如果您需要瞭解單一登入 (SSO) 、MS) (新式驗證,以及) MA (多重要素驗證等技術如何影響使用者的登入體驗,本文可協助釐清使用者和系統管理員可以預期看到的內容。 它還概述了 macOS、Android 和 iOS 設備的登錄行為、使用多個帳戶登錄的運作方式、如何在登錄屏幕上刪除自動填充的憑據或“預填充”、如何限制登錄,以及如何在共享和管理的移動設備上使用無域登錄簡化登錄體驗。
如果您的角色涉及瞭解登入期間 Microsoft 小組的預期行為,請將本文加入書籤。
Microsoft Teams 和 Windows 使用者:登入建議
Microsoft 建議組織使用最新版本的 Windows 10 搭配混合式網域加入或 Microsoft Entra 加入設定。 使用最近的版本能確保在 Windows 網頁帳戶管理員中已將使用者的帳戶準備好,進而讓您以單一的方式登入 Teams 和其他 Microsoft 應用程式。 單一登入可提供更好的使用者體驗 (無訊息式登入) 和加強的安全性狀況。
Microsoft Teams 使用新式驗證讓登入體驗更加簡單可靠。 若要瞭解使用者如何登入 Teams,請閱讀登入 Teams。
MA (新式驗證) 如何影響您的登入:當 MA 開啟時,使用者會看到什麼
新式驗證是程式的一部分,可讓 Teams 知道使用者已在其他地方輸入其認證,例如其工作電子郵件和密碼,而且不需要再次輸入認證即可啟動應用程式。 體驗取決於幾個因素,例如使用者是在 Windows 作業系統中工作還是在 Mac 上工作。
登入行為也會因您的組織是否已啟用單一因素驗證或多重要素驗證而有所不同。 多重要素驗證通常涉及透過手機驗證認證、提供唯一的代碼、輸入 PIN,或出示指紋。
使用 Teams 的每一個組織都能使用新式驗證。 如果使用者無法完成程式,則貴組織的 Microsoft Entra 設定可能有潛在問題。 如需詳細資訊,請參閱為何我無法登入 Microsoft Teams?
以下是使用者在每個新式驗證案例中可以預期的行為摘要。
如果使用者已使用其公司或學校帳戶登入 Windows 或其他 Office 應用程式,則當他們啟動 Teams 時,系統會直接前往應用程式。 不需要再輸入認證。
Microsoft 建議使用 Windows 10 版本 1903 或更高版本,以獲得最佳的單一登入體驗。
如果使用者未登入其他任何地方的Microsoft公司或學校帳戶,當他們啟動 Teams 時,系統會要求他們提供單一因素或多重要素驗證 (SFA 或 MFA) 。 此程序取決於貴組織決定登入程式所需的方式。
如果使用者登入加入網域的電腦,當他們啟動 Teams 時,系統可能會要求他們執行一個進一步的驗證步驟,視您的組織是否選擇要求 MFA 或他們的電腦是否要求 MFA 才能登入而定。 如果使用者的電腦要求 MFA 才能登入,當他們開啟 Teams 時,應用程式會自動啟動。
在已加入網域的電腦上,當無法進行 SSO 時,Teams 可能會使用使用者主體名稱 (UPN) 預先填入其登入畫面。 在某些情況下,您可能不想要這樣做,特別是如果您的組織在內部部署和 Microsoft Entra ID 中使用不同的 UPN。 如果是這種情況, 您可以使用下列 Windows 登錄機碼來關閉 UPN 的預先填入:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
SkipUpnPrefill(REG_DWORD)
0x00000001 (1)備註
預設會針對以 “.local” 或 “.corp” 結尾的使用者名稱略過或忽略使用者名稱預先填入,因此您不需要設定登錄機碼來關閉這些功能。
Microsoft Teams 登入已加入網域的電腦上的另一個帳戶
在加入網域的電腦上的使用者可能無法使用在同一 Active Directory 網域中的另一個帳戶登入 Teams。
macOS 使用者和 Microsoft Teams 登入提示
在 macOS 上,Teams 會提示使用者輸入其使用者名稱和認證,並可能會根據您組織的設定提示進行多重要素驗證。 使用者輸入認證後,就不需要再次提供這些認證。 從這時起,只要他們在同一部電腦上工作,Teams 就會自動啟動。
適用於 iOS 和 Android 使用者的 Microsoft Teams 登入
登入後,行動使用者將會看到目前登入或先前已在其裝置上登入的所有 Microsoft 365 帳戶清單。 使用者可以點選任何帳戶以登入。 以行動裝置登入會有下列兩種案例:
如果選取的帳戶目前已登入其他 Office 365 或 Microsoft 365 應用程式,則使用者會直接前往 Teams。 使用者不需要輸入認證。
如果使用者未在其他任何地方登入其 Microsoft 365 帳戶,系統會要求他們提供單一因素或多重要素驗證 (SFA 或 MFA) ,視您的組織為行動登入原則設定的內容而定。
備註
若要讓使用者體驗本節所述的 sign-n 體驗,其裝置必須執行 iOS 版 Teams 2.0.13 (組建 2020061704) 或更新版本,或 Android 版 Teams 1416/1.0.0.2020061702 版或更新版本。
將 Microsoft Teams 與多個帳戶搭配使用
iOS 和 Android 版 Teams 支援多個公司、學校和多個個人帳戶並行使用。 Teams 桌面應用程式會在 2020 年 12 月支援並行使用一個公司/學校和一個個人帳戶,稍後即將推出支援多個公司/學校帳戶。
下列圖片顯示使用者如何在 Teams 行動裝置應用程式中新增多個帳戶。
限制登入 Microsoft Teams
組織可能想要限制在受控裝置上使用公司核准的應用程式的方式,例如限制學生或員工從其他組織存取數據的能力,或將公司核准的應用程式用於個人案例。 可以透過設定 Teams 應用程式可識別的裝置原則來強制執行這些限制。
如何限制行動裝置上的 Microsoft Teams 登入
已註冊裝置上適用於 iOS 和 Android 的 Teams 應用程式可以設定為只允許在應用程式內布建單一公司帳戶。 此功能適用於任何使用 iOS 受控應用程式組態通道或 Android Android Enterprise 通道的 MDM 提供者。
對於在 Microsoft Intune 中註冊的使用者,您可以使用 Intune 入口網站部署帳戶組態設定。
當 MDM 提供者設定好帳戶組態設定且使用者註冊其裝置之後,iOS 和 Android 版 Teams 在 Teams 登入頁面上將只會顯示允許的帳戶。 使用者可以點選此頁面中任何允許的帳戶以登入。
在受管理的裝置的 Azure Intune 入口網站中設定下列設定參數。
| 平台 | 機碼 | 值 |
|---|---|---|
| iOS | IntuneMAMAllowedAccountsOnly |
已啟用: 唯一允許的帳戶是由 IntuneMAMUPN 機碼所定義的受管用戶帳戶。 已停用 (或任何不區分大小寫的值與 已啟用) 相 符:允許任何帳戶。 |
| iOS | IntuneMAMUPN | 允許登入 Teams 的帳戶 UPN。 如果您是 Intune 註冊的裝置,可以使用 {{userprincipalname}} 符號來代表已註冊的使用者帳戶。 |
| Android | com.microsoft.intune.mam.AllowedAccountUPNs | 唯一允許的帳戶是由此機碼所定義的受管使用者帳戶。 以一或多個分號 ;]- 分隔 UPN。 如果您是 Intune 註冊的裝置,可以使用 {{userprincipalname}} 符號來代表已註冊的使用者帳戶。 |
當帳戶設定完成之後, Teams 會限制登入的能力,因此只有登入的裝置上允許的帳戶才能取得存取權。
若要為受管理的 iOS/iPadOS 裝置建立應用程式設定原則,請參閱 為受控 iOS/iPadOS 裝置新增應用程式設定原則。
若要為受管理的 Android 裝置建立應用程式設定原則,請參閱新增受管理的 Android 裝置應用程式設定原則。
如何限制桌面裝置上的 Teams 登入
Windows 和 macOS 上的 Microsoft Teams 應用程式正在獲得對限制登入組織的裝置原則的支援。 這些原則可以透過一般的裝置管理解決方案 (例如 MDM (行動裝置管理) 或 GPO (群組原則物件)) 進行設定。
在裝置上設定此原則時,使用者只能使用位於原則中定義的「租使用者允許清單」中包含的 Microsoft Entra 租使用者中的帳戶登入。 原則會套用至所有的登入,包括第一個和其他的帳戶。 如果您的組織跨越多個 Microsoft Entra 租用戶,您可以在允許清單中包含多個租用戶識別碼。 新增另一個帳戶的連結可能會繼續顯示在 Teams 應用程式中,但無法操作。
備註
- 原則只會限制登入。它不會限制使用者在其他Microsoft Entra租用戶中被邀請為來賓的能力,或切換到已邀請使用者為來賓) 的其他租用戶 (。
- 原則需要 Windows 版 Teams 版本 1.3.00.30866 或更新版本,以及 macOS 版 Teams 版本 1.3.00.30882 (於 2020 年 11 月中發行)。
適用於 Windows 系統管理範本檔案 (ADMX/ADML) 的原則可從下載中心 取得 (系統管理範本檔案中的原則設定描述性名稱為 [將 Teams 的登入限制為特定租用戶中的帳戶]) 提供。 此外,您可以在 Windows 登錄中手動設定金鑰:
- 值名稱:RestrictTeamsSignInToAccountsFromTenantList
- 值類型:字串
- 值資料:租用戶識別碼或逗號分隔的租用戶識別碼清單
- 路徑:請使用下列其中之一
Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Teams
範例: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 或 SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 1,Tenant ID 2,Tenant ID 3
適用於 macOS 的原則 針對 macOS 的受管理裝置,請使用 .plist 來部署登入限制。 設定檔是一個 .plist 檔案,由金鑰 (表示喜好設定的名稱) 所識別的項目所組成,後接一個值 (取決於喜好設定的性質)。 值可以為簡單 (例如數值) 或複雜 (例如喜好設定的巢狀清單)。
- 網域:com.microsoft.teams
- 金鑰:RestrictTeamsSignInToAccountsFromTenantList
- 資料類型:字串
- 註解:輸入逗號的租用戶 ID 清單Microsoft Entra (的)
全域登入和 Microsoft Teams
我們在共用裝置上改進的登入體驗為第一線員工提供了輕鬆的登入。 員工可以從共用裝置集區中挑選一部裝置,並執行單一登入,以在其班次期間將之作為自己的裝置。 在班次結束時,他們應該能夠執行登出,以便在裝置上全域登出。 請參閱登出 Teams 以深入了解。 這會自裝置移除其個人與公司資訊,他們便能將裝置歸還裝置集區。 若要取得這項功能,裝置必須設定為共用模式。 請務必在登出之前結束裝置上的任何進行中的會議或通話。
Android:若要瞭解如何在共用模式下設定 Android 裝置,請參閱如何在 Android 中使用共用裝置模式。
iOS:若要在 iOS 上將裝置設定為共用模式,請參閱如何在 iOS 上使用共用裝置模式。 將裝置設定為共用模式後,請從應用程式商店下載 Teams 應用程式。
登入體驗看起來類似我們的標準 Teams 登入體驗。
使用無網域登入簡化登入體驗
您可以在共用和受控裝置上的使用者在登入畫面上預先填入網域名稱,以簡化 iOS 和 Android 版 Teams 上的登入體驗。 使用者輸入其 UPN (的第一部分而不) 網域名稱來登入。 例如,如果使用者名稱是 123456@contoso.com 或 adelev@contoso.com,使用者可以分別使用 “123456” 或 “adelev” 及其密碼來登入。
登入 Teams 會更快、更容易,特別是對於共用裝置上的第一線員工等定期登入和登出的員工而言。
備註
若要讓使用者體驗本節所述的登入體驗,其裝置必須執行 iOS 版 Teams 6.6.0 版或更新版本,或 Android 版 Teams 1416/1.0.0.2024053003 版或更新版本。
| 名稱 | 值 |
|---|---|
| domain_name | 提供要附加之租用戶網域的字串值。 使用分號分隔值來新增多個網域。 |
| enable_numeric_emp_id_keypad | 布林值,用於指示員工 ID 都是數字,並且應啟用數字鍵盤以便於輸入。 如果未設定值,則會開啟英數字元鍵盤。 |
Teams 會使用與任何使用 iOS 受控應用程式組態通道或 Android Android Enterprise 通道的 MDM 提供者搭配使用的應用程式設定。
如果您使用 Microsoft Intune,請參閱 使用 Microsoft Intune 管理 iOS 版和 Android 版 Teams 中的共同作業體驗。
若要使用圖形 API 套用應用程式設定原則,請參閱 managedDeviceMobileAppConfiguration 資源類型。
為您的自訂應用程式啟用無網域登入
無網域登入 Teams 依賴應用程式設定通道,所有主要 MDM 提供者都支援此通道。 Android 和 iOS 上的所有協力廠商或自訂 LOB 應用程式都可以支援無網域登入,但需要一些額外的工作。
請遵循下列步驟,在應用程式中實作無網域登入:
設定應用程式的domain_name應用程式組態金鑰。
在企業中使用受管理應用程式組態和 Android 來讀取組態。 以下是如何讀取 iOS 和 Android 程式碼中的值的範例。
自定義您的登錄體驗以收集用戶名並在屏幕上預填充獲取的domain_name。 如果您使用 MSAL) (Microsoft驗證程式庫,您可以進行下列呼叫,以取得在畫面上收集使用者名稱的權杖貼文。
- iOS: 適用於 iOS 和 macOS 的 Microsoft 驗證程式庫
- Android:適用於 Android 的 Microsoft 驗證程式庫 (MSAL)
簡訊登入
基於 SMS 的身份驗證允許用戶在不提供甚至不知道其用戶名和密碼的情況下登錄。 使用者在登入提示中輸入電話號碼,並收到用於完成登入的簡訊驗證碼。 這種身份驗證方法簡化了對應用程式和服務的訪問,特別是對於第一線員工。
若要深入瞭解,請參閱使用 Microsoft Entra ID 設定和啟用使用者以簡訊為基礎的驗證。
Microsoft Teams 的 URL 和 IP 位址範圍
Teams 需要連線到網際網路。 若要瞭解客戶在 Office 365 方案、政府和其他雲端中使用 Teams 能夠連線的端點,請參閱 Office 365 URL 和 IP 位址範圍。