不同技術對 Teams 登入Microsoft影響程度
如果您需要瞭解單一登錄 (SSO) 、新式驗證 (MS) 和多重要素驗證 () MA 等技術如何影響使用者的登入體驗,本文可協助釐清使用者和系統管理員預期會看到哪些內容。 它也會概述 macOS、Android 和 iOS 裝置的登入行為、使用多個帳戶登入的運作方式、如何在登入畫面移除自動填滿認證或「預先填入」、如何限制登入,以及如何簡化在共用及受管理的行動裝置上使用無網域登入的登入體驗。
如果您的角色在登入期間知道Microsoft團隊的預期行為,請將本文加入書籤。
Microsoft建議組織使用最新版的 Windows 10 搭配混合式網域加入或 Microsoft Entra 加入設定。 使用最近的版本能確保在 Windows 網頁帳戶管理員中已將使用者的帳戶準備好,進而讓您以單一的方式登入 Teams 和其他 Microsoft 應用程式。 單一登入可提供更好的使用者體驗 (無訊息式登入) 和加強的安全性狀況。
Microsoft Teams 使用新式驗證讓登入體驗更加簡單可靠。 若要瞭解使用者如何登入 Teams,請閱讀登入 Teams。
新式驗證是讓 Teams 知道使用者已在其他地方輸入認證(例如公司電子郵件和密碼」的程式的一部分,因此不應該再次輸入認證來啟動應用程式。 體驗會根據幾個因素而有所不同,例如使用者是在 Windows 作業系統或 Mac 上工作。
根據貴組織是否啟用單一因素驗證或多重要素驗證而定,登入行為也會有所不同。 多重要素驗證通常涉及透過手機驗證認證、提供唯一的代碼、輸入 PIN,或出示指紋。
使用 Teams 的每一個組織都能使用新式驗證。 如果用戶無法完成程式,可能是貴組織的 Microsoft Entra 設定有潛在問題。 如需詳細資訊,請參閱為何我無法登入 Microsoft Teams?
以下是使用者在每個新式驗證案例中所能預期的行為的下拉式清單。
如果用戶已經使用公司或學校帳戶登入 Windows 或其他 Office 應用程式,當他們啟動 Teams 時,會直接帶他們前往應用程式。 不需要再輸入認證。
Microsoft建議使用 Windows 10 版本 1903 或更新版本,以獲得最佳的單一登錄體驗。
如果用戶沒有在其他地方登入Microsoft公司或學校帳戶,當他們啟動Teams時,系統會要求他們提供單一因素或多重要素驗證 (SFA 或 MFA) 。 此程序取決於貴組織決定登入程式所需的方式。
如果使用者登入加入網域的電腦,當他們啟動 Teams 時,系統可能會要求他們執行一個進一步的驗證步驟,視您的組織是否選擇要求 MFA 或他們的電腦是否要求 MFA 才能登入而定。 如果使用者的電腦要求 MFA 才能登入,當他們開啟 Teams 時,應用程式會自動啟動。
在加入網域的計算機上,當 SSO 無法使用時,Teams 可能會以用戶主體名稱預先填入登入畫面, (UPN) 。 有時候您可能不想要這麼做,特別是當貴組織在內部部署和 Microsoft Entra ID 使用不同的 UPN 時。 如果是這種情況, 您可以使用下列 Windows 登錄機碼來關閉 UPN 的預先母體:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
SkipUpnPrefill(REG_DWORD)
0x00000001 (1)注意
根據預設,略過或忽略以 「.local」 或 「.corp」 結尾的使用者名稱會預先填入用戶名稱,因此您不需要設定登錄機碼即可關閉這些功能。
在加入網域的電腦上的使用者可能無法使用在同一 Active Directory 網域中的另一個帳戶登入 Teams。
在 macOS 上,Teams 會提示使用者輸入使用者名稱和認證,並根據貴組織的設定提示多重要素驗證。 使用者輸入認證後,就不需要再次提供這些認證。 從這時起,只要他們在同一部電腦上工作,Teams 就會自動啟動。
登入後,行動使用者將會看到目前登入或先前已在其裝置上登入的所有 Microsoft 365 帳戶清單。 使用者可以點選任何帳戶以登入。 以行動裝置登入會有下列兩種案例:
如果選取的帳戶目前已登入其他 Office 365 或Microsoft 365 應用程式,則使用者會直接移至Teams。 使用者不需要輸入認證。
如果使用者未在其他任何位置登入其 Microsoft 365 帳戶,系統會根據貴組織針對行動登入原則設定的設定,要求他們提供單一因素或多重要素驗證 (SFA 或 MFA) 。
注意
用戶必須執行 iOS 版 Teams 版本 2.0.13 (組建2020061704) 或更新版本,或是 Android 版 Teams 版本 1416/1.0.0.2020061702 或更新版本,才能體驗登入 n 體驗。
iOS 和 Android 版 Teams 支援多個公司、學校和多個個人帳戶並行使用。 Teams 桌面應用程式會在 2020 年 12 月支援並行使用一個公司/學校和一個個人帳戶,稍後即將推出支援多個公司/學校帳戶。
下列圖片顯示使用者如何在 Teams 行動裝置應用程式中新增多個帳戶。
組織可能會想要限制受管理裝置上使用公司核准的應用程式的方式,例如限制學生或員工存取其他組織數據或在個人案例中使用公司核准應用程式的能力。 可以透過設定 Teams 應用程式可識別的裝置原則來強制執行這些限制。
已註冊裝置上的 iOS 和 Android 版 Teams 應用程式可設定為只允許在應用程式內布建單一公司帳戶。 此功能適用於使用 iOS 的 Managed 應用程式組態 通道或 Android 版 Android 企業版通道的任何 MDM 提供者。
對於註冊 Microsoft Intune 的使用者,您可以使用 Intune 入口網站部署帳戶設定。
當 MDM 提供者設定好帳戶組態設定且使用者註冊其裝置之後,iOS 和 Android 版 Teams 在 Teams 登入頁面上將只會顯示允許的帳戶。 使用者可以點選此頁面中任何允許的帳戶以登入。
在受管理的裝置的 Azure Intune 入口網站中設定下列設定參數。
平台 | 機碼 | 值 |
---|---|---|
iOS | IntuneMAMAllowedAccountsOnly |
已啟用: 唯一允許的帳戶是由 IntuneMAMUPN 機碼所定義的受管用戶帳戶。 已 停用 (或任何與啟 用) 不區分大小寫的值:允許任何帳戶。 |
iOS | IntuneMAMUPN | 允許登入 Teams 的帳戶 UPN。 如果您是 Intune 註冊的裝置,可以使用 {{userprincipalname}} 符號來代表已註冊的使用者帳戶。 |
Android | com.microsoft.intune.mam.AllowedAccountUPNs | 唯一允許的帳戶是由此機碼所定義的受管使用者帳戶。 以一或多個分號 ;]- 分隔 UPN。 如果您是 Intune 註冊的裝置,可以使用 {{userprincipalname}} 符號來代表已註冊的使用者帳戶。 |
當帳戶設定完成之後, Teams 會限制登入的能力,因此只有登入的裝置上允許的帳戶才能取得存取權。
若要為受管理的 iOS/iPadOS 裝置建立應用程式設定原則,請參閱 為受控 iOS/iPadOS 裝置新增應用程式設定原則。
若要為受管理的 Android 裝置建立應用程式設定原則,請參閱新增受管理的 Android 裝置應用程式設定原則。
Microsoft Windows 和 macOS 上的 Teams 應用程式正在取得裝置原則的支援,以限制您組織登入。 這些原則可以透過一般的裝置管理解決方案 (例如 MDM (行動裝置管理) 或 GPO (群組原則物件)) 進行設定。
在裝置上設定此原則時,使用者只能使用包含在原則中定義之「租用戶允許清單」中之 Microsoft Entra 租使用者中的帳戶登入。 原則會套用至所有的登入,包括第一個和其他的帳戶。 如果貴組織橫跨多個 Microsoft Entra 租使用者,您可以在 [允許清單] 中包含多個租用戶標識碼。 新增其他帳戶的連結可能仍會繼續顯示在Teams應用程式中,但無法使用。
注意
- 原則只會限制登入。它不會限制使用者受邀成為其他 Microsoft Entra 租使用者之來賓的功能,或切換到其他租使用者, (使用者受邀為來賓) 。
- 原則需要 Windows 版 Teams 版本 1.3.00.30866 或更新版本,以及 macOS 版 Teams 版本 1.3.00.30882 (於 2020 年 11 月中發行)。
適用於 Windows 系統管理範本檔案 (ADMX/ADML) 的原則可從下載中心 取得 (系統管理範本檔案中的原則設定描述性名稱為 [將 Teams 的登入限制為特定租用戶中的帳戶]) 提供。 此外,您可以在 Windows 登錄中手動設定金鑰:
- 值名稱:RestrictTeamsSignInToAccountsFromTenantList
- 值類型:字串
- 值資料:租用戶識別碼或逗號分隔的租用戶識別碼清單
- 路徑:請使用下列其中之一
Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Teams
範例: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 或 SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 1,Tenant ID 2,Tenant ID 3
適用於 macOS 的原則 針對 macOS 的受管理裝置,請使用 .plist 來部署登入限制。 設定檔是一個 .plist 檔案,由金鑰 (表示喜好設定的名稱) 所識別的項目所組成,後接一個值 (取決於喜好設定的性質)。 值可以為簡單 (例如數值) 或複雜 (例如喜好設定的巢狀清單)。
- 網域:com.microsoft.teams
- 金鑰:RestrictTeamsSignInToAccountsFromTenantList
- 資料類型:字串
- 批註:輸入 Microsoft Entra 租使用者標識碼 () 的逗號個別清單
我們改善了共用裝置的登入體驗,為第一線工作人員提供了一個麻煩的免費登入功能。 員工可以從共用裝置集區中挑選一部裝置,並執行單一登入,以在其班次期間將之作為自己的裝置。 在班次結束時,他們應該能夠執行登出,以便在裝置上全域登出。 請參閱登出 Teams 以深入了解。 這會自裝置移除其個人與公司資訊,他們便能將裝置歸還裝置集區。 若要取得此功能,裝置必須設定為共用模式。 在註銷之前,請務必在裝置上結束任何進行中的會議或通話。
Android:若要瞭解如何在共用模式中設定 Android 裝置,請參閱 如何在 Android 中使用共用裝置模式。
iOS:若要在 iOS 上以共用模式設定裝置,請參閱 如何在 iOS 上使用共用裝置模式。 將裝置設定為共用模式后,從 App Store 下載 Teams 應用程式。
登入體驗看起來類似我們的標準 Teams 登入體驗。
您可以為共用及受管理裝置上的用戶預先填入登入畫面上的功能變數名稱,以簡化 iOS 和 Android 版 Teams 的登入體驗。 使用者登入的方式是輸入UPN (的第一部分,而不需要功能變數名稱) 。 例如,如果使用者名稱是 123456@contoso.com 或 adelev@contoso.com,使用者只能分別使用「123456」或「adelev」以及其密碼登入。
登入 Teams 的速度更快且更輕鬆,尤其是對於經常登入和註銷的一線員工,例如在共用裝置上登入和註銷的前線員工。
注意
使用者若要體驗本節所述的登入體驗,其裝置必須執行 iOS 版 6.6.0 或更新版本的 Teams,或 Android 版 Teams 版本 1416/1.0.0.2024053003 或更新版本。
名稱 | 值 |
---|---|
domain_name | 提供要附加之租用戶網域的字串值。 使用分號分隔值來新增多個網域。 |
enable_numeric_emp_id_keypad | 用來表示員工標識碼為所有數位的布爾值,應啟用數字鍵台以便輕鬆輸入。 如果未設定值,英數位元鍵盤會隨即開啟。 |
Teams 會使用應用程式設定,可與使用 iOS 的受管理 應用程式組態 通道或 Android 版 Android 企業版通道的任何 MDM 提供者搭配使用。
如果您使用的是 Microsoft Intune,請參閱使用 Microsoft Intune 在 iOS 版和 Android 版 Teams 中管理共同作業體驗。
若要使用 圖形 API 套用應用程式設定原則,請參閱 managedDeviceMobileAppConfiguration 資源類型。
Teams 無網域登入仰賴所有主要 MDM 提供者支援的應用程式設定通道。 Android 和 iOS 上的所有第三方或自訂 LOB 應用程式都支援無網域登入,並提供一些額外的工作。
請依照下列步驟在應用程式中實作無網域登入:
為您的應用程式設定domain_name應用程式組態金鑰。
在企業版中使用受管理的 應用程式組態和 Android 讀取設定。 以下是如何在 iOS 和 Android 程式代碼中讀取值的範例。
iOS:
UserDefaults.standard.object(forKey:"com.apple.configuration.managed")["domain_name"]
人造人:
appRestrictions.getString("domain_name")
深入瞭解如何使用 TestDPC讀取和套用受管理的設定,以及設定和測試設定。
自定義您的登入體驗以收集用戶名稱,並在螢幕上預先填入取得的domain_name。 如果您使用 MSAL) (Microsoft驗證庫,您可以撥打下列電話來取得在螢幕上收集使用者名稱的令牌貼文。
- iOS: Microsoft iOS 和 macOS 的驗證庫
- Android:Microsoft Android 版 MSAL) (驗證庫
SMS 型驗證可讓使用者在不提供或甚至知道使用者名稱和密碼的情況下登入。 使用者會在登入提示中輸入電話號碼,並收到用來完成登入的簡訊驗證碼。 此驗證方法簡化了應用程式和服務的存取權,尤其是第一線工作人員的存取權。
若要深入瞭解,請參閱使用 Microsoft Entra ID 設定及啟用使用者以SMS為基礎的驗證。
Teams 需要連線到網際網路。 若要瞭解客戶在 Office 365 方案、政府和其他雲端中使用 Teams 能夠連線的端點,請參閱 Office 365 URL 和 IP 位址範圍。