Bewährte Authentifizierungsmethoden für die Verwaltung freigegebener Teams-Geräte auf Android-Geräten
Die Ziele von Geräten, die mit Teams verwendet werden, machen unterschiedliche Geräteverwaltungsstrategien erforderlich. Beispielsweise hat ein persönliches Business-Tablet, das von einem einzelnen Vertriebsmitarbeiter verwendet wird, einen anderen Satz von Anforderungen als ein Anruftelefon, das von vielen Kundendienstmitarbeitern geteilt wird.
Sicherheitsadministratoren und Betriebsteams müssen die Geräte planen, die im organization verwendet werden können. Sie müssen Sicherheitsmaßnahmen implementieren, die für jeden Zweck am besten geeignet sind. Die Empfehlungen in diesem Artikel erleichtern einige dieser Entscheidungen.
Hinweis
Bedingter Zugriff erfordert ein Microsoft Entra ID P1- oder P2-Abonnement.
Hinweis
Richtlinien für mobile Android-Geräte gelten möglicherweise nicht für Teams Android-Geräte.
Authentifizierungsempfehlungen unterscheiden sich für persönliche und freigegebene Android-Geräte.
Freigegebene Teams-Geräte können nicht die gleichen Anforderungen für Registrierung und Compliance verwenden, die auf persönlichen Geräten verwendet werden. Das Anwenden von Authentifizierungsanforderungen für persönliche Geräte auf freigegebene Geräte führt zu Anmeldeproblemen.
- Geräte werden aufgrund von Kennwortrichtlinien abgemeldet.
Konten, die auf Teams-Geräten verwendet werden, verfügen über eine Kennwortablaufrichtlinie. Die konten, die mit freigegebenen Geräten verwendet werden, verfügen nicht über einen bestimmten Benutzer, um sie zu aktualisieren und in einen funktionierenden Zustand wiederherzustellen, wenn ihre Kennwörter ablaufen. Wenn Ihr organization erfordert, dass Kennwörter gelegentlich ablaufen und zurückgesetzt werden, funktionieren diese Konten nicht mehr auf Teams-Geräten, bis ein Teams-Administrator das Kennwort zurücksetzt und sich wieder anmeldet.
Herausforderung: Wenn es um den Zugriff geht. Teams von einem Gerät: Das Konto einer Person verfügt über eine Kennwortablaufrichtlinie. Wenn das Kennwort abläuft, wird es geändert. Konten, die auf freigegebenen Geräten (Ressourcenkonten) verwendet werden, sind jedoch möglicherweise nicht mit einer einzelnen Person verbunden, die ein Kennwort nach Bedarf ändern kann. Dies bedeutet, dass ein Kennwort ablaufen kann und Mitarbeiter an Ort und Stelle zurücklassen kann, ohne zu wissen, wie sie ihre Arbeit fortsetzen sollen.
Wenn Ihr organization eine Kennwortzurücksetzung erfordert oder den Kennwortablauf erzwingt, stellen Sie sicher, dass ein Teams-Administrator bereit ist, das Kennwort zurückzusetzen, damit sich diese freigegebenen Konten wieder anmelden können.
- Geräte können sich aufgrund von Richtlinien für bedingten Zugriff nicht anmelden.
Herausforderung: Freigegebene Geräte können Microsoft Entra Richtlinien für bedingten Zugriff für Benutzerkonten oder persönliche Geräte nicht erfüllen. Wenn freigegebene Geräte mit Benutzerkonten oder persönlichen Geräten für eine Richtlinie für bedingten Zugriff gruppiert werden, schlägt die Anmeldung fehl.
Wenn beispielsweise die mehrstufige Authentifizierung für den Zugriff auf Teams erforderlich ist, ist die Benutzereingabe eines Codes erforderlich, um diese Authentifizierung abzuschließen. Freigegebene Geräte verfügen im Allgemeinen nicht über einen einzelnen Benutzer, der die mehrstufige Authentifizierung konfigurieren und abschließen kann. Wenn das Konto alle X Tage erneut authentifiziert werden muss, kann ein freigegebenes Gerät die Herausforderung auch nicht ohne Eingreifen eines Benutzers lösen.
Bewährte Methoden für die Bereitstellung freigegebener Android-Geräte mit Teams
Microsoft empfiehlt die folgenden Einstellungen beim Bereitstellen von Teams-Geräten in Ihrem organization.
Verwenden eines Ressourcenkontos und Einschränken des Kennwortablaufs
Freigegebene Teams-Geräte sollten ein Exchange-Ressourcenpostfach verwenden. Beim Erstellen dieser Postfächer wird automatisch ein Konto generiert. Sie können diese Konten entweder mit Microsoft Entra ID aus Active Directory synchronisieren oder direkt in Microsoft Entra ID erstellen. Alle Kennwortablaufrichtlinien für Benutzer gelten auch für Konten, die auf gemeinsam genutzten Teams-Geräten verwendet werden. Legen Sie daher zur Vermeidung von Unterbrechungen durch Kennwortablaufrichtlinien die Kennwortablaufrichtlinie für freigegebene Geräte so fest, dass sie nie abläuft.
Ab Teams-Geräten CY21 Update #1 (Teams-Version 1449/1.0.94.2021022403 für Teams-Smartphones) und CY2021 Update #2 (Teams-Version 1449/1.0.96.2021051904 für Microsoft Teams-Räume unter Android) können sich Mandantenadministratoren remote bei Teams-Geräten anmelden. Anstatt Kennwörter für techniker zum Einrichten von Geräten freizugeben, sollten Mandantenadministratoren die Remoteanmeldung verwenden, um Prüfcodes auszustellen. Sie können sich über das Teams Admin Center bei diesen Geräten anmelden.
Weitere Informationen finden Sie unter Remotebereitstellung und -anmeldung für Teams Android-Geräte.
Überprüfen Sie diese Richtlinien für bedingten Zugriff.
Microsoft Entra bedingter Zugriff legt weitere Anforderungen fest, die Geräte erfüllen müssen, um sich anzumelden. Überprüfen Sie für Teams-Geräte die folgenden Anleitungen, um zu ermitteln, ob Sie die Richtlinien erstellt haben, die es Benutzern freigegebener Geräte ermöglichen, ihre Arbeit zu erledigen.
Tipp
Eine Übersicht über bedingten Zugriff finden Sie unter Was ist bedingter Zugriff?
Tipp
Verwenden Sie entweder einen benannten Standort , oder fordern Sie ein kompatibles Gerät an, um freigegebene Geräte zu schützen.
Sie können den standortbasierten Zugriff mit benannten Standorten verwenden.
Wenn freigegebene Geräte an einem klar definierten Speicherort bereitgestellt werden, der mit einem Bereich von IP-Adressen identifiziert werden kann, können Sie den bedingten Zugriff mithilfe von benannten Standorten für diese Geräte konfigurieren. Diese Bedingung ermöglicht es diesen Geräten, nur dann auf Ihre Unternehmensressourcen zuzugreifen, wenn sie sich in Ihrem Netzwerk befinden.
Wann und wann keine konformen freigegebenen Geräte erforderlich sind
Hinweis
Die Gerätekonformität erfordert eine Intune-Lizenz.
Wenn Sie freigegebene Geräte bei Intune registrieren, können Sie die Gerätekonformität als Steuerung für bedingten Zugriff konfigurieren, sodass nur konforme Geräte auf Ihre Unternehmensressourcen zugreifen können. Teams-Geräte können basierend auf der Gerätekonformität für Richtlinien für bedingten Zugriff konfiguriert werden. Weitere Informationen finden Sie unter Bedingter Zugriff: Erfordern eines kompatiblen oder Microsoft Entra hybrid eingebundenen Geräts.
Informationen zum Festlegen der Konformitätseinstellung für Ihre Geräte mit Intune finden Sie unter Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten.
Hinweis
Freigegebene Geräte, die für Hot Desking verwendet werden, sollten von Konformitätsrichtlinien ausgeschlossen werden. Compliancerichtlinien verhindern, dass sich die Geräte beim Hot Desk-Benutzerkonto registrieren. Verwenden Sie stattdessen benannte Standorte, um diese Geräte zu schützen. Um die Sicherheit zu erhöhen, können Sie zusätzlich zu den benannten Standortrichtlinien auch die mehrstufige Authentifizierung für Hot-Desking-Benutzer/Benutzerkonten anfordern.
Ausschließen freigegebener Geräte von Bedingungen für die Anmeldehäufigkeit
Unter Bedingter Zugriff können Sie die Anmeldehäufigkeit so konfigurieren , dass benutzer sich nach einem bestimmten Zeitraum erneut anmelden müssen, um auf eine Ressource zuzugreifen. Wenn die Anmeldehäufigkeit für Raumkonten erzwungen wird, melden sich freigegebene Geräte ab, bis sie von einem Administrator erneut angemeldet werden. Microsoft empfiehlt, freigegebene Geräte von allen Richtlinien für die Anmeldehäufigkeit auszuschließen.
Verwenden von Filtern für Geräte
Filter für Geräte ist ein Feature des bedingten Zugriffs, mit dem Sie präzisere Richtlinien für Geräte basierend auf den in Microsoft Entra ID verfügbaren Geräteeigenschaften konfigurieren können. Sie können auch ihre eigenen benutzerdefinierten Werte verwenden, indem Sie erweiterungsattribute 1 bis 15 für das Geräteobjekt festlegen und diese dann verwenden.
Verwenden Sie Filter für Geräte, um Ihre Geräte im allgemeinen Bereich zu identifizieren und Richtlinien in zwei wichtigen Szenarien zu aktivieren:
Ausschließen freigegebener Geräte von Richtlinien, die für persönliche Geräte gelten. Beispielsweise wird die Anforderung der Gerätekonformität nicht für freigegebene Geräte erzwungen , die für Hot-Desking verwendet werden , sondern für alle anderen Geräte basierend auf der Modellnummer.
Erzwingen von speziellen Richtlinien auf freigegebenen Geräten, die nicht auf persönliche Geräte angewendet werden sollten . Beispielsweise müssen benannte Standorte nur für Geräte mit gemeinsamem Bereich als Richtlinie festgelegt werden, die auf einem Erweiterungsattribut basieren, das Sie für diese Geräte festlegen (z. B. "CommonAreaPhone").
Hinweis
Einige Attribute wie Model, Manufacturer und operatingSystemVersion können nur festgelegt werden, wenn Geräte von Intune verwaltet werden. Wenn Ihre Geräte nicht von Intune verwaltet werden, verwenden Sie Erweiterungsattribute.
Microsoft Teams-Räume Nutzungsbericht
Neue Funktionen wie die Daten zu Videominuten und Anrufminuten der Kamera wurden dem Teams-Räume Pro-Verwaltungsportal im Berichtsabschnitt hinzugefügt. Diese Daten ermöglichen es Benutzern, die Interaktion während jeder Besprechung nachzuverfolgen und diese Daten besser zu verstehen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für