Windows でのMicrosoft Teams Roomsでの認証
Windows 上のMicrosoft Teams Roomsは、Teams デスクトップ クライアントと認証コンポーネントを共有し、同じ基になる認証ライブラリを使用して Teams やその他の Microsoft 365 サービスに接続します。 そのため、認証の Teams 会議室の要件は、Microsoft Teams要件に基づいています。 Microsoft Teamsの ID モデルと認証の詳細については、こちらをご覧ください。
ただし、Windows 上のTeams Roomsには、Teams デスクトップが実行されているエンド ユーザーのパーソナル コンピューターと比較して、いくつかの重要な違いがあります。 これらの違いは、Teams ルームの認証構成に影響する可能性があります。
Teams デスクトップ アプリケーションとの主な違い
- Microsoft Teams Roomsリソース アカウントは、organizationの IT 管理者によって一元的に管理されます。 エンド ユーザーは、Teams Rooms デバイスからサインイン/サインアウトする機能がありません。
- Microsoft Teams Rooms、Microsoft Exchange のリソース メールボックスで構成されているMicrosoft Entra アカウントを使用します。
- Windows アプリケーション上のMicrosoft Teams Roomsは、Windows シェル 起動ツール V2 を使用して Windows シェル コンポーネント (スタート メニュー、タスク バー、設定など) を削除するためにさらにロックダウンされた、最小限の特権を持つローカル ユーザーの下で実行されます。これにより、Teams Rooms アプリケーションだけがMicrosoft Teamsへのサインインに使用されるリソース アカウントを認識します。 このメカニズムにより、Windows には Teams Rooms アプリケーションで使用されるリソース アカウントに関する情報がないため、他のアプリケーションが Windows アカウント マネージャーからアカウント情報を取得することもできなくなります。
- Windows 上のMicrosoft Teams Roomsでの認証は、ユーザーの介入を必要とせず、ユーザーの対話型の第 2 要素認証をサポートしていません。 最新の認証メカニズムでは、OAuth 2.0 の リソース所有者パスワード資格情報 (ROPC) 承認許可の種類が使用されます。
ユーザー対話型多要素認証 (MFA)、スマート カード認証、またはクライアント証明書ベースの認証を使用するように、Microsoft Teams Rooms リソース アカウントを構成しないでください。 その他のセカンダリ要因を利用して、Teams Rooms リソース アカウント (準拠デバイス & 既知のネットワークの場所) をセキュリティで保護します。
条件付きアクセスに関する考慮事項
Teams Roomsリソース アカウントの Microsoft 365 サービスへのアクセスは、条件付きアクセス ポリシーを使用して制限できます。 Windows には Teams ルーム アプリケーションで使用されるリソース アカウントに関する知識がないため、デバイス レベルの条件付きアクセス ポリシーを適用するには、Microsoft Intuneを使用して Windows デバイスにTeams Roomsを登録する必要があります。 詳細については、「Intuneを使用して Windows デバイスにMicrosoft Teams Roomsを登録する」を参照してください。 デバイスがIntuneに登録されている場合、Teams Rooms アプリケーションは、Web アクセス管理 (WAM) を使用して Windows 登録済みアカウントを使用して、条件付きアクセス評価用のデバイス コンプライアンス状態を送信します。 条件付きアクセスとIntuneコンプライアンス ポリシーの詳細については、「条件付きアクセスとMicrosoft Teams RoomsのIntuneコンプライアンス」および「サポートされている条件付きアクセス」および「Microsoft Teams Roomsのデバイス コンプライアンス ポリシーをIntuneする」を参照してください。