Вход в Microsoft Teams

Пользователи Windows

Корпорация Майкрософт рекомендует организациям использовать последние версии Windows 10 с гибридным присоединением к домену или параметром подключения Azure AD. Использование последних версий гарантирует, что учетные записи пользователей заполняются в веб-диспетчере учетных записей Windows, который, в свою очередь, обеспечивает единый вход в Teams и другие приложения Майкрософт. Единый вход удобнее для пользователей (автоматический вход в систему) и надежнее с точки зрения безопасности.

В Microsoft Teams используется современная проверка подлинности, чтобы обеспечить простой и безопасный вход в систему. Чтобы узнать, как пользователи входят в Teams, см. статью Вход в Teams.

Принцип работы современной проверки подлинности

Современная проверка подлинности — это процесс, с помощью которого приложение Teams узнает, что пользователи уже ввели свои учетные данные (например, рабочий адрес электронной почты и пароль) в другом месте и им не требуется вводить их повторно, чтобы запустить приложение. Интерфейс зависит от нескольких факторов, например от использования Windows или компьютера Mac. Он также изменяется в зависимости от того, включена ли в вашей организации однофакторная или многофакторная проверка подлинности. При многофакторной проверке подлинности обычно используется проверка учетных данных с помощью телефона, предоставления уникального кода, ввода ПИН-кода или представления отпечатка пальца. Ниже приведено краткое описание каждого сценария современной проверки подлинности.

Современная проверка подлинности доступна для всех организаций, использующих Teams. Если пользователям не удается использовать этот процесс, возможно, существуют неполадки в конфигурации Azure AD в вашей организации. Дополнительные сведения см. в статье Почему у меня возникают проблемы со входом в Microsoft Teams?

  • Если пользователи уже выполнили вход в Windows или другие приложения Office со своей рабочей или учебной учетной записью, при запуске Teams они сразу попадают в приложение. Им не потребуется вводить свои учетные данные.

  • Майкрософт рекомендует использовать Windows 10 версии 1903 или более поздней для обеспечения единого входа.

  • Если пользователи не выполняли вход в свою рабочую или учебную учетную запись Майкрософт в другом месте, при запуске Teams им будет предложено пройти однофакторную или многофакторную проверку подлинности (SFA или MFA). Этот процесс зависит от выбранной процедуры входа в организации.

  • Если пользователи выполнили вход на компьютере, подключенном к домену, при запуске Teams может потребоваться пройти еще один шаг проверки подлинности. Это зависит от того, выбрана ли в организации обязательная MFA или компьютер сразу требует MFA для входа. Если компьютер сразу требует MFA для входа, при открытии Teams приложение запускается автоматически.

  • На компьютерах, подключенных к домену, когда единый вход невозможен, Teams могут предварительно заполнить свой экран входа в систему именем участника-пользователя (UPN). В некоторых случаях вы можете этого не хотеть, особенно если ваша организация использует разные локальные имена пользователей и в Azure Active Directory. В этом случае вы можете использовать следующий раздел реестра Windows, чтобы отключить предварительное заполнение имени участника-пользователя:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
    SkipUpnPrefill(REG_DWORD)
    0x00000001 (1)

    Примечание

    Пропуск или игнорирование предварительного добавления имен пользователей, оканчивающихся на ".local" или ".corp", включено по умолчанию, поэтому вам не нужно настраивать раздел реестра для их отключения.

Вход в другую учетную запись на компьютере, присоединенном к домену

У пользователей компьютера, присоединенного к домену, может не быть возможности входить в Teams с другой учетной записью этого же домена Active Directory.

Пользователи macOS

В macOS приложение Teams предложит пользователям ввести имя пользователя и учетные данные и может запросить многофакторную проверку подлинности в зависимости от настроек вашей организации. После ввода пользователем учетных данных ему не потребуется указывать их снова. С этого момента Teams будет запускаться автоматически при работе пользователя на этом компьютере.

Пользователи Teams в iOS и Android

После входа мобильные пользователи увидят список всех учетных записей Microsoft 365, которые находятся в системе в настоящее время или ранее выполняли вход на этом устройстве. Пользователи могут нажать любую учетную запись для входа. Существует два сценария входа на мобильных устройствах:

  1. Если с помощью выбранной учетной записи в настоящее время выполнен вход в других приложениях Office 365 или Microsoft 365, пользователь будет направлен прямо в Teams. Пользователю не потребуется вводить свои учетные данные.

  2. Если пользователь не вошел в свою учетную запись Microsoft 365 в другом месте, ему будет предложено пройти однофакторную или многофакторную проверку подлинности (SFA или MFA), в зависимости от настроек организации для политик входа на мобильных устройствах.

Примечание

Чтобы пользователи могли применить интерфейс входа, описанный в этом разделе, на их устройствах должен быть установлен Teams для iOS версии 2.0.13 (сборка 2020061704) или более поздняя версия либо Teams для Android версии 1416/1.0.0.2020061702 или более поздней.

Использование Teams с несколькими учетными записями

Приложение Teams для iOS и Android поддерживает одновременное использование нескольких рабочих или учебных и нескольких личных учетных записей. Классические приложения Teams будут поддерживать одновременно одну рабочую/учебную и одну личную учетную запись с декабря 2020 года. Поддержка нескольких рабочих/учебных учетных записей будет реализована позже.

На следующих изображениях показано, как пользователи могут добавить несколько учетных записей в мобильные приложения Teams.

Добавление нескольких учетных записей в Teams.

Ограничение входа в Teams

Организации могут ограничивать использование утвержденных корпоративных приложений на управляемых устройствах. Например, можно ограничить возможности доступа к данным из других организаций для учащихся или сотрудников. Также можно ограничить использование корпоративных приложений для личных целей. Эти ограничения можно применить с помощью политик устройств, распознаваемых приложениями Teams.

Ограничение входа на мобильных устройствах

В Teams для iOS и Android ИТ-администраторы могут передавать настройки учетных записей в учетные записи Microsoft 365. Эта возможность поддерживается любым поставщиком управления мобильными устройствами (MDM), использующим канал конфигурации управляемых приложений для iOS или канал Android Enterprise для Android.

Для пользователей, зарегистрированных в Microsoft Intune, можно развернуть параметры конфигурации учетных записей с помощью Intune на портале Azure.

Когда конфигурация учетной записи будет настроена в поставщике MDM, а пользователь зарегистрирует свое устройство, на страницах входа Teams для iOS и Android будут отображаться только разрешенные учетные записи. Пользователь может нажать любую из разрешенных учетных записей на этой странице, чтобы выполнить вход.

Настройте следующие параметры конфигурации на портале Azure Intune для управляемых устройств.

Платформа Ключ Значение
iOS IntuneMAMAllowedAccountsOnly Включено. Единственной разрешенной учетной записью является управляемая учетная запись пользователя, определяемая ключом IntuneMAMUPN.
Отключено (или любое другое значение, не соответствующее с учетом регистра значению Включено). Разрешены любые учетные записи.
iOS IntuneMAMUPN UPN учетной записи, которой разрешен вход в Teams.
Для устройств, зарегистрированных в Intune, может использоваться маркер {{userprincipalname}} для представления зарегистрированной учетной записи.
Android com.microsoft.intune.mam.AllowedAccountUPNs Разрешены только управляемые учетные записи пользователей, определенные этим ключом.
Одно или несколько имен участников-пользователей (UPN), разделенных точками с запятой (;).
Для устройств, зарегистрированных в Intune, может использоваться маркер {{userprincipalname}} для представления зарегистрированной учетной записи.

После настройки конфигурации учетной записи приложение Teams ограничит возможность входа, чтобы предоставлять доступ только разрешенным учетным записям на зарегистрированных устройствах.

Сведения о создании политики конфигурации приложений для управляемых устройств с iOS и iPadOS см. в статье Добавление политик конфигурации приложений для управляемых устройств с iOS и iPadOS.

Сведения о создании политики конфигурации приложений для управляемых устройств с Android см. в статье Добавление политик конфигурации приложений для управляемых устройств с Android.

Ограничение входа на настольных компьютерах

В приложениях Teams для Windows и macOS реализуется поддержка политик устройств, ограничивающих вход в вашей организации. Эти политики можно настраивать с помощью обычных решений для управления устройствами, например MDM (управление мобильными устройствами), а также с помощью объектов групповой политики.

Если на устройстве настроена эта политика, то пользователи смогут входить только с помощью учетных записей в составе клиента Azure AD, который включен в список разрешенных клиентов, определенный в политике. Эта политика применяется ко входу всех учетных записей, включая первую учетную запись и дополнительные учетные записи. Если в организации используется несколько клиентов Azure AD, можно включить несколько идентификаторов клиентов в список разрешенных. При этом ссылки на добавление другой учетной записи могут по-прежнему отображаться в Teams, но эти ссылки не будут действовать.

Примечание

  1. Эта политика ограничивает только вход. Она не ограничивает возможность пользователей быть приглашенными в качестве гостей в другие клиенты Azure AD или переключаться на другие клиенты (в которые они приглашены в качестве гостей).
  2. Для этой политики требуется Teams для Windows версии 1.3.00.30866 или более поздней либо Teams для macOS версии 1.3.00.30882 (выпуск в середине ноября 2020 г.).

Политики для Windows. Файлы административных шаблонов (ADMX/ADML) доступны в Центре загрузки (понятное имя параметра политики в файле административного шаблона: "Ограничивать вход в Teams для учетных записей в определенных клиентах"). Кроме того, вы можете вручную настроить разделы в реестре Windows:

  • Имя значения: RestrictTeamsSignInToAccountsFromTenantList
  • Тип значения: строка
  • Данные значения: идентификатор клиента или список идентификаторов клиентов, перечисленных через запятую
  • Путь: один из следующих

Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Teams

Пример: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = ИД клиента или SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = ИД клиента 1,ИД клиента 2,ИД клиента 3

Политики для macOS. На устройствах под управлением macOS используйте файл PLIST, чтобы развернуть ограничения входа. Профиль конфигурации представляет собой файл с расширением .PLIST, содержащий записи, которые состоят из ключа (определяющего имя параметра) и значения (оно зависит от типа параметра). При этом значения могут быть как простыми (числовое значение), так и сложными (многоуровневый список параметров).

  • Домен: com.microsoft.teams
  • Ключ: RestrictTeamsSignInToAccountsFromTenantList
  • Тип данных: строка
  • Комментарии: введите список идентификаторов клиентов Azure AD, перечисленных через запятую

Глобальный вход

Приложение Teams для Android теперь поддерживает глобальный вход, чтобы обеспечить удобные возможности входа для сотрудников, работающих с клиентами. Сотрудник может выбрать устройство в пуле общих устройств и выполнить единый вход, чтобы "оно принадлежало ему" в течение смены. В конце смены сотрудник может выполнить глобальный выход с устройства. Дополнительные сведения см. в разделе Выход из Teams. При этом будут удалены все личные и корпоративные сведения с устройства, чтобы его можно было вернуть в пул устройств. Чтобы воспользоваться этой возможностью, устройство должно находиться в общем режиме. Сведения о том, как настроить общее устройство, см. в статье Использование режима общего устройства в Android.

Интерфейс входа похож на стандартный интерфейс входа Teams.

URL-адреса и диапазоны IP-адресов

Для Teams требуется подключение к Интернету. Для ознакомления с конечными точками, которые должны быть доступны для клиентов, использующих Teams в планах Office 365, государственных и других облаках, см. статью URL-адреса и диапазоны IP-адресов Office 365.

Устранение неполадок Teams