Zarządzanie środowiskami współpracy w usłudze Teams dla systemów iOS i Android przy użyciu Microsoft Intune
Microsoft Teams to centrum współpracy zespołowej na platformie Microsoft 365, które integruje osoby, zawartość i narzędzia, których twój zespół potrzebuje, aby był bardziej zaangażowany i skuteczny.
Najbogatsze i najszersze możliwości ochrony danych platformy Microsoft 365 są dostępne podczas subskrybowania pakietu Enterprise Mobility + Security, który obejmuje funkcje usług Microsoft Intune i Tożsamość Microsoft Entra w warstwie P1 i P2, takie jak dostęp warunkowy. Co najmniej należy wdrożyć zasady dostępu warunkowego, które umożliwiają łączność z usługą Teams dla systemów iOS i Android z urządzeń przenośnych oraz zasady ochrony aplikacji Intune, które zapewniają ochronę środowiska współpracy.
Zastosuj dostęp warunkowy
Organizacje mogą używać Microsoft Entra zasad dostępu warunkowego, aby zapewnić użytkownikom dostęp tylko do zawartości służbowych przy użyciu aplikacji Teams dla systemów iOS i Android. W tym celu potrzebne są zasady dostępu warunkowego, które dotyczą wszystkich potencjalnych użytkowników. Te zasady zostały opisane w artykule Dostęp warunkowy: Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji.
Uwaga
Aby korzystać z zasad dostępu warunkowego opartego na aplikacji, aplikacja Microsoft Authenticator musi być zainstalowana na urządzeniach z systemem iOS. W przypadku urządzeń z systemem Android wymagana jest aplikacja Intune — Portal firmy. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy oparty na aplikacji przy użyciu usługi Intune.
Wykonaj kroki opisane w temacie Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji na urządzeniach przenośnych, co umożliwia usłudze Teams dla systemów iOS i Android, ale blokuje klientom urządzeń przenośnych obsługujących protokół OAuth innej firmy łączenie się z punktami końcowymi platformy Microsoft 365.
Uwaga
Te zasady zapewniają użytkownikom mobilnym dostęp do wszystkich punktów końcowych platformy Microsoft 365 przy użyciu odpowiednich aplikacji.
Utwórz zasady ochrony aplikacji usługi Intune
Zasady ochrony aplikacji (zasady APP) definiują, które aplikacje są dozwolone, oraz akcje, jakie mogą wykonywać na danych Twojej organizacji. Opcje dostępne w zasadach APP umożliwiają organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane do wdrożenia pełnego scenariusza. Aby ułatwić organizacjom ustalanie priorytetów zabezpieczeń punktów końcowych klientów na urządzeniach przenośnych, firma Microsoft wprowadziła taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami na urządzeniach przenośnych dla systemów iOS i Android.
Struktura ochrony danych zasad APP jest podzielona na trzy różne poziomy konfiguracji, przy czym każdy poziom opiera się na poziomie poprzednim:
- Podstawowa ochrona danych w przedsiębiorstwie (poziom 1) zapewnia, że aplikacje są chronione przy użyciu kodu PIN i szyfrowane, a także wykonuje selektywne operacje czyszczenia. W przypadku urządzeń z systemem Android ten poziom weryfikuje zaświadczanie urządzenia z systemem Android. Jest to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych w zasadach skrzynek pocztowych usługi Exchange Online oraz wprowadza specjalistów IT i populację użytkowników do aplikacji.
- Rozszerzona ochrona danych w przedsiębiorstwie (poziom 2) wprowadza mechanizmy zapobiegania wyciekom danych aplikacji i minimalne wymagania dotyczące systemu operacyjnego. Jest to konfiguracja, która ma zastosowanie w przypadku większości użytkowników na urządzeniach przenośnych uzyskujących dostęp do danych służbowych.
- Wysoka ochrona danych w przedsiębiorstwie (poziom 3) wprowadza zaawansowane mechanizmy ochrony danych, rozszerzoną konfigurację kodu PIN i zasady APP dotyczące obrony przed zagrożeniami mobilnymi. Ta konfiguracja jest pożądana dla użytkowników uzyskujących dostęp do danych wysokiego ryzyka.
Aby zobaczyć specyficzne zalecenia dotyczące każdego poziomu konfiguracji i minimalną liczbę aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.
Niezależnie od tego, czy urządzenie jest zarejestrowane w rozwiązaniu do ujednoliconego zarządzania punktami końcowymi (rozwiązanie UEM), należy utworzyć zasady ochrony aplikacji usługi Intune dla aplikacji dla systemów iOS i Android, wykonując kroki opisane w artykule Jak utworzyć i przypisać zasady ochrony aplikacji. Te zasady muszą spełniać co najmniej następujące warunki:
Obejmują one wszystkie aplikacje na urządzenia przenośne platformy Microsoft 365, takie jak Edge, Outlook, OneDrive, Office czy Teams, ponieważ zapewniają użytkownikom bezpieczny dostęp do danych służbowych oraz manipulowanie tymi danymi w dowolnej aplikacji firmy Microsoft.
Są one przypisane do wszystkich użytkowników. Dzięki temu wszyscy użytkownicy są chronieni niezależnie od tego, czy korzystają z aplikacji Teams dla systemu iOS, czy Android.
Określ, który poziom struktury spełnia Twoje wymagania. Większość organizacji powinna wdrożyć ustawienia zdefiniowane w artykule Rozszerzona ochrona danych przedsiębiorstwa (poziom 2), ponieważ umożliwiają one kontrolę wymagań dotyczących ochrony danych i dostępu.
Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Ustawienia zasad ochrony aplikacji dla systemu Android i Ustawienia zasad ochrony aplikacji dla systemu iOS.
Ważna
Aby zastosować zasady ochrony aplikacji Intune względem aplikacji na urządzeniach z systemem Android, które nie są zarejestrowane w Intune, użytkownik musi również zainstalować Intune — Portal firmy.
Korzystanie z konfiguracji aplikacji
Usługa Teams dla systemów iOS i Android obsługuje ustawienia aplikacji, które umożliwiają ujednolicone zarządzanie punktami końcowymi, takie jak Microsoft Intune, administratorom dostosowywanie zachowania aplikacji.
Konfigurację aplikacji można dostarczać za pośrednictwem kanału zarządzania urządzeniami przenośnymi (MDM) na zarejestrowanych urządzeniach (zarządzany kanał App Configuration dla systemu iOS lub Android w kanale Enterprise dla systemu Android) lub za pośrednictwem kanału Intune App Protection Policy (APP). Usługa Teams dla systemów iOS i Android obsługuje następujące scenariusze konfiguracji:
- Zezwalaj tylko na konta służbowe
Ważna
W przypadku scenariuszy konfiguracji, które wymagają rejestracji urządzeń w systemie Android, urządzenia muszą być zarejestrowane w systemie Android Enterprise, a aplikacje Teams dla systemu Android muszą zostać wdrożone za pośrednictwem zarządzanego sklepu Google Play. Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji osobistych urządzeń z profilem służbowym dla systemu Android Enterprise i Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android Enterprise.
Każdy scenariusz konfiguracji wyróżnia jego specyficzne wymagania. Na przykład czy scenariusz konfiguracji wymaga rejestracji urządzenia, a tym samym współpracuje z dowolnym dostawcą rozwiązania UEM, czy też wymaga zasad ochrony aplikacji usługi Intune.
Ważna
W kluczach konfiguracji aplikacji rozróżniana jest wielkość liter. Użyj odpowiedniej wielkości liter, aby mieć pewność, że konfiguracja przyniesie efekt.
Uwaga
W przypadku Microsoft Intune konfiguracja aplikacji dostarczana za pośrednictwem kanału mdm os jest określana jako zasady App Configuration urządzeń zarządzanych (ACP); konfiguracja aplikacji dostarczana za pośrednictwem kanału zasad ochrony aplikacji jest określana jako zasady App Configuration aplikacje zarządzane.
Zezwalaj tylko na konta służbowe
Poszanowanie zasad zabezpieczeń danych i zgodności naszych największych klientów podlegających ścisłym regulacjom jest kluczowym filarem wartości platformy Microsoft 365. Niektóre firmy muszą przechwytywać wszystkie informacje komunikacyjne w swoim środowisku firmowym, a także upewnić się, że urządzenia są używane wyłącznie do celów komunikacji firmowej. Aby spełnić te wymagania, aplikacje Teams dla systemów iOS i Android na zarejestrowanych urządzeniach można skonfigurować tak, aby zezwalały na aprowizowanie tylko jednego konta firmowego w aplikacji.
Więcej informacji na temat konfigurowania ustawienia trybu kont dozwolonych dla organizacji można znaleźć tutaj:
Ten scenariusz konfiguracji działa tylko z zarejestrowanymi urządzeniami. Obsługiwany jest jednak każdy dostawca rozwiązania UEM. Jeśli nie używasz Microsoft Intune, zapoznaj się z dokumentacją UEM dotyczącą sposobu wdrażania tych kluczy konfiguracji.
Uproszczenie środowiska logowania przy użyciu logowania bez domeny
Środowisko logowania w aplikacji Teams dla systemów iOS i Android można uprościć, wypełniając wstępnie nazwę domeny na ekranie logowania dla użytkowników na urządzeniach udostępnionych i zarządzanych, stosując następujące zasady:
| Name (Nazwa) | Value |
|---|---|
| Nazwa_domeny | Wartość ciągu zapewniająca domenę dzierżawy do dołączenia. Użyj wartości rozdzielanej średnikami, aby dodać wiele domen. Te zasady działają tylko na zarejestrowanych urządzeniach. |
| enable_numeric_emp_id_keypad | Wartość logiczna używana do wskazywania, że identyfikator pracownika jest liczbowy, a klawiatura liczbowa powinna być włączona w celu łatwego wprowadzania. Jeśli wartość nie zostanie ustawiona, zostanie otwarta klawiatura alfanumeryczna. Te zasady działają tylko na zarejestrowanych urządzeniach. |
Uwaga
Te zasady będą działać tylko na zarejestrowanych urządzeniach udostępnionych i zarządzanych.
