Procedure consigliate per l'autenticazione per i telefoni di Teams
Gli obiettivi dei dispositivi usati con Teams sono di rendere necessarie diverse strategie di gestione dei dispositivi. Ad esempio, un tablet aziendale personale usato da un singolo venditore ha un set di esigenze diverso da un telefono in chiamata condiviso da molti addetti al servizio clienti. Inoltre, esistono requisiti diversi per un telefono di Teams che non viene condiviso con altre persone e un altro telefono Teams usato come telefono per area comune. Vedere Configurare telefoni di area comune per Microsoft Teams.
Gli amministratori della sicurezza e i team operativi devono pianificare i dispositivi che possono essere usati nell'organizzazione. Devono implementare le misure di sicurezza più adatte a ogni scopo. Le raccomandazioni di questo articolo semplificano alcune di queste decisioni.
Nota
L'accesso condizionale richiede un abbonamento Microsoft Entra ID P1 o P2.
Nota
I criteri per i dispositivi mobili Android potrebbero non essere applicabili ai dispositivi Teams Android.
I suggerimenti per l'autenticazione sono diversi per i dispositivi Android personali e condivisi
I dispositivi Teams condivisi, ad esempio i telefoni di Teams, non possono usare gli stessi requisiti per la registrazione e la conformità usati sui dispositivi personali. L'applicazione dei requisiti di autenticazione dei dispositivi personali ai dispositivi condivisi causa problemi di accesso.
I dispositivi vengono disconnessi a causa dei criteri per le password.
Gli account usati nei telefoni di Teams hanno un criterio di scadenza delle password. Gli account usati con i dispositivi condivisi non hanno un utente specifico per aggiornarli e ripristinarli a uno stato funzionante alla scadenza delle password. Se l'organizzazione richiede la scadenza e la reimpostazione occasionale delle password, questi account smettono di funzionare sui dispositivi Teams finché un amministratore di Teams non reimposta la password e non esegue di nuovo l'accesso.
Sfida: quando si tratta di accedere. Teams da un dispositivo, l'account di una persona ha un criterio di scadenza della password. Quando la password scadrà, la modifica verrà terminata. Tuttavia, gli account usati nei dispositivi condivisi (account delle risorse) potrebbero non essere connessi a una sola persona che può cambiare una password in base alle esigenze. Ciò significa che una password può scadere e lasciare i lavoratori sul posto, senza sapere come riprendere il lavoro.
Quando l'organizzazione richiede la reimpostazione della password o la scadenza della password, assicurarsi che un amministratore di Teams sia pronto a reimpostare la password in modo che questi account condivisi possano accedere di nuovo.
I dispositivi non riescono ad accedere a causa dei criteri di accesso condizionale.
Sfida: I dispositivi condivisi non possono essere conformi ai criteri di accesso condizionale Microsoft Entra per gli account utente o i dispositivi personali. Se i dispositivi condivisi sono raggruppati con account utente o dispositivi personali per un criterio di accesso condizionale, l'accesso non riuscirà.
Ad esempio, se per accedere a Teams è necessaria l'autenticazione a più fattori, è necessario immettere un codice per completare l'autenticazione. I dispositivi condivisi in genere non dispongono di un singolo utente in grado di configurare e completare l'autenticazione a più fattori. Inoltre, se l'account deve ripetere l'autenticazione ogni X giorni, un dispositivo condiviso non può risolvere il problema senza l'intervento di un utente.
Procedure consigliate per la distribuzione di telefoni di Teams condivisi
Durante la distribuzione dei telefoni di Teams nell'organizzazione, Microsoft consiglia le impostazioni seguenti.
Usare un account di risorsa e limitarne la scadenza della password
I telefoni condivisi di Teams devono usare un account di risorse. È possibile sincronizzare questi account per Microsoft Entra ID da Active Directory o crearli direttamente in Microsoft Entra ID. Eventuali criteri di scadenza delle password per gli utenti verranno applicati anche agli account usati nei dispositivi condivisi di Teams, pertanto, per evitare interruzioni causate dai criteri di scadenza delle password, impostare i criteri di scadenza delle password per i dispositivi condivisi in modo che non scada mai.
