使用 Microsoft Intune 在适用于 iOS 和 Android 的 Teams 中管理协作体验

Microsoft Teams 是 Microsoft 365 中的团队协作中心,它集成了团队参与度和效率所需的人员、内容和工具。

在订阅企业移动性 + 安全性套件(包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能(如条件访问))时,可以使用最丰富且最广泛的 Microsoft 365 数据保护功能。 至少需要部署一个条件访问策略,允许从移动设备连接到适用于 iOS 和 Android 的 Teams,以及确保协作体验受到保护的 Intune 应用保护策略。

应用条件访问

组织可以使用 Microsoft Entra 条件访问策略来确保用户只能使用 Teams for iOS 和 Android 访问工作或学校内容。 为此,你需要一个面向所有潜在用户的条件访问策略。 条件访问:需要批准的客户端应用或应用保护策略介绍了这些策略。

注意

To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. 对于 Android 设备,需要 Intune 公司门户应用。 有关详细信息,请参阅使用 Intune 进行基于应用的条件访问

按照 要求使用移动设备的已批准的客户端应用或应用保护策略中的步骤操作,该策略允许 Teams for iOS 和 Android,但阻止支持 OAuth 的第三方移动设备客户端连接到Microsoft 365 终结点。

注意

此策略可确保移动用户可以使用适用的应用访问所有 Microsoft 365 终结点。

创建 Intune 应用保护策略

应用保护政策 (APP) 定义允许哪些应用程序,以及它们可以使用组织数据执行哪些操作。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。

APP 数据保护框架分为三个不同的配置级别,每个级别基于上一个级别进行构建:

  • 企业基本数据保护(级别 1)可确保应用受 PIN 保护和经过加密处理,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,可在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。
  • 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
  • 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。

若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架

无论设备是否在统一的终结点管理 (UEM) 解决方案中注册,都需要使用如何创建和分配应用保护策略中的步骤,为 iOS 和 Android 应用创建 Intune 应用保护策略。 这些策略至少必须满足以下条件:

  1. 它们要包括所有 Microsoft 365 移动应用程序,如 Edge、Outlook、OneDrive、Office 或 Teams,因为这可确保用户能够安全地访问和操作任何 Microsoft 应用中的工作或学校数据。

  2. 它们将分配给所有用户。 这可确保所有用户都受到保护,无论他们是使用适用于 iOS 的 Teams 还是 Android 版。

  3. 确定满足要求的框架级别。 大多数组织都应实现在企业增强型数据保护(级别 2)中定义的设置,因为这可以启用数据保护和访问要求控制。

有关可用设置的详细信息,请参阅 Android 应用保护策略设置iOS 应用保护策略设置

重要

若要对未在 Intune 中注册的 Android 设备上的应用应用 Intune 应用保护策略,用户还必须安装 Intune 公司门户。

利用应用配置

适用于 iOS 和 Android 的 Teams 支持允许统一终结点管理的应用设置,例如 Microsoft Intune,管理员可自定义应用的行为。

可以通过已注册设备上的移动设备管理 (MDM) OS 通道(适用于 iOS 的托管应用配置通道或适用于 Android 的企业级 Android通道)或 Intune 应用保护策略 (APP) 通道来传递应用配置。 适用于 iOS 和 Android 的 Teams 支持以下配置方案:

  • 仅允许工作或学校帐户

重要

对于需要在 Android 上进行设备注册的配置方案,必须在 Android Enterprise 中注册设备,并且必须通过托管的 Google Play 商店部署适用于 Android 的 Teams。 有关详细信息,请参阅设置 Android Enterprise 个人拥有的工作用户配置设备注册为托管 Android Enterprise 设备添加应用配置策略

每个配置方案都突出显示了其特定要求。 例如,配置方案是否需要设备注册,是否由此适用于任何 UEM 提供程序,或者是否需要 Intune 应用保护策略。

重要

应用配置密钥区分大小写。 使用正确的大小写来确保配置生效。

注意

使用 Microsoft Intune,通过 MDM OS 通道传递的应用配置称为托管设备应用配置策略 (ACP);通过应用保护策略通道提供的应用配置称为托管应用应用配置策略。

仅允许工作或学校帐户

尊重我们最大的、受严格监管的客户的数据安全和合规政策是 Microsoft 365 价值的关键支柱。 某些公司要求捕获其公司环境中的所有通信信息,并确保设备仅用于公司通信。 为了支持这些要求,可以将已注册设备上的适用于 iOS 和 Android 的 Teams 配置为仅允许在应用中预配单个公司帐户。

可在此处详细了解如何配置组织允许的帐户模式设置:

此配置方案仅适用于已注册的设备。 但是,支持任何 UEM 提供程序。 如果不使用 Microsoft Intune,则需要参阅 UEM 文档,了解如何部署这些配置密钥。

使用无域登录简化登录体验

通过应用以下策略,可以在共享和托管设备上的用户登录屏幕上预先填写域名,从而简化适用于 iOS 和 Android 的 Teams 登录体验:

名称
domain_name 提供要追加的租户域的字符串值。 使用分号分隔值添加多个域。 此策略仅适用于已注册的设备。
enable_numeric_emp_id_keypad 一个布尔值,用于指示员工 ID 全部为数字,并且应启用数字小键盘以便于输入。 如果未设置该值,则将打开字母数字键盘。 此策略仅适用于已注册的设备。

注意

这些策略仅适用于已注册的共享和托管设备。

Microsoft Teams 中的通知设置

通知可让你随时了解你周围正在发生或将要发生的情况。 它们根据设置显示在主屏幕或锁屏界面上。 使用以下选项通过应用保护策略在门户中配置通知。

选项 说明
允许 显示实际通知,其中包含所有详细信息 (标题和内容) 。
阻止组织数据 删除标题,将内容替换为聊天通知的“你有新消息”,将“有新活动”替换为其他人。 用户无法从锁屏界面 回复 通知。
Blocked 取消通知,但不通知用户。

在 Intune 中设置策略

  1. 登录到 Microsoft Intune 管理中心

  2. 在左侧导航窗格中,导航到 “应用” > “应用保护策略”。

    创建策略

  3. 单击“ 创建策略 ”并选择所需的平台,例如 iOS/iPadOS

  4. “基本信息 ”页上,添加 “名称”“说明”等详细信息。 单击下一个

  5. “应用 ”页上,单击“ 选择公共应用”,然后查找并选择 “Microsoft Teams 应用”。 单击下一个

  6. “数据保护 ”页上,找到“ 组织数据通知 ”设置,然后选择“ 阻止组织数据 ”选项。 设置要包含的用户组的 “分配” ,然后创建策略。

  7. 创建应用保护策略后,转到 “应用”“>应用配置策略>”“添加>托管应用”。

    app-configuration-policies-at-a-glance

  8. “基本信息 ”页上,添加 “名称 ”并单击“ 选择公共应用”,然后查找并选择 Microsoft Teams 应用。 单击下一个

  9. 在“常规配置设置”下,将任何通知键设置为 1,以打开聊天、频道、所有其他通知或上述任意组合的功能。 并且,设置为 0 以关闭该功能。

    名称
    com.microsoft.teams.chat.notifications.IntuneMAMOnly 1 代表 on,0 代表 off
    com.microsoft.teams.channel.notifications.IntuneMAMOnly 1 代表 on,0 代表 off
    com.microsoft.teams.other.notifications.IntuneMAMOnly 1 代表 on,0 代表 off

    app-configuration-properties-at-a-glance

  10. 设置要包含的用户组的 “分配” ,然后创建策略。

  11. 创建策略后,转到 “应用”“>应用保护策略”。 查看“已部署”列,找到新创建 的应用保护策略 ,并检查策略是否已 部署 。 对于创建的策略,“ 已部署 ”列应显示 “是 ”。 如果显示 “否”,请刷新页面,并在 10 分钟后检查。

若要在 iOS 和 Android 设备上显示通知

  1. 在设备上,登录到 Teams 和公司门户。 将其设置为“始终显示预览”>,以确保设备通知设置允许来自 Teams 的通知。
  2. 锁定设备,并向在该设备上登录的用户发送通知。 点击通知以在锁屏界面上展开通知,而无需解锁设备。
  3. 锁屏界面上的通知应如下所示, (屏幕截图来自 iOS,但 Android) 上应显示相同的字符串:
    • 不应显示锁屏界面中的 “答复 ”或其他快速通知反应的选项。

    • 发件人的头像不可见;但是,首字母缩写是可以的。

    • 通知应显示标题,但应将内容替换为聊天通知的“你有新消息”,将“有新活动”替换为其他人。

      iphone-屏幕截图

有关应用配置策略和应用保护策略的详细信息,请参阅以下主题:

后续步骤