Ustawienia powiadomień w usłudze Microsoft Teams
Powiadomienia na bieżąco informują o tym, co się dzieje lub dzieje się wokół Ciebie. Są one wyświetlane na ekranie głównym lub ekranie blokady na podstawie ustawień. Poniższe opcje umożliwiają skonfigurowanie powiadomień w portalu za pomocą zasad ochrony aplikacji.
| Opcje | Opis |
|---|---|
| Zezwalaj | Wyświetl rzeczywiste powiadomienie ze wszystkimi szczegółami (tytułem i zawartością). |
| Blokuj dane organizacji | Usuń tytuł i zastąp zawartość ciągiem "Masz nową wiadomość" dla powiadomień czatu i "Jest nowe działanie" dla innych osób. Użytkownik nie będzie mógł odpowiedzieć na powiadomienie z ekranu blokady. |
| Zablokowany | Pomija powiadomienia i nie powiadamia użytkownika. |
Aby ustawić zasady w Intune
Zaloguj się do centrum administracyjnego Microsoft Intune.
W okienku nawigacji po lewej stronie przejdź do obszaru Aplikacje > Ochrona aplikacji zasad.
Kliknij pozycję Utwórz zasady i wybierz odpowiednią platformę, taką jak iOS/iPadOS.
Na stronie Podstawy dodaj szczegóły, takie jak Nazwa i Opis. Kliknij Dalej.
Na stronie Aplikacje kliknij pozycję Wybierz aplikacje publiczne, a następnie znajdź i wybierz aplikacje usługi Microsoft Teams . Kliknij Dalej.
Na stronie Ochrona danych znajdź ustawienie Powiadomienia o danych organizacji i wybierz opcję Blokuj dane organizacji . Ustaw przypisania dla grup użytkowników do uwzględnienia, a następnie utwórz zasady.
Po utworzeniuzasad ochrony aplikacji przejdź do pozycji Zasady >konfiguracji aplikacjiAplikacje> Dodaj >aplikacje zarządzane.
Na stronie Podstawy dodaj nazwę i kliknij pozycję Wybierz aplikacje publiczne, a następnie znajdź i wybierz aplikacje usługi Microsoft Teams . Kliknij Dalej.
W obszarze Ogólne ustawienia konfiguracji ustaw dowolny z kluczy powiadomień na wartość 1 , aby włączyć funkcję czatu, kanałów, wszystkich innych powiadomień lub dowolnej z tych kombinacji. Ustaw wartość 0 , aby wyłączyć funkcję.
Name (Nazwa) Value com.microsoft.teams.chat.notifications.IntuneMAMOnly 1 dla włączonych, 0 dla wyłączonych com.microsoft.teams.channel.notifications.IntuneMAMOnly 1 dla włączonych, 0 dla wyłączonych com.microsoft.teams.others.notifications.IntuneMAMOnly 1 dla włączonych, 0 dla wyłączonych 
Ustaw przypisania dla grup użytkowników do uwzględnienia, a następnie utwórz zasady.
Po utworzeniu zasad przejdź do obszaru Aplikacje>Ochrona aplikacji zasad. Znajdź nowo utworzone zasady Ochrona aplikacji i sprawdź, czy zasady zostały wdrożone, przeglądając kolumnę Wdrożono. W kolumnie Wdrożono powinna być wyświetlana wartość Tak dla utworzonych zasad. Jeśli jest wyświetlana wartość Nie, odśwież stronę i sprawdź po 10 minutach.
Aby powiadomienia były wyświetlane na urządzeniach z systemami iOS i Android
- Na urządzeniu zaloguj się do aplikacji Teams i Portal firmy. Ustaw opcję Pokaż podglądy>Zawsze , aby upewnić się, że ustawienia powiadomień urządzenia zezwalają na powiadomienia z usługi Teams.
- Zablokuj urządzenie i wyślij powiadomienia do zalogowanego użytkownika na tym urządzeniu. Naciśnij powiadomienie, aby rozwinąć je na ekranie blokady bez odblokowywania urządzenia.
- Powiadomienia na ekranie blokady powinny wyglądać następująco (zrzuty ekranu pochodzą z systemu iOS, ale te same ciągi powinny być wyświetlane w systemie Android):
Nie powinna być widoczna opcja Odpowiedz lub inne szybkie reakcje powiadomień z ekranu blokady.
Awatar nadawcy nie jest widoczny; jednak inicjały są w porządku.
Powiadomienie powinno wyświetlać tytuł, ale zastąp zawartość ciągiem "Masz nową wiadomość" dla powiadomień czatu i "Jest nowe działanie" dla innych osób.
Aby uzyskać więcej informacji na temat zasad konfiguracji aplikacji i zasad ochrony aplikacji, zobacz następujące tematy:
- Zasady dotyczące konfiguracji aplikacji dla usługi Microsoft Intune
- Omówienie zasad Ochrona aplikacji
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla