Android 和 Teams 面板上的Teams 会议室身份验证最佳做法
与 Teams 一起使用的设备的目标需要不同的设备管理和安全策略。 例如,单个销售人员使用的个人商务平板电脑与许多客户服务人员共享的电话有不同的需求集。 安全管理员和运营团队必须为组织中使用的设备进行规划。 他们必须实施最适合每种用途的安全措施。 本文的建议使其中一些决策更容易。 通常,Android 和 Teams 面板 设备上的Teams 会议室使用资源帐户进行部署,这些帐户应专门针对其功能进行配置。 如果组织中的用户在 Android 上以个人模式使用 Teams 会议室,则必须进行特定的安全配置,以确保他们能够成功登录到设备。
注意
条件访问需要Microsoft Entra ID P1 或 P2 订阅。
注意
适用于 Android 移动设备的策略可能不适用于 Teams Android 设备。
对个人帐户和 Teams 资源帐户使用相同的控件的挑战
共享 Teams 设备不能使用与个人帐户和设备上相同的注册和符合性要求。 将个人设备身份验证要求应用于共享设备会导致登录问题。 资源帐户个人帐户安全性方面的一些挑战包括:
设备因密码过期而注销。
如果 Teams 设备上使用的帐户具有密码过期策略,则当密码过期时,Teams 会议室或面板设备将自动注销。 与共享空间设备一起使用的帐户没有特定用户在其密码过期时更新和还原到工作状态。 如果你的组织要求密码偶尔过期并重置,这些帐户将停止在 Teams 设备上工作,直到 Teams 设备管理员重置密码并手动重新登录设备。 应将 Teams 资源帐户排除在密码过期之外。
如果帐户是个人帐户的用户,则密码过期后,他们可以轻松地重新登录设备。
由于条件访问策略要求用户交互式多重身份验证,设备无法登录。
如果 Teams 设备上使用的帐户受条件访问策略的约束,并且启用了多重身份验证 (MFA) 策略,则 Teams 资源帐户将无法成功登录,因为它没有用于批准 MFA 请求的辅助设备。 应使用替代的第二因素身份验证(例如已知网络或合规设备)保护 Teams 资源帐户。 或者,如果启用条件访问策略要求重新进行身份验证 X 天,则 Android 或 Teams 面板 设备上的 Teams 会议室将注销,并要求 IT 管理员每隔 X 天重新登录一次。
如果帐户是个人帐户用户,则 Android 或 Teams 面板上的Teams 会议室可能需要用户交互式 MFA,因为用户将拥有第二台设备,他们可以批准身份验证请求。
使用 Teams 部署共享 Android 设备的最佳做法
在组织中部署 Teams 设备时,Microsoft建议以下设置。
使用Teams 会议室资源帐户并禁用密码过期
Teams 共享设备应使用Teams 会议室资源帐户。 可以将这些帐户同步到 Active Directory 中的Microsoft Entra ID,也可以直接在 Microsoft Entra ID 中创建这些帐户。 用户的任何密码过期策略也将应用于 Teams 共享设备上使用的帐户,因此,为了避免密码过期策略导致的中断,请将共享设备的密码过期策略设置为永不过期。
使用远程登录
租户管理员可以远程登录到 Android 和 Teams 面板上的Teams 会议室。 租户管理员应使用远程登录来颁发验证码,而不是与技术人员共享密码来设置设备。 可以从 Teams 管理中心登录到这些设备。 有关详细信息,请参阅 Teams Android 设备的远程预配和登录。
为资源帐户创建唯一的条件访问策略
Microsoft Entra条件访问设置设备或帐户登录必须满足的要求。 对于Teams 会议室资源帐户,我们建议创建特定于Teams 会议室资源帐户的新条件访问策略,然后从所有其他组织条件访问策略中排除这些帐户。 若要使用共享设备帐户实现多重身份验证 (MFA) ,建议将已知网络位置和合规设备组合在一起。
对命名位置使用基于位置的访问
如果共享设备安装在可以使用一系列 IP 地址进行标识的已定义位置中,则可以使用这些设备的 命名位置 配置条件访问。 此条件仅允许这些设备在网络中访问公司资源。
使用合规设备
注意
设备符合性需要Intune注册。
可以在条件访问中将设备符合性配置为控件,以便只有合规设备才能访问公司资源。 可以根据设备符合性为条件访问策略配置 Teams 设备。 有关详细信息,请参阅 条件访问:需要合规的设备。
若要使用Intune为设备设置符合性策略,请参阅使用合规性策略为使用 Intune 管理的设备设置规则。
从登录频率条件中排除资源帐户
在条件访问中,可以 配置登录频率 ,以要求用户在指定时间段后再次登录才能访问资源。 如果对资源帐户强制实施登录频率,则设备将注销,直到管理员再次登录。
对设备使用筛选器
若要更精细地控制哪些内容可以使用资源帐户登录到 Teams,或者控制使用其个人帐户登录到 Android 设备上的 Teams 会议室的用户的策略,可以使用设备筛选器。 设备筛选器是条件访问中的一项功能,可用于根据Microsoft Entra ID中可用的设备属性为设备配置更精细的策略。 还可以通过在设备对象上设置扩展属性 1-15,然后使用这些属性来使用自己的自定义值。
在两个关键方案中,使用设备筛选器来标识共享设备并启用策略:
从应用于个人设备的策略中排除共享设备。 例如,对于用于热桌面的共享设备 ,不会强制 要求设备符合性,而是根据型号对所有其他设备 强制要求 设备符合性。
在 不应 应用于个人设备的共享设备上强制实施特殊策略。 例如,根据为这些设备设置的扩展属性,仅要求将命名位置作为公用区域设备的策略 (例如:CommonAreaPhone) 。
注意
某些属性(如 model、manufacturer 和 operatingSystemVersion)只能在由Intune管理设备时设置。 如果设备不是由 Intune 管理,请使用扩展属性。
Teams 旧版授权
Teams 升级配置策略提供一个名为 BlockLegacyAuthorization 的设置,启用后,该设置会阻止 Android 和 Teams 面板上的Teams 会议室连接到 Teams 服务。 若要了解有关此策略的详细信息,请参阅 Set-CsTeamsUpgradeConfiguration 或运行 Get-CsTeamsUpgradeConfiguration 以检查租户中是否启用了 BlockLegacyAuthorization。
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization