在 GCC High 或 DoD 环境中部署Microsoft 365 企业应用版的指南

如果计划在 GCC High 或 DoD 环境中部署Microsoft 365 企业应用版，则需要注意一些特殊注意事项，以帮助满足合规性要求。

要部署的Microsoft 365 企业应用版版本

重要

若要满足 GCC High 和 DoD 合规性要求，必须至少运行 Microsoft 365 企业应用版版本 1803。

版本 1803 或更高版本在当前频道、每月企业频道、Semi-Annual企业频道 (预览版) 和Semi-Annual企业频道中提供。

其他应用程序（如 Project 和 Visio）呢？

可以在 GCC High 或 DoD 环境中部署 Project 和 Visio 桌面应用的订阅版本，但它们必须至少为版本 1803。 针对Microsoft 365 企业应用版提及的任何配置或设置也适用于 Project 和 Visio 桌面应用的订阅版本。

Outlook for iOS 和 Android 也可用于 GCC High 或 DoD 环境。 有关详细信息， 请阅读此技术社区博客文章。

重要

对于 Teams，目前需要在安装 Microsoft 365 企业应用版 时排除 Teams 的安装。 相反，你需要使用单独的基于 MSI 的安装程序来安装 Teams。 将来，你将能够安装 Teams 和 Microsoft 365 企业应用版，而无需使用基于 MSI 的单独安装程序。

• 有关如何使用 Microsoft 365 企业应用版 排除 Teams 安装的步骤，请参阅如何从新安装的 Microsoft 365 应用版 中排除 Microsoft Teams 和使用组策略来控制 Microsoft Teams 的安装。
• 有关指向适用于环境的基于 MSI 的安装程序的正确版本的链接，请参阅使用 Microsoft Configuration Manager安装 Microsoft Teams。

要使用的Microsoft 365 企业应用版的更新通道

建议使用当前频道，因为它可在用户准备就绪后立即为用户提供最新的 Office 功能。 如果需要每月发布这些新的 Office 功能的其他可预测性，我们建议每月企业频道。 如果你选择了需要在接收新功能之前进行广泛测试的设备，我们建议Semi-Annual企业频道。

有关详细信息，请参阅Microsoft 365 应用版的更新通道概述。

从何处安装Microsoft 365 企业应用版以及从何处获取更新

如果基于组织要求的网络连接和其他注意事项不是问题，则可以选择直接从 Internet 上的 Office 内容分发网络 (CDN) 部署Microsoft 365 企业应用版。 还可以将Microsoft 365 企业应用版配置为从 Office CDN 自动接收更新。 此配置需要最少的管理工作量，是使Microsoft 365 企业应用版保持最新状态的一种简单方法。

如果不希望使用 Microsoft 365 企业应用版 安装的计算机连接到 Office CDN 和 设备管理 服务以获取更新，则需要将Microsoft 365 企业应用版配置为从内部网络内的共享文件夹进行安装和更新。 你仍然需要至少一台计算机才能访问 Office CDN，以便能够下载Microsoft 365 企业应用版和更新，Microsoft 365 企业应用版到内部网络上的共享文件夹。 此外，使用 Microsoft 365 企业应用版 安装的计算机仍需要 Internet 连接才能保持激活状态。

请记住，从本地网络上的共享文件夹安装和更新Microsoft 365 企业应用版需要更多的管理工作量和更多的磁盘空间。 例如，必须跟踪Microsoft 365 企业应用版的新版本何时可用，然后将更新版本的Microsoft 365 企业应用版下载到网络。 Microsoft 365 企业应用版的核心文件至少为 1.6 GB，部署的每种语言至少为 250 MB。

如果直接从 Office CDN 更新Microsoft 365 企业应用版，则每台计算机的网络流量会减少，因为只需要下载已更改的文件。 这些更新的大小可在 50 mb 到 300 mb 之间变化。 这些估计基于过去一年左右更新的历史数据。

用于部署Microsoft 365 企业应用版的工具

对于可以使用哪些工具在 GCC High 或 DoD 环境中部署Microsoft 365 企业应用版，没有特别指导。

若要部署Microsoft 365 企业应用版，可以使用 Office 部署工具以及configuration.xml文件。 Office 部署工具是一种命令行工具，因此可用于脚本或批处理文件。 configuration.xml 文件包含安装设置。 例如，从何处安装Microsoft 365 企业应用版、安装 32 位还是 64 位版本、要安装的语言，以及Microsoft 365 企业应用版应连接到何处以获取更新。 有关 Office 部署工具和 configuration.xml 文件的详细信息，请参阅 Office 部署工具概述 和 Office 部署工具的配置选项。

还可以使用企业软件部署工具（如 Microsoft Configuration Manager）部署Microsoft 365 企业应用版。 有关使用 Configuration Manager 的详细信息，请参阅使用 Configuration Manager (current branch) 进行部署。

注意

如果已将防病毒或其他终结点保护软件配置为防止安装或数据写入设备，建议尽可能更新到该软件的最新版本。 在某些情况下，可能需要为OfficeClickToRun.exe过程配置例外，才能成功完成安装。

示例configuration.xml文件

有关 configuration.xml 文件中可用的设置的详细信息，请参阅 Office 部署工具的配置选项。

从 Office CDN 安装和更新Microsoft 365 企业应用版

下面是与 Office 部署工具一起使用的示例configuration.xml文件，用于从 Office CDN 在当前频道上安装Microsoft 365 企业应用版。 Microsoft 365 企业应用版也将直接从 Office CDN 自动更新。

<Configuration> 
   <Add OfficeClientEdition="64" Channel="Current">
       <Product ID="O365ProPlusRetail" >
            <Language ID="en-us" />
       </Product>
   </Add>
   <Updates Enabled="TRUE"  Channel="Current" />
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

从本地网络上的共享文件夹安装和更新Microsoft 365 企业应用版

下面是与 Office 部署工具配合使用的示例configuration.xml文件，用于从本地网络上的共享文件夹在 Semi-Annual Enterprise Channel 上安装Microsoft 365 企业应用版。 汇报Microsoft 365 企业应用版也将来自本地网络上的共享文件夹。

注意

若要消除管理共享文件夹进行更新的管理负担，我们建议你配置 Microsoft 365 企业应用版，以便尽可能直接从 Internet 上的 Office CDN 获取更新。 如果无法使用 Office CDN，则我们的下一个建议是使用Configuration Manager来管理更新。

<Configuration> 
   <Add SourcePath="\\Server\Share\Installs"  OfficeClientEdition="64" Channel="SemiAnnual">
       <Product ID="O365ProPlusRetail" >
            <Language ID="en-us" />
       </Product>
   </Add>
   <Updates Enabled="TRUE" UpdatePath="\\Server\Share\Updates" Channel="SemiAnnual" />
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

配置是否将遥测数据发送到 Microsoft

Office 应用定期向 Microsoft 发送遥测数据，以帮助 Microsoft 了解如何改进产品。 在高度管控的环境中，可以选择阻止遥测数据发送到 Microsoft。

无需其他配置即可阻止 Android 上的Microsoft 365 企业应用版或 Office 应用将遥测数据发送到 Microsoft。 在这两种情况下，应用都可以识别它们位于 GCC High 或 DoD 环境中，并自动阻止遥测数据发送到 Microsoft。

对于其他 Office 应用（例如Office for Mac和 iOS 上的 Office 应用），需要其他配置来防止遥测数据发送到 Microsoft。 有关详细信息，请参阅以下部分。

关闭从 Skype for Business 客户端向 Microsoft 发送遥测数据

若要防止Skype for Business客户端将遥测数据发送到 Microsoft，请编辑注册表并将 TelemetryTier 值添加到HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync项。 TelemetryTier 的类型REG_DWORD，值应设置为 0。

有关详细信息，请参阅 Skype for Business 和 Microsoft Teams 数据收集做法。

关闭从 Office for Mac 向 Microsoft 发送遥测数据

Office for Mac定期将遥测信息发送回 Microsoft。 数据将上传到“Nexus”终结点。 遥测数据可帮助工程团队评估每个 Office 应用的运行状况和任何意外行为。 遥测有两个类别：

• 检测信号 包含版本和许可证信息。 应用启动时会立即发送此数据。
• 使用情况 包含有关如何使用应用和非严重错误的信息。 此数据每 60 分钟发送一次。

若要防止Office for Mac将遥测数据发送到 Microsoft，可以将 SendAllTelemetryEnabled 和 SendCriticalTelemetryEnabled 首选项设置为“FALSE”。

重要

必须至少使用版本 16.11 Office for Mac。

首选项是按应用程序设置的，可以通过 macOS 配置文件进行设置，也可以从终端手动设置，如以下示例所示。

defaults write com.microsoft.Word SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Word SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Excel SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Powerpoint SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Outlook SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.onenote.mac SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.autoupdate2 SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Office365ServiceV2 SendAllTelemetryEnabled -bool FALSE
defaults write com.microsoft.Word SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Word SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Excel SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Powerpoint SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Outlook SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.onenote.mac SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.autoupdate2 SendCriticalTelemetryEnabled  -bool FALSE
defaults write com.microsoft.Office365ServiceV2 SendCriticalTelemetryEnabled  -bool FALSE

关闭从 iOS 上的 Office 应用向 Microsoft 发送遥测数据

若要防止 iOS 上的 Office 应用将遥测数据发送到 Microsoft，请将 SendAllTelemetryEnabled 和 SendCriticalTelemetryEnabled 首选项设置为“false”。首选项是每个应用程序的，可以使用Microsoft Intune进行设置。 有关详细信息，请参阅 为托管 iOS 设备添加应用配置策略。

重要

必须在 iOS 上使用至少 Office 版本 2.11。

为配置中的每个键和值设置以下内容：

• 配置键 = SendAllTelemetryEnabled
• 值类型 = 布尔值
• 配置值 = false

和

• 配置键 = SendCriticalTelemetryEnabled
• 值类型 = 布尔值
• 配置值 = false

要配置的其他设置

除了遥测数据设置，还可以根据符合性要求选择配置更多设置。 其中许多设置是通过对注册表进行更改配置的。 若要将注册表更改部署到多台计算机或用户，可以使用批处理文件、登录脚本、组策略、Configuration Manager、PowerShell 或其他脚本和部署工具。

确保已启用新式身份验证

需要启用新式身份验证才能合规。 默认情况下，为Office 365服务和Microsoft 365 企业应用版启用新式身份验证。 除非有意禁用新式身份验证，否则不需要执行任何操作。 有关详细信息，请参阅 新式身份验证如何适用于 Office 2013、Office 2016 和 Office 2019 客户端应用。

关闭Windows 错误报告

若要禁用 Windows 错误报告 (Watson) ，请编辑注册表，并在HKEY_CURRENT_USER\Software\Microsoft\Windows\Windows Error Reporting项下，将 Disabled 值设置为 1。 Disabled 值的类型为 REG_DWORD。

在 Microsoft 365 企业应用版 上配置 Outlook 行为

必须设置以下注册表值才能在 Microsoft 365 企业应用版 上正确配置 Outlook 行为。 这些注册表值的类型REG_DWORD值应设置为 1。

注册表位置： HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover\EnableOffice365ConfigService
描述： 需要此注册表设置，以便在此特定环境中检索正确的邮箱设置，而无需调用全球服务来检索邮箱设置。 如果使用 Microsoft 365 企业应用版 版本 1805 或更高版本，则无需设置此注册表设置。

注册表位置： HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableAccountSettingsDetectionService
描述： 此注册表设置禁用调用全球服务，该服务有助于基于电子邮件地址获取 POP、IMAP 和其他协议的帐户信息。 由于此密钥将禁用此服务，因此需要手动设置个人帐户。

注册表位置： HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General\DisablePreviewPlace
描述： 此注册表设置禁用即将推出功能，该功能为用户提供有关即将推出的功能的信息，并允许用户试用这些功能并提供反馈。 即将推出可在 Microsoft 365 企业应用版 版本 1806 或更高版本中使用。

以下注册表值是可选的。 这些注册表值的类型REG_DWORD值应设置为 1。

注册表位置： HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableGuessSmart
描述： 此注册表设置禁用通过各种已知端口设置 IMAP、POP 帐户的尝试。

注册表位置： HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General\DisableOutlookMobileHyperlink
描述： 此注册表设置禁止在 Outlook Desktop 中成功配置帐户后在移动设备上配置 Outlook 的选项。

此外，如果在非 Outlook 应用中生成和使用 Office 加载项 ，则这些应用程序必须知道用户邮箱的配置位置。 Microsoft 将仅执行 自动发现 过程的步骤 6 和步骤 7。 这意味着必须具有位于以下位置之一的 URL： https://<contoso.com>.autodiscover/autodiscover.xml 或 https://autodiscover.<contoso.com>/autodiscover/autodiscover.xml。 然后，应重定向到 https://autodiscover-s-dod.office365.us/autodiscover/autodiscover.xml。 此过程将在将来的版本中自动执行。

特殊考虑事项

进行了尽职调查，以审查与Microsoft 365 企业应用版功能相关的云服务。 我们发现此类进程不是故障证明，并创建了下表来捕获在初始版本之前最初未捕获的任何边缘案例。 我们将使用此表，以便传达发现结果、任何潜在风险以及范围增加的缓解措施。 此表中的服务将在 30 天内适当关闭。

应用程序	功能	建议
Excel	地图	此功能已禁用，截至以下版本： - 版本 1804 (内部版本 9226.2126 当前通道) - 版本 1803 (内部版本 9126.2191) Semi-Annual Enterprise Channel (Preview) - 版本 1803 (内部版本 9126.2259) Semi-Annual 企业频道 如果你使用的是早期版本的 Excel，请不要使用此功能。

参考信息

Office 内容传递网络 (CDN)

用于安装和更新Microsoft 365 企业应用版的软件在 Internet 上的 Office 内容分发网络 (CDN) 上提供。 即点即用服务（管理Microsoft 365 企业应用版的安装和更新）调用由 Akamai 托管的 Office CDN。

Office 365与 Akamai 签订了谅解备忘录，作为Office 365认证套餐的一部分，Akami 拥有 FedRAMP 中等认证。 为了获得可用性，即点即用服务可以故障转移到全球 Azure Front Door 实例，该实例还具有 FedRAMP 中等认证。

设备管理服务

对于配置为从 Office CDN 自动获取更新的Microsoft 365 企业应用版安装，Microsoft 使用 设备管理 服务 (DMS) 根据其特定配置将发布配置应用到各个设备。 例如，安装 Office 的操作系统版本、安装的是 32 位还是 64 位版本的 Office，以及安装了哪种 Office 语言。

即点即用服务联系 DMS 以检查更新，并会收到 JSON 响应，告知其是否有可供下载的新版本。 DMS 服务不存储即点即用服务传递的任何数据。 数据仅用作筛选条件，以确定应向即点即用提供哪些生成信息来更新Microsoft 365 企业应用版。

DMS 服务不会处理、存储或传输任何个人身份信息或客户内容。

相关主题

有关 Microsoft 提供的 GCC High 和 DoD 环境的详细信息，请参阅以下服务说明：

• Office 365 美国政府版
• GCC High 和 DoD
• 美国政府企业移动性 + 安全性

有关Microsoft 365 企业应用版的常规部署指南，请参阅以下文章：

• Microsoft 365 应用版部署指南
• Microsoft 365 应用版更新频道概述
• Office 部署工具概述
• Office 部署工具的配置选项
• 使用 Configuration Manager (Current Branch) 进行部署

有关网络信息，请参阅以下文章：

• Office 365 美国政府 GCC High 终结点
• Office 365美国政府 DoD 终结点
• Office 365 URL 和 IP 地址范围
• Office for Mac 中的网络请求