Práticas recomendadas de autenticação para o gerenciamento de dispositivos compartilhados do Teams em dispositivos Android
As metas dos dispositivos usados com o Teams tornam necessárias diferentes estratégias de gerenciamento de dispositivos. Por exemplo, um tablet de negócios pessoal usado por uma única pessoa de vendas tem um conjunto diferente de necessidades de um telefone de plantão compartilhado por muitas pessoas de serviço ao cliente.
Os administradores de segurança e as equipes de operações devem planejar os dispositivos que podem ser usados na organização. Eles devem implementar medidas de segurança mais adequadas para cada finalidade. As recomendações deste artigo facilitam algumas dessas decisões.
Nota
O Acesso Condicional requer uma assinatura P1 ou P2 Microsoft Entra ID.
Nota
As políticas para dispositivos móveis Android podem não se aplicar a dispositivos Android do Teams.
As recomendações de autenticação são diferentes para dispositivos android pessoais versus compartilhados
Os dispositivos do Teams Compartilhados não podem usar os mesmos requisitos para registro e conformidade que são usados em dispositivos pessoais. A aplicação de requisitos de autenticação de dispositivo pessoal a dispositivos compartilhados causa problemas de entrada.
- Os dispositivos são assinados devido a políticas de senha.
As contas usadas em dispositivos do Teams têm uma política de expiração de senha. As contas usadas com dispositivos compartilhados não têm um usuário específico para atualizá-las e restaurá-las em um estado de trabalho quando suas senhas expirarem. Se sua organização exigir que as senhas expirem e redefinam ocasionalmente, essas contas param de funcionar em dispositivos do Teams até que um administrador do Teams redefina a senha e entre novamente.
Desafio: quando se trata de acessar. Equipes de um dispositivo, a conta de uma pessoa tem uma política de expiração de senha. Quando a senha vai expirar, elas a alteram. Mas as contas usadas em dispositivos compartilhados (contas de recurso) podem não estar conectadas a uma única pessoa que pode alterar uma senha conforme necessário. Isso significa que uma senha pode expirar e deixar os trabalhadores no local, sem saber como retomar seu trabalho.
Quando sua organização exigir uma redefinição de senha ou impor a expiração de senha, certifique-se de que um administrador do Teams esteja preparado para redefinir a senha para que essas contas compartilhadas possam entrar novamente.
- Os dispositivos não conseguem entrar devido a políticas de acesso condicional.
Desafio: dispositivos compartilhados não podem cumprir Microsoft Entra políticas de Acesso Condicional para contas de usuário ou dispositivos pessoais. Se os dispositivos compartilhados forem agrupados com contas de usuário ou dispositivos pessoais para uma política de Acesso Condicional, a entrada falhará.
Por exemplo, se a autenticação multifator for necessária para acessar o Teams, a entrada do usuário de um código será necessária para concluir essa autenticação. Os dispositivos compartilhados geralmente não têm um único usuário que possa configurar e concluir a autenticação multifator. Além disso, se a conta precisar reauthenticar a cada X dias, um dispositivo compartilhado não poderá resolve o desafio sem a intervenção de um usuário.
Melhores práticas para a implantação de dispositivos Android compartilhados com o Teams
A Microsoft recomenda as seguintes configurações ao implantar dispositivos do Teams em sua organização.
Usar uma conta de recurso e reduzir sua expiração de senha
Os dispositivos compartilhados do Teams devem usar uma caixa de correio de recursos do Exchange. A criação dessas caixas de correio gera uma conta automaticamente. Você pode sincronizar essas contas com Microsoft Entra ID do Active Directory ou criá-las diretamente no Microsoft Entra ID. Quaisquer políticas de expiração de senha para usuários também se aplicarão a contas usadas em dispositivos compartilhados do Teams, portanto, para evitar interrupções causadas por políticas de expiração de senha, defina a política de expiração de senha para dispositivos compartilhados para nunca expirar.
Começando com os dispositivos do Teams CY21 Atualização nº 1 (teams versão 1449/1.0.94.2021022403 para telefones teams) e CY2021 Atualização #2 (Teams versão 1449/1.0.96.2021051904 para Salas do Microsoft Teams no Android), os administradores de locatários podem entrar em dispositivos teams remotamente. Em vez de compartilhar senhas com técnicos para configurar dispositivos, os administradores do locatário devem usar a entrada remota para emitir códigos de verificação. Você pode entrar nesses dispositivos no centro de administração do Teams.
Para obter mais informações, consulte Provisionamento remoto e entrar em dispositivos Android do Teams.
Examine estas políticas de acesso condicional
Microsoft Entra Acesso Condicional define outros requisitos que os dispositivos devem atender para entrar. Para dispositivos teams, examine as diretrizes a seguir para determinar se você criou as políticas que permitem que usuários de dispositivo compartilhado façam seu trabalho.
Ponta
Para obter uma visão geral do Acesso Condicional, consulte O que é acesso condicional?
Ponta
Use o local nomeado ou exija dispositivo compatível para proteger dispositivos compartilhados.
Você pode usar o acesso baseado em localização com locais nomeados
Se os dispositivos compartilhados forem provisionados em um local bem definido que pode ser identificado com um intervalo de endereços IP, você poderá configurar o Acesso Condicional usando locais nomeados para esses dispositivos. Essa condicional permitirá que esses dispositivos acessem seus recursos corporativos somente quando estiverem dentro de sua rede.
Quando e quando não exigir dispositivos compartilhados em conformidade
Nota
A conformidade do dispositivo requer uma licença do Intune.
Se você estiver registrando dispositivos compartilhados no Intune, poderá configurar a conformidade do dispositivo como um controle no Acesso Condicional para que apenas dispositivos compatíveis possam acessar seus recursos corporativos. Os dispositivos teams podem ser configurados para políticas de acesso condicional com base na conformidade do dispositivo. Para obter mais informações, consulte Acesso Condicional: exigir dispositivo ingressado em conformidade ou Microsoft Entra híbrido.
Para definir a configuração de conformidade para seus dispositivos usando o Intune, consulte Usar políticas de conformidade para definir regras para dispositivos que você gerencia com o Intune.
Nota
Dispositivos compartilhados que estão sendo usados para hot-desking devem ser excluídos das políticas de conformidade. As polícias de conformidade impedem que os dispositivos se registrem na conta de usuário do hot desk. Em vez disso, use locais nomeados para proteger esses dispositivos. Para aumentar a segurança, você também pode exigir autenticação multifator para usuários de hot-desking/contas de usuário , além das políticas de localização nomeadas.
Excluir dispositivos compartilhados das condições de frequência de entrada
No Acesso Condicional, você pode configurar a frequência de entrada para exigir que os usuários entrem novamente para acessar um recurso após um período de tempo especificado. Se a frequência de entrada for imposta para contas de quarto, os dispositivos compartilhados sairão até que sejam conectados novamente por um administrador. A Microsoft recomenda excluir dispositivos compartilhados de quaisquer políticas de frequência de entrada.
Usando filtros para dispositivos
Filtros para dispositivos é um recurso no Acesso Condicional que permite configurar políticas mais granulares para dispositivos com base nas propriedades do dispositivo disponíveis em Microsoft Entra ID. Você também pode usar seus próprios valores personalizados definindo atributos de extensão 1 a 15 no objeto do dispositivo e, em seguida, usando-os.
Use filtros para dispositivos para identificar seus dispositivos de área comum e habilitar políticas em dois cenários-chave:
Excluindo dispositivos compartilhados de políticas aplicadas a dispositivos pessoais. Por exemplo, exigir a conformidade do dispositivo não é imposto para dispositivos compartilhados usados para hot-desking, mas é imposto para todos os outros dispositivos, com base no número do modelo.
Impor políticas especiais em dispositivos compartilhados que não devem ser aplicadas a dispositivos pessoais. Por exemplo, exigir locais nomeados como política apenas para dispositivos de área comum com base em um atributo de extensão definido para esses dispositivos (por exemplo: "CommonAreaPhone").
Nota
Alguns atributos, como modelo, fabricante e operatingSystemVersion , só podem ser definidos quando os dispositivos são gerenciados pelo Intune. Se seus dispositivos não forem gerenciados pelo Intune, use atributos de extensão.
Salas do Microsoft Teams relatório de uso
Novos recursos, como os minutos de vídeo da câmera e os dados de minutos de chamada, foram adicionados ao portal de gerenciamento do Salas Teams Pro na seção relatório. Esses dados permitem que os usuários acompanhem o envolvimento durante cada reunião e tenham uma melhor compreensão desses dados.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de