Melhores práticas de autenticação para Salas do Teams em painéis Android e Teams
Os objetivos dos dispositivos utilizados com o Teams tornam necessárias diferentes estratégias de gestão e segurança de dispositivos. Por exemplo, um tablet pessoal de negócios utilizado por um único vendedor tem um conjunto diferente de necessidades de um telefone de chamada partilhado por muitas pessoas do suporte ao cliente. Os administradores de segurança e as equipas de operações têm de planear os dispositivos que são utilizados na organização. Têm de implementar medidas de segurança mais adequadas a cada finalidade. As recomendações deste artigo facilitam algumas dessas decisões. Normalmente, Salas do Teams em dispositivos Android e painel do Teams são implementados com contas de recursos que devem ser configuradas especificamente para a respetiva função. Se existirem utilizadores na sua organização a utilizar Salas do Teams no Android num modo pessoal, têm de ser efetuadas configurações de segurança específicas para garantir que podem iniciar sessão no dispositivo com êxito.
Nota
O Acesso Condicional requer uma subscrição Microsoft Entra ID P1 ou P2.
Nota
As políticas para dispositivos móveis Android podem não ser aplicadas a dispositivos Android do Teams.
Desafios com a utilização dos mesmos controlos para contas pessoais e contas de recursos do Teams
Os dispositivos Partilhados do Teams não podem utilizar os mesmos requisitos de inscrição e conformidade que são utilizados em contas pessoais e dispositivos. A aplicação de requisitos de autenticação de dispositivos pessoais a dispositivos partilhados causa problemas de início de sessão. Alguns desafios com conta pessoal segurança nas contas de recursos são:
Os dispositivos têm sessão iniciada devido à expiração das palavras-passe.
Se as contas utilizadas em dispositivos Teams tiverem uma política de expiração de palavra-passe, quando a palavra-passe expirar, a Sala teams ou o dispositivo de painel irão terminar sessão automaticamente. As contas utilizadas com dispositivos espaciais partilhados não têm um utilizador específico para atualizar e restaurá-las para um estado de trabalho quando as respetivas palavras-passe expirarem. Se a sua organização precisar que as palavras-passe expirem e sejam repostas ocasionalmente, estas contas deixam de funcionar em dispositivos Teams até que um administrador de dispositivo do Teams repõe a palavra-passe e volte a iniciar sessão manualmente no dispositivo. As contas de recursos do Teams devem ser excluídas da expiração da palavra-passe.
Se a conta for um utilizador conta pessoal, quando a palavra-passe expirar, poderá iniciar novamente a sessão do dispositivo facilmente.
Os dispositivos não iniciam sessão devido a políticas de acesso condicional que requerem a autenticação multifator interativa do utilizador.
Se a conta utilizada num dispositivo do Teams estiver sujeita a políticas de Acesso Condicional e a política de autenticação multifator (MFA) estiver ativada, uma conta de recurso do Teams não iniciará sessão com êxito, uma vez que não tem um dispositivo secundário para aprovar o pedido de MFA. As contas de recursos do Teams devem ser protegidas através da autenticação de segundo fator alternativa, como rede conhecida ou dispositivo compatível. Em alternativa, se uma política de acesso condicional estiver ativada para exigir uma reautenticação sempre que for X dias, a Sala Teams no Android ou painel do Teams dispositivo irá terminar sessão e exigir que um administrador de TI volte a iniciar sessão a cada X dias.
Se a conta for um utilizador conta pessoal, a MFA interativa do utilizador pode ser necessária para Salas do Teams em painéis Android ou Teams, uma vez que o utilizador terá um segundo dispositivo no qual pode aprovar o pedido de autenticação.
Melhores práticas para a implementação de dispositivos Android partilhados com o Teams
A Microsoft recomenda as seguintes definições ao implementar dispositivos Teams na sua organização.
Utilizar uma conta de recurso Salas do Teams e desativar a expiração da palavra-passe
Os dispositivos partilhados do Teams devem utilizar uma conta de recursos Salas do Teams. Pode sincronizar estas contas para Microsoft Entra ID a partir do Active Directory ou criá-las diretamente no Microsoft Entra ID. Quaisquer políticas de expiração de palavras-passe para utilizadores também serão aplicadas a contas utilizadas em dispositivos partilhados do Teams, pelo que, para evitar interrupções causadas por políticas de expiração de palavras-passe, defina a política de expiração de palavras-passe para dispositivos partilhados para nunca expirar.
Utilizar o início de sessão remoto
Os administradores inquilinos podem iniciar sessão no Salas do Teams em painéis Android e Teams remotamente. Em vez de partilhar palavras-passe com técnicos para configurar dispositivos, os Administradores de inquilinos devem utilizar o início de sessão remoto para emitir códigos de verificação. Pode iniciar sessão nestes dispositivos a partir do centro de administração do Teams. Para obter mais informações, veja Aprovisionamento remoto e início de sessão para dispositivos Android do Teams.
Criar uma política de Acesso Condicional exclusiva para contas de recursos
Microsoft Entra Acesso Condicional define os requisitos que os dispositivos ou contas têm de cumprir para iniciar sessão. Para Salas do Teams contas de recursos, recomendamos que crie uma nova política de Acesso Condicional específica para as suas contas de recursos Salas do Teams e, em seguida, excluindo as contas de todas as outras políticas de Acesso Condicional da organização. Para obter a autenticação multifator (MFA) com contas de dispositivo partilhadas, recomendamos uma combinação de localização de rede conhecida e dispositivo em conformidade.
Utilizar o acesso baseado na localização com localizações nomeadas
Se os dispositivos partilhados estiverem instalados numa localização definida que possa ser identificada com um intervalo de endereços IP, pode configurar o Acesso Condicional com localizações nomeadas para estes dispositivos. Esta condição permite que estes dispositivos acedam aos seus recursos empresariais apenas quando estão na sua rede.
Utilizar dispositivos compatíveis
Nota
A conformidade do dispositivo requer Intune inscrição.
Pode configurar a conformidade do dispositivo como um controlo no Acesso Condicional para que apenas os dispositivos em conformidade possam aceder aos seus recursos empresariais. Os dispositivos do Teams podem ser configurados para políticas de Acesso Condicional com base na conformidade do dispositivo. Para obter mais informações, veja Acesso Condicional: Exigir um dispositivo compatível.
Para definir políticas de conformidade para os seus dispositivos com Intune, consulte Utilizar políticas de conformidade para definir regras para os dispositivos que gere com Intune.
Excluir contas de recursos das condições de frequência de início de sessão
No Acesso Condicional, pode configurar a frequência de início de sessão para exigir que os utilizadores iniciem sessão novamente para aceder a um recurso após um período de tempo especificado. Se a frequência de início de sessão for imposta para contas de recursos, os dispositivos terminam sessão até terem sessão iniciada novamente por um administrador.
Utilizar filtros para dispositivos
Para obter um controlo mais granular sobre o que pode iniciar sessão no Teams com uma conta de recurso ou para controlar políticas para utilizadores que iniciam sessão numa Sala Teams em dispositivos Android com os respetivos conta pessoal, podem ser utilizados filtros de dispositivos. Os filtros para dispositivos são uma funcionalidade no Acesso Condicional que lhe permite configurar políticas mais granulares para dispositivos com base nas propriedades do dispositivo disponíveis no Microsoft Entra ID. Também pode utilizar os seus próprios valores personalizados ao definir os atributos de extensão 1 a 15 no objeto do dispositivo e, em seguida, utilizá-los.
Utilize filtros para dispositivos para identificar os seus dispositivos partilhados e ativar políticas em dois cenários principais:
Excluir dispositivos partilhados de políticas aplicadas a dispositivos pessoais. Por exemplo, a necessidade de conformidade do dispositivo não é imposta para dispositivos partilhados utilizados para o hot desking, mas é imposto para todos os outros dispositivos, com base no número do modelo.
Impor políticas especiais em dispositivos partilhados que não devem ser aplicadas a dispositivos pessoais. Por exemplo, exigir localizações nomeadas como política apenas para dispositivos de área comum com base num atributo de extensão que definiu para estes dispositivos (por exemplo: CommonAreaPhone).
Nota
Alguns atributos, como o modelo, o fabricante e operatingSystemVersion, só podem ser definidos quando os dispositivos são geridos por Intune. Se os seus dispositivos não forem geridos por Intune, utilize atributos de extensão.
Autorização Legada do Teams
As políticas de configuração de atualização do Teams oferecem uma definição denominada BlockLegacyAuthorization que, quando ativada, impede que Salas do Teams em painéis Do Teams e Android se liguem aos serviços do Teams. Para saber mais sobre esta política, veja Set-CsTeamsUpgradeConfiguration ou execute Get-CsTeamsUpgradeConfiguration para marcar se BlockLegacyAuthorization estiver ativado no seu inquilino.
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization