Authentifizierung in Microsoft Teams-Räume unter Windows
Microsoft Teams-Räume unter Windows teilt die Authentifizierungskomponente mit dem Teams-Desktopclient und verwendet die gleichen zugrunde liegenden Authentifizierungsbibliotheken, um eine Verbindung mit Teams und anderen Microsoft 365-Diensten herzustellen. Daher basieren die Anforderungen für Teams-Räume für die Authentifizierung auf Microsoft Teams-Anforderungen. Erfahren Sie mehr über Identitätsmodelle und die Authentifizierung für Microsoft Teams.
Teams-Räume unter Windows weisen jedoch einige wichtige Unterschiede im Vergleich zu einem Endbenutzer-PC auf, auf dem Teams-Desktop ausgeführt wird. Diese Unterschiede können sich auf Authentifizierungskonfigurationen für Teams-Räume auswirken.
Wichtige Unterschiede zur Teams-Desktopanwendung
- Microsoft Teams-Räume Ressourcenkonten werden zentral von IT-Administratoren in einem organization verwaltet. Endbenutzer haben keine Möglichkeit, sich bei Teams-Räume Geräten anzumelden bzw. abzumelden.
- Microsoft Teams-Räume Microsoft Entra Konten verwenden, die mit dem Ressourcenpostfach in Microsoft Exchange konfiguriert sind.
- Microsoft Teams-Räume unter Windows-Anwendung unter einem lokalen Benutzer mit den geringsten Rechten ausgeführt, der mithilfe des Windows Shell-Startprogramms V2 weiter gesperrt wurde, um Windows-Shellkomponenten (Startmenü, Taskleiste, Einstellungen usw.) zu entfernen, sodass nur Teams-Räume Anwendung das Ressourcenkonto kennt, das für die Anmeldung bei Microsoft Teams verwendet wird. Dieser Mechanismus verhindert auch, dass andere Anwendungen Kontoinformationen vom Windows-Konto-Manager abrufen, da Windows keine Informationen zum Ressourcenkonto enthält, das von der Teams-Räume-Anwendung verwendet wird.
- Die Authentifizierung in Microsoft Teams-Räume unter Windows erfordert keinen Benutzereingriff und unterstützt keine sekundäre Authentifizierung. Der moderne Authentifizierungsmechanismus verwendet den Autorisierungstyp ropc ( Resource Owner Password Credentials ) in OAuth 2.0.
Es ist wichtig zu beachten, dass Microsoft Teams-Räume Ressourcenkonten nicht für die Verwendung der interaktiven mehrstufigen Authentifizierung (MFA), der intelligenten Karte-Authentifizierung oder der clientzertifikatbasierten Authentifizierung konfiguriert werden sollten.
Überlegungen zum bedingten Zugriff
Teams-Räume Ressourcenkontozugriff auf den Microsoft 365-Dienst kann mithilfe von Richtlinien für bedingten Zugriff eingeschränkt werden. Da Windows keine Kenntnisse über das Ressourcenkonto hat, das von der Teams-Raumanwendung verwendet wird, müssen Sie Teams-Räume auf Windows-Geräten mit Microsoft Intune registrieren, um Richtlinien für bedingten Zugriff auf Geräteebene anzuwenden. Weitere Informationen finden Sie unter Registrieren von Microsoft Teams-Räume auf Windows-Geräten mit Intune. Wenn das Gerät in Intune registriert ist, verwendet die Teams-Räume-Anwendung ein registriertes Windows-Konto mithilfe der Webzugriffsverwaltung (WEB Access Management, WAM), um gerätekonforme status für die Auswertung des bedingten Zugriffs zu senden. Weitere Informationen zu bedingtem Zugriff und Intune Konformitätsrichtlinien finden Sie unter Bedingter Zugriff und Intune Compliance für Microsoft Teams-Räume und Unterstützter bedingter Zugriff und Intune Gerätekonformitätsrichtlinien für Microsoft Teams-Räume
Teams Legacy-Autorisierung
Teams-Upgradekonfigurationsrichtlinien bieten eine Einstellung namens BlockLegacyAuthorization, die verhindert, dass Teams-Räume unter Windows eine Verbindung mit Teams-Diensten herstellen. Weitere Informationen zu dieser Richtlinie finden Sie unter Set-CsTeamsUpgradeConfiguration , oder führen Sie Get-CsTeamsUpgradeConfiguration aus, um zu überprüfen, ob BlockLegacyAuthorization in Ihrem Mandanten aktiviert ist.
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization