Android 및 Teams 패널에서 Teams 룸 대한 인증 모범 사례
Teams와 함께 사용되는 디바이스의 목표는 다양한 디바이스 관리 및 보안 전략을 필요합니다. 예를 들어 단일 영업 담당자가 사용하는 개인 비즈니스 태블릿에는 많은 고객 서비스 사용자가 공유하는 전화 통화와는 다른 요구 사항이 있습니다. 보안 관리자 및 운영 팀은 organization 사용되는 디바이스를 계획해야 합니다. 각 목적에 가장 적합한 보안 조치를 구현해야 합니다. 이 문서의 권장 사항은 이러한 결정 중 일부를 더 쉽게 만듭니다. 일반적으로 Android 및 Teams 패널 디바이스의 Teams 룸 해당 기능에 맞게 특별히 구성해야 하는 리소스 계정으로 배포됩니다. 개인 모드에서 Android에서 Teams 룸 사용하여 organization 사용자가 있는 경우 디바이스에 성공적으로 로그인할 수 있도록 특정 보안 구성을 만들어야 합니다.
참고
조건부 액세스에는 Microsoft Entra ID P1 또는 P2 구독이 필요합니다.
참고
Android 모바일 디바이스에 대한 정책은 Teams Android 디바이스에 적용되지 않을 수 있습니다.
개인 계정 및 Teams 리소스 계정에 대해 동일한 컨트롤을 사용하는 경우의 과제
공유 Teams 디바이스는 개인 계정 및 디바이스에서 사용되는 등록 및 규정 준수에 대해 동일한 요구 사항을 사용할 수 없습니다. 공유 디바이스에 개인 디바이스 인증 요구 사항을 적용하면 로그인 문제가 발생합니다. 리소스 계정의 개인 계정 보안과 관련하여 몇 가지 문제는 다음과 같습니다.
암호 만료로 인해 디바이스가 로그아웃됩니다.
Teams 디바이스에서 사용되는 계정에 암호 만료 정책이 있는 경우 암호가 만료되면 Teams 룸 또는 패널 디바이스가 자동으로 로그아웃됩니다. 공유 공간 디바이스와 함께 사용되는 계정에는 암호가 만료될 때 업데이트하고 작업 상태로 복원할 특정 사용자가 없습니다. organization 암호를 만료하고 가끔 다시 설정해야 하는 경우 Teams 디바이스 관리자가 암호를 재설정하고 디바이스에 수동으로 다시 로그인할 때까지 이러한 계정은 Teams 디바이스에서 작동을 중지합니다. Teams 리소스 계정은 암호 만료에서 제외해야 합니다.
계정이 개인 계정 사용자인 경우 암호가 만료되면 디바이스에 다시 쉽게 다시 로그인할 수 있습니다.
사용자 대화형 다단계 인증이 필요한 조건부 액세스 정책으로 인해 디바이스가 로그인하지 못합니다.
Teams 디바이스에서 사용되는 계정에 조건부 액세스 정책의 적용을 받고 MFA(다단계 인증) 정책을 사용하는 경우 MFA 요청을 승인할 보조 디바이스가 없으므로 Teams 리소스 계정이 성공적으로 로그인되지 않습니다. Teams 리소스 계정은 알려진 네트워크 또는 규격 디바이스와 같은 대체 2단계 인증을 사용하여 보호해야 합니다. 또는 조건부 액세스 정책을 사용하여 X일 동안 다시 인증해야 하는 경우 Android 또는 Teams 패널 디바이스의 Teams 룸이 로그아웃되고 IT 관리자가 X일마다 다시 로그인하도록 요구합니다.
계정이 개인 계정 사용자인 경우 인증 요청을 승인할 수 있는 두 번째 디바이스가 있으므로 Android 또는 Teams 패널에서 Teams 룸 사용자 대화형 MFA가 필요할 수 있습니다.
Teams를 사용하여 공유 Android 디바이스를 배포하기 위한 모범 사례
Microsoft는 organization Teams 디바이스를 배포할 때 다음 설정을 권장합니다.
Teams 룸 리소스 계정 사용 및 암호 만료 사용 안 함
Teams 공유 디바이스는 Teams 룸 리소스 계정을 사용해야 합니다. 이러한 계정을 Active Directory에서 Microsoft Entra ID 동기화하거나 Microsoft Entra ID 직접 만들 수 있습니다. 사용자에 대한 모든 암호 만료 정책은 Teams 공유 디바이스에서 사용되는 계정에도 적용되므로 암호 만료 정책으로 인한 중단을 방지하려면 공유 디바이스에 대한 암호 만료 정책을 만료되지 않도록 설정합니다.
원격 로그인 사용
테넌트 관리자는 Android 및 Teams 패널에서 원격으로 Teams 룸 로그인할 수 있습니다. 테넌트 관리자는 기술자와 암호를 공유하여 디바이스를 설정하는 대신 원격 로그인을 사용하여 확인 코드를 발급해야 합니다. Teams 관리 센터에서 이러한 디바이스에 로그인할 수 있습니다. 자세한 내용은 Teams Android 디바이스에 대한 원격 프로비저닝 및 로그인을 참조하세요.
리소스 계정에 대한 고유한 조건부 액세스 정책 만들기
Microsoft Entra 조건부 액세스는 로그인하기 위해 디바이스 또는 계정이 충족해야 하는 요구 사항을 설정합니다. Teams 룸 리소스 계정의 경우 Teams 룸 리소스 계정과 관련된 새 조건부 액세스 정책을 만든 다음 다른 모든 organization 조건부 액세스 정책에서 계정을 제외하는 것이 좋습니다. 공유 디바이스 계정으로 MFA(다단계 인증)를 달성하려면 알려진 네트워크 위치와 규격 디바이스를 조합하는 것이 좋습니다.
명명된 위치에서 위치 기반 액세스 사용
공유 디바이스가 IP 주소 범위로 식별할 수 있는 정의된 위치에 설치된 경우 이러한 디바이스에 대해 명명된 위치를 사용하여 조건부 액세스를 구성할 수 있습니다. 이 조건을 사용하면 이러한 디바이스가 네트워크 내에 있는 경우에만 회사 리소스에 액세스할 수 있습니다.
규격 디바이스 사용
참고
디바이스를 준수하려면 Intune 등록이 필요합니다.
규정 준수 디바이스만 회사 리소스에 액세스할 수 있도록 조건부 액세스에서 디바이스 준수를 컨트롤로 구성할 수 있습니다. Teams 디바이스는 디바이스 준수에 따라 조건부 액세스 정책에 대해 구성할 수 있습니다. 자세한 내용은 조건부 액세스: 준수 디바이스 필요를 참조하세요.
Intune 사용하여 디바이스에 대한 규정 준수 정책을 설정하려면 준수 정책을 사용하여 Intune 사용하여 관리하는 디바이스에 대한 규칙 설정을 참조하세요.
로그인 빈도 조건에서 리소스 계정 제외
조건부 액세스에서 사용자가 지정된 기간 후에 리소스에 액세스하기 위해 다시 로그인하도록 로그인 빈도를 구성할 수 있습니다. 리소스 계정에 로그인 빈도가 적용되는 경우 관리자가 다시 로그인할 때까지 디바이스가 로그아웃합니다.
디바이스에 필터 사용
리소스 계정을 사용하거나 개인 계정 사용하여 Android 디바이스의 Teams 룸에 로그인하는 사용자를 위한 정책을 제어하기 위해 Teams에 로그인할 수 있는 항목에 대한 보다 세부적인 제어를 위해 디바이스 필터를 사용할 수 있습니다. 디바이스에 대한 필터는 조건부 액세스의 기능으로, Microsoft Entra ID 사용할 수 있는 디바이스 속성을 기반으로 디바이스에 대해 보다 세분화된 정책을 구성할 수 있습니다. 디바이스 개체에서 확장 특성을 1-15로 설정한 다음 이를 사용하여 사용자 고유의 사용자 지정 값을 사용할 수도 있습니다.
디바이스에 대한 필터를 사용하여 공유 디바이스를 식별하고 다음 두 가지 주요 시나리오에서 정책을 사용하도록 설정합니다.
개인 디바이스에 적용된 정책에서 공유 디바이스 제외. 예를 들어 핫 데스크에 사용되는 공유 디바이스에는 디바이스 준수 요구가 적용되지 않지만 모델 번호에 따라 다른 모든 디바이스에 적용됩니다 .
개인 디바이스에 적용 해서는 안 되는 공유 디바이스에 특수 정책 적용 예를 들어 이러한 디바이스에 대해 설정한 확장 특성(예: CommonAreaPhone)을 기반으로 공통 영역 디바이스에 대해서만 명명된 위치를 정책으로 요구합니다.
참고
model, manufacturer 및 operatingSystemVersion과 같은 일부 특성은 Intune 디바이스를 관리하는 경우에만 설정할 수 있습니다. 디바이스가 Intune 관리되지 않는 경우 확장 특성을 사용합니다.
Teams 레거시 권한 부여
Teams 업그레이드 구성 정책은 BlockLegacyAuthorization이라는 설정을 제공합니다. 이 설정을 사용하면 Android 및 Teams 패널의 Teams 룸 Teams 서비스에 연결할 수 없습니다. 이 정책에 대한 자세한 내용은 Set-CsTeamsUpgradeConfiguration을 참조하거나 Get-CsTeamsUpgradeConfiguration 실행하여 테넌트에서 BlockLegacyAuthorization이 사용하도록 설정된 경우 검사.
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization