Teams 移动端怎么管理？

混合办公模式下，员工使用个人手机登录 Teams 已经成为常态。这给 IT 管理带来了一个经典的矛盾：既要保护企业数据安全，又不能过度控制员工的个人设备。微软 Intune 的移动应用管理（MAM）正是为了解决这个问题而生。2026 年 1 月 19 日起，Intune 强制执行了更严格的 SDK 和 app 版本要求，未及时更新的应用将被阻止启动。

Intune MAM 工作原理：应用级保护而非设备级管理

为什么选择 MAM 而非 MDM

传统的移动设备管理（MDM）要求用户注册整个设备，企业可以擦除整个手机、限制哪些应用可以安装、甚至监控设备位置。对于公司配发的设备，这没问题。但对于 BYOD（自带设备），员工不愿意让公司“控制”自己的手机。Intune MAM（移动应用管理）提供了第三种方案——只管理企业应用（如 Teams、Outlook、OneDrive），而不触碰手机上的其他内容。员工可以继续使用个人应用，IT 管理员可以确保 Teams 中的公司数据不会泄露到个人应用中。这是 BYOD 场景下最平衡的解决方案。

MAM 如何保护 Teams 数据

通过 Intune MAM 策略，管理员可以配置以下保护措施：禁止将 Teams 中的文本复制粘贴到个人微信或 WhatsApp；禁止在未加密的设备上保存 Teams 附件；要求使用 PIN 或人脸识别才能打开 Teams；如果设备被越狱或 root，自动阻止 Teams 访问；当用户离职时，远程擦除 Teams 中的所有公司数据而不影响个人照片和短信。所有这些策略只作用于 Teams 和其他受管理的 Microsoft 365 应用，员工的个人应用不受影响。

移动威胁防御（MTD）集成

2026 年 3 月，微软进一步强化了 Intune MAM 与移动威胁防御（MTD）的集成。例如，Check Point 的 Harmony Mobile Protect 要求 BYOD 设备必须安装该应用才能访问 Teams 和 Outlook。如果用户的手机缺少必要的安全防护，Intune 可以阻止 Teams 启动，或限制其仅可查看消息而不允许下载附件。这为 BYOD 场景增加了一层额外的安全屏障。

MAM 策略与条件访问的联动

MAM 策略通常与条件访问策略结合使用。管理员可以设置“仅允许使用 Intune 托管应用的设备访问 Teams”，这意味着用户必须使用经过 MAM 保护的 Teams 客户端才能登录。如果用户试图通过手机浏览器访问 Teams 网页版，条件访问会直接拒绝。这种多层防护确保所有移动端 Teams 访问都受到统一的安全策略约束。

2026 年 Intune 强制更新：你需要知道的一切

更新的时间线与背景

微软在 2025 年发出警告：“从 2026 年 1 月 19 日开始，或不久之后，我们将对 Intune 移动应用管理（MAM）服务进行更新改进。这些更新要求 iOS 封装应用、iOS SDK 集成应用以及 Android 版 Intune 公司门户必须运行最新版本，否则将被阻止启动应用。”截止日期最初是 2025 年 12 月 15 日，但微软后来延长了期限。从 2026 年 1 月 19 日起，未准备好的管理员可能开始看到影响。包括微软自家的 Outlook 和 Teams 在内的应用都必须更新以避免服务中断。

iOS 端的复杂要求

iOS 的更新要求相对复杂。使用 Xcode 16 编译的应用需要 Intune App SDK for iOS 的 20.8.0 版本，而使用 Xcode 26 编译的应用需要 21.1.0 或更高版本的 Intune App SDK for iOS。应用封装工具也必须更新——Xcode 16 需要使用 20.8.1 版本，Xcode 26 需要使用 21.1.0 版本。微软首席软件工程经理 Kyle Reis 写道：“已登录应用并应用了 MAM 策略的用户，如果应用未更新到 20.8.0 或更高版本，最终将被阻止访问应用程序。”并非所有用户都会立即受到影响，影响时间取决于其组织的策略配置。

Android 端相对简单

Android 应用的情况相对简单。微软表示：“一旦设备上有一个使用更新 SDK 的微软应用程序，并且公司门户更新到最新版本，Android 应用就会自动更新。”Android 版 Intune 公司门户需要升级到 5.0.6726.0 或更高版本。一旦一个受管理的 Microsoft 应用（如 Outlook）完成了更新，其他应用如 Teams 会自动跟随。

IT 管理员应该做什么

对于使用 Intune 策略管理 Android 和 iOS 的租户，微软建议 IT 管理员：提醒用户确保 Microsoft Teams 和 Outlook 已更新到最新版本；配置条件启动规则，设置为“警告”而非直接“阻止”，给用户留出更新时间；从 Intune 管理中心主动审查合规性，前往“应用”→“监视”→“应用保护状态”，查看正在使用的应用和 SDK 版本，识别哪些用户需要在访问中断前进行更新。企业管理员还可以使用条件访问“假设分析”模拟来预览策略变更对不同设备或用户场景的影响。

Teams 移动端策略配置详解

通过 PowerShell 管理 TeamsMobilityPolicy

Teams 移动端的许多行为可以通过 PowerShell 中的 TeamsMobilityPolicy 进行配置。管理员可以安装 Teams PowerShell 模块，连接到租户后，使用 Get-CsTeamsMobilityPolicy 查看当前策略，使用 Set-CsTeamsMobilityPolicy 修改设置。需要注意的是，策略更改后可能需要几个小时才能在用户设备上生效。

移动端浏览器选择提示的管理

2026 年 2 月，微软在 Teams 移动端推出了一项新功能：当用户点击非 Office 和 PDF 链接时，系统会弹窗询问使用哪个浏览器打开。默认情况下，Teams 推荐使用 Microsoft Edge，因为它支持单点登录（SSO）、Copilot 和增强的安全性。如果用户选择 Edge 但手机未安装，会被提示下载。微软计划在 2 月启动该功能的推送，并在 2 月底前完成全球部署，覆盖 DoD、GCC 和 GCCH 租户。

对于希望关闭此提示的管理员，可以通过 PowerShell 调整 TeamsMobilityPolicy，将 LinksInTeams 属性设置为 UseSystemDefaults（禁用提示）。默认值为 OfferBrowserOptions（启用提示）。用户也可以在 Teams 移动端设置中自行选择偏好的浏览器。

移动端默认程序管理

Teams 移动端在 2026 年 2 月会弹出提示，要求用户设置打开某些文件格式的默认程序。管理员可以使用 PowerShell 调整 TeamsMobilityPolicy 来关闭这些提示。具体属性可以在微软 Teams PowerShell 参考文档中查找。

Teams 移动端 2026 年新功能

Teams Phone 移动端体验增强

2026 年，Teams Phone 的移动端体验得到了显著增强。对于美国 T-Mobile 客户，Teams Phone 移动体验现已正式可用，用户可以直接在 Teams 移动端使用运营商的蜂窝网络拨打和接听电话，不需要依赖 WiFi。这对于经常出差或网络不稳定的用户来说是一个重要的体验提升。

1:1 VoIP 通话的录音同意要求

2026 年 2 月 11 日，微软将显式录音同意策略扩展至 1:1 VoIP 通话。当启用该策略的用户在一对一通话中发起录音或转录时，另一方参与者会自动被静音，摄像头和内容共享被关闭，同时弹出提示询问是否同意被录音。该策略由管理员在 Teams 通话策略中配置。这适用于移动端和桌面端的 Teams 通话。

照片位置数据自动移除

2026 年 2 月至 3 月，微软在 Teams 中推出了一个隐私增强功能：当用户在聊天或频道中分享照片时，Teams 会自动移除照片中隐藏的图像元数据（EXIF 数据），包括 GPS 位置、相机型号、设备信息等。照片的可见内容不会改变，只有隐藏的元数据被移除。这一更新有助于防止无意中泄露位置和设备的详细信息。

如果你需要保留 EXIF 元数据用于合法的学术或研究目的，建议使用 OneDrive 链接或其他经过批准的文件共享方式分享图像，而不是直接在 Teams 中粘贴或上传附件。

BYOD 与公司配发设备的最佳实践

区分两种设备的策略配置

对于公司配发的设备，可以使用 MDM 进行全设备管理，包括部署合规策略、推送应用更新、监控设备状态。对于 BYOD 设备，使用 MAM 进行应用级管理。在 Intune 中，可以根据设备是公司所有还是个人所有，应用不同的策略集。建议为 BYOD 设备启用更严格的 MAM 策略（如禁止复制粘贴到个人应用），而对公司设备可以适当放宽，以提升员工体验。

用户教育与沟通

技术再强大，如果员工不理解或不配合，效果也会打折扣。建议制作一份“BYOD 安全指南”，内容包括：公司为何需要管理 Teams 等应用；MAM 能做什么、不能做什么（强调不监控个人数据）；用户需要做什么（如更新应用、安装公司门户）；遇到问题时的联系人。在员工入职时要求阅读并确认。

条件访问的“假设分析”模拟

在正式应用新的条件访问策略之前，建议使用条件访问“假设分析”功能进行模拟。输入用户和设备条件，系统会预览策略变更对该用户的影响。这可以帮助管理员识别潜在的访问中断风险，并在全量推送前进行调整。尤其对于 BYOD 环境，员工使用的设备类型多样，充分测试是避免大规模支持工单的关键。

定期审查应用保护状态

在 Intune 管理中心的“应用”→“监视”→“应用保护状态”中，可以查看所有受管理应用的合规情况。包括应用版本、SDK 版本、平台分布、以及任何不符合策略的设备。建议每月审查一次，对于长期未更新的设备，可以发送提醒或直接阻止访问。这既是安全实践，也是应对审计的准备。