Cumplimiento de Intune y acceso condicional para Salas de Microsoft Teams y paneles

• Se aplica a:

  Microsoft Teams

En este artículo se proporcionan requisitos y procedimientos recomendados para las directivas de cumplimiento de dispositivos de Intune y acceso condicional para Salas de Microsoft Teams en dispositivos Windows, Salas de Teams en Android y Panel de Teams.

Nota

Para usar esta característica con un dispositivo Salas de Teams, debes asignar una licencia de Salas de Microsoft Teams Pro al dispositivo. Para obtener más información, vea Salas de Microsoft Teams licencias.

Requirements

• Salas de Teams cuentas de recursos creadas, para obtener más información, vea Crear cuentas de recursos para salas y dispositivos compartidos de Teams.
• Se requiere un plan de servicio Microsoft Entra ID P1 para usar el acceso condicional. Se incluye en la licencia de Salas de Microsoft Teams o en la licencia de dispositivo compartido.

Salas de Teams procedimientos recomendados de acceso condicional

Las directivas de acceso condicional pueden proteger el proceso de inicio de sesión en dispositivos que están en espacios compartidos. Para obtener información general sobre el acceso condicional en Microsoft Entra ID, vea ¿Qué es el acceso condicional en Microsoft Entra ID?.

Al usar el acceso condicional para proteger Salas de Teams, tenga en cuenta los siguientes procedimientos recomendados:

• Incluya todas las cuentas de recursos de sala de Microsoft 365 asociadas a Salas de Teams en un Microsoft Entra ID grupo de usuarios.
• Use un estándar de nomenclatura para todas las cuentas de recursos Salas de Teams. Por ejemplo, los nombres de cuenta "mtr-room1@contoso.com" y "mtr-room2@contoso.com" comienzan con el prefijo "mtr-". Cuando los nombres de cuenta están estandarizados, puede usar grupos dinámicos en Microsoft Entra ID para aplicar automáticamente directivas de acceso condicional a todas estas cuentas a la vez. Para obtener más información sobre los grupos dinámicos, vea Reglas para la pertenencia a grupos rellenados dinámicamente.
• Excluya las cuentas de recursos de Salas de Teams de todas las directivas de acceso condicional existentes y cree una nueva directiva específica para las cuentas de recursos.
• No requiera autenticación multifactor interactiva (MFA) interactiva por parte del usuario. La MFA interactiva de usuario no es compatible con las cuentas de recursos de Salas de Teams, ya que las cuentas de recursos no tienen un segundo dispositivo para aprobar la solicitud de MFA.

Para obtener una lista de las asignaciones de acceso condicional admitidas para Salas de Teams, vea Directivas de acceso condicional compatibles.

Directiva de acceso condicional de ejemplo

En este ejemplo, la directiva de acceso condicional funciona de la siguiente manera:

1. El inicio de sesión de la cuenta debe ser un miembro de un grupo de usuarios específico, en este ejemplo, el grupo "Dispositivos compartidos".
2. El inicio de sesión de la cuenta solo debe intentar obtener acceso a Office 365, Office 365 Exchange Online, Microsoft Teams Services y Microsoft 365 SharePoint Online. Se rechazan los intentos de iniciar sesión en cualquier otra aplicación cliente.
3. El método de autenticación debe ser la autenticación moderna. Los mecanismos de autenticación heredados deben bloquearse.
4. La cuenta de recursos debe iniciar sesión en la plataforma de windows o dispositivo Android.
5. La cuenta de recursos también debe iniciar sesión desde una ubicación de confianza conocida.
6. La cuenta de recursos debe iniciar sesión desde un dispositivo compatible.

Si estas condiciones se cumplen correctamente y el dispositivo tiene el nombre de usuario y la contraseña correctos, la cuenta del recurso inicia sesión en Teams.

cumplimiento de Intune para Salas de Teams

Los requisitos de cumplimiento son reglas definidas que los dispositivos deben cumplir para que se marquen como compatibles, como la versión mínima del sistema operativo. El cumplimiento del dispositivo se puede usar como una condición en el acceso condicional antes de que la cuenta de recursos pueda iniciar sesión.

Para obtener una lista de las directivas de cumplimiento de Intune admitidas para Salas de Teams, consulte Directivas de cumplimiento de dispositivos compatibles.

Directiva de cumplimiento Intune de ejemplo para Salas de Teams en Windows

1. Requiere que un firewall se esté ejecutando en Salas de Teams en Windows.
2. Requiere una versión mínima del sistema operativo.
3. Es necesario que Microsoft Defender se esté ejecutando en Salas de Teams.

Esta directiva de cumplimiento se debe asignar a los dispositivos Salas de Teams y a las cuentas de recursos de Salas de Teams. Si el dispositivo no cumple estos requisitos, no se marcará como compatible.

Ejemplo Intune directiva de cumplimiento para Salas de Teams en paneles de Android y Teams

1. La versión mínima del sistema operativo es mayor que Android 10.
2. Bloquear dispositivos arraigados.
3. Requerir el cifrado de almacenamiento de datos en el dispositivo

Esta directiva de cumplimiento se debe asignar a los dispositivos Salas de Teams y a las cuentas de recursos de Salas de Teams. Si el dispositivo no cumple estos requisitos, no se marcará como compatible.