Procedimientos recomendados de autenticación para teléfonos de Teams
Los objetivos de los dispositivos que se usan con Teams son hacer necesarias diferentes estrategias de administración de dispositivos. Por ejemplo, una tableta personal de empresa usada por un único vendedor tiene un conjunto diferente de necesidades de un teléfono de llamada compartida por muchas personas del servicio de atención al cliente. Además, hay diferentes requisitos para un teléfono de Teams que no se comparte con otras personas y otro teléfono de Teams que se usa como un teléfono de área común. Consulte Configurar teléfonos de área común para Microsoft Teams.
Los administradores de seguridad y los equipos de operaciones deben planear los dispositivos que se pueden usar en la organización. Deben implementar las medidas de seguridad más adecuadas para cada propósito. Las recomendaciones de este artículo facilitan algunas de estas decisiones.
Nota
El acceso condicional requiere una suscripción Microsoft Entra ID P1 o P2.
Nota
Es posible que las directivas para dispositivos móviles Android no se apliquen a los dispositivos Android de Teams.
Las recomendaciones de autenticación son diferentes para dispositivos Android personales y compartidos
Los dispositivos compartidos de Teams, como los teléfonos de Teams, no pueden usar los mismos requisitos para la inscripción y el cumplimiento que se usan en dispositivos personales. Aplicar requisitos de autenticación de dispositivos personales a dispositivos compartidos provoca problemas de inicio de sesión.
Los dispositivos han cerrado sesión debido a las directivas de contraseñas.
Las cuentas que se usan en los teléfonos de Teams tienen una directiva de expiración de contraseñas. Las cuentas que se usan con dispositivos compartidos no tienen un usuario específico para actualizarlos y restaurarlos a un estado de funcionamiento cuando expiran sus contraseñas. Si su organización requiere que las contraseñas expiren y se restablezcan ocasionalmente, estas cuentas dejan de funcionar en los dispositivos de Teams hasta que un administrador de Teams restablezca la contraseña y vuelva a iniciar sesión.
Desafío: Cuando se trata de acceder. Teams desde un dispositivo, la cuenta de una persona tiene una directiva de expiración de contraseñas. Cuando la contraseña va a expirar, la cambian. Sin embargo, es posible que las cuentas que se usan en dispositivos compartidos (cuentas de recursos) no estén conectadas a una sola persona que pueda cambiar una contraseña según sea necesario. Esto significa que una contraseña puede expirar y dejar a los trabajadores en el lugar, sin saber cómo reanudar su trabajo.
Cuando su organización requiera un restablecimiento de contraseña o exija la expiración de la contraseña, asegúrese de que un administrador de Teams esté preparado para restablecer la contraseña para que estas cuentas compartidas puedan volver a iniciar sesión.
Los dispositivos no pueden iniciar sesión debido a las directivas de acceso condicional.
Desafío: Los dispositivos compartidos no pueden cumplir con Microsoft Entra directivas de acceso condicional para cuentas de usuario o dispositivos personales. Si los dispositivos compartidos se agrupan con cuentas de usuario o dispositivos personales para una directiva de acceso condicional, se producirá un error en el inicio de sesión.
Por ejemplo, si se requiere autenticación multifactor para acceder a Teams, se necesita que el usuario escriba un código para completar esa autenticación. Por lo general, los dispositivos compartidos no tienen un solo usuario que pueda configurar y completar la autenticación multifactor. Además, si la cuenta debe volver a autenticarse cada X días, un dispositivo compartido no podrá resolver el problema sin la intervención de un usuario.
Procedimientos recomendados para la implementación de teléfonos compartidos de Teams
Microsoft recomienda la siguiente configuración al implementar teléfonos de Teams en su organización.
Usar una cuenta de recursos y limitar la expiración de la contraseña
Los teléfonos compartidos de Teams deben usar una cuenta de recursos. Puede sincronizar estas cuentas para Microsoft Entra ID desde Active Directory o crearlas directamente en Microsoft Entra ID. Las directivas de expiración de contraseñas para los usuarios también se aplicarán a las cuentas que se usan en dispositivos compartidos de Teams, por lo tanto, para evitar interrupciones causadas por directivas de expiración de contraseñas, establezca la directiva de expiración de contraseñas para dispositivos compartidos para que nunca expiren.
Revisar estas directivas de acceso condicional
Microsoft Entra acceso condicional establece otros requisitos que los dispositivos deben cumplir para iniciar sesión. Para los teléfonos de Teams, revise las instrucciones siguientes para determinar si ha creado las directivas que permiten a los usuarios de dispositivos compartidos realizar su trabajo.
Propina
Para obtener información general sobre el acceso condicional, vea ¿Qué es el acceso condicional? Use la ubicación con nombre o requiera un dispositivo compatible para proteger las cuentas de recursos de dispositivo compartido.
Puede usar el acceso basado en la ubicación con ubicaciones con nombre
Si los teléfonos compartidos de Teams están aprovisionados en una ubicación bien definida que se puede identificar con un intervalo de direcciones IP, puede configurar el acceso condicional con ubicaciones con nombre para estos dispositivos. Este condicional permitirá que estos dispositivos accedan a sus recursos corporativos solo cuando estén dentro de su red.
Cuándo y cuándo no requerir dispositivos compartidos compatibles
Nota
El cumplimiento del dispositivo requiere una licencia de Intune.
Al inscribir dispositivos compartidos en Intune, puede configurar el cumplimiento de dispositivos como un control en Acceso condicional para que solo los dispositivos compatibles puedan acceder a sus recursos corporativos. Los teléfonos de Teams se pueden configurar para directivas de acceso condicional en función del cumplimiento del dispositivo. Para obtener más información, vea Directiva de cumplimiento de Administración de dispositivos de AOSP.
Nota
Los dispositivos compartidos que se usan para escritorio rápido deben excluirse de las directivas de cumplimiento. Las directivas de cumplimiento impiden que los dispositivos se inscriban en la cuenta de usuario de hot desk. En su lugar, usa ubicaciones con nombre para proteger estos dispositivos. Para aumentar la seguridad, también puede requerir autenticación multifactor para usuarios de escritorio rápido o cuentas de usuario , además de las directivas de ubicación con nombre.
Excluir dispositivos compartidos de las condiciones de frecuencia de inicio de sesión
En Acceso condicional, puede configurar la frecuencia de inicio de sesión para que los usuarios vuelvan a iniciar sesión para obtener acceso a un recurso después de un período de tiempo especificado. Si se aplica la frecuencia de inicio de sesión para las cuentas de recursos telefónicos, los dispositivos compartidos cierran sesión hasta que un administrador los vuelva a iniciar. Microsoft recomienda excluir los dispositivos compartidos de las directivas de frecuencia de inicio de sesión.
Usar filtros para dispositivos
Filtros para dispositivos es una característica del acceso condicional que le permite configurar directivas más granulares para dispositivos en función de las propiedades del dispositivo disponibles en Microsoft Entra ID. También puede usar sus propios valores personalizados estableciendo los atributos de extensión 1-15 en el objeto de dispositivo y, a continuación, los usa.
Use filtros para los dispositivos para identificar los dispositivos de área común y habilitar directivas en dos escenarios clave:
Excluir los dispositivos compartidos de las directivas aplicadas para dispositivos personales. Por ejemplo, exigir el cumplimiento de los dispositivos no se exige para los dispositivos compartidos que se usan para el escritorio rápido, sino que se aplica para todos los demás dispositivos, en función del número de modelo.
Aplicar directivas especiales en dispositivos compartidos que no se deben aplicar a dispositivos personales. Por ejemplo, requerir ubicaciones con nombre como directiva solo para dispositivos de área común en función de un atributo de extensión que establezca para estos dispositivos (por ejemplo: "CommonAreaPhone").
Nota
Algunos atributos como modelo, fabricante y operativoSystemVersion solo se pueden establecer cuando los dispositivos se administran mediante Intune. Si los dispositivos no están administrados por Intune, usa atributos de extensión.
Autorización heredada de Teams
Las directivas de configuración de actualización de Teams ofrecen una configuración denominada BlockLegacyAuthorization que, cuando se habilita, impide que los teléfonos de Teams se conecten a los servicios de Teams. Para obtener más información sobre esta directiva, vea Set-CsTeamsUpgradeConfiguration o ejecute Get-CsTeamsUpgradeConfiguration para comprobar si BlockLegacyAuthorization está habilitado en su inquilino.
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization