使用 Intune 管理适用于 iOS 和 Android 的 Microsoft 365 (Office)

适用于 iOS 和 Android 的 Microsoft 365 (Office) 提供了几个主要优势，包括：

订阅 企业移动性 + 安全性 套件（包括Microsoft Intune和Microsoft Entra ID P1 或 P2 功能（如条件访问）时，Microsoft 365 数据最丰富、最广泛的保护功能可用。 你至少需要部署一个条件访问策略，该策略允许从移动设备连接到 Microsoft 365 (Office) for iOS 和 Android，以及一个 Intune 应用保护策略，以确保协作体验受到保护。

组织可以使用Microsoft Entra条件访问策略来确保用户只能使用适用于 iOS 和 Android 的 Microsoft 365 (Office) 访问工作或学校内容。 为此，你需要一个面向所有潜在用户的条件访问策略。 条件访问：需要批准的客户端应用或应用保护策略介绍了这些策略。

按照 要求使用移动设备的已批准的客户端应用或应用保护策略中的步骤操作，该策略允许 Microsoft 365 (适用于 iOS 和 Android 的 Office) ，但阻止支持 OAuth 的第三方移动设备客户端连接到 Microsoft 365 终结点。

注意

此策略可确保移动用户使用适用的应用访问所有 Microsoft 365 终结点。

注意

To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. 对于 Android 设备，需要 Intune 公司门户应用。 有关详细信息，请参阅使用 Intune 进行基于应用的条件访问。

应用保护政策 (APP) 定义允许哪些应用程序，以及它们可以使用组织数据执行哪些操作。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言，实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级，Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。

APP 数据保护框架分为三个不同的配置级别，每个级别基于上一个级别进行构建：

若要查看每个配置级别的具体建议以及必须受保护的核心应用，请查看使用应用保护策略的数据保护框架。

无论设备是否在统一的终结点管理 (UEM) 解决方案中注册，都需要使用如何创建和分配应用保护策略中的步骤，为 iOS 和 Android 应用创建 Intune 应用保护策略。 这些策略至少必须满足以下条件：

它们包括所有 Microsoft 365 移动应用程序，例如 Edge、Outlook、OneDrive、Microsoft 365 (Office) 或 Teams，因为这样可确保用户可以以安全的方式访问和操作任何 Microsoft 应用中的工作或学校数据。

They are assigned to all users. 这可确保所有用户都受到保护，无论他们是使用适用于 iOS 还是 Android 的 Microsoft 365 (Office) 。

确定满足要求的框架级别。 大多数组织都应实现在企业增强型数据保护（级别 2）中定义的设置，因为这可以启用数据保护和访问要求控制。

有关可用设置的详细信息，请参阅 Android 应用保护策略设置和 iOS 应用保护策略设置。

重要

To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal.

适用于 iOS 和 Android 的 Microsoft 365 (Office) 支持允许统一终结点管理的应用设置，例如Microsoft Intune管理员自定义应用的行为。

可以通过已注册设备上的移动设备管理 (MDM) OS 通道 (适用于 iOS 的托管应用程序配置通道或 Android) 企业通道中的 Android，或通过 Intune 应用保护策略 (应用) 通道传递应用配置。 适用于 iOS 和 Android 的 Microsoft 365 (Office) 支持以下配置方案：

重要

对于需要在 Android 上进行设备注册的配置方案，必须在 Android Enterprise 中注册设备，并且必须通过托管的 Google Play 商店部署适用于 Android 的 Microsoft 365 (Office) 。 有关详细信息，请参阅设置 Android Enterprise 个人拥有的工作用户配置设备注册和为托管 Android Enterprise 设备添加应用配置策略。

每个配置方案都突出显示了其特定要求。 例如，配置方案是否需要设备注册，是否由此适用于任何 UEM 提供程序，或者是否需要 Intune 应用保护策略。

重要

应用配置密钥区分大小写。 使用正确的大小写来确保配置生效。

注意

使用 Microsoft Intune，通过 MDM OS 通道传递的应用配置称为托管设备应用程序配置策略 (ACP) ;通过应用保护策略通道传递的应用配置称为托管应用应用程序配置策略。

尊重我们最大的、受严格监管的客户的数据安全和合规政策是 Microsoft 365 价值的关键支柱。 某些公司要求捕获其公司环境中的所有通信信息，并确保设备仅用于公司通信。 为了支持这些要求，可以将已注册设备上适用于 Android 的 Microsoft 365 (Office) 配置为仅允许在应用中预配单个公司帐户。

可在此处详细了解如何配置组织允许的帐户模式设置：

此配置方案仅适用于已注册的设备。 但是，支持任何 UEM 提供程序。 如果不使用 Microsoft Intune，则需要查阅 UEM 文档，了解如何部署这些配置密钥。

Microsoft 365 (适用于 iOS/iPadOS 和 Android 的 Office) 使管理员能够使用 iOS/iPadOS 或 Android 应用配置策略自定义多个应用内设置的默认配置。 此功能适用于通过任何 UEM 提供程序注册的设备，以及当 Microsoft 365 (Office) for iOS 和 Android 应用应用了 Intune 应用保护策略时未注册的设备。

注意

如果应用保护策略面向用户，则建议在托管应用注册模型中部署常规 应用 配置设置。 这可确保将应用程序配置策略部署到已注册设备和未注册的设备。

Microsoft 365 (Office) 支持以下配置设置：

默认情况下，Microsoft 365 (适用于 iOS 和 Android 的 Office) 允许用户创建便笺。 对于具有Exchange Online邮箱的用户，笔记将同步到用户的邮箱中。 对于具有本地邮箱的用户，这些笔记仅存储在本地设备上。

对于运行 Office 的 iOS/iPadOS 设备， (管理员) 可以设置是否启用 Microsoft 365 (Office) 加载项。 可以使用 Intune 中的应用 配置策略 部署这些应用设置。

如果需要启用或禁用 iOS 设备平台的 Microsoft 365 (Office) Store 部分，可以使用以下密钥。

有关添加配置密钥的详细信息，请参阅 为托管 iOS/iPadOS 设备添加应用配置策略。

IT 管理员可以创建自定义 权限策略 并使用 Teams 管理中心 将这些策略分配给用户 ，从而管理对 Teams 应用的访问权限。 现在，还可以在适用于 iOS 和 Android 的 Microsoft 365 (Office) 中运行 Teams 个人选项卡应用。 使用 Microsoft Teams JavaScript 客户端 SDK v2 (版本 2.0.0) 和 Teams 应用清单 (版本 1.13 构建的 Teams 个人选项卡应用) 显示在 Microsoft 365 (Office) for iOS 和 Android 的“应用”菜单下。

对于适用于 iOS 和 Android 的 Microsoft 365 (Office) ，可能存在其他管理要求。 你可能想要：

若要管理这些项，可以使用以下密钥：

此密钥可由托管设备和托管应用使用。

当应用保护策略阻止“另存为”到本地存储时，可以启用或禁用脱机缓存。

重要

此设置仅适用于 Android 上的 Microsoft 365 (Office) 应用。 若要配置此设置，可以使用以下密钥：

管理员现在可以通过在 Intune 管理中心中配置以下设置来启用或禁用 Microsoft 365 源。 若要部署此应用设置，请在 Intune 中使用 应用配置策略 。

若要管理 Microsoft 365 源，可以使用以下密钥：

此密钥可由托管设备和托管应用使用。