Рекомендации по проверке подлинности для телефонов Teams

• Применяется к:

  Microsoft Teams

Цель устройств, используемых с Teams, заключается в том, чтобы сделать необходимыми различные стратегии управления устройствами. Например, личный бизнес-планшет, используемый одним продавцом, имеет набор потребностей, отличный от потребностей телефонного телефона, совместно используемого многими сотрудниками службы поддержки клиентов. Кроме того, существуют различные требования к телефону Teams, который не предоставляется другим пользователям, и к другому телефону Teams, который используется в качестве телефона общего пользования. См. статью Настройка телефонов общего пользования для Microsoft Teams.

Администраторы безопасности и операционные группы должны планировать устройства, которые могут использоваться в организации. Они должны реализовать меры безопасности , наилучшим образом подходящие для каждой цели. Рекомендации из этой статьи упрощают некоторые из этих решений.

Примечание.

Для условного доступа требуется подписка Microsoft Entra ID P1 или P2.

Примечание.

Политики для мобильных устройств Android могут не применяться к устройствам Teams Android.

Рекомендации по проверке подлинности отличаются для личных и общих устройств Android

Общие устройства Teams, такие как телефоны Teams, не могут использовать те же требования для регистрации и соответствия требованиям, которые используются на личных устройствах. Применение требований к проверке подлинности личных устройств к общим устройствам приводит к проблемам со входом.

1. Устройства выписываются из-за политик паролей.

   Учетные записи, используемые на телефонах Teams, имеют политику истечения срока действия пароля. Учетные записи, используемые с общими устройствами, не имеют определенного пользователя для обновления и восстановления до рабочего состояния по истечении срока действия паролей. Если вашей организации требуется периодический срок действия паролей и их сброс, эти учетные записи перестают работать на устройствах Teams, пока администратор Teams не сбросит пароль и не войдет в систему.

   Задача. Когда дело доходит до доступа. Teams с устройства, учетная запись пользователя имеет политику истечения срока действия пароля. Когда срок действия пароля истекает, он изменяется. Но учетные записи, используемые на общих устройствах (учетные записи ресурсов), могут быть не подключены к одному пользователю, который может изменить пароль по мере необходимости. Это означает, что срок действия пароля может истечь и оставить работников на месте, не зная, как возобновить свою работу.

   Если вашей организации требуется сброс пароля или применяется срок действия пароля, убедитесь, что администратор Teams готов сбросить пароль, чтобы эти общие учетные записи могли снова войти в систему.

2. Устройствам не удается выполнить вход из-за политик условного доступа.

   Проблема. Общие устройства не могут соответствовать Microsoft Entra политикам условного доступа для учетных записей пользователей или личных устройств. Если общие устройства группируются с учетными записями пользователей или личными устройствами для политики условного доступа, вход завершится ошибкой.

   Например, если для доступа к Teams требуется многофакторная проверка подлинности, для завершения проверки подлинности требуется ввод кода пользователем. Общие устройства обычно не имеют одного пользователя, который может настроить и выполнить многофакторную проверку подлинности. Кроме того, если учетная запись должна повторно пройти проверку подлинности каждые X дней, общее устройство не сможет решить проблему без вмешательства пользователя.

Рекомендации по развертыванию общих телефонов Teams

Корпорация Майкрософт рекомендует использовать следующие параметры при развертывании телефонов Teams в вашей организации.

Использование учетной записи ресурса и ограничение срока действия пароля

Общие телефоны Teams должны использовать учетную запись ресурса. Эти учетные записи можно синхронизировать с Microsoft Entra ID из Active Directory или создать непосредственно в Microsoft Entra ID. Любые политики срока действия паролей для пользователей также будут применяться к учетным записям, используемым на общих устройствах Teams, поэтому, чтобы избежать сбоев, вызванных политиками истечения срока действия паролей, установите политику срока действия паролей для общих устройств так, чтобы срок действия не истекал.

Ознакомьтесь с этими политиками условного доступа.

Microsoft Entra условный доступ задает другие требования, которым должны соответствовать устройства для входа. Для телефонов Teams ознакомьтесь с приведенными ниже рекомендациями, чтобы определить, создали ли вы политики, позволяющие пользователям общих устройств выполнять свою работу.

Кончик

Общие сведения об условном доступе см. в статье Что такое условный доступ? Используйте именованное расположение или требуется соответствующее устройство для защиты учетных записей ресурсов общего устройства.

Вы можете использовать доступ на основе расположения с именованными расположениями

Если общие телефоны Teams подготовлены в четко определенном расположении, которое можно определить с помощью диапазона IP-адресов, можно настроить условный доступ с помощью именованных расположений для этих устройств. Это условие позволит этим устройствам получать доступ к корпоративным ресурсам только в пределах сети.

Когда и когда не требуется требовать соответствие общим устройствам

Примечание.

Для соответствия устройств требуется лицензия на Intune.

При регистрации общих устройств в Intune можно настроить соответствие устройств в качестве элемента управления в условном доступе, чтобы только соответствующие устройства могли получать доступ к корпоративным ресурсам. Телефоны Teams можно настроить для политик условного доступа на основе соответствия устройств. Дополнительные сведения см. в статье Политика соответствия требованиям AOSP Управление устройствами.

Примечание.

Общие устройства, используемые для горячей поддержки , должны быть исключены из политик соответствия требованиям. Политики соответствия требованиям предотвращают регистрацию устройств в учетной записи пользователя горячей службы. Вместо этого используйте именованные расположения для защиты этих устройств. Для повышения безопасности можно также требовать многофакторную проверку подлинности для пользователей и учетных записей пользователей с поддержкой горячей поддержки в дополнение к именованным политикам расположения.

Исключение общих устройств из условий частоты входа

В разделе Условный доступ можно настроить частоту входа , чтобы требовать от пользователей повторного входа для доступа к ресурсу по истечении указанного периода времени. Если для учетных записей ресурсов телефона применяется частота входа, общие устройства выйдите из системы, пока администратор снова не войдет в систему. Корпорация Майкрософт рекомендует исключить общие устройства из любых политик частоты входа.

Использование фильтров для устройств

Фильтры для устройств — это функция условного доступа, которая позволяет настраивать более детализированные политики для устройств на основе свойств устройств, доступных в Microsoft Entra ID. Вы также можете использовать собственные настраиваемые значения, задав атрибуты расширения от 1 до 15 в объекте устройства, а затем используя их.

Используйте фильтры для устройств, чтобы определить устройства общей области и включить политики в двух ключевых сценариях:

1. Исключение общих устройств из политик, применяемых для личных устройств. Например, требование соответствия устройств не применяется для общих устройств, используемых для горячей поддержки, но применяется для всех других устройств в зависимости от номера модели.

2. Применение специальных политик на общих устройствах, которые не должны применяться к личным устройствам. Например, требование именованных расположений в качестве политики только для устройств с общими областями на основе атрибута расширения, заданного для этих устройств (например, "CommonAreaPhone").

Примечание.

Некоторые атрибуты, такие как model, manufacturer и operatingSystemVersion, можно задать только в том случае, если устройства управляются Intune. Если устройства не управляются Intune, используйте атрибуты расширения.

Устаревшая авторизация Teams

Политики конфигурации обновления Teams предлагают параметр BlockLegacyAuthorization , который при включении не позволяет телефонам Teams подключаться к службам Teams. Дополнительные сведения об этой политике см. в статье Set-CsTeamsUpgradeConfiguration или запустите Get-CsTeamsUpgradeConfiguration, чтобы проверка, включена ли BlockLegacyAuthorization в клиенте.

Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization