分享方式:


使用 Microsoft Intune 管理適用於 iOS 和 Android 的 Teams 共同作業體驗

Microsoft Teams 是 Microsoft 365 中的團隊共同作業中樞,可整合小組需要更投入且更有效率的人員、內容和工具。

當您訂閱 Enterprise Mobility + Security 套件時,可以使用 Microsoft 365 資料最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。 您至少會想要部署條件式存取原則,以允許從行動裝置連線到iOS和Android版Teams,以及可確保共同作業體驗受到保護的Intune應用程式保護原則。

套用條件式存取

組織可以使用 Microsoft Entra 條件式存取原則,以確保使用者只能使用適用於 iOS 和 Android 的 Teams 存取公司或學校內容。 若要這樣做,您需要以所有潛在使用者為目標的條件式存取原則。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。

注意事項

若要使用應用程式型條件式存取原則,必須在 iOS 裝置上安裝 Microsoft Authenticator 應用程式。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取

請遵循使用行動 裝置要求核准的用戶端應用程式或應用程式保護原則中的步驟,這會允許適用於 iOS 和 Android 的 Teams,但會封鎖第三方支援 OAuth 的行動裝置用戶端連線到Microsoft 365 端點。

注意事項

此原則可確保行動裝置使用者可以使用適用的應用程式存取所有 Microsoft 365 端點。

建立 Inunte 應用程式防護原則

應用程式防護原則 (APP) 定義允許哪些應用程式,以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序,Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。

APP 資料保護架構會組織成三個不同的設定層級,其中每個層級會根據上一個層級來建置:

  • 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
  • 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
  • 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。

若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構

無論裝置是否已在整合端點管理 (UEM) 解決方案中註冊,都必須使用 如何建立和指派應用程式防護原則 中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式防護原則。 這些原則至少必須符合下列條件:

  1. 它們包含所有 Microsoft 365 行動應用程式,例如 Edge、Outlook、OneDrive、Office 或 Teams,因為這可確保使用者可以安全的方式存取及操作任何 Microsoft 應用程式內的工作或學校資料。

  2. 它們會指派給所有使用者。 這可確保所有使用者都受到保護,無論他們使用適用於 iOS 或 Android 的 Teams 為何。

  3. 判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。

如需可用設定的詳細資訊,請參閱 Android 應用程式防護原則設定iOS 應用程式防護原則設定

重要事項

若要對未在 Intune 中註冊的 Android 裝置上應用程式套用 Intune 應用程式保護原則,使用者也必須安裝 Intune 公司入口網站。

利用應用程式設定

iOS 和 Android 版 Teams 支援允許統一端點管理的應用程式設定,例如Microsoft Intune,系統管理員可自定義應用程式的行為。

應用程式設定可以透過已註冊裝置上的行動裝置管理 (MDM) 作業系統通道 (適用于 iOS 的 受管理的應用程式設定 通道或適用于 Android 的 Android 企業版 通道) 或透過 Intune 應用程式防護原則 (APP) 通道傳遞。 適用於 iOS 和 Android 的 Teams 支援下列設定案例:

  • 只允許公司或學校帳戶

重要事項

針對需要在 Android 上註冊裝置的設定案例,裝置必須在 Android Enterprise 中註冊,而適用於 Android 的 Teams 必須透過受控 Google Play 商店部署。 如需詳細資訊,請參閱 設定 Android Enterprise 個人擁有工作設定檔裝置的註冊新增受控 Android Enterprise 裝置的應用程式組態原則

每個設定案例都會強調其特定需求。 例如,設定案例是否需要裝置註冊,因此可與任何 UEM 提供者搭配使用,或需要 Intune 應用程式防護原則。

重要事項

應用程式組態金鑰會區分大小寫。 使用適當的大小寫以確保設定生效。

注意事項

使用 Microsoft Intune,透過 MDM 作業系統通道傳遞的應用程式設定稱為 [受管理的裝置] 應用程式設定原則 (ACP);透過應用程式防護原則通道傳遞的應用程式設定稱為 [受管理的應用程式] 應用程式設定原則。

只允許公司或學校帳戶

遵守我們最大且高度管制客戶的資料安全性與合規性原則是 Microsoft 365 價值的重要要素。 有些公司需要擷取其公司環境中的所有通訊資訊,以及確保裝置僅用於公司通訊。 為了支持這些需求,已註冊裝置上的iOS和Android Teams 可以設定為只允許在應用程式內布建單一公司帳戶。

您可以在這裡深入瞭解如何設定組織允許的帳戶模式設定:

此設定案例僅適用于已註冊的裝置。 不過,支援任何 UEM 提供者。 如果您不是使用 Microsoft Intune,則必須參閱 UEM 檔,以瞭解如何部署這些設定密鑰。

簡化無網域登入的登入體驗

您可以藉由套用下列原則,在共用和受控裝置上的使用者登入畫面上預先填入功能變數名稱,以簡化適用於 iOS 和 Android 的 Teams 登入體驗:

名稱
domain_name 提供要附加之租用戶網域的字串值。 使用分號分隔值來新增多個網域。 此原則僅適用於已註冊的裝置。
enable_numeric_emp_id_keypad 布爾值,用來指出員工標識碼都是數值,而且應該啟用數字鍵台以方便輸入。 如果未設定值,則會開啟英數位元鍵盤。 此原則僅適用於已註冊的裝置。

注意事項

這些原則僅適用於已註冊的共用和受控裝置。

Microsoft Teams 中的通知設定

通知可讓您隨時掌握您所發生或即將發生的狀況。 它們會根據設定出現在主畫面或鎖定畫面上。 使用下列選項,透過應用程式保護原則在入口網站上設定您的通知。

選項 描述
允許 在標題和內容) (顯示實際通知。
封鎖組織數據 拿掉標題,並將內容取代為聊天通知的「您有新訊息」,以及其他人的「有新活動」。 用戶將無法從鎖定畫面 回復 通知。
已封鎖 隱藏通知,且不會通知使用者。

在 Intune 中設定原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 在左側瀏覽窗格中,流覽至 [應用程式 > 應用程式保護原則]

    建立原則

  3. 按兩下 [建立原則 ],然後選取您想要的平臺,例如 iOS/iPadOS

  4. 在 [ 基本] 頁面上,新增 名稱和 描述等詳細 數據。 按一下[下一步]

  5. 在 [ 應用程式] 頁面上,按兩下 [選取公用應用程式],然後尋找並選 取 [Microsoft Teams 應用程式]。 按一下[下一步]

  6. 在 [ 數據保護] 頁面上,尋找 [組織數據通知 ] 設定,然後選取 [ 封鎖組織數據] 選項。 設定要包含的使用者群組指 ,然後建立您的原則。

  7. 建立應用程式保護原則之後,請移至 [應用程式>] [應用程式設定原則>] [新增>受控應用程式]

    app-configuration-policies-at-a-glance

  8. 在 [ 基本概念] 頁面上,新增 [名稱] ,然後按兩下 [ 選取公用應用程式],然後尋找並選 取 [Microsoft Teams 應用程式]。 按一下[下一步]

  9. 在 [ 一般組態設定] 下,將任何通知密鑰設定為 1 ,以開 聊天、頻道、所有其他通知或上述任何組合的功能。 並將設定為 0 以關閉功能。

    名稱
    com.microsoft.teams.chat.notifications.IntuneMAMOnly 1 for on, 0 for off
    com.microsoft.teams.channel.notifications.IntuneMAMOnly 1 for on, 0 for off
    com.microsoft.teams.other.notifications.IntuneMAMOnly 1 for on, 0 for off

    app-configuration-properties-at-a-glance

  10. 設定要包含的使用者群組指 ,然後建立您的原則。

  11. 建立原則之後,請移至 [應用程式>應用程式保護原則]。 檢閱 [已部署] 數據行,以尋找新建立的應用程式保護原則,並檢查原則是否已部署。 [ 已部署] 資料行應該會針對已建立的原則顯示 [ ]。 如果顯示 [否],請重新整理頁面,並在 10 分鐘後檢查。

讓通知顯示在 iOS 和 Android 裝置上

  1. 在裝置上,登入Teams和公司入口網站。 將它設定為 [永遠顯示預覽>],以確保您的裝置通知設定允許來自Teams的通知。
  2. 鎖定裝置,並將通知傳送給登入該裝置的使用者。 點選通知以在鎖定畫面上展開它,而不會解除鎖定裝置。
  3. 鎖定畫面上的通知應如下所示 (螢幕快照來自iOS,但相同的字串應顯示在Android) :
    • 應該看不到 [ 回復 ] 或其他來自鎖定畫面之快速通知反應的選項。

    • 寄件者的虛擬人偶不可見;不過,縮寫沒問題。

    • 通知應該會顯示標題,但將內容取代為聊天通知的「您有新訊息」,而其他人則會顯示「有新活動」。

      iphone-screenshot

如需應用程式設定原則和應用程式保護原則的詳細資訊,請參閱下列主題:

後續步驟