模式設定:
此設定案例僅適用于已註冊的裝置。 不過,支援任何 UEM 提供者。 如果您非使用 Microsoft Intune,您必須參閱 UEM 文件,以瞭解如何部署這些設定金鑰。
一般應用程式組態案例
iOS/iPadOS 和 Android 版 Microsoft 365 (Office) 提供系統管理員使用 iOS/iPadOS 或 Android 應用程式設定原則來自訂數個應用程式內設定的預設設定之功能。 這項功能適用於透過任何 UEM 提供者註冊的裝置,以及未註冊的裝置 (但其 iOS 和 Android 版 Microsoft 365 (Office) 已套用 Intune 應用程式保護原則)。
注意事項
如果應用程式保護原則是以使用者為目標,建議您在 受管理的應用程式 註冊模型中部署一般應用程式組態設定。 這可確保應用程式設定原則同時部署到已註冊的裝置和未註冊的裝置。
Microsoft 365 (Office) 支援下列組態的設定:
- 管理自黏便箋的建立
- 設定增益集喜好設定
- 管理在 iOS 和 Android 版 Microsoft 365 (Office) 上執行的 Teams 應用程式
- 啟用或停用 iOS 和 Android 版 Microsoft 365 摘要
管理自黏便箋的建立
根據預設,iOS 和 Android 版 Microsoft 365 (Office) 可讓使用者建立自黏便笺。 針對具有 Exchange Online 信箱的使用者,記事會同步處理到使用者的信箱。 針對具有內部部署信箱的使用者,這些記事只會儲存在本機裝置上。
機碼 | 值 |
---|---|
com.microsoft.office.NotesCreationEnabled |
true (預設) 會啟用公司或學校帳戶的自黏便笺建立 false 會停用公司或學校帳戶的自黏便箋建立 |
設定增益集喜好設定
針對執行 Office 的 iOS/iPadOS 裝置,您 (作為系統管理員) 可以設定是否啟用 Microsoft 365 (Office) 增益集。 您可以使用 Intune 中的 應用程式設定原則 來部署這些應用程式設定。
機碼 | 值 |
---|---|
com.microsoft.office.OfficeWebAddinDisableAllCatalogs |
true (預設) 會停用整個增益集平台 false 會啟用增益集平台 |
如果您需要針對 iOS 裝置啟用或停用平台的 Microsoft 365 (Office) Store 部分,您可以使用下列金鑰。
機碼 | 值 |
---|---|
com.microsoft.office.OfficeWebAddinDisableOMEXCatalog |
true (預設) 只會停用平台的 Microsoft 365 (Office) Store 部分 false 會啟用平台的 Microsoft 365 (Office) Store 部分 注意: [側載] 會繼續運作。 |
如需新增設定金鑰的詳細資訊,請參閱 新增受管理的 iOS/iPadOS 裝置的應用程式設定原則。
管理在 iOS 和 Android 版 Microsoft 365 (Office) 上執行的 Teams 應用程式
IT 系統管理員可以使用 Teams 系統管理中心,建立 自訂權限原則,並將 這些原則指派給使用者,以管理 Teams 應用程式的存取權。 您現在也可以在 iOS 和 Android 版 Microsoft 365 (Office) 中執行 Teams 個人索引標籤應用程式。 使用 Microsoft Teams JavaScript 用戶端 SDK v2 (版本 2.0.0) 和 Teams 應用程式資訊清單 (版本 1.13) 建置的 Teams 個人索引標籤應用程式,會顯示在 iOS 和 Android 版 Microsoft 365 (Office) 的 [應用程式] 功能表底下。
iOS 和 Android 版 Microsoft 365 (Office) 可能會有額外的特定管理需求。 您可能想要:
- 只允許貴組織中的特定使用者在 iOS 和 Android 版 Microsoft 365 (Office) 上,試用增強的 Teams 應用程式,或
- 禁止貴組織中的所有使用者在 iOS 和 Android 版 Microsoft 365 (Office) 上使用增強的 Teams 應用程式。
若要管理這些項目,您可以使用下列金鑰:
機碼 | 值 |
---|---|
com.microsoft.office.officemobile.TeamsApps.IsAllowed |
true (預設) 會啟用 iOS 和 Android 版 Microsoft 365 (Office) 上的 Teams 應用程式 false 會停用 iOS 和 Android 版 Microsoft 365 (Office) 上的 Teams 應用程式 |
受管理的裝置和受管理的應用程式都可以使用此金鑰。
Microsoft 365 (Office) 中的資料保護設定
當 應用程式保護原則 封鎖 [另存新檔至本機儲存空間] 時,您可以啟用或停用離線快取。
重要事項
此設定僅適用於 Android 上的 Microsoft 365 (Office) 應用程式。 若要設定此設定,您可以使用下列金鑰:
機碼 | 值 |
---|---|
com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked |
false 封鎖 [另存新檔至本機儲存空間] 時,預設會停用離線快取 true 封鎖 [另存新檔至本機儲存空間] 時,會啟用離線快取 |
啟用或停用 iOS 和 Android 版 Microsoft 365 摘要
系統管理員現在可以在 Intune 系統管理中心設定下列設定,以啟用或停用 Microsoft 365 摘要。 若要部署此應用程式設定,請使用 Intune 中的 應用程式設定原則。
若要管理 Microsoft 365 摘要,您可以使用下列金鑰:
機碼 | 值 |
---|---|
com.microsoft.office.officemobile.Feed.IsAllowed |
true (預設) 針對租用戶啟用摘要 false 針對租用戶停用摘要 |
受管理的裝置和受管理的應用程式都可以使用此金鑰。
具企業資料保護的 Copilot
系統管理員現在可以在 Intune 系統管理中心設定下列設定,以在 Microsoft 365 應用程式中啟用或停用 Copilot。 若要部署此應用程式設定,請使用 Intune 中的 應用程式設定原則。
若要管理 Microsoft 365 應用程式中的 Copilot,您可以使用下列金鑰:
機碼 | 值 |
---|---|
com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed |
true (預設) 針對租用戶啟用 Copilot false 針對租用戶停用 Copilot |
受管理的裝置和受管理的應用程式都可以使用此金鑰。