Рекомендации по проверке подлинности для управления общими устройствами Teams на устройствах Android

  • Статья
  • Применяется к:
    Microsoft Teams

Цели устройств, используемых с Teams, делают необходимыми различные стратегии управления устройствами. Например, личный бизнес-планшет, используемый одним продавцом, имеет набор потребностей, отличный от потребностей телефонного телефона, совместно используемого многими сотрудниками службы поддержки клиентов.

Администраторы безопасности и операционные группы должны планировать устройства, которые могут использоваться в организации. Они должны реализовать меры безопасности , наилучшим образом подходящие для каждой цели. Рекомендации из этой статьи упрощают некоторые из этих решений.

Примечание.

Для условного доступа требуется подписка Microsoft Entra ID P1 или P2.

Примечание.

Политики для мобильных устройств Android могут не применяться к устройствам Teams Android.

Рекомендации по проверке подлинности отличаются для личных и общих устройств Android

Общие устройства Teams не могут использовать те же требования для регистрации и соответствия требованиям, которые используются на личных устройствах. Применение требований к проверке подлинности личных устройств к общим устройствам приводит к проблемам со входом.

  1. Устройства выписываются из-за политик паролей.

Учетные записи, используемые на устройствах Teams, имеют политику истечения срока действия пароля. Учетные записи, используемые с общими устройствами, не имеют определенного пользователя для обновления и восстановления до рабочего состояния по истечении срока действия паролей. Если вашей организации требуется периодический срок действия паролей и их сброс, эти учетные записи перестают работать на устройствах Teams, пока администратор Teams не сбросит пароль и не войдет в систему.

Задача. Когда дело доходит до доступа. Teams с устройства, учетная запись пользователя имеет политику истечения срока действия пароля. Когда срок действия пароля истекает, он изменяется. Но учетные записи, используемые на общих устройствах (учетные записи ресурсов), могут быть не подключены к одному пользователю, который может изменить пароль по мере необходимости. Это означает, что срок действия пароля может истечь и оставить работников на месте, не зная, как возобновить свою работу.

Если вашей организации требуется сброс пароля или применяется срок действия пароля, убедитесь, что администратор Teams готов сбросить пароль, чтобы эти общие учетные записи могли снова войти в систему.

  1. Устройствам не удается выполнить вход из-за политик условного доступа.

Проблема. Общие устройства не могут соответствовать Microsoft Entra политикам условного доступа для учетных записей пользователей или личных устройств. Если общие устройства группируются с учетными записями пользователей или личными устройствами для политики условного доступа, вход завершится ошибкой.

Например, если для доступа к Teams требуется многофакторная проверка подлинности, для завершения проверки подлинности требуется ввод кода пользователем. Общие устройства обычно не имеют одного пользователя, который может настроить и выполнить многофакторную проверку подлинности. Кроме того, если учетная запись должна повторно пройти проверку подлинности каждые X дней, общее устройство не сможет решить проблему без вмешательства пользователя.

Рекомендации по развертыванию общих устройств Android с помощью Teams

Корпорация Майкрософт рекомендует использовать следующие параметры при развертывании устройств Teams в вашей организации.

Использование учетной записи ресурса и ограничение срока действия пароля

Общие устройства Teams должны использовать почтовый ящик ресурсов Exchange. При создании этих почтовых ящиков учетная запись создается автоматически. Эти учетные записи можно синхронизировать с Microsoft Entra ID из Active Directory или создать непосредственно в Microsoft Entra ID. Любые политики срока действия паролей для пользователей также будут применяться к учетным записям, используемым на общих устройствах Teams, поэтому, чтобы избежать сбоев, вызванных политиками истечения срока действия паролей, установите политику срока действия паролей для общих устройств так, чтобы срок действия не истекал.

Начиная с устройств Teams CY21 с обновлением 1 (Teams версии 1449/1.0.94.2021022403 для телефонов Teams) и обновлением CY2021 No 2 (Teams версии 1449/1.0.96.2021051904 для Комнаты Microsoft Teams на Android) администраторы клиентов могут удаленно входить на устройства Teams. Вместо того, чтобы обмениваться паролями с техническими специалистами для настройки устройств, администраторы клиентов должны использовать удаленный вход для выдачи кодов проверки. Вы можете войти на эти устройства из Центра администрирования Teams.

Дополнительные сведения см. в статье Удаленная подготовка и вход для устройств Android Teams.

Ознакомьтесь с этими политиками условного доступа.

Microsoft Entra условный доступ задает другие требования, которым должны соответствовать устройства для входа. Для устройств Teams ознакомьтесь с приведенными ниже рекомендациями, чтобы определить, создали ли вы политики, позволяющие пользователям общих устройств выполнять свою работу.

Совет

Общие сведения об условном доступе см. в статье Что такое условный доступ?

Совет

Используйте именованное расположение или требуется соответствующее устройство для защиты общих устройств.

Вы можете использовать доступ на основе расположения с именованными расположениями

Если общие устройства подготовлены в четко определенном расположении, которое можно определить с помощью диапазона IP-адресов, можно настроить условный доступ с помощью именованных расположений для этих устройств. Это условие позволит этим устройствам получать доступ к корпоративным ресурсам только в пределах сети.

Когда и когда не требуется требовать соответствие общим устройствам

Примечание.

Для соответствия устройств требуется лицензия Intune.

Если вы регистрируете общие устройства в Intune, вы можете настроить соответствие устройств в качестве элемента управления в условном доступе, чтобы только соответствующие устройства могли получать доступ к корпоративным ресурсам. Для устройств Teams можно настроить политики условного доступа на основе соответствия устройств требованиям. Дополнительные сведения см. в разделе Условный доступ: требуется соответствие или Microsoft Entra гибридного присоединенного устройства.

Сведения о настройке параметров соответствия для устройств с помощью Intune см. в статье Использование политик соответствия требованиям для настройки правил для устройств, управляемых с помощью Intune.

Примечание.

Общие устройства, используемые для горячей поддержки , должны быть исключены из политик соответствия требованиям. Политики соответствия требованиям предотвращают регистрацию устройств в учетной записи пользователя горячей службы. Вместо этого используйте именованные расположения для защиты этих устройств. Для повышения безопасности можно также требовать многофакторную проверку подлинности для пользователей и учетных записей пользователей с поддержкой горячей поддержки в дополнение к именованным политикам расположения.

Исключение общих устройств из условий частоты входа

В разделе Условный доступ можно настроить частоту входа , чтобы требовать от пользователей повторного входа для доступа к ресурсу по истечении указанного периода времени. Если для учетных записей помещений применяется частота входа, общие устройства выйдите, пока администратор снова не войдет в систему. Корпорация Майкрософт рекомендует исключить общие устройства из любых политик частоты входа.

Использование фильтров для устройств

Фильтры для устройств — это функция условного доступа, которая позволяет настраивать более детализированные политики для устройств на основе свойств устройств, доступных в Microsoft Entra ID. Вы также можете использовать собственные настраиваемые значения, задав атрибуты расширения от 1 до 15 в объекте устройства, а затем используя их.

Используйте фильтры для устройств, чтобы определить устройства общей области и включить политики в двух ключевых сценариях:

  1. Исключение общих устройств из политик, применяемых для личных устройств. Например, требование соответствия устройств не применяется для общих устройств, используемых для горячей поддержки, но применяется для всех других устройств в зависимости от номера модели.

  2. Применение специальных политик на общих устройствах, которые не должны применяться к личным устройствам. Например, требование именованных расположений в качестве политики только для устройств с общими областями на основе атрибута расширения, заданного для этих устройств (например, "CommonAreaPhone").

Примечание.

Некоторые атрибуты, такие как model, manufacturer и operatingSystemVersion , можно задать только в том случае, если устройства управляются Intune. Если устройства не управляются Intune, используйте атрибуты расширения.

отчет об использовании Комнаты Microsoft Teams

На портале управления Комнаты Teams Pro в разделе отчета добавлены новые возможности, такие как данные минут видео с камеры и минут звонков. Эти данные позволяют пользователям отслеживать вовлеченность во время каждого собрания и лучше понимать эти данные.