Condividi tramite


Procedure consigliate per l'autenticazione per Teams Rooms nei pannelli Android e Teams

Gli obiettivi dei dispositivi usati con Teams rendono necessarie diverse strategie di gestione e sicurezza dei dispositivi. Ad esempio, un tablet aziendale personale usato da un singolo venditore ha un set di esigenze diverso da un telefono in chiamata condiviso da molti addetti al servizio clienti. Gli amministratori della sicurezza e i team operativi devono pianificare i dispositivi utilizzati nell'organizzazione. Devono implementare le misure di sicurezza più adatte a ogni scopo. Le raccomandazioni di questo articolo semplificano alcune di queste decisioni. In genere, Teams Rooms nei dispositivi Android e Pannello di Teams vengono distribuiti con account di risorse che devono essere configurati specificamente per la loro funzione. Se ci sono utenti dell'organizzazione che usano Teams Rooms su Android in modalità personale, è necessario eseguire configurazioni di sicurezza specifiche per assicurarsi che possano accedere correttamente al dispositivo.

Nota

L'accesso condizionale richiede un abbonamento Microsoft Entra ID P1 o P2.

Nota

I criteri per i dispositivi mobili Android potrebbero non essere applicabili ai dispositivi Teams Android.

Problemi con l'uso degli stessi controlli per gli account personali e gli account delle risorse di Teams

I dispositivi Teams condivisi non possono usare gli stessi requisiti per la registrazione e la conformità usati negli account e nei dispositivi personali. L'applicazione dei requisiti di autenticazione dei dispositivi personali ai dispositivi condivisi causa problemi di accesso. Alcuni problemi relativi alla sicurezza degli account personali per gli account delle risorse sono:

  1. I dispositivi sono disconnessi a causa della scadenza delle password.

    Se gli account usati nei dispositivi Teams hanno un criterio di scadenza della password, quando la password scade, il dispositivo Teams Room o del pannello si disconnette automaticamente. Gli account usati con i dispositivi di spazio condiviso non hanno un utente specifico per aggiornarli e ripristinarli a uno stato funzionante alla scadenza delle password. Se l'organizzazione richiede la scadenza e la reimpostazione occasionale delle password, questi account smettono di funzionare sui dispositivi Teams finché un amministratore del dispositivo di Teams non reimposta la password e accede di nuovo manualmente al dispositivo. Gli account delle risorse di Teams devono essere esclusi dalla scadenza della password.

    Se l'account è un account personale degli utenti, quando la password scade, potrà accedere di nuovo facilmente al dispositivo.

  2. I dispositivi non riescono ad accedere a causa di criteri di accesso condizionale che richiedono l'autenticazione a più fattori interattiva dell'utente.

    Se l'account usato in un dispositivo Teams è soggetto ai criteri di accesso condizionale e i criteri di autenticazione a più fattori (MFA) sono abilitati, un account delle risorse di Teams non accede correttamente perché non ha un dispositivo secondario per approvare la richiesta di autenticazione a più fattori. Gli account delle risorse di Teams devono essere protetti con l'autenticazione a secondo fattore alternativa, ad esempio il noto dispositivo di rete o conforme. Oppure, se i criteri di accesso condizionale sono abilitati per richiedere la reautenzione ogni X giorni, Teams Room in un dispositivo Android o Pannello di Teams si disconnetterà e richiederà a un amministratore IT di eseguire di nuovo l'accesso ogni X giorni.

    Se l'account è un account personale dell'utente, può essere richiesta l'autenticazione a più fattori utente interattiva per Teams Rooms sui pannelli Android o Teams in quanto l'utente avrà un secondo dispositivo su cui può approvare la richiesta di autenticazione.

Procedure consigliate per la distribuzione di dispositivi Android condivisi con Teams

Microsoft consiglia le impostazioni seguenti quando distribuiscono i dispositivi Teams nell'organizzazione.

Usare un account di risorse Teams Rooms e disabilitare la scadenza della password

I dispositivi condivisi di Teams devono usare un account di risorse Teams Rooms. È possibile sincronizzare questi account per Microsoft Entra ID da Active Directory o crearli direttamente in Microsoft Entra ID. Eventuali criteri di scadenza delle password per gli utenti verranno applicati anche agli account usati nei dispositivi condivisi di Teams, pertanto, per evitare interruzioni causate dai criteri di scadenza delle password, impostare i criteri di scadenza delle password per i dispositivi condivisi in modo che non scada mai.

Usare l'accesso remoto

Gli amministratori tenant possono accedere a Teams Rooms nei pannelli Android e Teams in remoto. Invece di condividere le password con i tecnici per configurare i dispositivi, gli amministratori del tenant devono usare l'accesso remoto per emettere codici di verifica. È possibile accedere a questi dispositivi dall'interfaccia di amministrazione di Teams. Per altre informazioni, vedere Provisioning remoto e accesso per dispositivi Teams Android.

Creare criteri di accesso condizionale univoci per gli account delle risorse

Microsoft Entra Accesso condizionale imposta i requisiti che i dispositivi o gli account devono soddisfare per eseguire l'accesso. Per Teams Rooms account delle risorse, è consigliabile creare un nuovo criterio di accesso condizionale specifico per gli account delle risorse di Teams Rooms e quindi escludere gli account da tutti gli altri criteri di accesso condizionale dell'organizzazione. Per ottenere l'autenticazione a più fattori (MFA) con gli account dei dispositivi condivisi, è consigliabile una combinazione di percorso di rete noto e dispositivo conforme.

Usare l'accesso basato sulla posizione con posizioni denominate

Se i dispositivi condivisi vengono installati in una posizione definita che può essere identificata con un intervallo di indirizzi IP, è possibile configurare l'accesso condizionale usando posizioni denominate per questi dispositivi. Questa condizione consente a questi dispositivi di accedere alle risorse aziendali solo quando si trovano all'interno della rete.

Usare dispositivi conformi

Nota

La conformità del dispositivo richiede Intune registrazione.

È possibile configurare la conformità dei dispositivi come controllo in Accesso condizionale in modo che solo i dispositivi conformi possano accedere alle risorse aziendali. I dispositivi Teams possono essere configurati per i criteri di accesso condizionale in base alla conformità dei dispositivi. Per altre informazioni, vedere Accesso condizionale: richiedere un dispositivo conforme.

Per impostare criteri di conformità per i dispositivi usando Intune, vedere Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune.

Escludere gli account delle risorse dalle condizioni di frequenza di accesso

In Accesso condizionale è possibile configurare la frequenza di accesso in modo che richieda agli utenti di accedere di nuovo per accedere a una risorsa dopo un periodo di tempo specificato. Se per gli account delle risorse viene applicata la frequenza di accesso, i dispositivi si disconnettono finché non eseguono di nuovo l'accesso da parte di un amministratore.

Uso dei filtri per i dispositivi

Per un controllo più granulare su ciò che può accedere a Teams con un account di risorse o per controllare i criteri per gli utenti che accedono a una sala riunioni di Teams su un dispositivo Android con il proprio account personale, è possibile usare i filtri per dispositivi. I filtri per i dispositivi sono una funzionalità di Accesso condizionale che consente di configurare criteri più granulari per i dispositivi in base alle proprietà dei dispositivi disponibili in Microsoft Entra ID. È anche possibile usare i propri valori personalizzati impostando gli attributi di estensione da 1 a 15 sull'oggetto dispositivo e quindi usando tali attributi.

Usare i filtri per i dispositivi per identificare i dispositivi condivisi e abilitare i criteri in due scenari chiave:

  1. Esclusione di dispositivi condivisi dai criteri applicati per i dispositivi personali. Ad esempio, la richiesta di conformità del dispositivo non viene applicata per i dispositivi condivisi usati per l'hot desking, ma viene applicata a tutti gli altri dispositivi, in base al numero di modello.

  2. Applicazione di criteri speciali nei dispositivi condivisi che non devono essere applicati ai dispositivi personali. Ad esempio, la richiesta di posizioni denominate come criterio solo per i dispositivi dell'area comune in base a un attributo di estensione impostato per questi dispositivi (ad esempio: CommonAreaPhone).

Nota

Alcuni attributi, ad esempio modello, produttore e operatingSystemVersion, possono essere impostati solo quando i dispositivi vengono gestiti da Intune. Se i dispositivi non sono gestiti da Intune, usa gli attributi di estensione.

Autorizzazione legacy di Teams

I criteri di configurazione dell'aggiornamento di Teams offrono un'impostazione denominata BlockLegacyAuthorization che, se abilitata, impedisce Teams Rooms nei pannelli Android e Teams di connettersi ai servizi di Teams. Per altre informazioni su questo criterio, vedere Set-CsTeamsUpgradeConfiguration o eseguire Get-CsTeamsUpgradeConfiguration per verificare se BlockLegacyAuthorization è abilitato nel tenant.

Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization