Meilleures pratiques d’authentification pour salles Teams sur les panneaux Android et Teams

Les objectifs des appareils utilisés avec Teams rendent nécessaires différentes stratégies de sécurité et de gestion des appareils. Par exemple, une tablette professionnelle personnelle utilisée par un seul vendeur a un ensemble de besoins différent d’un téléphone d’appel partagé par de nombreuses personnes du service clientèle. Les administrateurs de sécurité et les équipes d’exploitation doivent planifier les appareils utilisés dans le organization. Ils doivent implémenter les mesures de sécurité les mieux adaptées à chaque objectif. Les recommandations de cet article facilitent certaines de ces décisions. En règle générale, les salles Teams sur les appareils Android et écran Teams sont déployés avec des comptes de ressources qui doivent être configurés spécifiquement pour leur fonction. Si votre organization utilise salles Teams sur Android en mode personnel, des configurations de sécurité spécifiques doivent être effectuées pour s’assurer qu’ils peuvent se connecter correctement à l’appareil.

Remarque

L’accès conditionnel nécessite un abonnement Microsoft Entra ID P1 ou P2.

Remarque

Les stratégies pour les appareils mobiles Android peuvent ne pas s’appliquer aux appareils Android Teams.

Défis liés à l’utilisation des mêmes contrôles pour les comptes personnels et les comptes de ressources Teams

Les appareils Teams partagés ne peuvent pas utiliser les mêmes exigences d’inscription et de conformité que celles utilisées sur les comptes personnels et les appareils. L’application d’exigences d’authentification d’appareil personnel aux appareils partagés entraîne des problèmes de connexion. Voici quelques-uns des défis liés à la sécurité compte personnel sur les comptes de ressources :

  1. Les appareils sont déconnectés en raison de l’expiration des mots de passe.

    Si les comptes utilisés sur les appareils Teams ont une stratégie d’expiration de mot de passe, lorsque le mot de passe expire, l’appareil salle ou panneau Teams se déconnecte automatiquement. Les comptes utilisés avec les appareils d’espace partagé n’ont pas d’utilisateur spécifique pour les mettre à jour et les restaurer à l’état opérationnel lorsque leurs mots de passe expirent. Si votre organization nécessite l’expiration et la réinitialisation occasionnelle des mots de passe, ces comptes cessent de fonctionner sur les appareils Teams jusqu’à ce qu’un administrateur d’appareil Teams réinitialise le mot de passe et reconnecte manuellement l’appareil. Les comptes de ressources Teams doivent être exclus de l’expiration du mot de passe.

    Si le compte est un utilisateur compte personnel, lorsque son mot de passe expire, il peut facilement reconnecter l’appareil.

  2. Les appareils ne parviennent pas à se connecter en raison de stratégies d’accès conditionnel nécessitant l’authentification multifacteur interactive de l’utilisateur.

    Si le compte utilisé sur un appareil Teams est soumis à des stratégies d’accès conditionnel et que la stratégie d’authentification multifacteur (MFA) est activée, un compte de ressource Teams ne se connecte pas correctement, car il n’a pas d’appareil secondaire pour approuver la demande d’authentification multifacteur. Les comptes de ressources Teams doivent être sécurisés à l’aide d’une authentification de second facteur alternative, telle que le réseau connu ou l’appareil conforme. Ou si une stratégie d’accès conditionnel est activée pour exiger une réauthentification X jours, la salle Teams sur Android ou écran Teams appareil se déconnecte et nécessite qu’un administrateur informatique se reconnecte tous les X jours.

    Si le compte est un utilisateur compte personnel, l’authentification multifacteur interactive utilisateur peut être requise pour salles Teams sur les panneaux Android ou Teams, car l’utilisateur dispose d’un deuxième appareil sur lequel il peut approuver la demande d’authentification.

Bonnes pratiques pour le déploiement d’appareils Android partagés avec Teams

Microsoft recommande les paramètres suivants lors du déploiement d’appareils Teams dans votre organization.

Utiliser un compte de ressource salles Teams et désactiver l’expiration du mot de passe

Les appareils partagés Teams doivent utiliser un compte de ressource salles Teams. Vous pouvez synchroniser ces comptes avec Microsoft Entra ID à partir d’Active Directory ou les créer directement dans Microsoft Entra ID. Toutes les stratégies d’expiration de mot de passe pour les utilisateurs s’appliquent également aux comptes utilisés sur les appareils partagés Teams. Par conséquent, pour éviter les interruptions provoquées par les stratégies d’expiration de mot de passe, définissez la stratégie d’expiration du mot de passe pour les appareils partagés pour ne jamais expirer.

Utiliser la connexion à distance

Les administrateurs clients peuvent se connecter à salles Teams sur les panneaux Android et Teams à distance. Au lieu de partager des mots de passe avec des techniciens pour configurer des appareils, les administrateurs locataires doivent utiliser la connexion à distance pour émettre des codes de vérification. Vous pouvez vous connecter à ces appareils à partir du Centre d’administration Teams. Pour plus d’informations, consultez Approvisionnement et connexion à distance pour les appareils Android Teams.

Créer une stratégie d’accès conditionnel unique pour les comptes de ressources

Microsoft Entra l’accès conditionnel définit les exigences que les appareils ou les comptes doivent respecter pour se connecter. Pour salles Teams comptes de ressources, nous vous recommandons de créer une stratégie d’accès conditionnel spécifique à vos comptes de ressources salles Teams, puis d’exclure les comptes de toutes les autres stratégies d’accès conditionnel organization. Pour obtenir l’authentification multifacteur (MFA) avec des comptes d’appareil partagés, nous vous recommandons d’associer l’emplacement réseau connu et l’appareil conforme.

Utiliser l’accès basé sur l’emplacement avec des emplacements nommés

Si des appareils partagés sont installés dans un emplacement défini qui peut être identifié par une plage d’adresses IP, vous pouvez configurer l’accès conditionnel à l’aide d’emplacements nommés pour ces appareils. Cette condition permet à ces appareils d’accéder à vos ressources d’entreprise uniquement lorsqu’ils se trouvent dans votre réseau.

Utiliser des appareils conformes

Remarque

La conformité de l’appareil nécessite l’inscription Intune.

Vous pouvez configurer la conformité des appareils en tant que contrôle dans l’accès conditionnel afin que seuls les appareils conformes puissent accéder aux ressources de votre entreprise. Les appareils Teams peuvent être configurés pour les stratégies d’accès conditionnel en fonction de la conformité des appareils. Pour plus d’informations, consultez Accès conditionnel : Exiger un appareil conforme.

Pour définir des stratégies de conformité pour vos appareils à l’aide de Intune, consultez Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune.

Exclure les comptes de ressources des conditions de fréquence de connexion

Dans l’accès conditionnel, vous pouvez configurer la fréquence de connexion pour demander aux utilisateurs de se reconnecter pour accéder à une ressource après une période spécifiée. Si la fréquence de connexion est appliquée pour les comptes de ressources, les appareils se déconnectent jusqu’à ce qu’ils soient à nouveau connectés par un administrateur.

Utilisation de filtres pour les appareils

Pour un contrôle plus précis de ce qui peut se connecter à Teams à l’aide d’un compte de ressource ou pour contrôler les stratégies pour les utilisateurs qui se connectent à une salle Teams sur un appareil Android avec leur compte personnel, des filtres d’appareil peuvent être utilisés. Filtres pour appareils est une fonctionnalité de l’accès conditionnel qui vous permet de configurer des stratégies plus précises pour les appareils en fonction des propriétés des appareils disponibles dans Microsoft Entra ID. Vous pouvez également utiliser vos propres valeurs personnalisées en définissant les attributs d’extension 1 à 15 sur l’objet d’appareil, puis en les utilisant.

Utilisez des filtres pour les appareils afin d’identifier vos appareils partagés et d’activer des stratégies dans deux scénarios clés :

  1. Exclusion des appareils partagés des stratégies appliquées pour les appareils personnels. Par exemple, l’exigence de conformité des appareils n’est pas appliquée pour les appareils partagés utilisés pour le desking à chaud, mais est appliquée à tous les autres appareils, en fonction du numéro de modèle.

  2. Application de stratégies spéciales sur des appareils partagés qui ne doivent pas être appliquées à des appareils personnels. Par exemple, exiger des emplacements nommés comme stratégie uniquement pour les appareils de zone commune en fonction d’un attribut d’extension que vous définissez pour ces appareils (par exemple : CommonAreaPhone).

Remarque

Certains attributs tels que model, manufacturer et operatingSystemVersion ne peuvent être définis que lorsque les appareils sont gérés par Intune. Si vos appareils ne sont pas gérés par Intune, utilisez les attributs d’extension.