Esaminare questi criteri di accesso condizionale
Microsoft Entra Accesso condizionale imposta altri requisiti che i dispositivi devono soddisfare per eseguire l'accesso. Per i telefoni di Teams, consultare le indicazioni seguenti per determinare se sono stati creati i criteri che consentono agli utenti di dispositivi condivisi di svolgere il proprio lavoro.
Mancia
Per una panoramica dell'accesso condizionale, vedere Che cos'è l'accesso condizionale? Usare una posizione denominata o richiedere un dispositivo conforme per proteggere gli account delle risorse del dispositivo condivisi.
È possibile usare l'accesso basato sulla posizione con posizioni denominate
Se il provisioning dei telefoni Teams condivisi viene eseguito in una posizione ben definita che può essere identificata con un intervallo di indirizzi IP, è possibile configurare l'accesso condizionale usando posizioni denominate per questi dispositivi. Questa impostazione condizionale consentirà a questi dispositivi di accedere alle risorse aziendali solo quando si trovano all'interno della rete.
Quando e quando richiedere dispositivi condivisi conformi
Nota
La conformità del dispositivo richiede una licenza di Intune.
Quando si registrano dispositivi condivisi in Intune, è possibile configurare la conformità dei dispositivi come controllo in Accesso condizionale in modo che solo i dispositivi conformi possano accedere alle risorse aziendali. I telefoni di Teams possono essere configurati per i criteri di accesso condizionale in base alla conformità dei dispositivi. Per altre informazioni, vedere Criteri di conformità Gestione dispositivi AOSP.
Nota
I dispositivi condivisi usati per l'hot desking devono essere esclusi dai criteri di conformità. I criteri di conformità impediscono la registrazione dei dispositivi nell'account utente hot desk. Usa invece posizioni denominate per proteggere questi dispositivi. Per aumentare la sicurezza, è anche possibile richiedere l'autenticazione a più fattori per gli utenti e gli account utente hot-desking oltre ai criteri di posizione denominati.
Escludere i dispositivi condivisi dalle condizioni di frequenza di accesso
In Accesso condizionale è possibile configurare la frequenza di accesso in modo che richieda agli utenti di accedere di nuovo per accedere a una risorsa dopo un periodo di tempo specificato. Se per gli account delle risorse del telefono viene applicata la frequenza di accesso, i dispositivi condivisi si disconnettono finché non eseguono di nuovo l'accesso da parte di un amministratore. Microsoft consiglia di escludere i dispositivi condivisi da eventuali criteri di frequenza di accesso.
Uso dei filtri per i dispositivi
I filtri per i dispositivi sono una funzionalità di Accesso condizionale che consente di configurare criteri più granulari per i dispositivi in base alle proprietà dei dispositivi disponibili in Microsoft Entra ID. È anche possibile usare i propri valori personalizzati impostando gli attributi di estensione da 1 a 15 sull'oggetto dispositivo e quindi usando tali attributi.
Usare i filtri per i dispositivi per identificare i dispositivi dell'area comune e abilitare i criteri in due scenari chiave:
Esclusione di dispositivi condivisi dai criteri applicati per i dispositivi personali. Ad esempio, la richiesta di conformità del dispositivo non viene applicata per i dispositivi condivisi usati per l'hot desking, ma viene applicata a tutti gli altri dispositivi, in base al numero di modello.
Applicazione di criteri speciali nei dispositivi condivisi che non devono essere applicati ai dispositivi personali. Ad esempio, la richiesta di posizioni denominate come criterio solo per i dispositivi dell'area comune in base a un attributo di estensione impostato per questi dispositivi (ad esempio: "CommonAreaPhone").
Nota
Alcuni attributi, ad esempio modello, produttore e operatingSystemVersion, possono essere impostati solo quando i dispositivi vengono gestiti da Intune. Se i dispositivi non sono gestiti da Intune, usa gli attributi di estensione.
Autorizzazione legacy di Teams
I criteri di configurazione dell'aggiornamento di Teams offrono un'impostazione denominata BlockLegacyAuthorization che, se abilitata, impedisce ai telefoni di Teams di connettersi ai servizi di Teams. Per altre informazioni su questo criterio, vedere Set-CsTeamsUpgradeConfiguration o eseguire Get-CsTeamsUpgradeConfiguration per verificare se BlockLegacyAuthorization è abilitato nel tenant.
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization