在 GCC High 或 DoD 環境中部署Microsoft 365 Apps 企業版的指引

  • 發行項

如果您打算在 GCC High 或 DoD 環境中部署Microsoft 365 Apps 企業版,則需要注意一些特殊考慮,以協助您符合合規性需求。

要部署的Microsoft 365 Apps 企業版版本

重要事項

若要符合 GCC High 和 DoD 合規性需求,您必須至少執行版本 1803 的Microsoft 365 Apps 企業版。

版本 1803 或更新版本適用于目前通道、每月企業通道、Semi-Annual Enterprise Channel (Preview) ,以及 Semi-Annual Enterprise Channel。

其他應用程式呢,例如 Project 和 Visio?

您可以在 GCC High 或 DoD 環境中部署 Project 和 Visio 傳統型應用程式的訂用帳戶版本,但至少必須是 1803 版。 針對Microsoft 365 Apps 企業版提及的任何組態或設定,也適用于 Project 和 Visio 傳統型應用程式的訂閱版本。

適用于 iOS 和 Android 的 Outlook 也適用于 GCC High 或 DoD 環境。 如需詳細資訊, 請閱讀此技術社群部落格文章

重要事項

針對 Teams,您目前需要在安裝 Microsoft 365 Apps 企業版 時排除安裝 Teams。 相反地,您需要使用個別的 MSI 型安裝程式來安裝 Teams。 在未來,您將能夠安裝 Teams 和Microsoft 365 Apps 企業版,而不需要使用個別的 MSI 型安裝程式。

要使用的Microsoft 365 Apps 企業版更新通道

我們建議目前通道,因為它會在使用者準備好時,立即為使用者提供最新的 Office 功能。 如果您需要每個月發行這些新 Office 功能時的額外可預測性,建議使用每月企業通道。 在您已選取需要廣泛測試才能接收新功能的裝置的情況下,建議您Semi-Annual企業通道。

如需詳細資訊,請參閱Microsoft 365 Apps 更新通道概觀

從何處安裝Microsoft 365 Apps 企業版,以及從何處取得更新

如果網路連線能力和其他基於組織需求的考慮不是問題,您可以選擇直接從Office 內容傳遞網路部署Microsoft 365 Apps 企業版, (CDN) 在網際網路上部署。 您也可以設定Microsoft 365 Apps 企業版從 Office CDN 自動接收更新。 此設定需要最少的系統管理工作量,而且是讓Microsoft 365 Apps 企業版保持在最新狀態的簡單方式。

如果您不想讓安裝Microsoft 365 Apps 企業版的電腦連線到 Office CDN 和裝置管理服務以取得更新,您必須設定要從內部網路內的共用資料夾安裝和更新Microsoft 365 Apps 企業版。 您仍然需要至少一部電腦才能存取 Office CDN,才能下載Microsoft 365 Apps 企業版和更新,以Microsoft 365 Apps 企業版至內部網路上的共用資料夾。 此外,使用Microsoft 365 Apps 企業版安裝的電腦仍然需要網際網路連線,才能保持啟用狀態。

請記住,從區域網路上的共用資料夾安裝和更新Microsoft 365 Apps 企業版需要更多系統管理工作和更多的磁碟空間。 例如,您必須追蹤新組建的Microsoft 365 Apps 企業版何時可用,然後將更新版本的Microsoft 365 Apps 企業版下載到您的網路。 Microsoft 365 Apps 企業版的核心檔案至少為 1.6 GB,且每個部署的語言至少為 250 MB。

如果直接從 Office CDN 更新Microsoft 365 Apps 企業版,則每部電腦的網路流量較少,因為只需要下載變更的檔案。 這些更新的大小可能會從 50 mb 到 300 mb 不等。 這些估計值是以過去一年或更新的歷程記錄資料為基礎。

要使用哪些工具來部署Microsoft 365 Apps 企業版

沒有關于哪些工具可用來在 GCC High 或 DoD 環境中部署Microsoft 365 Apps 企業版的特殊指引。

若要部署Microsoft 365 Apps 企業版,您可以使用 Office 部署工具以及configuration.xml檔案。 Office 部署工具是命令列工具,因此可以搭配腳本或批次檔使用。 configuration.xml檔案包含安裝的設定。 例如,要從何處安裝Microsoft 365 Apps 企業版、安裝 32 位或 64 位版本、要安裝的語言,以及Microsoft 365 Apps 企業版應該連線以取得更新的位置。 如需 Office 部署工具和configuration.xml檔案的詳細資訊,請參閱 Office 部署工具的 Office 部署工具 和組態 選項概觀。

您也可以使用 Microsoft Configuration Manager 等企業軟體部署工具來部署Microsoft 365 Apps 企業版。 如需使用 Configuration Manager 的詳細資訊,請參閱使用 Configuration Manager (最新分支部署)

注意事項

如果您已設定防毒軟體或其他 Endpoint Protection 軟體來防止安裝或資料寫入裝置,建議您盡可能更新為該軟體的最最新版本。 在某些情況下,您可能需要設定OfficeClickToRun.exe程式的例外狀況,才能順利完成安裝。

範例configuration.xml檔案

如需configuration.xml檔案中可用設定的詳細資訊,請參閱 Office 部署工具的組態選項。

從 Office CDN 安裝和更新Microsoft 365 Apps 企業版

以下是與 Office 部署工具搭配使用的範例configuration.xml檔案,可從 Office CDN 在目前通道上安裝Microsoft 365 Apps 企業版。 Microsoft 365 Apps 企業版也會直接從 Office CDN 自動更新。

<Configuration> 
   <Add OfficeClientEdition="64" Channel="Current">
       <Product ID="O365ProPlusRetail" >
            <Language ID="en-us" />
       </Product>
   </Add>
   <Updates Enabled="TRUE"  Channel="Current" />
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

從區域網路上的共用資料夾安裝和更新Microsoft 365 Apps 企業版

以下是與 Office 部署工具搭配使用的範例configuration.xml檔案,可從區域網路上的共用資料夾,在 Semi-Annual Enterprise Channel 上安裝Microsoft 365 Apps 企業版。 更新Microsoft 365 Apps 企業版也會來自區域網路上的共用資料夾。

注意事項

若要移除管理共用資料夾以進行更新的管理負擔,建議您設定Microsoft 365 Apps 企業版盡可能直接從網際網路上的 Office CDN 取得更新。 如果使用 Office CDN 不是選項,下一個建議是使用Configuration Manager來管理更新

<Configuration> 
   <Add SourcePath="\\Server\Share\Installs"  OfficeClientEdition="64" Channel="SemiAnnual">
       <Product ID="O365ProPlusRetail" >
            <Language ID="en-us" />
       </Product>
   </Add>
   <Updates Enabled="TRUE" UpdatePath="\\Server\Share\Updates" Channel="SemiAnnual" />
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

設定是否要將遙測資料傳送至 Microsoft

Office 應用程式會定期將遙測資料傳送給 Microsoft,以協助 Microsoft 瞭解如何改善產品。 在高度管制的環境中,您可以選擇防止遙測資料傳送給 Microsoft。

不需要其他設定,即可防止 Android 上的Microsoft 365 Apps 企業版或 Office 應用程式將遙測資料傳送至 Microsoft。 在這兩種情況下,應用程式都可以辨識它們位於 GCC High 或 DoD 環境中,並會自動防止遙測資料傳送給 Microsoft。

對於其他 Office 應用程式,例如 Mac 版 Office 和 iOS 上的 Office 應用程式,需要額外的設定,以防止遙測資料傳送給 Microsoft。 如需詳細資訊,請參閱下列各節。

關閉從用戶端將遙測資料傳送至 Microsoft 商務用 Skype

若要防止商務用 Skype用戶端將遙測資料傳送至 Microsoft,請編輯登錄,並將 TelemetryTier 值新增至HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync鍵。 TelemetryTier 的類型REG_DWORD,且值應設定為 0。

如需詳細資訊,請參閱商務用 Skype和 Microsoft Teams 資料收集實務

關閉從 Mac 版 Office 傳送遙測資料至 Microsoft 的功能

Mac 版 Office定期將遙測資訊傳回給 Microsoft。 資料會上傳至 'Nexus' 端點。 遙測資料可協助工程小組評估每個 Office 應用程式的健康情況和任何非預期的行為。 遙測有兩種類別:

  • 活動訊號 包含版本和授權資訊。 此資料會在應用程式啟動時立即傳送。
  • 使用方式 包含應用程式使用方式和非嚴重錯誤的相關資訊。 此資料每隔 60 分鐘傳送一次。

若要防止Mac 版 Office將遙測資料傳送至 Microsoft,您可以將 SendAllTelemetryEnabled 和 SendCriticalTelemetryEnabled 喜好設定設為 「FALSE」。

重要事項

您至少必須使用 16.11 版的Mac 版 Office。

喜好設定是每個應用程式,可以透過 macOS 組態設定檔或從終端機手動設定,如下列範例所示。

defaults write com.microsoft.Word SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Word SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Excel SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Powerpoint SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Outlook SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.onenote.mac SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.autoupdate2 SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Office365ServiceV2 SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Word SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Word SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Excel SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Powerpoint SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Outlook SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.onenote.mac SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.autoupdate2 SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Office365ServiceV2 SendCriticalTelemetryEnabled  -bool FALSE

關閉從 iOS 上的 Office 應用程式將遙測資料傳送至 Microsoft

若要防止 iOS 上的 Office 應用程式將遙測資料傳送給 Microsoft,請將 SendAllTelemetryEnabled 和 SendCriticalTelemetryEnabled 喜好設定設定為 「false」。喜好設定是每個應用程式,而且可以使用 Microsoft Intune 來設定。 如需詳細資訊,請參閱新增受管理 iOS 裝置的應用程式組態原則

重要事項

您至少必須在 iOS 上使用 Office 2.11 版。

針對組態中的每個索引鍵和值設定下列專案:

  • 設定金鑰 = SendAllTelemetryEnabled
  • 實數值型別 = 布林值
  • 組態值 = false

  • 設定金鑰 = SendCriticalTelemetryEnabled
  • 實數值型別 = 布林值
  • 組態值 = false

要設定的其他設定

除了遙測資料設定之外,您也可以根據合規性需求選擇設定更多設定。 這些設定中有許多是透過變更登錄來設定的。 若要將登錄變更部署到多部電腦或使用者,您可以使用批次檔、登入腳本、群組原則、Configuration Manager、PowerShell 或其他腳本和部署工具。

確定已啟用新式驗證

必須啟用新式驗證,才能符合規範。 新式驗證預設會針對Office 365服務和 Microsoft 365 Apps 企業版 啟用。 除非您刻意停用新式驗證,否則不需要採取任何動作。 如需詳細資訊, 請參閱 Office 2013、Office 2016 和 Office 2019 用戶端應用程式的新式驗證運作方式

關閉Windows 錯誤報告

若要停用Windows 錯誤報告 (Watson) ,請編輯登錄,然後在HKEY_CURRENT_USER\Software\Microsoft\Windows\Windows Error Reporting鍵下,將 Disabled 值設定為 1。 Disabled 值的類型為 REG_DWORD。

在 Microsoft 365 Apps 企業版 上設定 Outlook 行為

下列登錄值必須設定為正確設定 Microsoft 365 Apps 企業版 上的 Outlook 行為。 這些登錄值的類型REG_DWORD,且值應設定為 1。

登錄位置: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover\EnableOffice365ConfigService
描述: 需要此登錄設定,才能在此特定環境中擷取正確的信箱設定,而不需要呼叫全球服務來擷取信箱設定。 如果您使用版本 1805 或更新版本的 Microsoft 365 Apps 企業版,則不需要設定此登錄設定。

登錄位置: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableAccountSettingsDetectionService
描述: 此登錄設定會停用呼叫全球服務,以協助根據電子郵件地址取得 POP、IMAP 和其他通訊協定的帳戶資訊。 由於此金鑰會停用此服務,因此必須手動設定個人帳戶。

登錄位置: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General\DisablePreviewPlace
描述: 此登錄設定會停用「即將推出」功能,為使用者提供即將推出的功能相關資訊,並讓使用者嘗試這些功能並提供意見反應。 Microsoft 365 Apps 企業版 1806 版或更新版本即將推出。

下列登錄值是選擇性的。 這些登錄值的類型REG_DWORD,且值應設定為 1。

登錄位置: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableGuessSmart
描述: 此登錄設定會停用透過各種已知埠設定 IMAP、POP 帳戶的嘗試。

登錄位置: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General\DisableOutlookMobileHyperlink
描述: 此登錄設定會隱藏在 Outlook Desktop 中成功設定帳戶之後,在行動裝置上設定 Outlook 的選項。

此外,如果在非 Outlook 應用程式中建置和使用 Office 載入 宏,這些應用程式必須知道使用者信箱的設定位置。 Microsoft 只會執行 自動探索 程式的步驟 6 和步驟 7。 這表示您必須有存在於下列其中一個位置的 URL: https://<contoso.com>.autodiscover/autodiscover.xmlhttps://autodiscover.<contoso.com>/autodiscover/autodiscover.xml 。 然後,這應該會重新導向至 https://autodiscover-s-dod.office365.us/autodiscover/autodiscover.xml 。 在未來的版本中,此程式將會自動執行。

特殊考量

為了檢閱連線到Microsoft 365 Apps 企業版中功能的雲端服務,我們進行了適當調查。 我們發現這類程式不是失敗證明,並已建立下表來擷取初始發行之前未初始擷取的任何邊緣案例。 我們將使用此資料表,以便傳達尋找、任何潛在風險,以及該範圍增加的風險降低。 此資料表中的服務將在 30 天內適當地關閉。

應用程式 功能 建議
Excel 地圖 自下列版本起,此功能已停用:

- 版本 1804 (目前通道的組建 9226.2126)
- 版本 1803 (組建 9126.2191) Semi-Annual Enterprise Channel (Preview)
- 版本 1803 (組建 9126.2259) Semi-Annual 企業通道

如果您使用舊版的 Excel,請勿使用此功能。

參考資訊

Office 內容傳遞網路 (CDN)

安裝和更新Microsoft 365 Apps 企業版的軟體可在網際網路上的 Office 內容傳遞網路 (CDN) 上取得。 管理Microsoft 365 Apps 企業版安裝和更新的隨選即用服務會呼叫 Akamai 所裝載的 Office CDN。

Office 365在Office 365認證套件中具有 Akamai 的瞭解,Akami 具有 FedRAMP 中等資格認證。 為了提供可用性,隨選即用服務可以容錯移轉至全球範圍的 Azure Front Door 實例,該實例也具有 FedRAMP 中等認證。

裝置管理服務

針對設定為從 Office CDN 自動取得更新的Microsoft 365 Apps 企業版安裝,Microsoft 會使用 裝置管理 Service (DMS) 根據其特定組態,將發行組態套用至個別裝置。 例如,Office 安裝所在的作業系統版本、是否已安裝 32 位或 64 位版本的 Office,以及安裝的 Office 語言。

隨選即用服務會連絡 DMS 以檢查更新,並取得 JSON 回應,讓其知道是否有新的組建可供下載。 DMS 服務不會儲存隨選即用服務所傳遞的資料。 資料只是用來作為篩選準則,以判斷應該將哪些組建資訊提供給隨選即用以更新Microsoft 365 Apps 企業版。

DMS 服務不會處理、儲存或傳輸任何個人識別資訊或客戶內容。

如需 Microsoft 所提供 GCC High 和 DoD 環境的詳細資訊,請參閱下列服務描述:

如需有關Microsoft 365 Apps 企業版的一般部署指引,請參閱下列文章:

如需網路資訊,請參閱下列文章: