使用 Microsoft Intune 管理適用於 iOS 和 Android 的 Teams 共同作業體驗
Microsoft Teams 是 Microsoft 365 中的團隊共同作業中樞,可整合小組需要更投入且更有效率的人員、內容和工具。
當您訂閱 Enterprise Mobility + Security 套件時,可以使用 Microsoft 365 資料最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。 您至少會想要部署條件式存取原則,以允許從行動裝置連線到iOS和Android版Teams,以及可確保共同作業體驗受到保護的Intune應用程式保護原則。
套用條件式存取
組織可以使用 Microsoft Entra 條件式存取原則,以確保使用者只能使用適用於 iOS 和 Android 的 Teams 存取公司或學校內容。 若要這樣做,您需要以所有潛在使用者為目標的條件式存取原則。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
注意事項
若要使用應用程式型條件式存取原則,必須在 iOS 裝置上安裝 Microsoft Authenticator 應用程式。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取。
請遵循使用行動 裝置要求核准的用戶端應用程式或應用程式保護原則中的步驟,這會允許適用於 iOS 和 Android 的 Teams,但會封鎖第三方支援 OAuth 的行動裝置用戶端連線到Microsoft 365 端點。
注意事項
此原則可確保行動裝置使用者可以使用適用的應用程式存取所有 Microsoft 365 端點。
建立 Inunte 應用程式防護原則
應用程式防護原則 (APP) 定義允許哪些應用程式,以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序,Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。
APP 資料保護架構會組織成三個不同的設定層級,其中每個層級會根據上一個層級來建置:
- 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
- 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
- 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。
若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構。
無論裝置是否已在整合端點管理 (UEM) 解決方案中註冊,都必須使用 如何建立和指派應用程式防護原則 中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式防護原則。 這些原則至少必須符合下列條件:
它們包含所有 Microsoft 365 行動應用程式,例如 Edge、Outlook、OneDrive、Office 或 Teams,因為這可確保使用者可以安全的方式存取及操作任何 Microsoft 應用程式內的工作或學校資料。
它們會指派給所有使用者。 這可確保所有使用者都受到保護,無論他們使用適用於 iOS 或 Android 的 Teams 為何。
判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。
如需可用設定的詳細資訊,請參閱 Android 應用程式防護原則設定 和 iOS 應用程式防護原則設定。
重要事項
若要對未在 Intune 中註冊的 Android 裝置上應用程式套用 Intune 應用程式保護原則,使用者也必須安裝 Intune 公司入口網站。
利用應用程式設定
iOS 和 Android 版 Teams 支援允許統一端點管理的應用程式設定,例如Microsoft Intune,系統管理員可自定義應用程式的行為。
應用程式設定可以透過已註冊裝置上的行動裝置管理 (MDM) 作業系統通道 (適用于 iOS 的 受管理的應用程式設定 通道或適用于 Android 的 Android 企業版 通道) 或透過 Intune 應用程式防護原則 (APP) 通道傳遞。 適用於 iOS 和 Android 的 Teams 支援下列設定案例:
- 只允許公司或學校帳戶
重要事項
針對需要在 Android 上註冊裝置的設定案例,裝置必須在 Android Enterprise 中註冊,而適用於 Android 的 Teams 必須透過受控 Google Play 商店部署。 如需詳細資訊,請參閱 設定 Android Enterprise 個人擁有工作設定檔裝置的註冊 和 新增受控 Android Enterprise 裝置的應用程式組態原則。
每個設定案例都會強調其特定需求。 例如,設定案例是否需要裝置註冊,因此可與任何 UEM 提供者搭配使用,或需要 Intune 應用程式防護原則。
重要事項
應用程式組態金鑰會區分大小寫。 使用適當的大小寫以確保設定生效。
注意事項
使用 Microsoft Intune,透過 MDM 作業系統通道傳遞的應用程式設定稱為 [受管理的裝置] 應用程式設定原則 (ACP);透過應用程式防護原則通道傳遞的應用程式設定稱為 [受管理的應用程式] 應用程式設定原則。
只允許公司或學校帳戶
遵守我們最大且高度管制客戶的資料安全性與合規性原則是 Microsoft 365 價值的重要要素。 有些公司需要擷取其公司環境中的所有通訊資訊,以及確保裝置僅用於公司通訊。 為了支持這些需求,已註冊裝置上的iOS和Android Teams 可以設定為只允許在應用程式內布建單一公司帳戶。
您可以在這裡深入瞭解如何設定組織允許的帳戶模式設定:
此設定案例僅適用于已註冊的裝置。 不過,支援任何 UEM 提供者。 如果您不是使用 Microsoft Intune,則必須參閱 UEM 檔,以瞭解如何部署這些設定密鑰。
簡化無網域登入的登入體驗
您可以藉由套用下列原則,在共用和受控裝置上的使用者登入畫面上預先填入功能變數名稱,以簡化適用於 iOS 和 Android 的 Teams 登入體驗:
| 名稱 | 值 |
|---|---|
| domain_name | 提供要附加之租用戶網域的字串值。 使用分號分隔值來新增多個網域。 此原則僅適用於已註冊的裝置。 |
| enable_numeric_emp_id_keypad | 布爾值,用來指出員工標識碼都是數值,而且應該啟用數字鍵台以方便輸入。 如果未設定值,則會開啟英數位元鍵盤。 此原則僅適用於已註冊的裝置。 |
注意事項
這些原則僅適用於已註冊的共用和受控裝置。
Microsoft Teams 中的通知設定
通知可讓您隨時掌握您所發生或即將發生的狀況。 它們會根據設定出現在主畫面或鎖定畫面上。 使用下列選項,透過應用程式保護原則在入口網站上設定您的通知。
| 選項 | 描述 |
|---|---|
| 允許 | 在標題和內容) (顯示實際通知。 |
| 封鎖組織數據 | 拿掉標題,並將內容取代為聊天通知的「您有新訊息」,以及其他人的「有新活動」。 用戶將無法從鎖定畫面 回復 通知。 |
| 已封鎖 | 隱藏通知,且不會通知使用者。 |
在 Intune 中設定原則
在左側瀏覽窗格中,流覽至 [應用程式 > 應用程式保護原則]。
按兩下 [建立原則 ],然後選取您想要的平臺,例如 iOS/iPadOS。
在 [ 基本] 頁面上,新增 名稱和 描述等詳細 數據。 按一下[下一步]。
在 [ 應用程式] 頁面上,按兩下 [選取公用應用程式],然後尋找並選 取 [Microsoft Teams 應用程式]。 按一下[下一步]。
在 [ 數據保護] 頁面上,尋找 [組織數據通知 ] 設定,然後選取 [ 封鎖組織數據] 選項。 設定要包含的使用者群組指 派 ,然後建立您的原則。
建立應用程式保護原則之後,請移至 [應用程式>] [應用程式設定原則>] [新增>受控應用程式]。
在 [ 基本概念] 頁面上,新增 [名稱] ,然後按兩下 [ 選取公用應用程式],然後尋找並選 取 [Microsoft Teams 應用程式]。 按一下[下一步]。
在 [ 一般組態設定] 下,將任何通知密鑰設定為 1 ,以開 啟 聊天、頻道、所有其他通知或上述任何組合的功能。 並將設定為 0 以關閉功能。
名稱 值 com.microsoft.teams.chat.notifications.IntuneMAMOnly 1 for on, 0 for off com.microsoft.teams.channel.notifications.IntuneMAMOnly 1 for on, 0 for off com.microsoft.teams.other.notifications.IntuneMAMOnly 1 for on, 0 for off 
設定要包含的使用者群組指 派 ,然後建立您的原則。
建立原則之後,請移至 [應用程式>應用程式保護原則]。 檢閱 [已部署] 數據行,以尋找新建立的應用程式保護原則,並檢查原則是否已部署。 [ 已部署] 資料行應該會針對已建立的原則顯示 [ 是 ]。 如果顯示 [否],請重新整理頁面,並在 10 分鐘後檢查。
讓通知顯示在 iOS 和 Android 裝置上
- 在裝置上,登入Teams和公司入口網站。 將它設定為 [永遠顯示預覽>],以確保您的裝置通知設定允許來自Teams的通知。
- 鎖定裝置,並將通知傳送給登入該裝置的使用者。 點選通知以在鎖定畫面上展開它,而不會解除鎖定裝置。
- 鎖定畫面上的通知應如下所示 (螢幕快照來自iOS,但相同的字串應顯示在Android) :
應該看不到 [ 回復 ] 或其他來自鎖定畫面之快速通知反應的選項。
寄件者的虛擬人偶不可見;不過,縮寫沒問題。
通知應該會顯示標題,但將內容取代為聊天通知的「您有新訊息」,而其他人則會顯示「有新活動」。
如需應用程式設定原則和應用程式保護原則的詳細資訊,請參閱下列主題: