不同的技术如何影响Microsoft Teams 登录
如果需要了解单一登录 (SSO) 、新式身份验证 (MS) 以及多重身份验证 (MA 等技术) 如何影响用户的登录体验,本文可帮助阐明用户和管理员希望看到的内容。 它还概述了 macOS、Android 和 iOS 设备的登录行为、如何使用多个帐户登录、如何在登录屏幕上删除自动填充的凭据或“预填充”、如何限制登录,以及如何在共享和托管移动设备上使用无域登录来简化登录体验。
如果你的角色涉及了解Microsoft团队在登录期间的预期行为,请为本文添加书签。
Microsoft建议组织将最新版本的Windows 10与混合域加入或Microsoft Entra加入配置结合使用。 使用最近的版本可以确保用户的账户在Windows的Web账户管理器中处于预先准备状态,从而实现单点登录到Teams和其他Microsoft应用程序。 单点登录提供了更好的用户体验(无声登录)和更好的安全状况。
Microsoft Teams 使用新式验证保持登录体验简单而安全。 若要了解用户如何登录 Teams,请阅读登录 Teams。
新式身份验证是让 Teams 知道用户已在其他地方输入其凭据(如工作电子邮件和密码)的过程的一部分,并且不应要求他们再次输入凭据即可启动应用。 体验因以下几个因素而异,例如用户在 Windows 操作系统中工作还是在 Mac 上工作。
登录行为也会因组织已启用单因素身份验证还是多重身份验证而异。 多重身份验证通常包括通过电话、提供唯一代码、输入 PIN 或者指纹验证凭据。
每个使用 Teams 的组织都可以使用现代身份验证。 如果用户无法完成该过程,则组织的Microsoft Entra配置可能存在根本问题。 有关详细信息,请参阅为什么我无法登录 Microsoft Teams?
下面是用户在每个新式身份验证方案中可能期望的行为的明细。
如果用户已使用其工作或学校帐户登录到 Windows 或其他 Office 应用,则当他们启动 Teams 时,将直接转到该应用。 他们无需输入凭据。
Microsoft建议使用 Windows 10 版本 1903 或更高版本来获得最佳单一登录体验。
如果用户未登录到其Microsoft工作或学校帐户,则当他们启动 Teams 时,系统会要求他们提供单因素或多重身份验证 (SFA 或 MFA) 。 此过程取决于你的组织决定需要登录过程的要求。
如果用户登录到了加入域的计算机,则当他们启动 Teams 时,系统可能会要求他们多执行一个身份验证步骤,具体取决于你的组织选择了需要 MFA,还是用户的计算机已经要求进行 MFA 登录。 如果用户的计算机已经要求进行 MFA 登录,则当他们打开 Teams 时,该应用会自动启动。
在已加入域的电脑上,当无法进行 SSO 时,Teams 可能会使用用户主体名称 (UPN) 预填充其登录屏幕。 在某些情况下,你可能不希望这样做,尤其是在组织在本地和Microsoft Entra ID使用不同的 UPN 时。 如果是这种情况, 可以使用以下 Windows 注册表项来关闭 UPN 的预填充:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
SkipUpnPrefill(REG_DWORD)
0x00000001 (1)备注
默认情况下,跳过或忽略以“.local”或“.corp”结尾的用户名的用户名预填充处于打开状态,因此无需设置注册表项来关闭这些用户名。
在加入域的计算机上的用户可能无法使用同一 Active Directory 域中的其他帐户登录 Teams。
在 macOS 上,Teams 会提示用户输入其用户名和凭据,并且可能会提示用户进行多重身份验证,具体取决于组织的设置。 用户输入其凭据后,他们无需再次提供凭据。 此后,只要是在同一台计算机上工作,Teams 都将自动启动。
登录时,移动用户将看到当前已登录的或其设备上以前登录的所有 Microsoft 365 帐户的列表。 用户可点击任意帐户进行登录。 移动登录有两种方案:
如果所选帐户当前已登录到其他Office 365或Microsoft 365 应用,则用户将直接转到 Teams。 用户无需输入其凭据。
如果用户未登录到其 Microsoft 365 帐户,系统会要求他们提供单因素或多重身份验证 (SFA 或 MFA) ,具体取决于组织为移动登录策略配置的内容。
备注
若要让用户体验本部分所述的登录体验,其设备必须运行 Teams for iOS 版本 2.0.13 (内部版本2020061704) 或更高版本,或者运行 Android 版 1416/1.0.0.2020061702 或更高版本的 Teams。
Teams for iOS 和 Android 支持多个工作、学校和多个个人帐户并行使用。 Teams 桌面应用程序将在 2020 年 12 月支持并行使用一个工作/学校和一个个人帐户,随后将推出支持多个工作/学校帐户。
以下图像显示用户如何在 Teams 移动应用中添加多个帐户。
组织可能希望限制如何在托管设备上使用公司批准的应用,例如,限制学生或员工访问其他组织的数据的能力,或者将公司批准的应用用于个人方案。 可通过设置 Teams 应用程序识别的设备策略来强制实施这些限制。
可以将已注册设备上的适用于 iOS 和 Android 的 Teams 应用配置为仅允许在应用中预配单个公司帐户。 此功能适用于使用适用于 iOS 的托管应用程序配置通道或 Android 企业版通道的任何 MDM 提供程序。
对于在 Microsoft Intune 中注册的用户,可以使用 Intune 门户部署帐户配置设置。
在 MDM 提供商配置帐户设置配置且用户注册其设备后,在登录页面上,Teams for iOS 和 Android 在 Teams 登录页面上仅会显示允许帐户。 用户可以在此页面上点击任何允许的帐户来登录。
在 Azure Intune 门户中为托管设备设置以下配置参数。
平台 | 密钥 | 值 |
---|---|---|
iOS | IntuneMAMAllowedAccountsOnly |
启用:唯一允许的帐户是 IntuneMAMUPN 密钥定义的托管用户帐户。 禁用了 (或与 Enabled) 不区分大小写匹配的任何值:允许任何帐户。 |
iOS | IntuneMAMUPN | 允许登录到 Teams 的帐户的 UPN。 对于注册 Intune 的设备,{{userprincipalname}}令牌可用于代表已注册的用户帐户。 |
Android | com.microsoft.intune.mam.AllowedAccountUPNs | 仅允许的账户是此密钥定义的托管用户账户。 一个或多个分号;] - 分隔的UPN。 对于注册 Intune 的设备,{{userprincipalname}}令牌可用于代表已注册的用户帐户。 |
设置帐户设置配置后,Teams 将限制登录功能,以使只有已注册设备上的允许账户才能获得访问权限。
若要创建托管 iOS/iPadOS 设备的应用配置策略,请参阅添加托管 iOS/iPadOS 设备的应用配置策略。
若要创建托管 Android 设备的应用配置策略,请参阅添加托管 Android 设备的应用配置策略。
windows 和 macOS 上的Microsoft Teams 应用正在获得对限制登录组织的设备策略的支持。 可通过常规设备管理解决方案(例如 MDM(移动设备管理)或 GPO(组策略对象))设置策略。
在设备上配置此策略时,用户只能使用位于策略中定义的“租户允许列表”中包含的Microsoft Entra租户中的帐户登录。 该策略应用于所有登录,包括第一个和其他帐户。 如果组织跨多个Microsoft Entra租户,则可以在“允许列表”中包含多个租户 ID。 用于添加另一个帐户的链接可能继续在 Teams 应用中可见,但它们将无法操作。
备注
- 该策略仅限制登录。它不会限制用户作为其他Microsoft Entra租户中的来宾邀请的能力,也不会限制切换到其他租户 (用户已作为来宾) 邀请。
- 该策略要求 Teams for Windows 版本1.3.00.30866 或更高版本以及Teams for MacOS 版本1.3.00.30882 (发布时间为 2020 年 11 月中)。
Windows 管理模板文件 (ADMX/ADML) 策略从 下载中心 提供(管理模板文件中的策略设置说明性名称是"限制登录到特定租户中的 Teams 的帐户")。 另外,你可以在 Windows 注册表中手动设置密钥:
- 值名称: RestrictTeamsSignInToAccountsFromTenantList
- 值类型:字符串
- 值数据:租户 ID 或以逗号分隔的租户 ID 列表
- 路径:使用下列内容之一
Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Teams
示例: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 或 SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 1,Tenant ID 2,Tenant ID 3
MacOS适用策略 对于MacOS 的托管设备,使用 .plist 来部署登录限制。 配置文件是一个 plist 文件,其中包含由键标识的项(表示首选项名称),后跟一个值(该值取决于首选项的特性)。 值可以是简单的(如数值)或复杂的(如首选项的嵌套列表)。
- 域:com.microsoft.teams
- 密钥: RestrictTeamsSignInToAccountsFromTenantList
- 数据类型:字符串
- 注释:输入 () Microsoft Entra租户 ID 的逗号分隔列表
我们改进了共享设备上的登录体验,为一线员工提供了一个轻松的登录体验。 员工可以从共享设备池中选取设备,使其在排班期间单一登录到“归为己有”。 在他们值班结束后,应能够执行注销,以便在设备上全局注销。 有关详细信息,请参阅 Teams 注销。 这将从设备中删除其所有个人和公司信息,以便其可以将设备返回设备池。 若要获取此功能,必须在共享模式下设置设备。 在注销之前,请确保在设备上结束任何活动会议或通话。
Android:若要了解如何在共享模式下设置 Android 设备,请参阅 如何在 Android 中使用共享设备模式。
iOS:若要在 iOS 上将设备设置为共享模式,请参阅 如何在 iOS 上使用共享设备模式。 将设备设置为共享模式后,从应用商店下载 Teams 应用。
该登录体验看起来类似于标准的 Teams 登录体验。
通过在共享和托管设备上的用户登录屏幕上预填充域名,可以简化适用于 iOS 和 Android 的 Teams 登录体验。 用户通过输入 UPN (的第一部分登录,而不) 域名。 例如,如果用户名为 123456@contoso.com 或 adelev@contoso.com,则用户可以分别仅使用“123456”或“adelev”及其密码登录。
登录到 Teams 会更快、更轻松,尤其是对于共享设备上的一线员工等定期登录和注销的员工。
备注
若要让用户体验本部分所述的登录体验,其设备必须运行适用于 iOS 版本 6.6.0 或更高版本的 Teams,或者运行适用于 Android 版本 1416/1.0.0.2024053003 或更高版本的 Teams。
名称 | 值 |
---|---|
domain_name | 提供要追加的租户域的字符串值。 使用分号分隔值添加多个域。 |
enable_numeric_emp_id_keypad | 一个布尔值,用于指示员工 ID 全部为数字,并且应启用数字小键盘以便于输入。 如果未设置该值,将打开字母数字键盘。 |
Teams 使用与使用适用于 iOS 的托管应用程序配置通道或 Android 企业版通道的任何 MDM 提供商一起使用的应用配置。
如果使用 Microsoft Intune,请参阅使用 Microsoft Intune 管理适用于 iOS 和 Android 的 Teams 中的协作体验。
若要使用 图形 API 应用应用配置策略,请参阅 managedDeviceMobileAppConfiguration 资源类型。
Teams 中的无域登录依赖于应用配置通道,所有主要 MDM 提供程序都支持该通道。 Android 和 iOS 上的所有第三方或自定义 LOB 应用程序都可以支持无域登录,只需执行一些额外的工作。
按照以下步骤在应用中实现无域登录:
为应用设置domain_name应用配置密钥。
在企业中使用托管应用程序配置和 Android 读取配置。 下面是如何在 iOS 和 Android 代码中读取值的示例。
自定义登录体验,以收集用户名并在屏幕上预填充获取的domain_name。 如果使用 Microsoft 身份验证库 (MSAL) ,则可以进行以下调用,在收集屏幕上的用户名后获取令牌。
基于短信的身份验证使用户无需提供甚至知道其用户名和密码即可登录。 用户在登录提示处输入其电话号码,并接收用于完成登录的短信身份验证代码。 此身份验证方法简化了对应用和服务的访问,尤其是对一线工作人员的访问。
若要了解详细信息,请参阅使用 Microsoft Entra ID 为用户配置和启用基于短信的身份验证。
Teams 需要连接到 Internet。 若要了解在 Office 365 计划、政府版和其他云中使用 Teams 的客户应该可以访问的终结点,请阅读 Office 365 URL 和 IP 地址范围。