Share via


Bedingter Zugriff und Intune-Konformität für Microsoft Teams-Räume

Dieser Artikel enthält Anforderungen und bewährte Methoden für bedingten Zugriff und Intune-Gerätekonformitätsrichtlinien für Microsoft Teams-Räume, die in freigegebenen Räumen verwendet werden.

Hinweis

Um dieses Feature mit einem Teams-Räume Gerät verwenden zu können, müssen Sie dem Gerät eine Microsoft Teams-Räume Pro Lizenz zuweisen. Weitere Informationen finden Sie unter Microsoft Teams-Räume Lizenzen.

Anforderungen

Teams-Räume müssen bereits auf den Geräten bereitgestellt werden, den Sie Richtlinien für bedingten Zugriff zuweisen möchten. Wenn Sie Teams-Räume noch nicht bereitgestellt haben, finden Sie weitere Informationen unter Erstellen von Ressourcenkonten für Räume und gemeinsam genutzte Teams-Geräte und Bereitstellen von Microsoft Teams-Räume unter Android.

Für die Verwendung des bedingten Zugriffs ist ein Microsoft Entra ID P1-Dienstplan erforderlich. Sie ist in der Microsoft Teams-Räume-Lizenz enthalten.

bewährte Methoden für den Teams-Räume bedingten Zugriff

Richtlinien für bedingten Zugriff können den Anmeldevorgang auf Geräten schützen, die sich in freigegebenen Bereichen befinden und von mehreren Personen verwendet werden. Eine Übersicht über den bedingten Zugriff in Microsoft Entra ID finden Sie unter Was ist bedingter Zugriff in Microsoft Entra ID?.

Wenn Sie den bedingten Zugriff zum Sichern von Teams-Räume verwenden, sollten Sie die folgenden bewährten Methoden berücksichtigen:

  • Um die Bereitstellung und Verwaltung zu vereinfachen, schließen Sie alle Microsoft 365-Raumressourcenkonten, die Teams-Räume zugeordnet sind, in eine Benutzergruppe ein.

  • Verwenden Sie einen Benennungsstandard für alle Teams-Räume Ressourcenkonten. Beispielsweise beginnen die Kontonamen "mtr-room1@contoso.com" und "mtr-room2@contoso.com" beide mit dem Präfix "mtr-". Wenn Kontonamen standardisiert sind, können Sie dynamische Gruppen in Microsoft Entra ID verwenden, um Richtlinien für bedingten Zugriff automatisch auf alle diese Konten gleichzeitig anzuwenden. Weitere Informationen zu dynamischen Gruppen finden Sie unter Regeln für dynamisch aufgefüllte Gruppenmitgliedschaften .

Eine Liste der unterstützten Zuweisungen für bedingten Zugriff für Teams-Räume finden Sie unter Unterstützte Richtlinien für bedingten Zugriff.

Beispielrichtlinie für bedingten Zugriff

Im folgenden Beispiel funktioniert die Richtlinie für bedingten Zugriff wie folgt:

  1. Das Konto, das sich anmeldet, muss Mitglied einer bestimmten Benutzergruppe sein, in diesem Beispiel die Gruppe "Freigegebene Geräte".

  2. Das Konto darf nur versuchen, auf Exchange Online, Microsoft Teams, SharePoint Online oder Microsoft Whiteboard Services zuzugreifen. Versuche, sich bei einer anderen Client-App anzumelden, werden abgelehnt.

  3. Das Ressourcenkonto muss sich auf der Windows-Geräteplattform anmelden.

  4. Das Ressourcenkonto muss sich auch von einem bekannten, vertrauenswürdigen Speicherort anmelden.

Wenn diese Bedingungen erfolgreich erfüllt sind und der Benutzer den richtigen Benutzernamen und das richtige Kennwort eingibt, wird sich das Ressourcenkonto bei Teams anmelden.

Bedingter Zugriff mit Microsoft Intune Compliance für Teams-Räume

Complianceanforderungen sind definierte Regeln, die Geräte erfüllen müssen, um als konform gekennzeichnet zu werden, z. B. die Mindestversion des Betriebssystems. Geräte müssen als konform betrachtet werden, bevor sie für die Anmeldung bei einem Ressourcenkonto verwendet werden können.

Eine Liste der unterstützten Intune-Konformitätsrichtlinien für Teams-Räume finden Sie unter Unterstützte Gerätekonformitätsrichtlinien.

Weitere Informationen zum Einrichten von Intune mit Teams Android-Geräten finden Sie unter Konfigurieren von Intune zum Registrieren von Teams Android-basierten Geräten.

Beispiel (nur Windows): Bedingter Zugriff mit Intune-Gerätekonformität

In diesem Beispiel für Teams-Räume unter Windows

  1. Erfordern, dass eine Firewall unter Teams-Räume unter Windows ausgeführt wird.

  2. Erfordern, dass Microsoft Defender auf Teams-Räume ausgeführt wird.

  3. Wenn Teams-Räume keine dieser Anforderungen erfüllt, wird es nicht als konform markiert, und die Geräte melden sich nicht an.

Diese Konformitätsrichtlinie gilt für alle Benutzer, nicht nur für Teams-Ressourcenkonten.