Teams 電話の認証のベスト プラクティス
Teams で使用されるデバイスの目標は、さまざまなデバイス管理戦略を必要とすることです。 たとえば、1 人の営業担当者が使用する個人用ビジネス タブレットには、多くの顧客サービスのユーザーが共有する通話中の電話とは異なるニーズのセットがあります。 また、他のユーザーと共有されていない Teams 電話と、共通エリア電話として使用される別の Teams 電話には、さまざまな要件があります。 「 Microsoft Teamsの共通エリア電話を設定する」を参照してください。
セキュリティ管理者と運用チームは、organizationで使用できるデバイスを計画する必要があります。 各目的に最適な セキュリティ 対策を実装する必要があります。 この記事の推奨事項により、これらの決定の一部が容易になります。
注意
条件付きアクセスには、Microsoft Entra ID P1 または P2 サブスクリプションが必要です。
注意
Android モバイル デバイスのポリシーは、Teams Android デバイスには適用されない場合があります。
個人用と共有の Android デバイスでは、認証に関する推奨事項が異なります
Teams 電話などの共有 Teams デバイスでは、個人のデバイスで使用される登録とコンプライアンスに同じ要件を使用することはできません。 共有デバイスに個人用デバイス認証要件を適用すると、サインインの問題が発生します。
パスワード ポリシーが原因でデバイスがサインアウトされます。
Teams 電話で使用されるアカウントには、パスワードの有効期限ポリシーがあります。 共有デバイスで使用されるアカウントには、パスワードの有効期限が切れたときに更新して動作状態に復元する特定のユーザーがいません。 organizationでパスワードの有効期限が切れ、時折リセットされる必要がある場合、Teams 管理者がパスワードをリセットしてサインインするまで、これらのアカウントは Teams デバイスでの動作を停止します。
課題: アクセスに関しては。 デバイスの Teams には、ユーザーのアカウントにパスワードの有効期限ポリシーがあります。 パスワードの有効期限が切れると、パスワードが変更されます。 ただし、 共有デバイス (リソース アカウント) で使用されるアカウントは、必要に応じてパスワードを変更できる 1 人のユーザーに接続されていない可能性があります。 つまり、パスワードの有効期限が切れ、作業を再開する方法がわからない状態で、その場でワーカーを残すことができます。
organizationでパスワードのリセットが必要な場合、またはパスワードの有効期限が適用されている場合は、Teams 管理者がパスワードをリセットして、これらの共有アカウントがサインインできるように準備されていることを確認してください。
条件付きアクセス ポリシーのため、デバイスのサインインに失敗します。
課題: 共有デバイスは、ユーザー アカウントまたは個人用デバイスMicrosoft Entra条件付きアクセス ポリシーに準拠できません。 共有デバイスが条件付きアクセス ポリシーのユーザー アカウントまたは個人用デバイスとグループ化されている場合、サインインは 失敗します。
たとえば、Teams にアクセスするために多要素認証が必要な場合は、その認証を完了するためにコードのユーザー入力が必要です。 一般に、共有デバイスには、多要素認証を構成して完了できるユーザーが 1 人いません。 また、アカウントを X 日ごとに再認証する必要がある場合、共有デバイスはユーザーの介入なしにチャレンジを解決できません。
共有 Teams 電話の展開に関するベスト プラクティス
Microsoft では、organizationに Teams 電話を展開するときに、次の設定をお勧めします。
リソース アカウントを使用し、パスワードの有効期限を縮めます
Teams 共有電話では 、リソース アカウントを使用する必要があります。 これらのアカウントを Active Directory からMicrosoft Entra IDに同期するか、Microsoft Entra IDで直接作成できます。 ユーザーのパスワード有効期限ポリシーは、Teams 共有デバイスで使用されるアカウントにも適用されるため、パスワードの有効期限ポリシーによる中断を回避するために、共有デバイスのパスワード有効期限ポリシーを期限切れにならないように設定します。
これらの条件付きアクセス ポリシーを確認する
