Bonnes pratiques d’authentification pour la gestion partagée des appareils Teams sur les appareils Android
Les objectifs des appareils utilisés avec Teams rendent nécessaires différentes stratégies de gestion des appareils. Par exemple, une tablette professionnelle personnelle utilisée par un seul vendeur a un ensemble de besoins différent d’un téléphone d’appel partagé par de nombreuses personnes du service clientèle.
Les administrateurs de sécurité et les équipes d’exploitation doivent planifier les appareils qui peuvent être utilisés dans le organization. Ils doivent implémenter les mesures de sécurité les mieux adaptées à chaque objectif. Les recommandations de cet article facilitent certaines de ces décisions.
Remarque
L’accès conditionnel nécessite un abonnement Microsoft Entra ID P1 ou P2.
Remarque
Les stratégies pour les appareils mobiles Android peuvent ne pas s’appliquer aux appareils Android Teams.
Les recommandations d’authentification sont différentes pour les appareils Android personnels et partagés
Les appareils Teams partagés ne peuvent pas utiliser les mêmes exigences d’inscription et de conformité que celles utilisées sur les appareils personnels. L’application d’exigences d’authentification d’appareil personnel aux appareils partagés entraîne des problèmes de connexion.
- Les appareils sont déconnectés en raison de stratégies de mot de passe.
Les comptes utilisés sur les appareils Teams ont une stratégie d’expiration de mot de passe. Les comptes utilisés avec les appareils partagés n’ont pas d’utilisateur spécifique pour les mettre à jour et les restaurer à l’état opérationnel lorsque leurs mots de passe expirent. Si votre organization nécessite l’expiration et la réinitialisation occasionnelle des mots de passe, ces comptes cessent de fonctionner sur les appareils Teams jusqu’à ce qu’un administrateur Teams réinitialise le mot de passe et se reconnecte.
Défi : Quand il s’agit d’accéder. Teams à partir d’un appareil, le compte d’une personne a une stratégie d’expiration de mot de passe. Lorsque le mot de passe va expirer, ils le changent. Toutefois, les comptes utilisés sur les appareils partagés (comptes de ressources) peuvent ne pas être connectés à une seule personne qui peut modifier un mot de passe en fonction des besoins. Cela signifie qu’un mot de passe peut expirer et laisser les travailleurs sur place, sans savoir comment reprendre leur travail.
Lorsque votre organization nécessite une réinitialisation du mot de passe ou applique l’expiration du mot de passe, assurez-vous qu’un administrateur Teams est prêt à réinitialiser le mot de passe afin que ces comptes partagés puissent se reconnecter.
- Les appareils ne parviennent pas à se connecter en raison de stratégies d’accès conditionnel.
Défi : Les appareils partagés ne peuvent pas se conformer aux stratégies d’accès conditionnel Microsoft Entra pour les comptes d’utilisateur ou les appareils personnels. Si les appareils partagés sont regroupés avec des comptes d’utilisateur ou des appareils personnels pour une stratégie d’accès conditionnel, la connexion échoue.
Par exemple, si l’authentification multifacteur est requise pour accéder à Teams, l’entrée utilisateur d’un code est nécessaire pour effectuer cette authentification. Les appareils partagés n’ont généralement pas un seul utilisateur capable de configurer et d’effectuer l’authentification multifacteur. En outre, si le compte doit se réauthentifier tous les X jours, un appareil partagé ne peut pas résoudre le problème sans l’intervention d’un utilisateur.
Bonnes pratiques pour le déploiement d’appareils Android partagés avec Teams
Microsoft recommande les paramètres suivants lors du déploiement d’appareils Teams dans votre organization.
Utiliser un compte de ressource et limiter l’expiration de son mot de passe
Les appareils partagés Teams doivent utiliser une boîte aux lettres de ressources Exchange. La création de ces boîtes aux lettres génère automatiquement un compte. Vous pouvez synchroniser ces comptes avec Microsoft Entra ID à partir d’Active Directory ou les créer directement dans Microsoft Entra ID. Toutes les stratégies d’expiration de mot de passe pour les utilisateurs s’appliquent également aux comptes utilisés sur les appareils partagés Teams. Par conséquent, pour éviter les interruptions provoquées par les stratégies d’expiration de mot de passe, définissez la stratégie d’expiration du mot de passe pour les appareils partagés pour ne jamais expirer.
À compter des appareils Teams CY21 Update #1 (Teams version 1449/1.0.94.2021022403 pour les téléphones Teams) et DE CY2021 Update #2 (Teams version 1449/1.0.96.2021051904 pour Salles Microsoft Teams sur Android), les administrateurs clients peuvent se connecter aux appareils Teams à distance. Au lieu de partager des mots de passe avec des techniciens pour configurer des appareils, les administrateurs locataires doivent utiliser la connexion à distance pour émettre des codes de vérification. Vous pouvez vous connecter à ces appareils à partir du Centre d’administration Teams.
Pour plus d’informations, consultez Approvisionnement et connexion à distance pour les appareils Android Teams.
Passer en revue ces stratégies d’accès conditionnel
Microsoft Entra l’accès conditionnel définit d’autres exigences que les appareils doivent respecter pour se connecter. Pour les appareils Teams, passez en revue les conseils ci-dessous pour déterminer si vous avez créé les stratégies qui permettent aux utilisateurs d’appareils partagés d’effectuer leur travail.
Pointe
Pour obtenir une vue d’ensemble de l’accès conditionnel, consultez Qu’est-ce que l’accès conditionnel ?
Pointe
Utilisez un emplacement nommé ou exigez un appareil conforme pour sécuriser les appareils partagés.
Vous pouvez utiliser l’accès basé sur l’emplacement avec des emplacements nommés
Si les appareils partagés sont provisionnés dans un emplacement bien défini qui peut être identifié avec une plage d’adresses IP, vous pouvez configurer l’accès conditionnel à l’aide d’emplacements nommés pour ces appareils. Cette condition permet à ces appareils d’accéder à vos ressources d’entreprise uniquement lorsqu’ils se trouvent dans votre réseau.
Quand et quand ne pas exiger des appareils partagés conformes
Remarque
La conformité de l’appareil nécessite une licence Intune.
Si vous inscrivez des appareils partagés dans Intune, vous pouvez configurer la conformité des appareils en tant que contrôle dans l’accès conditionnel afin que seuls les appareils conformes puissent accéder aux ressources de votre entreprise. Les appareils Teams peuvent être configurés pour les stratégies d’accès conditionnel en fonction de la conformité des appareils. Pour plus d’informations, consultez Accès conditionnel : Exiger un appareil joint hybride conforme ou Microsoft Entra.
Pour définir le paramètre de conformité de vos appareils à l’aide d’Intune, consultez Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune.
Remarque
Les appareils partagés utilisés pour la duplication à chaud doivent être exclus des stratégies de conformité. Les stratégies de conformité empêchent les appareils de s’inscrire dans le compte d’utilisateur hot desk. Utilisez plutôt des emplacements nommés pour sécuriser ces appareils. Pour renforcer la sécurité, vous pouvez également exiger l’authentification multifacteur pour les utilisateurs/comptes d’utilisateur à chaud en plus des stratégies d’emplacement nommées.
Exclure les appareils partagés des conditions de fréquence de connexion
Dans l’accès conditionnel, vous pouvez configurer la fréquence de connexion pour demander aux utilisateurs de se reconnecter pour accéder à une ressource après une période spécifiée. Si la fréquence de connexion est appliquée pour les comptes de salle, les appareils partagés se déconnectent jusqu’à ce qu’ils soient à nouveau connectés par un administrateur. Microsoft recommande d’exclure les appareils partagés de toutes les stratégies de fréquence de connexion.
Utilisation de filtres pour les appareils
Filtres pour appareils est une fonctionnalité de l’accès conditionnel qui vous permet de configurer des stratégies plus précises pour les appareils en fonction des propriétés des appareils disponibles dans Microsoft Entra ID. Vous pouvez également utiliser vos propres valeurs personnalisées en définissant les attributs d’extension 1 à 15 sur l’objet d’appareil, puis en les utilisant.
Utilisez des filtres pour les appareils afin d’identifier vos appareils de zone commune et d’activer des stratégies dans deux scénarios clés :
Exclusion des appareils partagés des stratégies appliquées pour les appareils personnels. Par exemple, l’exigence de conformité des appareils n’est pas appliquée pour les appareils partagés utilisés pour le desking à chaud, mais est appliquée à tous les autres appareils, en fonction du numéro de modèle.
Application de stratégies spéciales sur des appareils partagés qui ne doivent pas être appliquées à des appareils personnels. Par exemple, exiger des emplacements nommés comme stratégie uniquement pour les appareils de zone commune en fonction d’un attribut d’extension que vous définissez pour ces appareils (par exemple : « CommonAreaPhone »).
Remarque
Certains attributs tels que model, manufacturer et operatingSystemVersion ne peuvent être définis que lorsque les appareils sont gérés par Intune. Si vos appareils ne sont pas gérés par Intune, utilisez les attributs d’extension.
Salles Microsoft Teams rapport d’utilisation
De nouvelles fonctionnalités telles que les données des minutes vidéo de la caméra et des minutes d’appel ont été ajoutées au portail de gestion Salles Teams Pro dans la section rapport. Ces données permettent aux utilisateurs de suivre l’engagement au cours de chaque réunion et d’avoir une meilleure compréhension de ces données.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour