使用 Microsoft Intune 管理适用于 iOS 和 Android 的 Microsoft 365 (Office) 中的协作体验
适用于 iOS 和 Android 的 Microsoft 365 (Office) 提供多项主要优势,包括:
- 将 Word、Excel 和 PowerPoint 整合在一起,通过减少需要下载或切换的应用数量简化了体验。 与安装单个应用相比,它需要的手机存储空间要少得多,同时保留了人们已了解和使用的现有移动应用的几乎所有功能。
- 集成 Microsoft Lens 技术,通过将图像转换为可编辑的 Word 和 Excel 文档、扫描 PDF 以及使用自动数字增强功能捕获白板等方式解锁相机的强大功能,使内容更易于阅读。
- 为用户在手机上工作时经常遇到的常见任务添加新功能,例如制作快速笔记、签署 PDF 文件、扫描 QR 码以及在设备之间传输文件。
在订阅企业移动性 + 安全性套件(包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能(如条件访问))时,可以使用最丰富且最广泛的 Microsoft 365 数据保护功能。 至少需要部署一个条件访问策略,该策略允许从移动设备连接到适用于 iOS 和 Android 的 Microsoft 365 (Office),并部署确保协作体验受到保护的 Intune 应用保护策略。
应用条件访问
组织可以使用 Microsoft Entra 条件访问策略来确保用户只能使用适用于 iOS 和 Android 的 Microsoft 365 (Office) 访问工作或学校内容。 为此,你需要一个面向所有潜在用户的条件访问策略。 条件访问:需要批准的客户端应用或应用保护策略介绍了这些策略。
请按照“移动设备需要批准的客户端应用或应用保护策略”的步骤进行操作,这将允许使用适用于 iOS 和 Android 的 Microsoft 365 (Office),但阻止支持第三方 OAuth 的移动设备客户端连接到 Microsoft 365 终结点。
注意
此策略可确保移动用户可以使用适用的应用访问所有 Microsoft 365 终结点。
注意
To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. 对于 Android 设备,需要 Intune 公司门户应用。 有关详细信息,请参阅使用 Intune 进行基于应用的条件访问。
创建 Intune 应用保护策略
应用保护政策 (APP) 定义允许哪些应用程序,以及它们可以使用组织数据执行哪些操作。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。
APP 数据保护框架分为三个不同的配置级别,每个级别基于上一个级别进行构建:
- 企业基本数据保护(级别 1)可确保应用受 PIN 保护和经过加密处理,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,可在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。
- 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
- 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。
若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架。
无论设备是否在统一的终结点管理 (UEM) 解决方案中注册,都需要使用如何创建和分配应用保护策略中的步骤,为 iOS 和 Android 应用创建 Intune 应用保护策略。 这些策略至少必须满足以下条件:
它们要包括所有 Microsoft 365 移动应用程序,如 Edge、Outlook、OneDrive、Microsoft 365 (Office) 或 Teams,因为这可确保用户能够安全地访问和操作任何 Microsoft 应用中的工作或学校数据。
They are assigned to all users. 这可确保所有用户都受到保护,无论用户使用的是适用于 iOS 还是适用于 Android 的 Microsoft 365 (Office)。
确定满足要求的框架级别。 大多数组织都应实现在企业增强型数据保护(级别 2)中定义的设置,因为这可以启用数据保护和访问要求控制。
有关可用设置的详细信息,请参阅 Android 应用保护策略设置和 iOS 应用保护策略设置。
重要
To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal. 对于 Android 应用保护策略,请添加 Office Hub、Office Hub [HL]和 Office Hub [ROW] 应用。 有关详细信息,请参阅支持提示:如何使用 Office 移动版启用Intune应用保护策略。
利用应用配置
适用于 iOS 和 Android 的 Microsoft 365 (Office) 支持允许统一终结点管理的应用设置,如 Microsoft Intune 管理员可以自定义应用的行为。
可以通过已注册设备上的移动设备管理 (MDM) OS 通道(适用于 iOS 的托管应用配置通道或适用于 Android 的企业级 Android通道)或 Intune 应用保护策略 (APP) 通道来传递应用配置。 适用于 iOS 和 Android 的 Microsoft 365 (Office) 支持以下配置方案:
- 仅允许工作或学校帐户
- 常规应用配置
- 数据保护设置
重要
对于需要在 Android 上注册设备的配置方案,必须在 Android Enterprise 中注册设备,并且必须通过托管 Google Play 存储部署适用于 Android 的 Microsoft 365 (Office)。 有关详细信息,请参阅设置 Android Enterprise 个人拥有的工作用户配置设备注册和为托管 Android Enterprise 设备添加应用配置策略。 对于 Android 应用配置,请添加 Office 中心、Office 中心 [HL] 和 Office 中心 [ROW] 应用。 有关详细信息,请参阅支持提示:如何使用 Office 移动版启用Intune应用保护策略。
每个配置方案都突出显示了其特定要求。 例如,配置方案是否需要设备注册,是否由此适用于任何 UEM 提供程序,或者是否需要 Intune 应用保护策略。
重要
应用配置密钥区分大小写。 使用正确的大小写来确保配置生效。
注意
使用 Microsoft Intune,通过 MDM OS 通道传递的应用配置称为托管设备应用配置策略 (ACP);通过应用保护策略通道提供的应用配置称为托管应用应用配置策略。
仅允许工作或学校帐户
尊重我们最大的、受严格监管的客户的数据安全和合规政策是 Microsoft 365 价值的关键支柱。 某些公司要求捕获其公司环境中的所有通信信息,并确保设备仅用于公司通信。 为了支持这些要求,可将已注册设备上的适用于 iOS 和 Android 的 Microsoft 365 (Office) 配置为仅允许在应用中预配单个公司帐户。
可在此处详细了解如何配置组织允许的帐户模式设置:
此配置方案仅适用于已注册的设备。 但是,支持任何 UEM 提供程序。 如果不使用 Microsoft Intune,则需要查阅 UEM 文档,了解如何部署这些配置密钥。
常规应用配置方案
适用于 iOS/iPadOS 和 Android 的 Microsoft 365 (Office) 使管理员能够使用 iOS/iPadOS 或 Android 应用配置策略自定义多个应用内设置的默认配置。 此功能通过任何 UEM 提供程序为已注册的设备以及在适用于 iOS 和 Android 的 Microsoft 365 (Office) 应用了 Intune 应用保护策略时未注册的设备提供。
注意
如果应用保护策略面向用户,则建议在托管应用注册模型中部署常规应用配置设置。 这可确保将应用配置策略同时部署到已注册和未注册的设备。
Microsoft 365 (Office) 支持以下配置设置:
- 管理便笺的创建
- 设置加载项首选项
- 管理在适用于 iOS 和 Android 的 Microsoft 365 (Office) 上运行的 Teams 应用
- 启用或禁用适用于 iOS 和 Android 的 Microsoft 365 信息提要
管理便笺的创建
默认情况下,适用于 iOS 和 Android 的 Microsoft 365 (Office) 使用户能够创建便笺。 对于具有 Exchange Online 邮箱的用户,该便笺将同步到用户的邮箱中。 对于具有本地邮箱的用户,这些便笺将仅存储在本地设备上。
键 | 值 |
---|---|
com.microsoft.office.NotesCreationEnabled |
true (默认)为工作或学校帐户启用便笺创建 false 为工作或学校帐户禁用便笺创建 |
设置加载项首选项
对于运行 Office 的 iOS/iPadOS 设备,你(作为管理员)可以设置是否启用 Microsoft 365 (Office) 加载项。 可以在 Intune 中使用应用配置策略部署这些应用设置。
键 | 值 |
---|---|
com.microsoft.office.OfficeWebAddinDisableAllCatalogs |
true (默认)禁用整个加载项平台 false 启用加载项平台 |
如果需要为 iOS 设备启用或禁用平台的 Microsoft 365 (Office) 商店部分,可以使用以下密钥。
键 | 值 |
---|---|
com.microsoft.office.OfficeWebAddinDisableOMEXCatalog |
true(默认)仅禁用平台的 Microsoft 365 (Office) 商店部分 false 启用平台的 Microsoft 365 (Office) 商店部分 注意: 旁加载将继续工作。 |
有关添加配置密钥的详细信息,请参阅“为托管 iOS/iPadOS 设备添加应用配置策略”。
管理在适用于 iOS 和 Android 的 Microsoft 365 (Office) 上运行的 Teams 应用
IT 管理员可以通过创建自定义权限策略和使用 Teams 管理中心将这些策略分配给用户来管理对 Teams 应用的访问。 现在还可以在适用于 iOS 和 Android 的 Microsoft 365 (Office) 中运行 Teams 个人选项卡应用。 使用 Microsoft Teams JavaScript 客户端 SDK v2(版本 2.0.0)和 Teams 应用部件清单(版本 1.13)生成的 Teams 个人选项卡应用显示在适用于 iOS 和 Android 的 Microsoft 365 (Office) 中的“应用”菜单下。
对于适用于 iOS 和 Android 的 Microsoft 365 (Office),可能存在特定的其他管理要求。 你可能希望:
- 仅允许组织中的特定用户在适用于 iOS 和 Android 的 Microsoft 365 (Office) 上尝试增强的 Teams 应用,或
- 阻止组织中的所有用户在适用于 iOS 和 Android 的 Microsoft 365 (Office) 上使用增强的 Teams 应用。
若要管理这些设置,可以使用以下密钥:
键 | 值 |
---|---|
com.microsoft.office.officemobile.TeamsApps.IsAllowed |
true (默认)在适用于 iOS 和 Android 的 Microsoft 365 (Office) 上启用 Teams 应用 false 在适用于 iOS 和 Android 的 Microsoft 365 (Office) 上禁用 Teams 应用 |
此密钥可由托管设备和托管应用使用。
Microsoft 365 (Office) 中的数据保护设置
当“另存为本地存储”由“应用保护策略”阻止时,可以启用或禁用脱机缓存。
重要
此设置仅适用于 Android 上的 Microsoft 365 (Office) 应用。 若要配置此设置,可以使用以下密钥:
键 | 值 |
---|---|
com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked |
false(默认)在阻止另存到本地存储时,禁用脱机缓存 true 在阻止另存到本地存储时,启用脱机缓存 |
启用或禁用适用于 iOS 和 Android 的 Microsoft 365 信息提要
管理员现在可以通过在 Intune 管理中心配置以下设置来启用或禁用 Microsoft 365 信息提要。 若要部署此应用设置,请在 Intune 中使用应用配置策略。
若要管理 Microsoft 365 信息提要,可以使用以下密钥:
键 | 值 |
---|---|
com.microsoft.office.officemobile.Feed.IsAllowed |
true(默认)为租户启用信息提要 false 为租户禁用信息提要 |
托管设备和托管应用可以使用此密钥。
配合企业数据保护
管理员现在可以通过在 Intune 管理中心配置以下设置在 Microsoft 365 应用中启用或禁用 Copilot。 若要部署此应用设置,请在 Intune 中使用应用配置策略。
若要在 Microsoft 365 应用中管理 Copilot,可以使用以下密钥:
键 | 值 |
---|---|
com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed |
true(默认)为租户启用 Copilot false 为租户禁用 Copilot |
托管设备和托管应用可以使用此密钥。