Microsoft Teams 是 Microsoft 365 中團隊協作的中心,它集成了您的團隊所需的人員、內容和工具,以提高參與度和效率。
當您訂閱 Enterprise Mobility + Security 套件時,可以使用 Microsoft 365 數據最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。 您至少需要部署條件式存取原則,以允許從行動裝置連線到適用於 iOS 和 Android 的 Teams,以及確保共同作業體驗受到保護的 Intune 應用程式保護原則。
套用條件式存取
組織可以使用 Microsoft Entra 條件式存取原則來確保使用者只能使用適用於 iOS 和 Android 的 Teams 來存取公司或學校內容。 若要這樣做,您將需要以所有潛在使用者為目標的條件式存取原則。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
注意事項
若要利用應用程式型條件式存取原則,必須在 iOS 裝置上安裝 Microsoft Authenticator 應用程式。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取。
請遵循 行動裝置需要已核准的用戶端應用程式或應用程式保護原則中的步驟,這允許適用於 iOS 和 Android 的 Teams,但會封鎖支援 OAuth 的第三方行動裝置用戶端連線到 Microsoft 365 端點。
注意事項
此原則可確保行動裝置使用者可以使用適用的應用程式存取所有 Microsoft 365 端點。
建立 Inunte 應用程式防護原則
應用程式防護原則會定義允許哪些應用程式,以及它們可以對組織的資料採取哪些動作。 應用程式保護原則中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動用戶端端點強化的優先順序,Microsoft 已為其應用程式保護原則 iOS 和 Android 行動應用程式管理的資料保護架構引進分類。
應用程式保護原則資料保護架構會組織成三個不同的設定層級,每個層級都以前一個層級為基礎:
- 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
- 企業增強型資料保護 (層級 2) 引進應用程式保護原則、資料外洩防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
- 企業高資料保護 (第 3 級) 引入了進階資料保護機制、增強的 PIN 設定和應用程式保護策略行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。
若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構。
無論裝置是否已在整合端點管理 (UEM) 解決方案中註冊,都必須使用 如何建立和指派應用程式防護原則 中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式防護原則。 這些原則至少必須符合下列條件:
它們包含所有 Microsoft 365 行動應用程式,例如 Edge、Outlook、OneDrive、Office 或 Teams,因為這可確保使用者可以安全的方式存取及操作任何 Microsoft 應用程式內的工作或學校資料。
它們會指派給所有使用者。 這可確保所有使用者都受到保護,無論他們使用的是 iOS 版還是 Android 版 Teams。
判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。
如需可用設定的詳細資訊,請參閱 Android 應用程式防護原則設定 和 iOS 應用程式防護原則設定。
重要事項
若要針對未在 Intune 中註冊的 Android 裝置上的應用程式套用 Intune 應用程式保護原則,使用者也必須安裝 Intune 公司入口網站。
利用應用程式設定
適用於 iOS 和 Android 的 Teams 支援允許統一端點管理的應用程式設定,例如 Microsoft Intune,系統管理員可以自訂應用程式的行為。
應用程式設定可以透過已註冊裝置上的行動裝置管理 (MDM) 作業系統通道 (適用于 iOS 的 受管理的應用程式設定 通道或適用于 Android 的 Android 企業版 通道) 或透過 Intune 應用程式防護原則 (APP) 通道傳遞。 iOS 和 Android 版 Teams 支援下列設定案例:
- 只允許公司或學校帳戶
重要事項
對於需要在 Android 上註冊裝置的設定案例,裝置必須在 Android Enterprise 中註冊,而且必須透過受控 Google Play 市集部署適用於 Android 的 Teams。 如需詳細資訊,請參閱 設定 Android Enterprise 個人擁有工作設定檔裝置的註冊 和 新增受控 Android Enterprise 裝置的應用程式組態原則。
每個設定案例都會強調其特定需求。 例如,設定案例是否需要裝置註冊,因此可與任何 UEM 提供者搭配使用,或需要 Intune 應用程式防護原則。
重要事項
應用程式組態金鑰會區分大小寫。 使用適當的大小寫以確保設定生效。
注意事項
使用 Microsoft Intune,透過 MDM 作業系統通道傳遞的應用程式設定稱為 [受管理的裝置] 應用程式設定原則 (ACP);透過應用程式防護原則通道傳遞的應用程式設定稱為 [受管理的應用程式] 應用程式設定原則。
只允許公司或學校帳戶
遵守我們最大且高度管制客戶的資料安全性與合規性原則是 Microsoft 365 價值的重要要素。 有些公司需要擷取其公司環境中的所有通訊資訊,以及確保裝置僅用於公司通訊。 為了支援這些需求,可以在已註冊的裝置上設定 iOS 和 Android 版 Teams ,以只允許在應用程式內布建單一公司帳戶。
您可以在這裡深入瞭解如何設定組織允許的帳戶模式設定:
此設定案例僅適用于已註冊的裝置。 不過,支援任何 UEM 提供者。 如果您未使用 Microsoft Intune,則需要參閱 UEM 檔,瞭解如何部署這些組態金鑰。
使用無網域登入簡化登入體驗
您可以套用下列原則,在共用和受控裝置上的使用者登入畫面上預先填入網域名稱,以簡化 iOS 版和 Android 版 Teams 上的登入體驗:
| 名稱 | 值 |
|---|---|
| domain_name | 提供要附加之租用戶網域的字串值。 使用分號分隔值來新增多個網域。 此原則僅適用於已註冊的裝置。 |
| enable_numeric_emp_id_keypad | 布林值,用於指示員工 ID 都是數字,並且應啟用數字鍵盤以便於輸入。 如果未設定該值,則英數字元鍵盤將開啟。 此原則僅適用於已註冊的裝置。 |
注意事項
這些原則僅適用於已註冊的共用和受控裝置。
Microsoft Teams 中的通知設定
通知可讓您隨時了解周圍正在發生或將要發生的事情。 它們根據設置出現在主屏幕或鎖定屏幕上。 使用下列選項,透過應用程式保護原則在入口網站上設定通知。
| 選項 | 描述 |
|---|---|
| 允許 | 顯示實際通知,其中包含標題和內容 () 的所有詳細資訊。 |
| 封鎖組織資料 | 刪除標題並將內容替換為聊天通知的“您有新消息”,其他人的“有新活動”。 使用者將無法 從 鎖定畫面回覆通知。 |
| 已封鎖 | 隱藏通知,而且不會通知使用者。 |
在 Intune 中設定原則
在左側導覽窗格中,流覽至 [應用程式>保護]。
按一下 [建立原則 ],然後選取您想要的平臺,例如 iOS/iPadOS。
在 [基本] 頁面上,新增詳細資料,例如 [名稱] 和 [描述]。 按一下[下一步]。
在 [ 應用程式 ] 頁面上,按一下 [選取公用應用程式],然後尋找並選取 Microsoft Teams 應用程式。 按一下[下一步]。
在 [資料保護 ] 頁面上,尋找 [組織資料通知 ] 設定,然後選取 [ 封鎖組織資料 ] 選項。 設定要包含的使用者群組的 指派 ,然後建立您的原則。
建立應用程式保護原則之後,請移至 [應用程式>設定>] [建立>受控應用程式]。
在 [基本] 頁面上,新增 [名稱 ],然後按一下 [選取公用應用程式],然後尋找並選取 Microsoft Teams 應用程式。 按一下[下一步]。
在 [一般組態設定] 下,將任何通知鍵設定為 1 ,以 開啟 聊天、頻道、所有其他通知或任何這些組合的功能。 並且,設置為 0 以關閉該功能。
名稱 值 com.microsoft.teams.chat.notifications.IntuneMAMOnly 1 表示開啟, 0 表示關閉 com.microsoft.teams.channel.notifications.IntuneMAMOnly 1 表示開啟, 0 表示關閉 com.microsoft.teams.other.notifications.IntuneMAMOnly 1 表示開啟, 0 表示關閉 
設定要包含的使用者群組的 指派 ,然後建立您的原則。
建立原則之後,請移至 [應用程式>保護]。 尋找您新建立的應用程式防護原則,並檢閱 [已部署] 資料行來檢查原則是否已部署。 已 部署 資料行 應顯示已 建立原則的是。 如果顯示 否,請重新整理頁面,並在 10 分鐘後檢查。
讓通知顯示在 iOS 和 Android 裝置上
- 在裝置上,同時登入 Teams 和公司入口網站。 將它設定為[一律顯示預覽>],以確保您的裝置通知設定允許來自 Teams 的通知。
- 鎖定裝置並傳送通知給在該裝置上登入的使用者。 點擊通知即可在鎖定畫面上展開通知,而無需解鎖裝置。
- 鎖定畫面上的通知應如下所示 (螢幕截圖來自 iOS,但在 Android) 上應顯示相同的字串:
不應看到來自鎖定屏幕的 回复 或其他快速通知響應選項。
寄件者的頭像不可見;但是,首字母是可以的。
通知應顯示標題,但將內容替換為聊天通知的“您有新消息”,而其他人則將內容替換為“有新活動”。
如需應用程式設定原則和應用程式保護原則的詳細資訊,請參閱下列主題: