Bedingter Zugriff und Intune Compliance für Microsoft Teams-Räume und Bereiche

• Gilt für::

  Microsoft Teams

Dieser Artikel enthält Anforderungen und bewährte Methoden für bedingten Zugriff und Intune Gerätekonformitätsrichtlinien für Microsoft Teams-Räume unter Windows, Teams-Räume unter Android und Teams-Türschild-Geräten.

Hinweis

Um dieses Feature mit einem Teams-Räume Gerät verwenden zu können, müssen Sie dem Gerät eine Microsoft Teams-Räume Pro Lizenz zuweisen. Weitere Informationen finden Sie unter Microsoft Teams-Räume Lizenzen.

Anforderungen

• Teams-Räume erstellten Ressourcenkonten finden Sie unter Erstellen von Ressourcenkonten für Räume und freigegebene Teams-Geräte.
• Für die Verwendung des bedingten Zugriffs ist ein Microsoft Entra ID P1-Dienstplan erforderlich. Es ist in der Microsoft Teams-Räume-Lizenz oder der Lizenz für gemeinsam genutzte Geräte enthalten.

bewährte Methoden für den Teams-Räume bedingten Zugriff

Richtlinien für bedingten Zugriff können den Anmeldevorgang auf Geräten schützen, die sich in freigegebenen Bereichen befinden. Eine Übersicht über den bedingten Zugriff in Microsoft Entra ID finden Sie unter Was ist bedingter Zugriff in Microsoft Entra ID?.

Wenn Sie den bedingten Zugriff zum Sichern von Teams-Räume verwenden, sollten Sie die folgenden bewährten Methoden berücksichtigen:

• Schließen Sie alle Microsoft 365-Raumressourcenkonten, die Teams-Räume zugeordnet sind, in eine Microsoft Entra ID Benutzergruppe ein.
• Verwenden Sie einen Benennungsstandard für alle Teams-Räume Ressourcenkonten. Beispielsweise beginnen die Kontonamen "mtr-room1@contoso.com" und "mtr-room2@contoso.com" beide mit dem Präfix "mtr-". Wenn Kontonamen standardisiert sind, können Sie dynamische Gruppen in Microsoft Entra ID verwenden, um Richtlinien für bedingten Zugriff automatisch auf alle diese Konten gleichzeitig anzuwenden. Weitere Informationen zu dynamischen Gruppen finden Sie unter Regeln für die Mitgliedschaft dynamisch aufgefüllter Gruppen.
• Schließen Sie Ihre Teams-Räume Ressourcenkonten aus allen vorhandenen Richtlinien für bedingten Zugriff aus, und erstellen Sie eine neue Richtlinie speziell für die Ressourcenkonten.
• Es ist keine interaktive mehrstufige Authentifizierung (MFA) für Benutzer erforderlich. Interaktive Benutzer-MFA wird für Teams-Räume Ressourcenkonten nicht unterstützt, da die Ressourcenkonten kein zweites Gerät zum Genehmigen der MFA-Anforderung haben.

Eine Liste der unterstützten Zuweisungen für bedingten Zugriff für Teams-Räume finden Sie unter Unterstützte Richtlinien für bedingten Zugriff.

Beispielrichtlinie für bedingten Zugriff

In diesem Beispiel funktioniert die Richtlinie für bedingten Zugriff wie folgt:

1. Das Konto, das sich anmeldet, muss Mitglied einer bestimmten Benutzergruppe sein, in diesem Beispiel die Gruppe "Freigegebene Geräte".
2. Das Konto darf nur versuchen, auf Office 365, Office 365 Exchange Online, Microsoft Teams Services und Microsoft 365 SharePoint Online zuzugreifen. Versuche, sich bei einer anderen Client-App anzumelden, werden abgelehnt.
3. Die Authentifizierungsmethode muss eine moderne Authentifizierung sein. Ältere Authentifizierungsmechanismen sollten blockiert werden.
4. Das Ressourcenkonto muss sich auf der Windows- oder Android-Geräteplattform anmelden.
5. Das Ressourcenkonto muss sich auch von einem bekannten, vertrauenswürdigen Speicherort anmelden.
6. Das Ressourcenkonto muss sich von einem kompatiblen Gerät anmelden.

Wenn diese Bedingungen erfolgreich erfüllt sind und das Gerät über den richtigen Benutzernamen und das richtige Kennwort verfügt, meldet sich das Ressourcenkonto bei Teams an.

Intune Compliance für Teams-Räume

Complianceanforderungen sind definierte Regeln, die Geräte erfüllen müssen, um als konform gekennzeichnet zu werden, z. B. die Mindestversion des Betriebssystems. Gerätekonformität kann als Bedingung für den bedingten Zugriff verwendet werden, bevor sich das Ressourcenkonto anmelden kann.

Eine Liste der unterstützten Intune Konformitätsrichtlinien für Teams-Räume finden Sie unter Unterstützte Gerätekonformitätsrichtlinien.

Beispiel für Intune Konformitätsrichtlinie für Teams-Räume unter Windows

1. Erfordern, dass eine Firewall unter Teams-Räume unter Windows ausgeführt wird.
2. Erfordert eine Mindestversion des Betriebssystems.
3. Erfordern, dass Microsoft Defender auf Teams-Räume ausgeführt wird.

Diese Konformitätsrichtlinie sollte den Teams-Räume Geräten und den Teams-Räume Ressourcenkonten zugewiesen werden. Wenn das Gerät diese Anforderungen nicht erfüllt, wird es nicht als konform markiert.

Beispiel für Intune Konformitätsrichtlinie für Teams-Räume in Android- und Teams-Bereichen

1. Die Mindestversion des Betriebssystems ist größer als Android 10.
2. Geräte mit Rootzugriff blockieren.
3. Verschlüsselung des Datenspeichers auf dem Gerät erforderlich

Diese Konformitätsrichtlinie sollte den Teams-Räume Geräten und den Teams-Räume Ressourcenkonten zugewiesen werden. Wenn das Gerät diese Anforderungen nicht erfüllt, wird es nicht als konform markiert.