Procedimientos recomendados de autenticación para la administración de dispositivos compartidos de Teams en dispositivos Android
Los objetivos de los dispositivos usados con Teams hacen necesarias diferentes estrategias de administración de dispositivos. Por ejemplo, una tableta personal de empresa usada por un único vendedor tiene un conjunto diferente de necesidades de un teléfono de llamada compartida por muchas personas del servicio de atención al cliente.
Los administradores de seguridad y los equipos de operaciones deben planear los dispositivos que se pueden usar en la organización. Deben implementar las medidas de seguridad más adecuadas para cada propósito. Las recomendaciones de este artículo facilitan algunas de estas decisiones.
Nota
El acceso condicional requiere una suscripción Microsoft Entra ID P1 o P2.
Nota
Es posible que las directivas para dispositivos móviles Android no se apliquen a los dispositivos Android de Teams.
Las recomendaciones de autenticación son diferentes para dispositivos Android personales y compartidos
Los dispositivos compartidos de Teams no pueden usar los mismos requisitos para la inscripción y el cumplimiento que se usan en dispositivos personales. Aplicar requisitos de autenticación de dispositivos personales a dispositivos compartidos provoca problemas de inicio de sesión.
- Los dispositivos han cerrado sesión debido a las directivas de contraseñas.
Las cuentas que se usan en dispositivos Teams tienen una directiva de expiración de contraseñas. Las cuentas que se usan con dispositivos compartidos no tienen un usuario específico para actualizarlos y restaurarlos a un estado de funcionamiento cuando expiran sus contraseñas. Si su organización requiere que las contraseñas expiren y se restablezcan ocasionalmente, estas cuentas dejan de funcionar en los dispositivos de Teams hasta que un administrador de Teams restablezca la contraseña y vuelva a iniciar sesión.
Desafío: Cuando se trata de acceder. Teams desde un dispositivo, la cuenta de una persona tiene una directiva de expiración de contraseñas. Cuando la contraseña va a expirar, la cambian. Sin embargo, es posible que las cuentas que se usan en dispositivos compartidos (cuentas de recursos) no estén conectadas a una sola persona que pueda cambiar una contraseña según sea necesario. Esto significa que una contraseña puede expirar y dejar a los trabajadores en el lugar, sin saber cómo reanudar su trabajo.
Cuando su organización requiera un restablecimiento de contraseña o exija la expiración de la contraseña, asegúrese de que un administrador de Teams esté preparado para restablecer la contraseña para que estas cuentas compartidas puedan volver a iniciar sesión.
- Los dispositivos no pueden iniciar sesión debido a las directivas de acceso condicional.
Desafío: Los dispositivos compartidos no pueden cumplir con Microsoft Entra directivas de acceso condicional para cuentas de usuario o dispositivos personales. Si los dispositivos compartidos se agrupan con cuentas de usuario o dispositivos personales para una directiva de acceso condicional, se producirá un error en el inicio de sesión.
Por ejemplo, si se requiere autenticación multifactor para acceder a Teams, se necesita que el usuario escriba un código para completar esa autenticación. Por lo general, los dispositivos compartidos no tienen un solo usuario que pueda configurar y completar la autenticación multifactor. Además, si la cuenta debe volver a autenticarse cada X días, un dispositivo compartido no podrá resolver el problema sin la intervención de un usuario.
Procedimientos recomendados para la implementación de dispositivos Android compartidos con Teams
Microsoft recomienda la siguiente configuración al implementar dispositivos de Teams en su organización.
Usar una cuenta de recursos y limitar la expiración de la contraseña
Los dispositivos compartidos de Teams deben usar un buzón de recursos de Exchange. La creación de estos buzones genera una cuenta automáticamente. Puede sincronizar estas cuentas para Microsoft Entra ID desde Active Directory o crearlas directamente en Microsoft Entra ID. Las directivas de expiración de contraseñas para los usuarios también se aplicarán a las cuentas que se usan en dispositivos compartidos de Teams, por lo tanto, para evitar interrupciones causadas por directivas de expiración de contraseñas, establezca la directiva de expiración de contraseñas para dispositivos compartidos para que nunca expiren.
A partir de los dispositivos Teams CY21 Update #1 (Teams versión 1449/1.0.94.2021022403 para teléfonos Teams) y CY2021 Update #2 (Teams versión 1449/1.0.96.2021051904 para Salas de Microsoft Teams en Android), los administradores de inquilinos pueden iniciar sesión en los dispositivos Teams de forma remota. En lugar de compartir contraseñas con técnicos para configurar dispositivos, los administradores de inquilinos deben usar el inicio de sesión remoto para emitir códigos de verificación. Puede iniciar sesión en estos dispositivos desde el Centro de administración de Teams.
Para obtener más información, consulte Aprovisionamiento remoto e inicio de sesión para dispositivos Android de Teams.
Revisar estas directivas de acceso condicional
Microsoft Entra acceso condicional establece otros requisitos que los dispositivos deben cumplir para iniciar sesión. Para dispositivos teams, revise las instrucciones siguientes para determinar si ha creado las directivas que permiten a los usuarios de dispositivos compartidos realizar su trabajo.
Propina
Para obtener información general sobre el acceso condicional, vea ¿Qué es el acceso condicional?
Propina
Usa una ubicación con nombre o requiere un dispositivo compatible para proteger los dispositivos compartidos.
Puede usar el acceso basado en la ubicación con ubicaciones con nombre
Si los dispositivos compartidos se aprovisionan en una ubicación bien definida que se pueda identificar con un intervalo de direcciones IP, puede configurar el Acceso condicional mediante ubicaciones con nombre para estos dispositivos. Este condicional permitirá que estos dispositivos accedan a sus recursos corporativos solo cuando estén dentro de su red.
Cuándo y cuándo no requerir dispositivos compartidos compatibles
Nota
El cumplimiento del dispositivo requiere una licencia de Intune.
Si está inscribiendo dispositivos compartidos en Intune, puede configurar el cumplimiento de dispositivos como un control en Acceso condicional para que solo los dispositivos compatibles puedan acceder a sus recursos corporativos. Los dispositivos de Teams se pueden configurar para directivas de acceso condicional en función del cumplimiento de los dispositivos. Para obtener más información, vea Acceso condicional: Requerir compatibilidad o Microsoft Entra dispositivo unido híbrido.
Para establecer la configuración de cumplimiento para los dispositivos con Intune, vea Usar directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune.
Nota
Los dispositivos compartidos que se usan para escritorio rápido deben excluirse de las directivas de cumplimiento. Las directivas de cumplimiento impiden que los dispositivos se inscriban en la cuenta de usuario de hot desk. En su lugar, usa ubicaciones con nombre para proteger estos dispositivos. Para aumentar la seguridad, también puede requerir autenticación multifactor para usuarios de escritorio rápido o cuentas de usuario , además de las directivas de ubicación con nombre.
Excluir dispositivos compartidos de las condiciones de frecuencia de inicio de sesión
En Acceso condicional, puede configurar la frecuencia de inicio de sesión para que los usuarios vuelvan a iniciar sesión para obtener acceso a un recurso después de un período de tiempo especificado. Si se aplica la frecuencia de inicio de sesión para las cuentas de sala, los dispositivos compartidos cierran sesión hasta que un administrador los vuelva a iniciar. Microsoft recomienda excluir los dispositivos compartidos de las directivas de frecuencia de inicio de sesión.
Usar filtros para dispositivos
Filtros para dispositivos es una característica del acceso condicional que le permite configurar directivas más granulares para dispositivos en función de las propiedades del dispositivo disponibles en Microsoft Entra ID. También puede usar sus propios valores personalizados estableciendo los atributos de extensión 1-15 en el objeto de dispositivo y, a continuación, los usa.
Use filtros para los dispositivos para identificar los dispositivos de área común y habilitar directivas en dos escenarios clave:
Excluir los dispositivos compartidos de las directivas aplicadas para dispositivos personales. Por ejemplo, exigir el cumplimiento de los dispositivos no se exige para los dispositivos compartidos que se usan para el escritorio rápido, sino que se aplica para todos los demás dispositivos, en función del número de modelo.
Aplicar directivas especiales en dispositivos compartidos que no se deben aplicar a dispositivos personales. Por ejemplo, requerir ubicaciones con nombre como directiva solo para dispositivos de área común en función de un atributo de extensión que establezca para estos dispositivos (por ejemplo: "CommonAreaPhone").
Nota
Algunos atributos como modelo, fabricante y operativoSystemVersion solo se pueden establecer cuando los dispositivos se administran mediante Intune. Si los dispositivos no están administrados por Intune, usa atributos de extensión.
informe de uso de Salas de Microsoft Teams
Se han agregado nuevas funcionalidades, como los minutos de vídeo de la cámara y los datos de minutos de llamada, al portal de administración de Salas de Teams Pro en la sección del informe. Estos datos permiten a los usuarios realizar un seguimiento de la participación durante cada reunión y comprender mejor esos datos.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de