Procedimientos recomendados de autenticación para Salas de Teams en paneles de Android y Teams
Los objetivos de los dispositivos usados con Teams hacen necesarias estrategias de seguridad y administración de dispositivos diferentes. Por ejemplo, una tableta personal de empresa usada por un único vendedor tiene un conjunto diferente de necesidades de un teléfono de llamada compartida por muchas personas del servicio de atención al cliente. Los administradores de seguridad y los equipos de operaciones deben planear los dispositivos que se usan en la organización. Deben implementar las medidas de seguridad más adecuadas para cada propósito. Las recomendaciones de este artículo facilitan algunas de estas decisiones. Normalmente, las Salas de Teams en dispositivos Android y Panel de Teams se implementan con cuentas de recursos que deben configurarse específicamente para su función. Si hay usuarios en su organización que usan Salas de Teams en Android en un modo personal, es necesario realizar configuraciones de seguridad específicas para asegurarse de que pueden iniciar sesión en el dispositivo correctamente.
Nota
El acceso condicional requiere una suscripción Microsoft Entra ID P1 o P2.
Nota
Es posible que las directivas para dispositivos móviles Android no se apliquen a los dispositivos Android de Teams.
Retos con el uso de los mismos controles para cuentas personales y cuentas de recursos de Teams
Los dispositivos de Teams compartidos no pueden usar los mismos requisitos para la inscripción y el cumplimiento que se usan en cuentas personales y dispositivos. Aplicar requisitos de autenticación de dispositivos personales a dispositivos compartidos provoca problemas de inicio de sesión. Algunos desafíos con la seguridad de la cuenta personal en las cuentas de recursos son:
Los dispositivos han cerrado sesión debido a la expiración de contraseñas.
Si las cuentas que se usan en dispositivos teams tienen una directiva de expiración de contraseñas, cuando la contraseña expire, el dispositivo de la sala o panel de Teams cerrará la sesión automáticamente. Las cuentas usadas con dispositivos de espacio compartido no tienen un usuario específico para actualizarlos y restaurarlos a un estado de funcionamiento cuando expiran sus contraseñas. Si su organización requiere que las contraseñas expiren y se restablezcan ocasionalmente, estas cuentas dejan de funcionar en los dispositivos de Teams hasta que un administrador de dispositivos de Teams restablezca la contraseña y vuelva a iniciar sesión manualmente en el dispositivo. Las cuentas de recursos de Teams deben excluirse de la expiración de la contraseña.
Si la cuenta es una cuenta personal de los usuarios, cuando expire su contraseña, podrán volver a iniciar sesión fácilmente en el dispositivo.
Los dispositivos no pueden iniciar sesión debido a las directivas de acceso condicional que requieren la autenticación multifactor interactiva del usuario.
Si la cuenta usada en un dispositivo teams está sujeta a directivas de acceso condicional y la directiva de autenticación multifactor (MFA) está habilitada, una cuenta de recursos de Teams no inicia sesión correctamente, ya que no tiene un dispositivo secundario para aprobar la solicitud de MFA. Las cuentas de recursos de Teams deben protegerse mediante la autenticación de segundo factor alternativa, como una red conocida o un dispositivo compatible. O bien, si se habilita una directiva de acceso condicional para que sea necesario volver a autenticarse cada X días, la sala de Teams en Android o Panel de Teams dispositivo cerrará sesión y requerirá que un administrador de TI vuelva a iniciar sesión cada X días.
Si la cuenta es una cuenta personal de usuario, la MFA interactiva de usuario puede ser necesaria para Salas de Teams en paneles de Android o Teams, ya que el usuario tendrá un segundo dispositivo en el que puede aprobar la solicitud de autenticación.
Procedimientos recomendados para la implementación de dispositivos Android compartidos con Teams
Microsoft recomienda la siguiente configuración al implementar dispositivos de Teams en su organización.
Usar una cuenta de recurso Salas de Teams y deshabilitar la expiración de la contraseña
Los dispositivos compartidos de Teams deben usar una cuenta de recursos Salas de Teams. Puede sincronizar estas cuentas para Microsoft Entra ID desde Active Directory o crearlas directamente en Microsoft Entra ID. Las directivas de expiración de contraseñas para los usuarios también se aplicarán a las cuentas que se usan en dispositivos compartidos de Teams, por lo tanto, para evitar interrupciones causadas por directivas de expiración de contraseñas, establezca la directiva de expiración de contraseñas para dispositivos compartidos para que nunca expiren.
Usar el inicio de sesión remoto
Los administradores de inquilinos pueden iniciar sesión en Salas de Teams en paneles de Android y Teams de forma remota. En lugar de compartir contraseñas con técnicos para configurar dispositivos, los administradores de inquilinos deben usar el inicio de sesión remoto para emitir códigos de verificación. Puede iniciar sesión en estos dispositivos desde el Centro de administración de Teams. Para obtener más información, consulte Aprovisionamiento remoto e inicio de sesión para dispositivos Android de Teams.
Crear una directiva de acceso condicional única para cuentas de recursos
Microsoft Entra acceso condicional establece requisitos que los dispositivos o cuentas deben cumplir para iniciar sesión. Para Salas de Teams cuentas de recursos, se recomienda crear una nueva directiva de acceso condicional específica para las cuentas de recursos de Salas de Teams y después excluir las cuentas de todas las demás directivas de acceso condicional de la organización. Para lograr la autenticación multifactor (MFA) con cuentas de dispositivo compartido, recomendamos una combinación de ubicación de red conocida y dispositivo compatible.
Usar acceso basado en ubicación con ubicaciones con nombre
Si los dispositivos compartidos están instalados en una ubicación definida que se pueda identificar con un intervalo de direcciones IP, puede configurar el Acceso condicional mediante ubicaciones con nombre para estos dispositivos. Esta condición permite que estos dispositivos accedan a sus recursos corporativos solo cuando estén dentro de su red.
Usar dispositivos compatibles
Nota
El cumplimiento del dispositivo requiere Intune inscripción.
Puede configurar el cumplimiento de dispositivos como un control en Acceso condicional para que solo los dispositivos compatibles puedan acceder a sus recursos corporativos. Los dispositivos de Teams se pueden configurar para directivas de acceso condicional en función del cumplimiento de los dispositivos. Para obtener más información, consulte Acceso condicional: Requerir dispositivo compatible.
Para establecer directivas de cumplimiento para los dispositivos con Intune, vea Usar directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune.
Excluir cuentas de recursos de condiciones de frecuencia de inicio de sesión
En Acceso condicional, puede configurar la frecuencia de inicio de sesión para que los usuarios vuelvan a iniciar sesión para obtener acceso a un recurso después de un período de tiempo especificado. Si se aplica la frecuencia de inicio de sesión para las cuentas de recursos, los dispositivos cierran la sesión hasta que un administrador los vuelva a iniciar.
Usar filtros para dispositivos
Para obtener un control más granular sobre lo que puede iniciar sesión en Teams con una cuenta de recursos o para controlar las directivas de los usuarios que inician sesión en una sala de Teams en un dispositivo Android con su cuenta personal, se pueden usar filtros de dispositivo. Filtros para dispositivos es una característica del acceso condicional que le permite configurar directivas más granulares para dispositivos en función de las propiedades del dispositivo disponibles en Microsoft Entra ID. También puede usar sus propios valores personalizados estableciendo los atributos de extensión 1-15 en el objeto de dispositivo y, a continuación, los usa.
Use filtros para los dispositivos para identificar sus dispositivos compartidos y habilitar directivas en dos escenarios clave:
Excluir los dispositivos compartidos de las directivas aplicadas para dispositivos personales. Por ejemplo, exigir el cumplimiento de los dispositivos no se exige para los dispositivos compartidos que se usan para el escritorio rápido, sino que se aplica para todos los demás dispositivos, en función del número de modelo.
Aplicar directivas especiales en dispositivos compartidos que no se deben aplicar a dispositivos personales. Por ejemplo, requerir ubicaciones con nombre como directiva solo para dispositivos de área común en función de un atributo de extensión que establezca para estos dispositivos (por ejemplo: CommonAreaPhone).
Nota
Algunos atributos como modelo, fabricante y operativoSystemVersion solo se pueden establecer cuando los dispositivos se administran mediante Intune. Si los dispositivos no están administrados por Intune, usa atributos de extensión.
Autorización heredada de Teams
Las directivas de configuración de actualización de Teams ofrecen una opción denominada BlockLegacyAuthorization que, cuando se habilita, impide que Salas de Teams en paneles Android y Teams se conecten a los servicios de Teams. Para obtener más información sobre esta directiva, vea Set-CsTeamsUpgradeConfiguration o ejecute Get-CsTeamsUpgradeConfiguration para comprobar si BlockLegacyAuthorization está habilitado en su inquilino.
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization