兄弟，你的直觉太对了——在有正规IT体系的企业里，让员工把Windows密码通过邮件发送绝对是红线级别的风险操作，哪怕事后改密码也没法完全消除隐患（比如邮件被归档留存、传输过程中被拦截、甚至IT人员不慎泄露）。针对你说的安卓设备配置Outlook、Teams这类办公应用的场景，有好几套成熟的企业级方案，完全不需要共享员工的个人凭证：

• MDM（移动设备管理）平台推送配置
  这是企业级移动设备管理的标配，像你们950人的规模完全应该部署这类工具。比如微软的Intune（和你们用的Outlook、Teams生态完美兼容）、VMware Workspace ONE、Soti等，IT团队可以在后台创建应用配置文件，直接把企业邮箱账户、Teams的组织关联信息推送到你的安卓设备上。Outlook和Teams这类官方应用本身就支持MDM的静默配置，你根本不需要手动输入任何密码，就能直接使用办公应用。不管是企业配发的设备还是你的个人BYOD设备，都能通过MDM安全完成配置，全程不碰敏感凭证。

• 基于SSO的自助身份验证
  利用企业的身份管理系统（比如Azure AD、AD FS）实现单点登录（SSO），完全替代密码共享的方式。你只需要在安卓设备上打开Outlook，选择“企业账户登录”，然后通过企业认可的验证方式完成身份确认——比如扫描企业门户的二维码、接收手机验证码、或者用企业内部的身份验证APP（如Microsoft Authenticator），全程不用输入Windows密码，也不用把密码发给任何人。IT团队只需要在后台配置好应用的SSO策略，员工就能自助完成应用关联，安全又高效。

• 企业应用门户的定向推送
  比如微软的Company Portal应用，你先安装这个门户APP，用自己的企业身份完成SSO登录（同样不需要发密码给IT），IT团队可以在后台把Outlook、Teams这类需要的办公应用推送到你的门户里。你点击安装后，应用会自动和你的企业账户绑定，不需要手动输入任何凭证，整个流程完全由系统自动完成，避免了任何密码共享的风险。

最后想说，你们IT团队现在的做法确实不符合企业级安全规范，建议你可以和他们沟通这些方案——尤其是如果你们已经在用微软的办公生态，Intune+Azure AD的组合几乎是无缝衔接的，大概率你们企业已经购买了相关许可，只是还没充分利用起来。

备注：内容来源于stack exchange，提问作者Tom F