Android および Teams パネルでのTeams Roomsの認証のベスト プラクティス
Teams で使用されるデバイスの目標により、さまざまなデバイス管理とセキュリティ戦略が必要になります。 たとえば、1 人の営業担当者が使用する個人用ビジネス タブレットには、多くの顧客サービスのユーザーが共有する通話中の電話とは異なるニーズのセットがあります。 セキュリティ管理者と運用チームは、organizationで使用されるデバイスを計画する必要があります。 各目的に最適なセキュリティ対策を実装する必要があります。 この記事の推奨事項により、これらの決定の一部が容易になります。 一般に、Android および Teams パネル デバイス上のTeams Roomsは、その関数用に特別に構成する必要があるリソース アカウントでデプロイされます。 個人用モードで Android でTeams Roomsを使用するユーザーがorganizationに存在する場合は、デバイスに正常にサインインできるように特定のセキュリティ構成を行う必要があります。
注意
条件付きアクセスには、Microsoft Entra ID P1 または P2 サブスクリプションが必要です。
注意
Android モバイル デバイスのポリシーは、Teams Android デバイスには適用されない場合があります。
個人用アカウントと Teams リソース アカウントに同じコントロールを使用する場合の課題
共有 Teams デバイスでは、個人のアカウントとデバイスで使用される登録とコンプライアンスに同じ要件を使用することはできません。 共有デバイスに個人用デバイス認証要件を適用すると、サインインの問題が発生します。 リソース アカウントの個人用アカウントセキュリティに関するいくつかの課題は次のとおりです。
パスワードの有効期限が切れているため、デバイスはサインアウトされます。
Teams デバイスで使用されているアカウントにパスワードの有効期限ポリシーがある場合、パスワードの有効期限が切れると、Teams Room またはパネル デバイスは自動的にサインアウトします。 共有スペース デバイスで使用されるアカウントには、パスワードの有効期限が切れたときに、特定のユーザーが更新して動作状態に復元することはできません。 organizationでパスワードの有効期限が切れ、リセットが必要な場合、Teams デバイス管理者がパスワードをリセットしてデバイスを手動でサインインするまで、これらのアカウントは Teams デバイスでの動作を停止します。 Teams リソース アカウントは、パスワードの有効期限から除外する必要があります。
アカウントがユーザーの個人用アカウントの場合、パスワードの有効期限が切れると、デバイスを再び簡単にサインインできます。
ユーザーの対話型多要素認証を必要とする条件付きアクセス ポリシーが原因で、デバイスのサインインに失敗します。
Teams デバイスで使用されるアカウントが条件付きアクセス ポリシーの対象であり、多要素認証 (MFA) ポリシーが有効になっている場合、Teams リソース アカウントには MFA 要求を承認するセカンダリ デバイスがないため、正常にサインインしません。 Teams リソース アカウントは、既知のネットワークや準拠デバイスなどの代替の第 2 要素認証を使用してセキュリティで保護する必要があります。 または、条件付きアクセス ポリシーが X 日までに再認証を要求するように有効になっている場合、Android または Teams パネル デバイス上の Teams Room はサインアウトし、IT 管理者は X 日ごとにサインインし直す必要があります。
アカウントがユーザー 個人用アカウントの場合は、ユーザーが認証要求を承認できる 2 台目のデバイスがあるため、Android パネルまたは Teams パネルでTeams Roomsするためにユーザー対話型 MFA が必要になる場合があります。
Teams での共有 Android デバイスの展開に関するベスト プラクティス
Microsoft では、organizationに Teams デバイスを展開するときに、次の設定をお勧めします。
Teams Rooms リソース アカウントを使用し、パスワードの有効期限を無効にする
Teams 共有デバイスでは、Teams Rooms リソース アカウントを使用する必要があります。 これらのアカウントを Active Directory からMicrosoft Entra IDに同期するか、Microsoft Entra IDで直接作成できます。 ユーザーのパスワード有効期限ポリシーは、Teams 共有デバイスで使用されるアカウントにも適用されるため、パスワードの有効期限ポリシーによる中断を回避するために、共有デバイスのパスワード有効期限ポリシーを期限切れにならないように設定します。
リモート サインインを使用する
テナント管理者は、Android パネルと Teams パネルでリモートでTeams Roomsにサインインできます。 テナント管理者は、デバイスを設定するために技術者とパスワードを共有する代わりに、リモート サインインを使用して検証コードを発行する必要があります。 これらのデバイスには、Teams 管理センターからサインインできます。 詳細については、「 Teams Android デバイスのリモート プロビジョニングとサインイン」を参照してください。
リソース アカウントの一意の条件付きアクセス ポリシーを作成する
Microsoft Entra条件付きアクセスは、サインインするためにデバイスまたはアカウントが満たす必要がある要件を設定します。 Teams Roomsリソース アカウントの場合は、Teams Rooms リソース アカウントに固有の新しい条件付きアクセス ポリシーを作成し、その後、他のすべてのorganization条件付きアクセス ポリシーからアカウントを除外することをお勧めします。 共有デバイス アカウントで多要素認証 (MFA) を実現するには、既知のネットワークの場所と準拠しているデバイスを組み合わせて使用することをお勧めします。
名前付き場所で場所ベースのアクセスを使用する
共有デバイスが、IP アドレスの範囲で識別できる定義済みの場所にインストールされている場合は、これらのデバイスの 名前付き場所 を使用して条件付きアクセスを構成できます。 この条件により、これらのデバイスは、ネットワーク内にある場合にのみ会社のリソースにアクセスできます。
準拠しているデバイスを使用する
注意
デバイスコンプライアンスには、Intune登録が必要です。
条件付きアクセスのコントロールとしてデバイス コンプライアンスを構成して、準拠しているデバイスのみが企業リソースにアクセスできるようにすることができます。 Teams デバイスは、デバイスのコンプライアンスに基づいて条件付きアクセス ポリシー用に構成できます。 詳細については、「 条件付きアクセス: 準拠デバイスを要求する」を参照してください。
Intuneを使用してデバイスのコンプライアンス ポリシーを設定するには、「コンプライアンス ポリシーを使用して、Intuneで管理するデバイスのルールを設定する」を参照してください。
サインイン頻度条件からリソース アカウントを除外する
条件付きアクセスでは、サインイン 頻度を構成 して、指定した期間が経過した後にユーザーがリソースに再度アクセスするように要求できます。 リソース アカウントにサインイン頻度が適用されている場合、デバイスは管理者が再びサインインするまでサインアウトします。
デバイスにフィルターを使用する
リソース アカウントを使用して Teams にサインインできる内容をより詳細に制御したり、ユーザーが自分の個人用アカウントを使用して Android デバイス上の Teams Room にサインインするためのポリシーを制御したりするために、デバイス フィルターを使用できます。 デバイスのフィルターは、条件付きアクセスの機能であり、Microsoft Entra IDで使用できるデバイス プロパティに基づいてデバイスのより詳細なポリシーを構成できます。 デバイス オブジェクトに拡張属性 1 から 15 を設定し、それらを使用して、独自のカスタム値を使用することもできます。
デバイスのフィルターを使用して共有デバイスを識別し、次の 2 つの重要なシナリオでポリシーを有効にします。
個人用デバイスに適用されるポリシーから共有デバイスを除外する。 たとえば、ホット デスクに使用される共有デバイスにはデバイスコンプライアンスの要求は 適用されません が、モデル番号に基づいて他のすべてのデバイスに 適用されます 。
個人用デバイスに適用 すべきではない 共有デバイスに対して特別なポリシーを適用する。 たとえば、これらのデバイスに設定した拡張機能属性 (CommonAreaPhone など) に基づいて、共通エリア デバイスに対してのみ名前付き場所をポリシーとして要求します。
注意
model、manufacturer、operatingSystemVersion などの一部の属性は、デバイスがIntuneによって管理されている場合にのみ設定できます。 デバイスがIntuneによって管理されていない場合は、拡張機能属性を使用します。
Teams レガシ承認
Teams アップグレード構成ポリシーには、BlockLegacyAuthorization という設定が用意されています。この設定を有効にすると、Android および Teams パネルのTeams Roomsが Teams サービスに接続できなくなります。 このポリシーの詳細については、「Set-CsTeamsUpgradeConfiguration」を参照するか、テナントで BlockLegacyAuthorization が有効になっている場合に Get-CsTeamsUpgradeConfiguration を実行してチェックします。
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization