Intune и условный доступ для телефонов Teams
В этой статье приводятся общие сведения о развертывании и настройке Intune и условного доступа для поддержки телефонов Teams.
Настройка Intune для разрешения регистрации телефонов Teams
Клиенты должны зарегистрировать свои телефонные устройства Teams с помощью администратора устройств Android. Перед успешной регистрацией устройств в Intune необходимо выполнить несколько основных действий. Если вы управляете устройствами с помощью Intune сегодня, вы можете пропустить несколько шагов. Если нет, выполните следующие действия.
Убедитесь, что Intune задан в качестве центра управления мобильными устройствами (MDM).
Перед регистрацией устройств необходимо настроить центр MDM Intune. Дополнительные сведения см. в разделе Настройка центра управления мобильными устройствами. Настройка центра MDM — это однократный шаг, который необходимо выполнить при создании нового клиента Intune.
Включите администратора устройств Android.
Телефоны Teams работают на базе Android и не используют Google Mobile Services (GMS) и поэтому управляются в Intune с помощью администратора устройств Android (ADA). Регистрация администратора устройства по умолчанию отключена для вновь созданных клиентов. Инструкции по включению администратора устройств Android в вашей среде см. в статье Регистрация администратора устройств Android .
Примечание.
Intune регистрация для Телефонов Teams переключится на Android Open Source Project (AOSP) Управление устройствами в 2025 году.
Назначение политик соответствия администратора устройств.
Администратор устройств Android предлагает Intune политики соответствия, которые можно использовать для обеспечения соответствия телефонов Teams различным политикам безопасности организации. Создайте политику соответствия администратора устройств Android, а затем назначьте ее учетным записям ресурсов телефона Teams. Дополнительные сведения см. в статье Использование политик соответствия требованиям для задания правил для устройств, которыми вы управляете с помощью Intune.
Примечание.
- Если учетная запись пользователя, используемая для входа на устройство Teams, не лицензирована для Intune, Intune необходимо отключить политики соответствия требованиям и ограничения регистрации для учетной записи.
- Если учетная запись пользователя, используемая для входа на устройство Teams, лицензируется для Intune, устройство Teams автоматически зарегистрируется в Intune.
Условный доступ
Условный доступ — это функция Microsoft Entra ID, которая помогает обеспечить надлежащее управление и безопасность устройств, обращаюющихся к ресурсам Microsoft 365. Для телефонов Teams рекомендуется использовать условный доступ для защиты учетных записей телефонных ресурсов Teams, так как учетные записи ресурсов не поддерживают интерактивную многофакторную проверку подлинности пользователей (MFA). Условный доступ можно использовать для применения другого дополнительного фактора, например известного сетевого расположения или соответствующего устройства, чтобы соответствовать политикам безопасности организации. Если вы применяете политику условного доступа, требующую, чтобы телефоны Teams были Intune соответствия требованиям, телефон Teams должен быть зарегистрирован в Intune с настроенной политикой соответствия. Если устройство не зарегистрировано в Intune или если оно зарегистрировано, но его параметры не соответствуют вашим политикам, условный доступ не позволит этому телефону Teams успешно войти в систему.
Как правило, политики соответствия требованиям, определенные в Intune, назначаются группам пользователей. Это означает, что если вы назначите политику user@contoso.comсоответствия Android , эта политика применяется в равной степени к их смартфону Android и к любому устройству Teams под управлением Android, которое user@contoso.com входит в систему. Дополнительные сведения см. в статье Рекомендации по проверке подлинности на телефоне в Teams.
При использовании политик соответствия условному доступу требуется Intune регистрация. Чтобы обеспечить успешную регистрацию Intune, необходимо настроить несколько вещей:
- Intune лицензия. Пользователь, выполняя вход на телефон Teams, должен иметь лицензию на Intune. До тех пор, пока устройство Teams войдет в учетную запись пользователя с действующей лицензией на Intune, устройство автоматически регистрируется в Microsoft Intune в процессе входа.
- Настройка Intune Необходимо правильно настроить клиент Intune, настроенный для регистрации администратора устройств Android.