Microsoft Entra条件付きアクセスは、サインインするためにデバイスが満たす必要があるその他の要件を設定します。 Teams 電話の場合は、次のガイダンスを確認して、共有デバイス ユーザーが作業を行うことを許可するポリシーを作成したかどうかを確認します。
先端
条件付きアクセスの概要については、「 条件付きアクセスとは」を参照してください。 共有デバイス リソース アカウントをセキュリティで保護するには、 名前付き場所 または 必須 デバイスを使用します。
名前付き場所で場所ベースのアクセスを使用できます
共有 Teams 電話が、さまざまな IP アドレスで識別できる適切に定義された場所にプロビジョニングされている場合は、これらのデバイスの 名前付き場所 を使用して条件付きアクセスを構成できます。 この条件付きでは、これらのデバイスがネットワーク内にある場合にのみ、会社のリソースにアクセスできるようになります。
準拠している共有デバイスを必要としない場合とそうでない場合
注意
デバイスコンプライアンスには、Intuneライセンスが必要です。
共有デバイスをIntuneに登録する場合は、条件付きアクセスのコントロールとしてデバイス コンプライアンスを構成して、準拠しているデバイスのみが企業リソースにアクセスできるようにすることができます。 Teams 電話は、デバイスのコンプライアンスに基づいて条件付きアクセス ポリシー用に構成できます。 詳細については、「AOSP デバイス管理コンプライアンス ポリシー」を参照してください。
注意
ホット デスクに使用されている共有デバイスは、コンプライアンス ポリシーから除外する必要があります。 コンプライアンス ポリシーは、デバイスがホット デスク ユーザー アカウントに登録されないようにします。 代わりに、名前付き場所を使用してこれらのデバイスをセキュリティで保護します。 セキュリティを強化するために、名前付き場所ポリシーに加えて、ホット デスク ユーザー/ユーザー アカウントに多要素認証を必要とすることもできます。
サインイン頻度条件から共有デバイスを除外する
条件付きアクセスでは、サインイン 頻度を構成 して、指定した期間が経過した後にユーザーがリソースに再度アクセスするように要求できます。 電話リソース アカウントにサインイン頻度が適用されている場合、共有デバイスは管理者によって再びサインインされるまでサインアウトします。Microsoft では、サインイン頻度ポリシーから共有デバイスを除外することをお勧めします。
デバイスにフィルターを使用する
デバイスのフィルターは、条件付きアクセスの機能であり、Microsoft Entra IDで使用できるデバイス プロパティに基づいてデバイスのより詳細なポリシーを構成できます。 デバイス オブジェクトに拡張属性 1 から 15 を設定し、それらを使用して、独自のカスタム値を使用することもできます。
デバイスのフィルターを使用して、共通領域デバイスを識別し、次の 2 つの主要なシナリオでポリシーを有効にします。
個人用デバイスに適用されるポリシーから共有デバイスを除外する。 たとえば、ホット デスクに使用される共有デバイスにはデバイスコンプライアンスの要求は 適用されません が、モデル番号に基づいて他のすべてのデバイスに 適用されます 。
個人用デバイスに適用 すべきではない 共有デバイスに対して特別なポリシーを適用する。 たとえば、これらのデバイスに設定した拡張属性 ("CommonAreaPhone" など) に基づいて、共通エリア デバイスに対してのみ名前付き場所をポリシーとして要求します。
注意
model、manufacturer、operatingSystemVersion などの一部の属性は、デバイスがIntuneによって管理されている場合にのみ設定できます。 デバイスがIntuneによって管理されていない場合は、拡張機能属性を使用します。
Teams レガシ承認
Teams アップグレード構成ポリシーには 、BlockLegacyAuthorization という設定が用意されています。この設定を有効にすると、Teams の電話が Teams サービスに接続できなくなります。 このポリシーの詳細については、「Set-CsTeamsUpgradeConfiguration」を参照するか、テナントで BlockLegacyAuthorization が有効になっている場合に Get-CsTeamsUpgradeConfiguration を実行してチェックします。
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization