本文提供有关在 Microsoft Teams 会议室专业版 管理门户中设置远程访问的指导。 使用远程访问,支持人员可以在无人参与的Teams 会议室主机上安全地排查硬件和软件配置问题,而无需在主机上安装主机。
远程访问仅适用于运行Windows 11的基于 Windows 的认证Teams 会议室主机。
注意
Microsoft Teams 会议室运行 Android 支持的主机即将推出。
Teams 会议室专业版管理远程访问功能和要求
Teams 会议室专业版管理具有自己的基于角色的访问控制,可帮助你管理用户对组织中会议室资源信息的访问权限。 通过向门户用户分配角色,可以限制他们可以看到和更改的内容。 每个角色都有一组权限,用于确定分配给特定角色的用户可以在组织中访问和更改的访问级别。
请参阅 Teams 会议室专业版 管理门户中的角色基础访问控制。
- 需要租户级别选择加入才能启用该功能 默认情况下,不会为租户启用远程访问。 必须使用分配基于角色的权限来启用它。 需要输入电子邮件地址,以便提供要显式启用此功能的确认。 提供此确认会创建审核日志记录,以便可以追究某人的责任。 Microsoft Teams 会议室专业版管理远程访问功能遵循Microsoft隐私策略。
注意
在启用和设置远程访问之前,请考虑隐私和合规性要求。
- 需要Teams 会议室专业版管理自定义角色权限 默认情况下,没有为远程访问启用任何 Teams Pro 管理角色。 如果确实想要为某人启用远程访问,需要首先创建自定义角色,为此自定义角色添加远程访问权限,然后将这些用户和会议室分配到该自定义角色。
创建、编辑或分配自定义角色时,帐户必须具有以下权限之一: - Azure Active Directory (Azure AD) 中的全局管理员 - Microsoft Teams 会议室专业版 管理门户中的 Teams 会议室专业版 管理器
[重要]Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
基于角色的访问控制 (RBAC) :可以使用 RBAC 角色来确定Teams 会议室专业版管理远程访问用户的范围。 对于远程访问,它作为两个 RBAC 角色:
- 视图这些用户可以远程访问设备,但使用此级别,他们只能查看Teams 会议室控制台和显示器。 无法保存任何更改。
- 修改 这些用户可以远程访问设备,但在此级别下,他们可以执行各种作,包括进行设置更改和保存这些更改。 例如,它们可以与远程键盘控件交互。
需要Teams 会议室专业版管理门户登录才能使用远程访问,分配了自定义 RBAC 角色且分配了正确权限的 Teams Room Pro 管理用户必须登录到组织的 Teams 会议室专业版 管理门户。 不能使用远程访问从Teams 会议室专业版管理门户外部访问Teams 会议室设备。
查看有关过去会话的详细信息在Teams 会议室专业版管理门户中,可以查看审核日志,其中包括有关谁连接到会议室控制台、在什么设备上以及连接了多长时间的详细信息。
先决条件
在设置远程访问之前,请验证是否满足以下先决条件:
为Teams 会议室主机购买Teams 会议室专业版许可证。
验证控制台是否受支持并在 Windows 上运行Microsoft Teams 会议室。 请参阅Teams 会议室认证设备。
安装 Microsoft Visual C++ 2015-2022 可再发行组件 (x64) 。
为Azure 通信服务准备组织的网络
将以下 URL 添加到网络的允许列表:
限制
Teams 会议室专业版管理远程访问具有以下限制:
- 它不适用于 GCC、GCC-High 或 DoD 政府租户。
- 它在Teams 会议室多租户管理门户中不可用。
- 无法建立从一个租户到另一租户的Teams 会议室专业版管理会话。
- 它仅在选定的市场和某些本地化版本可用。
支持的平台、浏览器和设备
- Teams 会议室 for Windows 上的Windows 11
- Microsoft Edge 浏览器
数据和隐私
Microsoft记录少量的会话数据,以监视远程访问会话的运行状况。 这些数据包括:
- 会话的开始和结束时间。 此信息在 Microsoft 服务器上存储 180 天。
- 访问设备的用户。 此信息在 Microsoft 服务器上存储 180 天。
- 来自远程访问会话的任何错误,例如意外断开连接。 此信息在 Microsoft 服务器上存储 180 天。
然后,Teams 会议室专业版管理门户会记录少量数据。 这些数据包括:
- 它记录有关用户访问Teams 会议室设备的远程访问日志会话详细信息。 Microsoft无法访问会话或查看会话中发生的任何作或击键。
- 如果由于 Teams 会议室控制台当前处于通话状态,因此无法建立远程访问会话,它将记录。
- 它记录Teams 会议室专业版管理用户访问设备时,主机上会显示一个红色环,供在会议室中看到主机的任何人使用。
- 它记录Teams 会议室专业版管理用户远程访问设备时。 但是,音频未启用。
注意
远程访问功能不需要其他 Windows 服务。
启用远程访问
默认情况下,远程访问处于禁用状态。 若要启用远程访问,请:
- 使用与用于登录Microsoft 365 管理中心相同的管理员权限登录到 Teams 会议室专业版 管理门户。
- 在Teams 会议室专业版管理门户中,转到“设置>远程访问”。
- 在“ 远程访问 ”部分中,将 “启用远程访问” 设置为 “已启用 ”以允许在租户中使用远程访问。 默认情况下,此设置为 “禁用”。
- 然后输入用户的电子邮件地址。 这表示他们正在启用此功能。
- 选择“保存”。
设置远程访问的权限
默认情况下,Teams 会议室专业版管理员角色未启用远程访问权限。 若要创建自定义角色并分配远程访问权限,请执行以下作:
- 使用与用于登录Microsoft 365 管理中心相同的管理员权限登录到 Teams 会议室专业版 管理门户。
- 在Teams 会议室专业版管理门户中,转到“设置>角色”。
- 创建一个自定义角色,向 Pro 管理管理员、站点主管和站点技术人员授予远程访问权限,然后添加他们将访问的会议室。
- 将 远程访问视图 或 远程访问修改 权限分配给同一自定义角色。
- 为将使用远程访问功能的特定用户和主机创建 分配 。
- 选择 “完成” 并 保存。
使用远程访问
若要远程管理Teams 会议室控制台,请执行以下作:
- 在Teams 会议室专业版管理门户中,选择“会议室”。
- 选择要远程管理的房间设备,然后在 “会议室”选项卡中,选择“ 远程访问 ”选项卡。
- 选择“ 启动会话 ”以建立安全连接并远程访问控制台。
注意
控制台必须在Teams 会议室专业版管理门户中处于受监视状态,并且主机不得处于活动调用状态。
以下是会话期间可用的命令:
| 命令 | 说明 |
|---|---|
| 重启设备 | 不适用 |
| 快捷方式命令 | 不适用 |
| 重启会话 | 启用 (默认) 将在会话结束时自动重启设备。 禁用 它不会在当前会话结束时自动重启设备。 下一个会话会将值重置为 Enable。 |
| 帮助 | 指向本文档的链接。 |
| 显示 | MTR 控制台、会议室显示器 1 的前面或会议室显示器 2 的正面 ((如果可用) )。 |
| 输入全屏 | 展开模式窗口以进入全屏 |
| 结束会话 | 终止会话。 |
[!NIMPORTANT] 具有“仅查看”访问权限的用户可以使用这些命令。 但是,他们无法与Teams 会议室控制台交互或保存任何更改。 对于具有修改访问权限的用户,他们可以与控制台交互并保存任何更改。
远程访问的安全最佳做法
| 安全最佳做法 | 更多信息 |
|---|---|
| 远程管理设备时,不要为特权帐户输入密码。 | 当帐户和密码敏感时,请小心这些帐户名和密码。 |
| 如果在远程访问会话期间断开已登录的 Teams 用户的连接,请确保在断开远程访问会话连接之前注销。 | 如果未在此方案中注销,会话将保持打开状态,并在会议室中可见。 |
| 限制“允许的查看者”列表。 | 用户无需本地管理员权限即可使用远程控制。 |
Teams 会议室专业版管理远程访问的隐私信息
Microsoft Teams 会议室专业版管理远程访问功能遵循Microsoft隐私策略。 更具体地说:
- 主机上没有主动侦听。
- 如果使用密码和用户凭据,则不会处理它们。
- 仅启用了实时 (JIT) 会话。
在设置远程访问之前,请考虑租户组织的隐私、安全性和合规性要求。
有关安全性、隐私和审核报告的详细信息,请参阅 Teams 会议室专业版 Management 中的远程访问的安全性和隐私。
审核报告
Teams 会议室专业版管理员可以运行审核日志来标识远程访问会话和具有远程访问权限的用户。 日志历史记录位于 “设置”/“常规”下。
使用条款
Microsoft保留在不另行通知的情况下随时更新和修改此功能的权利。 当前的许可模型允许无限数量的会话。 请参阅 Microsoft使用条款。