Partilhar via

Melhores práticas de autenticação para telemóveis Teams

  • Artigo
  • Aplica-se a:
    Microsoft Teams

Os objetivos dos dispositivos utilizados com o Teams são tornar necessárias diferentes estratégias de gestão de dispositivos. Por exemplo, um tablet pessoal de negócios utilizado por um único vendedor tem um conjunto diferente de necessidades de um telefone de chamada partilhado por muitas pessoas do suporte ao cliente. Além disso, existem diferentes requisitos para um telemóvel do Teams que não é partilhado com outras pessoas e outro telemóvel do Teams que é utilizado como um telefone de área comum. Consulte Configurar telefones de área comuns para o Microsoft Teams.

Os administradores de segurança e as equipas de operações têm de planear os dispositivos que podem ser utilizados na organização. Têm de implementar medidas de segurança mais adequadas a cada finalidade. As recomendações deste artigo facilitam algumas dessas decisões.

Nota

O Acesso Condicional requer uma subscrição Microsoft Entra ID P1 ou P2.

Nota

As políticas para dispositivos móveis Android podem não ser aplicadas a dispositivos Android do Teams.

As recomendações de autenticação são diferentes para dispositivos Android pessoais versus partilhados

Os dispositivos Partilhados do Teams, como telefones Teams, não podem utilizar os mesmos requisitos de inscrição e conformidade que são utilizados em dispositivos pessoais. A aplicação de requisitos de autenticação de dispositivos pessoais a dispositivos partilhados causa problemas de início de sessão.

  1. Os dispositivos têm sessão iniciada devido a políticas de palavra-passe.

    As contas utilizadas em telemóveis Teams têm uma política de expiração de palavras-passe. As contas utilizadas com dispositivos partilhados não têm um utilizador específico para atualizar e restaurá-las para um estado de trabalho quando as respetivas palavras-passe expirarem. Se a sua organização precisar que as palavras-passe expirem e sejam repostas ocasionalmente, estas contas deixam de funcionar em dispositivos Teams até que um administrador do Teams repõe a palavra-passe e volte a iniciar sessão.

    Desafio: quando se trata de aceder. Equipas de um dispositivo, a conta de uma pessoa tem uma política de expiração de palavra-passe. Quando a palavra-passe vai expirar, alteram-na. No entanto, as contas utilizadas em dispositivos partilhados (Contas de recursos) podem não estar ligadas a uma única pessoa que possa alterar uma palavra-passe conforme necessário. Isto significa que uma palavra-passe pode expirar e deixar os trabalhadores no local, sem saber como retomar o seu trabalho.

    Quando a sua organização exigir uma reposição de palavra-passe ou impor a expiração da palavra-passe, certifique-se de que um administrador do Teams está preparado para repor a palavra-passe para que estas contas partilhadas possam voltar a iniciar sessão.

  2. Os dispositivos não iniciam sessão devido a políticas de acesso condicional.

    Desafio: os dispositivos partilhados não podem cumprir Microsoft Entra políticas de Acesso Condicional para contas de utilizador ou dispositivos pessoais. Se os dispositivos partilhados estiverem agrupados com contas de utilizador ou dispositivos pessoais para uma política de Acesso Condicional, o início de sessão falhará.

    Por exemplo, se for necessária autenticação multifator para aceder ao Teams, é necessária a entrada de um código por parte do utilizador para concluir essa autenticação. Geralmente, os dispositivos partilhados não têm um único utilizador que possa configurar e concluir a autenticação multifator. Além disso, se a conta tiver de voltar a autenticar a cada X dias, um dispositivo partilhado não poderá resolve o desafio sem a intervenção de um utilizador.

Melhores práticas para a implementação de telemóveis partilhados do Teams

A Microsoft recomenda as seguintes definições ao implementar telemóveis Teams na sua organização.

Utilizar uma conta de recurso e reduzir a expiração da palavra-passe

Os telemóveis partilhados do Teams devem utilizar uma conta de recurso. Pode sincronizar estas contas para Microsoft Entra ID a partir do Active Directory ou criá-las diretamente no Microsoft Entra ID. Quaisquer políticas de expiração de palavras-passe para utilizadores também serão aplicadas a contas utilizadas em dispositivos partilhados do Teams, pelo que, para evitar interrupções causadas por políticas de expiração de palavras-passe, defina a política de expiração de palavras-passe para dispositivos partilhados para nunca expirar.

Reveja estas políticas de Acesso Condicional

Microsoft Entra Acesso Condicional define outros requisitos que os dispositivos têm de cumprir para iniciar sessão. Para telemóveis Do Teams, reveja a documentação de orientação que se segue para determinar se criou as políticas que permitem aos utilizadores de dispositivos partilhados fazerem o seu trabalho.

Sugestão

Para obter uma descrição geral do Acesso Condicional, veja O que é o Acesso Condicional? Utilize a localização nomeada ou exija um dispositivo compatível para proteger as contas de recursos de dispositivos partilhados.

Pode utilizar o acesso baseado na localização com localizações nomeadas

Se os telemóveis partilhados do Teams estiverem aprovisionados numa localização bem definida que possa ser identificada com um intervalo de endereços IP, pode configurar o Acesso Condicional com localizações nomeadas para estes dispositivos. Esta condição permitirá que estes dispositivos acedam aos seus recursos empresariais apenas quando estiverem na sua rede.

Quando e quando não exigir dispositivos partilhados conformes

Nota

A conformidade do dispositivo requer uma licença de Intune.

Ao inscrever dispositivos partilhados no Intune, pode configurar a conformidade do dispositivo como um controlo no Acesso Condicional para que apenas os dispositivos em conformidade possam aceder aos seus recursos empresariais. Os telemóveis do Teams podem ser configurados para políticas de Acesso Condicional com base na conformidade do dispositivo. Para obter mais informações, veja AOSP Gerenciamento de Dispositivos Política de Conformidade.

Nota

Os dispositivos partilhados que estão a ser utilizados para o hot-desking devem ser excluídos das políticas de conformidade. As políticas de conformidade impedem que os dispositivos se inscrevam na conta de utilizador do hot desk. Em vez disso, utilize localizações nomeadas para proteger estes dispositivos. Para aumentar a segurança, também pode exigir a autenticação multifator para utilizadores/contas de utilizador de hot desk, além das políticas de localização nomeadas.

Excluir dispositivos partilhados das condições de frequência de início de sessão

No Acesso Condicional, pode configurar a frequência de início de sessão para exigir que os utilizadores iniciem sessão novamente para aceder a um recurso após um período de tempo especificado. Se a frequência de início de sessão for imposta para contas de recursos do telemóvel, os dispositivos partilhados terminam sessão até terem sessão iniciada novamente por um administrador. A Microsoft recomenda excluir dispositivos partilhados de quaisquer políticas de frequência de início de sessão.

Utilizar Filtros para dispositivos

Os filtros para dispositivos são uma funcionalidade no Acesso Condicional que lhe permite configurar políticas mais granulares para dispositivos com base nas propriedades do dispositivo disponíveis no Microsoft Entra ID. Também pode utilizar os seus próprios valores personalizados ao definir os atributos de extensão 1 a 15 no objeto do dispositivo e, em seguida, utilizá-los.

Utilize filtros para dispositivos para identificar os seus dispositivos de área comum e ativar políticas em dois cenários principais:

  1. Excluir dispositivos partilhados de políticas aplicadas a dispositivos pessoais. Por exemplo, a necessidade de conformidade do dispositivo não é imposta para dispositivos partilhados utilizados para o hot desking, mas é imposto para todos os outros dispositivos, com base no número do modelo.

  2. Impor políticas especiais em dispositivos partilhados que não devem ser aplicadas a dispositivos pessoais. Por exemplo, exigir localizações nomeadas como política apenas para dispositivos de área comum com base num atributo de extensão que definiu para estes dispositivos (por exemplo: "CommonAreaPhone").

Nota

Alguns atributos, como o modelo, o fabricante e operatingSystemVersion, só podem ser definidos quando os dispositivos são geridos por Intune. Se os seus dispositivos não forem geridos por Intune, utilize atributos de extensão.

Autorização Legada do Teams

As políticas de configuração de atualização do Teams oferecem uma definição chamada BlockLegacyAuthorization que, quando ativada, impede os telefones do Teams de se ligarem aos serviços do Teams. Para saber mais sobre esta política, veja Set-CsTeamsUpgradeConfiguration ou execute Get-CsTeamsUpgradeConfiguration para marcar se BlockLegacyAuthorization estiver ativado no seu inquilino.

Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization