Рекомендации по проверке подлинности для Комнаты Teams на панелях Android и Teams

Цели устройств, используемых с Teams, делают необходимыми различные стратегии управления устройствами и безопасности. Например, личный бизнес-планшет, используемый одним продавцом, имеет набор потребностей, отличный от потребностей телефонного телефона, совместно используемого многими сотрудниками службы поддержки клиентов. Администраторы безопасности и операционные группы должны планировать устройства, используемые в организации. Они должны реализовать меры безопасности, наилучшим образом подходящие для каждой цели. Рекомендации из этой статьи упрощают некоторые из этих решений. Как правило, Комнаты Teams на устройствах Android и Панель Teams развертываются с учетными записями ресурсов, которые должны быть настроены специально для их функций. Если в вашей организации есть пользователи, использующие Комнаты Teams на Android в личном режиме, необходимо настроить определенные конфигурации безопасности, чтобы они могли успешно войти на устройство.

Примечание.

Для условного доступа требуется подписка Microsoft Entra ID P1 или P2.

Примечание.

Политики для мобильных устройств Android могут не применяться к устройствам Teams Android.

Проблемы с использованием одинаковых элементов управления для личных учетных записей и учетных записей ресурсов Teams

Общие устройства Teams не могут использовать те же требования для регистрации и соответствия требованиям, которые используются для личных учетных записей и устройств. Применение требований к проверке подлинности личных устройств к общим устройствам приводит к проблемам со входом. Ниже приведены некоторые проблемы, связанные с безопасностью личная учетная запись учетных записей ресурсов.

  1. Устройства выписываются из-за истечения срока действия паролей.

    Если учетные записи, используемые на устройствах Teams, имеют политику истечения срока действия пароля, по истечении срока действия пароля устройство комнаты или панели Teams автоматически выйдет из системы. Учетные записи, используемые с устройствами с общим пространством, не имеют определенного пользователя, который будет обновлять и восстанавливать их до рабочего состояния по истечении срока действия паролей. Если вашей организации требуется периодический срок действия паролей и их сброс, эти учетные записи перестают работать на устройствах Teams до тех пор, пока администратор устройства Teams не сбросит пароль и вручную не войдет в систему устройства. Учетные записи ресурсов Teams должны быть исключены из срока действия пароля.

    Если учетная запись является пользователем, личная учетная запись, по истечении срока действия пароля они могут легко снова войти на устройство.

  2. Устройствам не удается выполнить вход из-за политик условного доступа, требующих интерактивной многофакторной проверки подлинности пользователя.

    Если учетная запись, используемая на устройстве Teams, подчиняется политикам условного доступа и включена политика многофакторной проверки подлинности (MFA), учетная запись ресурса Teams не будет успешно выполнена, так как у нее нет дополнительного устройства для утверждения запроса MFA. Учетные записи ресурсов Teams должны быть защищены с помощью альтернативной второй факторной проверки подлинности, например известной сети или совместимого устройства. Или если политика условного доступа включена, чтобы требовать повторную проверку подлинности когда-либо X дней, комната Teams на Android или Панель Teams устройстве выйдет из системы и потребует от ИТ-администратора выполнять вход через каждые X дней.

    Если учетная запись является пользователем личная учетная запись, для Комнаты Teams на панелях Android или Teams может потребоваться интерактивная MFA, так как у пользователя будет второе устройство, на которое он может утвердить запрос на проверку подлинности.

Рекомендации по развертыванию общих устройств Android с помощью Teams

Корпорация Майкрософт рекомендует использовать следующие параметры при развертывании устройств Teams в вашей организации.

Использование учетной записи ресурса Комнаты Teams и отключение срока действия пароля

Общие устройства Teams должны использовать учетную запись ресурса Комнаты Teams. Эти учетные записи можно синхронизировать с Microsoft Entra ID из Active Directory или создать непосредственно в Microsoft Entra ID. Любые политики срока действия паролей для пользователей также будут применяться к учетным записям, используемым на общих устройствах Teams, поэтому, чтобы избежать сбоев, вызванных политиками истечения срока действия паролей, установите политику срока действия паролей для общих устройств так, чтобы срок действия не истекал.

Использование удаленного входа

Администраторы клиента могут удаленно входить в Комнаты Teams на панелях Android и Teams. Вместо того, чтобы обмениваться паролями с техническими специалистами для настройки устройств, администраторы клиентов должны использовать удаленный вход для выдачи кодов проверки. Вы можете войти на эти устройства из Центра администрирования Teams. Дополнительные сведения см. в статье Удаленная подготовка и вход для устройств Android Teams.

Создание уникальной политики условного доступа для учетных записей ресурсов

Microsoft Entra условный доступ задает требования, которым должны соответствовать устройства или учетные записи для входа. Для учетных записей ресурсов Комнаты Teams рекомендуется создать новую политику условного доступа, относяющуюся к учетным записям ресурсов Комнаты Teams, а затем исключить учетные записи из всех остальных политик условного доступа организации. Чтобы обеспечить многофакторную проверку подлинности (MFA) с помощью общих учетных записей устройств, рекомендуется сочетание известного сетевого расположения и соответствующего устройства.

Использование доступа на основе расположения с именованными расположениями

Если общие устройства установлены в определенном расположении, которое можно определить с помощью диапазона IP-адресов, можно настроить условный доступ с помощью именованных расположений для этих устройств. Это условие позволяет этим устройствам получать доступ к корпоративным ресурсам только в том случае, если они находятся в сети.

Использование совместимых устройств

Примечание.

Для соответствия устройств требуется Intune регистрация.

Вы можете настроить соответствие устройств в качестве элемента управления в условном доступе, чтобы только соответствующие устройства могли получать доступ к корпоративным ресурсам. Для устройств Teams можно настроить политики условного доступа на основе соответствия устройств требованиям. Дополнительные сведения см. в разделе Условный доступ: требуется соответствующее устройство.

Сведения о настройке политик соответствия для устройств с помощью Intune см. в статье Использование политик соответствия требованиям для установки правил для устройств, которыми вы управляете с помощью Intune.

Исключение учетных записей ресурсов из условий частоты входа

В разделе Условный доступ можно настроить частоту входа , чтобы требовать от пользователей повторного входа для доступа к ресурсу по истечении указанного периода времени. Если для учетных записей ресурсов применяется частота входа, устройства выходят, пока администратор снова не войдет в систему.

Использование фильтров для устройств

Для более детального управления тем, что может выполнять вход в Teams с помощью учетной записи ресурса, или для управления политиками для пользователей, включающихся в комнату Teams на устройстве Android с помощью личная учетная запись, можно использовать фильтры устройств. Фильтры для устройств — это функция условного доступа, которая позволяет настраивать более детализированные политики для устройств на основе свойств устройств, доступных в Microsoft Entra ID. Вы также можете использовать собственные настраиваемые значения, задав атрибуты расширения от 1 до 15 в объекте устройства, а затем используя их.

Используйте фильтры для устройств для идентификации общих устройств и включения политик в двух ключевых сценариях:

  1. Исключение общих устройств из политик, применяемых для личных устройств. Например, требование соответствия устройств не применяется для общих устройств, используемых для горячей поддержки, но применяется для всех других устройств в зависимости от номера модели.

  2. Применение специальных политик на общих устройствах, которые не должны применяться к личным устройствам. Например, требовать именованные расположения в качестве политики только для устройств с общими областями на основе атрибута расширения, заданного для этих устройств (например, CommonAreaPhone).

Примечание.

Некоторые атрибуты, такие как model, manufacturer и operatingSystemVersion, можно задать только в том случае, если устройства управляются Intune. Если устройства не управляются Intune, используйте атрибуты расширения.

Устаревшая авторизация Teams

Политики конфигурации обновления Teams предлагают параметр BlockLegacyAuthorization, который при включении не позволяет Комнаты Teams на панелях Android и Teams подключаться к службам Teams. Дополнительные сведения об этой политике см. в статье Set-CsTeamsUpgradeConfiguration или запустите Get-CsTeamsUpgradeConfiguration, чтобы проверка, включена ли BlockLegacyAuthorization в клиенте.

Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization