Zarządzanie dostępem do środowiska współpracy zespołów przy użyciu aplikacji Teams dla systemów iOS i Android oraz usługi Microsoft IntuneManage team collaboration access by using Teams for iOS and Android with Microsoft Intune

Usługa Microsoft Teams to centrum współpracy zespołowej na platformie Microsoft 365 integrujące osoby, zawartość i narzędzia, dzięki którym zespół może zwiększać swoje zaangażowanie i pracować wydajniej.Microsoft Teams is the hub for team collaboration in Microsoft 365 that integrates the people, content, and tools your team needs to be more engaged and effective.

Najbogatsze i najszersze możliwości ochrony danych platformy Microsoft 365 są dostępne, jeśli subskrybujesz pakiet Enterprise Mobility + Security, który obejmuje funkcje usług Microsoft Intune i Azure Active Directory (wersja Premium) takie jak dostęp warunkowy.The richest and broadest protection capabilities for Microsoft 365 data are available when you subscribe to the Enterprise Mobility + Security suite, which includes Microsoft Intune and Azure Active Directory Premium features, such as conditional access. W wersji minimum należy wdrożyć zasady dostępu warunkowego, które umożliwiają łączność z aplikacją Teams dla systemów iOS i Android przy użyciu urządzeń przenośnych i zasad ochrony aplikacji usługi Intune, które zapewniają bezpieczne środowisko współpracy.At a minimum, you will want to deploy a conditional access policy that allows connectivity to Teams for iOS and Android from mobile devices and an Intune app protection policy that ensures the collaboration experience is protected.

Stosowanie dostępu warunkowegoApply Conditional Access

Organizacje mogą używać zasad dostępu warunkowego usługi Azure AD, aby zagwarantować, że użytkownicy uzyskują dostęp do zawartości służbowej tylko przy użyciu aplikacji Teams dla systemów iOS i Android.Organizations can use use Azure AD Conditional Access policies to ensure that users can only access work or school content using Teams for iOS and Android. W tym celu potrzebne są zasady dostępu warunkowego, które dotyczą wszystkich potencjalnych użytkowników.To do this, you will need a conditional access policy that targets all potential users. Szczegółowe informacje dotyczące tworzenia tych zasad można znaleźć w artykule Wymaganie zasad ochrony aplikacji dla dostępu do aplikacji w chmurze za pomocą dostępu warunkowego.Details on creating this policy can be found in Require app protection policy for cloud app access with Conditional Access.

  1. Postępuj zgodnie z instrukcjami w punkcie „Krok 1: Konfigurowanie zasad dostępu warunkowego usługi Azure AD dla usługi Office 365” w Scenariusz 1: Aplikacje usługi Office 365 wymagają zatwierdzonych aplikacji z zasadami ochrony aplikacji, które umożliwiają używanie aplikacji Teams dla systemów iOS i Android, a blokują nawiązywanie połączeń z punktami końcowymi usługi Office 365 przez klientów urządzeń przenośnych z obsługą autoryzacji OAuth innych firm.Follow "Step 1: Configure an Azure AD Conditional Access policy for Office 365" in Scenario 1: Office 365 apps require approved apps with app protection policies, which allows Teams for iOS and Android, but blocks third-party OAuth capable mobile device clients from connecting to Office 365 endpoints.

    Uwaga

    Dzięki tym zasadom użytkownicy urządzeń przenośnych mogą uzyskiwać dostęp do wszystkich punktów końcowych pakietu Office przy użyciu odpowiednich aplikacji.This policy ensures mobile users can access all Office endpoints using the applicable apps.

Tworzenie zasad ochrony aplikacji usługi IntuneCreate Intune app protection policies

Zasady ochrony aplikacji określają, które aplikacje są dozwolone i jakie działania mogą wykonać na danych Twojej organizacji.App Protection Policies (APP) define which apps are allowed and the actions they can take with your organization's data. Opcje dostępne w zasadach ochrony aplikacji umożliwiają organizacjom dostosowanie poziomu zabezpieczeń do swoich potrzeb.The choices available in APP enable organizations to tailor the protection to their specific needs. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane w celu wdrożenia kompletnego scenariusza.For some, it may not be obvious which policy settings are required to implement a complete scenario. Aby pomóc organizacjom w ustalaniu priorytetów związanych z ograniczaniem funkcjonalności punktu końcowego dla klientów mobilnych, firma Microsoft wprowadziła taksonomię ochrony danych aplikacji na potrzeby zarządzania aplikacjami mobilnymi w systemach iOS i Android.To help organizations prioritize mobile client endpoint hardening, Microsoft has introduced taxonomy for its APP data protection framework for iOS and Android mobile app management.

Struktura ochrony danych w zasadach ochrony aplikacji obejmuje trzy różne poziomy konfiguracji, a każdy poziom stanowi rozbudowanie poprzedniego:The APP data protection framework is organized into three distinct configuration levels, with each level building off the previous level:

  • Podstawowa ochrona danych przedsiębiorstwa (poziom 1) gwarantuje, że aplikacje są chronione kodem PIN i szyfrowane oraz że wykonywane są selektywne operacje czyszczenia danych.Enterprise basic data protection (Level 1) ensures that apps are protected with a PIN and encrypted and performs selective wipe operations. W przypadku urządzeń z systemem Android ten poziom obejmuje sprawdzanie poprawności zaświadczenia dotyczącego urządzenia z systemem Android.For Android devices, this level validates Android device attestation. Jest to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych, jak zasady skrzynki pocztowej usługi Exchange Online, i wprowadza dział IT i użytkowników do zasad ochrony aplikacji.This is an entry level configuration that provides similar data protection control in Exchange Online mailbox policies and introduces IT and the user population to APP.
  • Rozszerzona ochrona danych przedsiębiorstwa (poziom 2) uzupełnia zasady ochrony aplikacji o mechanizmy zapobiegania wyciekowi danych i minimalne wymagania dotyczące systemu operacyjnego.Enterprise enhanced data protection (Level 2) introduces APP data leakage prevention mechanisms and minimum OS requirements. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych.This is the configuration that is applicable to most mobile users accessing work or school data.
  • Wysoka ochrona danych przedsiębiorstwa (poziom 3) wprowadza zaawansowane mechanizmy ochrony danych, zaawansowaną konfigurację kodu PIN i usługę Mobile Threat Defense w ramach zasad ochrony aplikacji.Enterprise high data protection (Level 3) introduces advanced data protection mechanisms, enhanced PIN configuration, and APP Mobile Threat Defense. Ta konfiguracja jest zalecana dla użytkowników, którzy uzyskują dostęp do danych wysokiego ryzyka.This configuration is desirable for users that are accessing high risk data.

Aby zapoznać się z konkretnymi zaleceniami dla każdego poziomu konfiguracji i minimalnym zakresem aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.To see the specific recommendations for each configuration level and the minimum apps that must be protected, review Data protection framework using app protection policies.

Bez względu na to, czy urządzenie jest zarejestrowane w rozwiązaniu do ujednoliconego zarządzania punktami końcowymi, zasady ochrony aplikacji usługi Intune muszą zostać utworzone zarówno dla aplikacji systemu iOS, jak i Android, według instrukcji zawartych w artykule Jak utworzyć i przypisać zasady ochrony aplikacji.Regardless of whether the device is enrolled in an unified endpoint management (UEM) solution, an Intune app protection policy needs to be created for both iOS and Android apps, using the steps in How to create and assign app protection policies. Te zasady muszą spełniać co najmniej następujące warunki:These policies, at a minimum, must meet the following conditions:

  1. Muszą obejmować wszystkie aplikacje mobilne platformy Microsoft 365, takie jak Microsoft Edge, Outlook, OneDrive, Office i Teams, ponieważ gwarantuje to, że użytkownicy mogą bezpiecznie uzyskiwać dostęp do danych służbowych i używać ich w ramach dowolnej aplikacji firmy Microsoft.They include all Microsoft 365 mobile applications, such as Edge, Outlook, OneDrive, Office, or Teams, as this ensures that users can access and manipulate work or school data within any Microsoft app in a secure fashion.

  2. Muszą być przypisane do wszystkich użytkowników.They are assigned to all users. Gwarantuje to, że chronieni są wszyscy użytkownicy, bez względu na to, czy używają aplikacji Teams dla systemu iOS, czy Android.This ensures that all users are protected, regardless of whether they use Teams for iOS or Android.

  3. Należy ustalić, który poziom struktury spełnia Twoje wymagania.Determine which framework level meets your requirements. Większość organizacji powinna wdrożyć ustawienia określone na poziomie 2, czyli w ramach rozszerzonej ochrony danych przedsiębiorstwa, ponieważ umożliwia to korzystanie z kontrolek ochrony i wymagań dotyczących dostępu.Most organizations should implement the settings defined in Enterprise enhanced data protection (Level 2) as that enables data protection and access requirements controls.

Więcej informacji na temat dostępnych ustawień można znaleźć w tematach Ustawienia zasad ochrony aplikacji dla systemu Android oraz Ustawienia zasad ochrony aplikacji dla systemu iOS.For more information on the available settings, see Android app protection policy settings and iOS app protection policy settings.

Ważne

Aby zastosować zasady ochrony aplikacji usługi Intune do aplikacji na urządzeniach z systemem Android, które nie są zarejestrowane w usłudze Intune, użytkownik musi również zainstalować aplikację Intune — Portal firmy.To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal. Aby uzyskać więcej informacji, zobacz Czego można oczekiwać, gdy aplikacja dla systemu Android jest zarządzana przy użyciu zasad ochrony aplikacji.For more information, see What to expect when your Android app is managed by app protection policies.

Korzystanie z konfiguracji aplikacjiUtilize app configuration

Aplikacja Teams dla systemów iOS i Android obsługuje ustawienia aplikacji, które umożliwiają administratorom rozwiązań do ujednoliconego zarządzania punktami końcowymi, na przykład Microsoft Endpoint Manager, dostosowywanie działania aplikacji.Teams for iOS and Android supports app settings that allow unified endpoint management, like Microsoft Endpoint Manager, administrators to customize the behavior of the app.

Konfiguracja aplikacji może być dostarczana za pośrednictwem kanału zarządzania urządzeniami mobilnymi (MDM) w systemie operacyjnym na zarejestrowanych urządzeniach (kanał konfiguracja aplikacji zarządzanych dla systemu iOS lub kanał system Android w przedsiębiorstwie dla systemu Android) lub za pośrednictwem kanału zasad ochrony aplikacji w usłudze Intune.App configuration can be delivered either through the mobile device management (MDM) OS channel on enrolled devices (Managed App Configuration channel for iOS or the Android in the Enterprise channel for Android) or through the Intune App Protection Policy (APP) channel. Aplikacja Teams dla systemów iOS i Android obsługuje następujące scenariusze konfiguracji:Teams for iOS and Android supports the following configuration scenarios:

  • Zezwalaj tylko na konta służboweOnly allow work or school accounts

Ważne

W przypadku scenariuszy konfiguracji wymagających rejestracji urządzenia w systemie Android urządzenia muszą być zarejestrowane w systemie Android Enterprise, a aplikacja Teams dla systemu Android musi być wdrożona za pośrednictwem sklepu zarządzanego Google Play.For configuration scenarios that require device enrollment on Android, the devices must be enrolled in Android Enterprise and Teams for Android must be deployed via the Managed Google Play store. Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji urządzeń z profilem służbowym systemu Android Enterprise i Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android Enterprise.For more information, see Set up enrollment of Android Enterprise work profile devices and Add app configuration policies for managed Android Enterprise devices.

Każdy scenariusz konfiguracji ma określone wymagania.Each configuration scenario highlights its specific requirements. Na przykład może wymagać rejestracji urządzenia i tym samym współdziałać z dowolnym dostawcą rozwiązań do ujednoliconego zarządzania punktami końcowymi lub wymagać zasad ochrony aplikacji usługi Intune.For example, whether the configuration scenario requires device enrollment, and thus works with any UEM provider, or requires Intune App Protection Policies.

Uwaga

W przypadku rozwiązania Microsoft Endpoint Manager konfiguracja aplikacji dostarczana za pośrednictwem kanału rozwiązania MDM w systemie operacyjnym jest nazywana zasadami konfiguracji aplikacji urządzeń zarządzanych. Konfiguracja aplikacji dostarczana za pośrednictwem kanału zasad ochrony aplikacji nazywana jest zasadami konfiguracji aplikacji zarządzanych.With Microsoft Endpoint Manager, app configuration delivered through the MDM OS channel is referred to as a Managed Devices App Configuration Policy (ACP); app configuration delivered through the App Protection Policy channel is referred to as a Managed Apps App Configuration Policy.

Zezwalaj tylko na konta służboweOnly allow work or school accounts

Przestrzeganie zasad zabezpieczeń i zgodności danych naszych największych klientów podlegających szczegółowym regulacjom to kluczowa podstawa wartości platformy Microsoft 365.Respecting the data security and compliance policies of our largest and highly regulated customers is a key pillar to the Microsoft 365 value. Niektóre firmy muszą przechwytywać wszystkie informacje dotyczące komunikacji w środowisku firmowym, a także upewniać się, że urządzenia są używane tylko do komunikacji firmowej.Some companies have a requirement to capture all communications information within their corporate environment, as well as, ensure the devices are only used for corporate communications. Aby zapewnić obsługę tych wymagań, można tak skonfigurować aplikację Teams dla systemów iOS i Android na zarejestrowanych urządzeniach, aby zezwalała na aprowizowanie tylko jednego konta firmowego w aplikacji.To support these requirements, Teams for iOS and Android on enrolled devices can be configured to only allow a single corporate account to be provisioned within the app.

Więcej informacji na temat konfigurowania ustawienia trybu kont dozwolonych w organizacji można znaleźć tutaj:You can learn more about configuring the org allowed accounts mode setting here:

Ten scenariusz konfiguracji działa tylko z zarejestrowanymi urządzeniami.This configuration scenario only works with enrolled devices. Obsługiwany jest jednak każdy dostawca rozwiązania do ujednoliconego zarządzania punktami końcowymi.However, any UEM provider is supported. Jeśli nie korzystasz z rozwiązania Microsoft Endpoint Manager, musisz sprawdzić dokumentację rozwiązania do ujednoliconego zarządzania punktami końcowymi, aby dowiedzieć się, jak wdrożyć klucze konfiguracji.If you are not using Microsoft Endpoint Manager, you need to consult with your UEM documentation on how to deploy these configuration keys.

Następne krokiNext steps