Udostępnij za pośrednictwem


Zarządzanie środowiskami współpracy w usłudze Teams dla systemów iOS i Android przy użyciu Microsoft Intune

Microsoft Teams to centrum współpracy zespołowej na platformie Microsoft 365, które integruje osoby, zawartość i narzędzia, których twój zespół potrzebuje, aby był bardziej zaangażowany i skuteczny.

Najbogatsze i najszersze możliwości ochrony danych platformy Microsoft 365 są dostępne podczas subskrybowania pakietu Enterprise Mobility + Security, który obejmuje funkcje Microsoft Intune i Tożsamość Microsoft Entra P1 lub P2, takie jak dostęp warunkowy. Co najmniej należy wdrożyć zasady dostępu warunkowego, które umożliwiają łączność z usługą Teams dla systemów iOS i Android z urządzeń przenośnych oraz zasady ochrony aplikacji Intune, które zapewniają ochronę środowiska współpracy.

Zastosuj dostęp warunkowy

Organizacje mogą używać Microsoft Entra zasad dostępu warunkowego, aby zapewnić użytkownikom dostęp tylko do zawartości służbowych przy użyciu aplikacji Teams dla systemów iOS i Android. W tym celu potrzebne są zasady dostępu warunkowego przeznaczone dla wszystkich potencjalnych użytkowników. Te zasady zostały opisane w artykule Dostęp warunkowy: Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji.

Uwaga

Aby korzystać z zasad dostępu warunkowego opartego na aplikacji, aplikacja Microsoft Authenticator musi być zainstalowana na urządzeniach z systemem iOS. W przypadku urządzeń z systemem Android wymagana jest aplikacja Intune — Portal firmy. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy oparty na aplikacji przy użyciu usługi Intune.

Wykonaj kroki opisane w temacie Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji na urządzeniach przenośnych, co umożliwia usłudze Teams dla systemów iOS i Android, ale blokuje klientom urządzeń przenośnych obsługujących protokół OAuth innej firmy łączenie się z punktami końcowymi platformy Microsoft 365.

Uwaga

Te zasady zapewniają użytkownikom urządzeń przenośnych dostęp do wszystkich punktów końcowych platformy Microsoft 365 przy użyciu odpowiednich aplikacji.

Utwórz zasady ochrony aplikacji usługi Intune

Zasady ochrony aplikacji (zasady APP) definiują, które aplikacje są dozwolone, oraz akcje, jakie mogą wykonywać na danych Twojej organizacji. Opcje dostępne w zasadach APP umożliwiają organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane do wdrożenia pełnego scenariusza. Aby ułatwić organizacjom ustalanie priorytetów zabezpieczeń punktów końcowych klientów na urządzeniach przenośnych, firma Microsoft wprowadziła taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami na urządzeniach przenośnych dla systemów iOS i Android.

Struktura ochrony danych zasad APP jest podzielona na trzy różne poziomy konfiguracji, przy czym każdy poziom opiera się na poziomie poprzednim:

  • Podstawowa ochrona danych w przedsiębiorstwie (poziom 1) zapewnia, że aplikacje są chronione przy użyciu kodu PIN i szyfrowane, a także wykonuje selektywne operacje czyszczenia. W przypadku urządzeń z systemem Android ten poziom weryfikuje zaświadczanie urządzenia z systemem Android. Jest to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych w zasadach skrzynek pocztowych usługi Exchange Online oraz wprowadza specjalistów IT i populację użytkowników do aplikacji.
  • Rozszerzona ochrona danych w przedsiębiorstwie (poziom 2) wprowadza mechanizmy zapobiegania wyciekom danych aplikacji i minimalne wymagania dotyczące systemu operacyjnego. Jest to konfiguracja, która ma zastosowanie w przypadku większości użytkowników na urządzeniach przenośnych uzyskujących dostęp do danych służbowych.
  • Wysoka ochrona danych w przedsiębiorstwie (poziom 3) wprowadza zaawansowane mechanizmy ochrony danych, rozszerzoną konfigurację kodu PIN i zasady APP dotyczące obrony przed zagrożeniami mobilnymi. Ta konfiguracja jest pożądana dla użytkowników uzyskujących dostęp do danych wysokiego ryzyka.

Aby zobaczyć specyficzne zalecenia dotyczące każdego poziomu konfiguracji i minimalną liczbę aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.

Niezależnie od tego, czy urządzenie jest zarejestrowane w rozwiązaniu do ujednoliconego zarządzania punktami końcowymi (rozwiązanie UEM), należy utworzyć zasady ochrony aplikacji usługi Intune dla aplikacji dla systemów iOS i Android, wykonując kroki opisane w artykule Jak utworzyć i przypisać zasady ochrony aplikacji. Te zasady muszą spełniać co najmniej następujące warunki:

  1. Obejmują one wszystkie aplikacje na urządzenia przenośne platformy Microsoft 365, takie jak Edge, Outlook, OneDrive, Office czy Teams, ponieważ zapewniają użytkownikom bezpieczny dostęp do danych służbowych oraz manipulowanie tymi danymi w dowolnej aplikacji firmy Microsoft.

  2. Są one przypisane do wszystkich użytkowników. Dzięki temu wszyscy użytkownicy są chronieni niezależnie od tego, czy korzystają z aplikacji Teams dla systemu iOS, czy Android.

  3. Określ, który poziom struktury spełnia Twoje wymagania. Większość organizacji powinna wdrożyć ustawienia zdefiniowane w artykule Rozszerzona ochrona danych przedsiębiorstwa (poziom 2), ponieważ umożliwiają one kontrolę wymagań dotyczących ochrony danych i dostępu.

Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Ustawienia zasad ochrony aplikacji dla systemu Android i Ustawienia zasad ochrony aplikacji dla systemu iOS.

Ważna

Aby zastosować zasady ochrony aplikacji Intune względem aplikacji na urządzeniach z systemem Android, które nie są zarejestrowane w Intune, użytkownik musi również zainstalować Intune — Portal firmy.

Korzystanie z konfiguracji aplikacji

Usługa Teams dla systemów iOS i Android obsługuje ustawienia aplikacji, które umożliwiają ujednolicone zarządzanie punktami końcowymi, takie jak Microsoft Intune, administratorom dostosowywanie zachowania aplikacji.

Konfigurację aplikacji można przeprowadzić albo za pośrednictwem kanału systemu operacyjnego zarządzania urządzeniami przenośnymi (funkcja MDM) na zarejestrowanych urządzeniach (kanał Managed App Configuration dla systemu iOS lub kanał System Android w warstwie Enterprise dla systemu Android), albo za pośrednictwem kanału Zasady ochrony aplikacji (ZOP). Usługa Teams dla systemów iOS i Android obsługuje następujące scenariusze konfiguracji:

  • Zezwalaj tylko na konta służbowe

Ważna

W przypadku scenariuszy konfiguracji, które wymagają rejestracji urządzeń w systemie Android, urządzenia muszą być zarejestrowane w systemie Android Enterprise, a aplikacje Teams dla systemu Android muszą zostać wdrożone za pośrednictwem zarządzanego sklepu Google Play. Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji osobistych urządzeń z profilem służbowym dla systemu Android Enterprise i Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android Enterprise.

Każdy scenariusz konfiguracji wyróżnia jego specyficzne wymagania. Na przykład czy scenariusz konfiguracji wymaga rejestracji urządzenia, a tym samym współpracuje z dowolnym dostawcą rozwiązania UEM, czy też wymaga zasad ochrony aplikacji usługi Intune.

Ważna

W kluczach konfiguracji aplikacji rozróżniana jest wielkość liter. Użyj odpowiedniej wielkości liter, aby mieć pewność, że konfiguracja przyniesie efekt.

Uwaga

W przypadku usługi Microsoft Intune konfiguracja aplikacji dostarczana za pośrednictwem kanału systemu operacyjnego funkcji MDM jest określana jako zasady usługi App Configuration (zasady ACP) dla urządzeń zarządzanych, natomiast konfiguracja aplikacji dostarczana za pośrednictwem kanału Zasady ochrony aplikacji jest określana jako zasady usługi App Configuration dla aplikacji zarządzanych.

Zezwalaj tylko na konta służbowe

Poszanowanie zasad zabezpieczeń danych i zgodności naszych największych klientów podlegających ścisłym regulacjom jest kluczowym filarem wartości platformy Microsoft 365. Niektóre firmy muszą przechwytywać wszystkie informacje komunikacyjne w swoim środowisku firmowym, a także upewnić się, że urządzenia są używane wyłącznie do celów komunikacji firmowej. Aby spełnić te wymagania, aplikacje Teams dla systemów iOS i Android na zarejestrowanych urządzeniach można skonfigurować tak, aby zezwalały na aprowizowanie tylko jednego konta firmowego w aplikacji.

Więcej informacji na temat konfigurowania ustawienia trybu kont dozwolonych dla organizacji można znaleźć tutaj:

Ten scenariusz konfiguracji działa tylko z zarejestrowanymi urządzeniami. Obsługiwany jest jednak każdy dostawca rozwiązania UEM. Jeśli nie używasz Microsoft Intune, zapoznaj się z dokumentacją UEM dotyczącą sposobu wdrażania tych kluczy konfiguracji.

Uproszczenie środowiska logowania przy użyciu logowania bez domeny

Środowisko logowania w aplikacji Teams dla systemów iOS i Android można uprościć, wypełniając wstępnie nazwę domeny na ekranie logowania dla użytkowników na urządzeniach udostępnionych i zarządzanych, stosując następujące zasady:

Name (Nazwa) Value
domain_name Wartość ciągu zapewniająca domenę dzierżawy do dołączenia. Użyj wartości rozdzielanej średnikami, aby dodać wiele domen. Te zasady działają tylko na zarejestrowanych urządzeniach.
enable_numeric_emp_id_keypad Wartość logiczna używana do wskazywania, że identyfikator pracownika jest liczbowy, a klawiatura liczbowa powinna być włączona w celu łatwego wprowadzania. Jeśli wartość nie zostanie ustawiona, zostanie otwarta klawiatura alfanumeryczna. Te zasady działają tylko na zarejestrowanych urządzeniach.

Uwaga

Te zasady będą działać tylko na zarejestrowanych urządzeniach udostępnionych i zarządzanych.

Ustawienia powiadomień w usłudze Microsoft Teams

Powiadomienia na bieżąco informują o tym, co się dzieje lub dzieje się wokół Ciebie. Są one wyświetlane na ekranie głównym lub ekranie blokady na podstawie ustawień. Poniższe opcje umożliwiają skonfigurowanie powiadomień w portalu za pomocą zasad ochrony aplikacji.

Opcje Opis
Zezwalaj Wyświetl rzeczywiste powiadomienie ze wszystkimi szczegółami (tytułem i zawartością).
Blokuj dane organizacji Usuń tytuł i zastąp zawartość ciągiem "Masz nową wiadomość" dla powiadomień czatu i "Jest nowe działanie" dla innych osób. Użytkownik nie będzie mógł odpowiedzieć na powiadomienie z ekranu blokady.
Zablokowany Pomija powiadomienia i nie powiadamia użytkownika.

Aby ustawić zasady w Intune

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. W okienku nawigacji po lewej stronie przejdź do obszaru Aplikacje > Ochrona aplikacji zasad.

    Tworzenie zasad

  3. Kliknij pozycję Utwórz zasady i wybierz odpowiednią platformę, taką jak iOS/iPadOS.

  4. Na stronie Podstawy dodaj szczegóły, takie jak Nazwa i Opis. Kliknij Dalej.

  5. Na stronie Aplikacje kliknij pozycję Wybierz aplikacje publiczne, a następnie znajdź i wybierz aplikacje usługi Microsoft Teams . Kliknij Dalej.

  6. Na stronie Ochrona danych znajdź ustawienie Powiadomienia o danych organizacji i wybierz opcję Blokuj dane organizacji . Ustaw przypisania dla grup użytkowników do uwzględnienia, a następnie utwórz zasady.

  7. Po utworzeniuzasad ochrony aplikacji przejdź do pozycji Zasady >konfiguracji aplikacjiAplikacje> Dodaj >aplikacje zarządzane.

    app-configuration-policies-at-a-glance

  8. Na stronie Podstawy dodaj nazwę i kliknij pozycję Wybierz aplikacje publiczne, a następnie znajdź i wybierz aplikacje usługi Microsoft Teams . Kliknij Dalej.

  9. W obszarze Ogólne ustawienia konfiguracji ustaw dowolny z kluczy powiadomień na wartość 1 , aby włączyć funkcję czatu, kanałów, wszystkich innych powiadomień lub dowolnej z tych kombinacji. Ustaw wartość 0 , aby wyłączyć funkcję.

    Name (Nazwa) Value
    com.microsoft.teams.chat.notifications.IntuneMAMOnly 1 dla włączonych, 0 dla wyłączonych
    com.microsoft.teams.channel.notifications.IntuneMAMOnly 1 dla włączonych, 0 dla wyłączonych
    com.microsoft.teams.other.notifications.IntuneMAMOnly 1 dla włączonych, 0 dla wyłączonych

    app-configuration-properties-at-a-glance

  10. Ustaw przypisania dla grup użytkowników do uwzględnienia, a następnie utwórz zasady.

  11. Po utworzeniu zasad przejdź do obszaru Aplikacje>Ochrona aplikacji zasad. Znajdź nowo utworzone zasady Ochrona aplikacji i sprawdź, czy zasady zostały wdrożone, przeglądając kolumnę Wdrożono. W kolumnie Wdrożono powinna być wyświetlana wartość Tak dla utworzonych zasad. Jeśli jest wyświetlana wartość Nie, odśwież stronę i sprawdź po 10 minutach.

Aby powiadomienia były wyświetlane na urządzeniach z systemami iOS i Android

  1. Na urządzeniu zaloguj się do aplikacji Teams i Portal firmy. Ustaw opcję Pokaż podglądy>Zawsze , aby upewnić się, że ustawienia powiadomień urządzenia zezwalają na powiadomienia z usługi Teams.
  2. Zablokuj urządzenie i wyślij powiadomienia do zalogowanego użytkownika na tym urządzeniu. Naciśnij powiadomienie, aby rozwinąć je na ekranie blokady bez odblokowywania urządzenia.
  3. Powiadomienia na ekranie blokady powinny wyglądać następująco (zrzuty ekranu pochodzą z systemu iOS, ale te same ciągi powinny być wyświetlane w systemie Android):
    • Nie powinna być widoczna opcja Odpowiedz lub inne szybkie reakcje powiadomień z ekranu blokady.

    • Awatar nadawcy nie jest widoczny; jednak inicjały są w porządku.

    • Powiadomienie powinno wyświetlać tytuł, ale zastąp zawartość ciągiem "Masz nową wiadomość" dla powiadomień czatu i "Jest nowe działanie" dla innych osób.

      iphone-zrzut ekranu

Aby uzyskać więcej informacji na temat zasad konfiguracji aplikacji i zasad ochrony aplikacji, zobacz następujące tematy:

Następne kroki