摘要:
了解单一登录和新式身份验证等技术如何影响 iOS、Android、macOS 和电脑上的登录行为。 如何使用具有多个帐户的团队并限制登录。... 本文内容
如果需要了解单一登录 (SSO) 、新式身份验证 (MS) 和多重身份验证 (MA 等技术) 如何影响用户的登录体验,本文将帮助阐明用户和管理员希望看到的内容。 它还概述了 macOS、android 和 iOS 设备的登录行为、如何使用多个帐户登录、如何在登录屏幕上删除自动填充的凭据或“预填充”,以及如何限制登录。
如果你的角色涉及在登录期间了解 Microsoft 团队的预期行为,请为本文添加书签。
Microsoft Teams 和 Windows 用户:登录建议
Microsoft 建议组织使用带有“混合域加入”或“Azure AD 加入”配置的最新版 Windows 10。 使用最近的版本可以确保用户的账户在Windows的Web账户管理器中处于预先准备状态,从而实现单点登录到Teams和其他Microsoft应用程序。 单点登录提供了更好的用户体验(无声登录)和更好的安全状况。
Microsoft Teams 使用新式验证保持登录体验简单而安全。 若要了解用户如何登录 Teams,请阅读登录 Teams。
新式身份验证 (MA) 如何影响登录:当 MA 处于打开状态时,用户将看到的内容
新式身份验证是让 Teams 知道用户已在其他地方输入其凭据(如工作电子邮件和密码)的过程的一部分,并且不应要求他们再次输入凭据来启动应用。 体验因以下几个因素而异,例如用户在 Windows 操作系统中工作还是在 Mac 上工作。
登录行为也会因组织已启用单因素身份验证还是多重身份验证而异。 多重身份验证通常包括通过电话、提供唯一代码、输入 PIN 或者指纹验证凭据。
每个使用 Teams 的组织都可以使用现代身份验证。 如果用户无法完成此过程,则你的组织的 Azure AD 配置可能存在基础问题。 有关详细信息,请参阅为什么我无法登录 Microsoft Teams?
下面是用户在每个新式身份验证方案中可能期望的行为的明细。
Microsoft Teams 登录到已加入域的计算机上的另一个帐户
在加入域的计算机上的用户可能无法使用同一 Active Directory 域中的其他帐户登录 Teams。
macOS 用户和 Microsoft Teams 登录提示
在 macOS 上,Teams 将提示用户输入其用户名和凭据,并且可能会根据组织的设置提示进行多重身份验证。 用户输入其凭据后,他们无需再次提供凭据。 此后,只要是在同一台计算机上工作,Teams 都将自动启动。
适用于 iOS 和 Android 用户的 Microsoft Teams 登录
登录时,移动用户将看到当前已登录的或其设备上以前登录的所有 Microsoft 365 帐户的列表。 用户可点击任意帐户进行登录。 移动登录有两种方案:
如果所选帐户当前已登录到其他 Office 365 或 Microsoft 365 应用,则用户将直接进入 Teams。 用户无需输入其凭据。
如果用户未在其他任何位置登录到其 Microsoft 365 帐户,则系统会要求他们提供单一或多重身份验证(SFA 或 MFA),具体取决于组织对移动设备登录策略的配置。
注意
对于要体验本部分中所述的登录体验的用户,其设备必须正在运行 Teams for iOS 版本2.0.13(内部版本 2020061704)或更高版本,或者 Teams for Android 版本 1416/1.0.0.2020061702 或更高版本。
将 Microsoft Teams 与多个登录帐户配合使用
Teams for iOS 和 Android 支持多个工作、学校和多个个人帐户并行使用。 Teams 桌面应用程序将在 2020 年 12 月支持并行使用一个工作/学校和一个个人帐户,随后将推出支持多个工作/学校帐户。
以下图像显示用户如何在 Teams 移动应用中添加多个帐户。
将登录限制为 Microsoft Teams
组织可能希望限制在受管理的设备上使用公司许可的应用的方式,例如,限制学生或员工访问其他组织中的数据,或将公司许可的应用用于个人的情况。 可通过设置 Teams 应用程序识别的设备策略来强制实施这些限制。
如何在移动设备上限制 Microsoft Teams 登录
Teams for iOS 和 Android 提供 IT 管理员将帐户配置推送到 Microsoft 365 帐户的功能。 此功能适用于使用托管应用配置通道(适用于iOS)或 Android Enterprise 通道(适用于Android)的任何移动设备管理(MDM)提供商。
对于已注册 Microsoft Intune 的用户,可以使用 Azure 门户中的 Intune 部署帐户配置设置。
在 MDM 提供商配置帐户设置配置且用户注册其设备后,在登录页面上,Teams for iOS 和 Android 在 Teams 登录页面上仅会显示允许帐户。 用户可以在此页面上点击任何允许的帐户来登录。
在 Azure Intune 门户中为托管设备设置以下配置参数。
平台密钥值
iOS
IntuneMAMAllowedAccountsOnly
启用:唯一允许的帐户是 IntuneMAMUPN 密钥定义的托管用户帐户。
禁用(或者与启用不匹配的任何区分大小写的值):允许任何帐户。
iOS
IntuneMAMUPN
允许登录到 Teams 的帐户的 UPN。
对于注册 Intune 的设备,{{userprincipalname}}令牌可用于代表已注册的用户帐户。
Android
com.microsoft.intune.mam.AllowedAccountUPNs
仅允许的账户是此密钥定义的托管用户账户。
一个或多个分号;] - 分隔的UPN。
对于注册 Intune 的设备,{{userprincipalname}}令牌可用于代表已注册的用户帐户。
设置帐户设置配置后,Teams 将限制登录功能,以使只有已注册设备上的允许账户才能获得访问权限。
若要创建托管 iOS/iPadOS 设备的应用配置策略,请参阅添加托管 iOS/iPadOS 设备的应用配置策略。
若要创建托管 Android 设备的应用配置策略,请参阅添加托管 Android 设备的应用配置策略。
如何在桌面设备上限制 Teams 登录
Windows 和 macOS 上的 Microsoft Teams 应用正在获得对限制登录到组织的设备策略的支持。 可通过常规设备管理解决方案(例如 MDM(移动设备管理)或 GPO(组策略对象))设置策略。
在设备上配置此策略时,用户仅可使用位于 Azure AD 租户(包含于策略中定义的 “租户允许列表” )中的帐户登录。 该策略应用于所有登录,包括第一个和其他帐户。 如果你的组织包括多个 Azure AD 租户,则可以在允许列表中包含多个租户 ID。 Teams 应用中的 “添加其他帐户” 的链接可能仍处于可见状态,但它们不可操作。
注意
策略仅限制登录,不会限制将用户邀请为其他 Azure AD 租户中的来宾,或切换到其他租户(其中已将用户邀请为来宾)的功能。该策略要求 Teams for Windows 版本1.3.00.30866 或更高版本以及Teams for MacOS 版本1.3.00.30882 (发布时间为 2020 年 11 月中)。
Windows 管理模板文件 (ADMX/ADML) 策略从 下载中心 提供(管理模板文件中的策略设置说明性名称是"限制登录到特定租户中的 Teams 的帐户")。 另外,你可以在 Windows 注册表中手动设置密钥:
Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Teams
示例: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 或 SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = Tenant ID 1,Tenant ID 2,Tenant ID 3
MacOS适用策略 对于MacOS 的托管设备,使用 .plist 来部署登录限制。 配置文件是一个 plist 文件,其中包含由键标识的项(表示首选项名称),后跟一个值(该值取决于首选项的特性)。 值可以是简单的(如数值)或复杂的(如首选项的嵌套列表)。
全局登录和 Microsoft Teams
我们改进了共享设备上的登录体验,为一线员工提供了一个轻松的登录体验。 员工可以从共享设备池中选取设备,使其在排班期间单一登录到“归为己有”。 在他们值班结束后,应能够执行注销,以便在设备上全局注销。 有关详细信息,请参阅 Teams 注销。 这将从设备中删除其所有个人和公司信息,以便其可以将设备返回设备池。 若要获取此功能,必须在共享模式下设置设备。 在注销之前,请确保在设备上结束任何活动会议或通话。
Android:若要了解如何在共享模式下设置 Android 设备,请参阅 。
iOS:iOS 上的共享设备模式支持以公共预览版提供。 若要在 iOS 上将设备设置为共享模式,请参阅 如何在 iOS 上使用共享设备模式。 将设备设置为共享模式后,从应用商店下载 Teams 应用。 启动 Teams 并将其保持打开状态 30 秒,关闭应用并重新启动, (只有公共预览阶段) 才需要此步骤。
该登录体验看起来类似于标准的 Teams 登录体验。
注意
此功能以公共预览版提供。
Microsoft Teams 的 URL 和 IP 地址范围
Teams 需要连接到 Internet。 若要了解在 Office 365 计划、政府版和其他云中使用 Teams 的客户应该可以访问的终结点,请阅读 Office 365 URL 和 IP 地址范围。
相关主题
Teams 疑难解答
