Teilen über

Bewährte Authentifizierungsmethoden für Teams-Räume in Android- und Teams-Bereichen

  • Artikel
  • Gilt für:
    Microsoft Teams

Die Ziele von Geräten, die mit Teams verwendet werden, machen unterschiedliche Geräteverwaltungs- und Sicherheitsstrategien erforderlich. Beispielsweise hat ein persönliches Business-Tablet, das von einem einzelnen Vertriebsmitarbeiter verwendet wird, einen anderen Satz von Anforderungen als ein Anruftelefon, das von vielen Kundendienstmitarbeitern geteilt wird. Sicherheitsadministratoren und Betriebsteams müssen die Geräte planen, die im organization verwendet werden. Sie müssen Sicherheitsmaßnahmen implementieren, die für jeden Zweck am besten geeignet sind. Die Empfehlungen in diesem Artikel erleichtern einige dieser Entscheidungen. In der Regel werden Teams-Räume auf Android- und Teams-Türschild-Geräten mit Ressourcenkonten bereitgestellt, die speziell für ihre Funktion konfiguriert werden sollten. Wenn benutzer in Ihrem organization Teams-Räume unter Android in einem persönlichen Modus verwenden, müssen bestimmte Sicherheitskonfigurationen vorgenommen werden, um sicherzustellen, dass sie sich erfolgreich beim Gerät anmelden können.

Hinweis

Bedingter Zugriff erfordert ein Microsoft Entra ID P1- oder P2-Abonnement.

Hinweis

Richtlinien für mobile Android-Geräte gelten möglicherweise nicht für Teams Android-Geräte.

Herausforderungen bei der Verwendung der gleichen Steuerelemente für persönliche Konten und Teams-Ressourcenkonten

Freigegebene Teams-Geräte können nicht dieselben Anforderungen für Registrierung und Compliance verwenden, die für persönliche Konten und Geräte verwendet werden. Das Anwenden von Authentifizierungsanforderungen für persönliche Geräte auf freigegebene Geräte führt zu Anmeldeproblemen. Einige Herausforderungen bei persönliches Konto Sicherheit für Ressourcenkonten sind:

  1. Geräte werden aufgrund des Ablaufs von Kennwörtern abgemeldet.

    Wenn die auf Teams-Geräten verwendeten Konten über eine Kennwortablaufrichtlinie verfügen, wird das Teams-Raum- oder Panelgerät automatisch abgemeldet, wenn das Kennwort abläuft. Die Konten, die mit Geräten mit gemeinsam genutztem Speicherplatz verwendet werden, verfügen nicht über einen bestimmten Benutzer, um sie zu aktualisieren und in einen funktionierenden Zustand wiederherzustellen, wenn ihre Kennwörter ablaufen. Wenn Ihre organization erfordert, dass Kennwörter ablaufen und gelegentlich zurückgesetzt werden, funktionieren diese Konten nicht mehr auf Teams-Geräten, bis ein Teams-Geräteadministrator das Kennwort zurücksetzt und das Gerät manuell wieder anmeldet. Teams-Ressourcenkonten sollten vom Kennwortablauf ausgeschlossen werden.

    Wenn es sich bei dem Konto um einen Benutzer handelt, der persönliches Konto ist und das Kennwort abläuft, kann er das Gerät problemlos wieder anmelden.

  2. Geräte können sich aufgrund von Richtlinien für bedingten Zugriff nicht anmelden, die eine interaktive mehrstufige Authentifizierung erfordern.

    Wenn das auf einem Teams-Gerät verwendete Konto Richtlinien für bedingten Zugriff unterliegt und die MFA-Richtlinie (Multi-Factor Authentication) aktiviert ist, wird sich ein Teams-Ressourcenkonto nicht erfolgreich anmelden, da es kein sekundäres Gerät zum Genehmigen der MFA-Anforderung hat. Teams-Ressourcenkonten sollten mithilfe einer alternativen zweiten Faktor-Authentifizierung geschützt werden, z. B. einem bekannten Netzwerk oder einem kompatiblen Gerät. Oder wenn eine Richtlinie für bedingten Zugriff aktiviert ist, um eine erneute Authentifizierung immer X Tage zu erfordern, wird sich der Teams-Raum unter Android oder Teams-Türschild Gerät abmelden und erfordert, dass sich ein IT-Administrator alle X Tage wieder anmeldet.

    Wenn es sich bei dem Konto um einen Benutzer handelt, persönliches Konto, kann interaktive MFA für benutzerdeaktive MFA für Teams-Räume in Android- oder Teams-Bereichen erforderlich sein, da der Benutzer über ein zweites Gerät verfügt, auf dem er die Authentifizierungsanforderung genehmigen kann.

Bewährte Methoden für die Bereitstellung freigegebener Android-Geräte mit Teams

Microsoft empfiehlt die folgenden Einstellungen beim Bereitstellen von Teams-Geräten in Ihrem organization.

Verwenden eines Teams-Räume-Ressourcenkontos und Deaktivieren des Kennwortablaufs

Freigegebene Teams-Geräte sollten ein Teams-Räume-Ressourcenkonto verwenden. Sie können diese Konten entweder mit Microsoft Entra ID aus Active Directory synchronisieren oder direkt in Microsoft Entra ID erstellen. Alle Kennwortablaufrichtlinien für Benutzer gelten auch für Konten, die auf gemeinsam genutzten Teams-Geräten verwendet werden. Legen Sie daher zur Vermeidung von Unterbrechungen durch Kennwortablaufrichtlinien die Kennwortablaufrichtlinie für freigegebene Geräte so fest, dass sie nie abläuft.

Verwenden der Remoteanmeldung

Mandantenadministratoren können sich remote bei Teams-Räume in Android- und Teams-Bereichen anmelden. Anstatt Kennwörter für techniker zum Einrichten von Geräten freizugeben, sollten Mandantenadministratoren die Remoteanmeldung verwenden, um Prüfcodes auszustellen. Sie können sich über das Teams Admin Center bei diesen Geräten anmelden. Weitere Informationen finden Sie unter Remotebereitstellung und -anmeldung für Teams Android-Geräte.

Erstellen einer eindeutigen Richtlinie für bedingten Zugriff für Ressourcenkonten

Microsoft Entra bedingter Zugriff legt Anforderungen fest, die Geräte oder Konten erfüllen müssen, um sich anzumelden. Für Teams-Räume Ressourcenkonten empfiehlt es sich, eine neue Richtlinie für bedingten Zugriff zu erstellen, die für Ihre Teams-Räume Ressourcenkonten spezifisch ist, und dann die Konten von allen anderen richtlinien für den bedingten Zugriff organization auszuschließen. Um die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) mit gemeinsam genutzten Gerätekonten zu erreichen, wird eine Kombination aus bekannter Netzwerkadresse und kompatiblem Gerät empfohlen.

Verwenden des standortbasierten Zugriffs mit benannten Standorten

Wenn freigegebene Geräte an einem definierten Speicherort installiert sind, der mit einem Bereich von IP-Adressen identifiziert werden kann, können Sie den bedingten Zugriff mit benannten Standorten für diese Geräte konfigurieren. Diese Bedingung ermöglicht es diesen Geräten, nur dann auf Ihre Unternehmensressourcen zuzugreifen, wenn sie sich in Ihrem Netzwerk befinden.

Verwenden kompatibler Geräte

Hinweis

Gerätekonformität erfordert Intune Registrierung.

Sie können die Gerätekonformität als Steuerung im bedingten Zugriff konfigurieren, sodass nur konforme Geräte auf Ihre Unternehmensressourcen zugreifen können. Teams-Geräte können basierend auf der Gerätekonformität für Richtlinien für bedingten Zugriff konfiguriert werden. Weitere Informationen finden Sie unter Bedingter Zugriff: Erfordern eines kompatiblen Geräts.

Informationen zum Festlegen von Konformitätsrichtlinien für Ihre Geräte mithilfe von Intune finden Sie unter Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten.

Ausschließen von Ressourcenkonten von Bedingungen für die Anmeldehäufigkeit

Unter Bedingter Zugriff können Sie die Anmeldehäufigkeit so konfigurieren , dass benutzer sich nach einem bestimmten Zeitraum erneut anmelden müssen, um auf eine Ressource zuzugreifen. Wenn die Anmeldehäufigkeit für Ressourcenkonten erzwungen wird, melden sich Geräte ab, bis sie von einem Administrator erneut angemeldet werden.

Verwenden von Filtern für Geräte

Für eine genauere Kontrolle darüber, was sich mit einem Ressourcenkonto bei Teams anmelden kann, oder für die Steuerung von Richtlinien für Benutzer, die sich mit ihrem persönliches Konto bei einem Teams-Raum auf Einem Android-Gerät anmelden, können Gerätefilter verwendet werden. Filter für Geräte ist ein Feature des bedingten Zugriffs, mit dem Sie präzisere Richtlinien für Geräte basierend auf den in Microsoft Entra ID verfügbaren Geräteeigenschaften konfigurieren können. Sie können auch ihre eigenen benutzerdefinierten Werte verwenden, indem Sie erweiterungsattribute 1 bis 15 für das Geräteobjekt festlegen und diese dann verwenden.

Verwenden Sie Filter für Geräte, um Ihre freigegebenen Geräte zu identifizieren und Richtlinien in zwei wichtigen Szenarien zu aktivieren:

  1. Ausschließen freigegebener Geräte von Richtlinien, die für persönliche Geräte gelten. Beispielsweise wird die Anforderung der Gerätekonformität nicht für freigegebene Geräte erzwungen , die für Hot-Desking verwendet werden , sondern für alle anderen Geräte basierend auf der Modellnummer.

  2. Erzwingen von speziellen Richtlinien auf freigegebenen Geräten, die nicht auf persönliche Geräte angewendet werden sollten . Beispielsweise müssen benannte Standorte nur für Geräte mit gemeinsamem Bereich als Richtlinie festgelegt werden, die auf einem Erweiterungsattribut basieren, das Sie für diese Geräte festlegen (z. B. CommonAreaPhone).

Hinweis

Einige Attribute wie model, manufacturer und operatingSystemVersion können nur festgelegt werden, wenn Geräte von Intune verwaltet werden. Wenn Ihre Geräte nicht von Intune verwaltet werden, verwenden Sie Erweiterungsattribute.

Teams Legacy-Autorisierung

Teams-Upgradekonfigurationsrichtlinien bieten eine Einstellung namens BlockLegacyAuthorization, die verhindert, dass Teams-Räume in Android- und Teams-Bereichen eine Verbindung mit Teams-Diensten herstellen. Weitere Informationen zu dieser Richtlinie finden Sie unter Set-CsTeamsUpgradeConfiguration , oder führen Sie Get-CsTeamsUpgradeConfiguration aus, um zu überprüfen, ob BlockLegacyAuthorization in Ihrem Mandanten aktiviert ist.

Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization