Windows 上的 Microsoft Teams 会议室 身份验证

Windows 上的Microsoft Teams 会议室与 Teams 桌面客户端共享身份验证组件,并使用相同的基础身份验证库连接到 Teams 和其他Microsoft 365 服务。 因此,用于身份验证的 Teams 会议室要求基于Microsoft Teams 要求。 详细了解 Microsoft Teams 的标识模型和身份验证

但是,与运行 Teams 桌面的最终用户个人计算机相比,Windows 上的Teams 会议室存在一些主要差异。 这些差异可能会影响 Teams 会议室的身份验证配置。

与 Teams 桌面应用程序的主要区别

  1. Microsoft Teams 会议室资源帐户由组织中的 IT 管理员集中管理。 最终用户无法登录/注销Teams 会议室设备。
  2. Microsoft Teams 会议室使用 Microsoft Exchange 中配置了资源邮箱Microsoft Entra帐户。
  3. Windows 应用程序上的Microsoft Teams 会议室在已使用 Windows Shell 启动器 V2 进一步锁定的最低特权本地用户下运行,以删除 Windows shell 组件 (“开始”菜单、任务栏、设置等 ) ,以便只有Teams 会议室应用程序知道用于登录Microsoft Teams 的资源帐户。 此机制还会阻止其他应用程序从 Windows 帐户管理器获取帐户信息,因为 Windows 没有有关 Teams 会议室应用程序使用的资源帐户的信息。
  4. Windows Microsoft Teams 会议室 中的身份验证不需要任何用户干预,也不支持第二因素身份验证。 新式身份验证机制使用资源 所有者密码凭据 (ROPC) OAuth 2.0 中的授权类型。

请务必注意,不应将Microsoft Teams 会议室资源帐户配置为使用用户交互式多重身份验证 (MFA) 、智能卡身份验证或基于客户端证书的身份验证。

条件访问注意事项

可以使用条件访问策略限制资源帐户对 Microsoft 365 服务Teams 会议室访问权限。 由于 Windows 不了解 Teams 会议室应用程序使用的资源帐户,因此若要应用设备级条件访问策略,必须使用Microsoft Intune在 Windows 设备上注册Teams 会议室。 详细了解使用 Intune 在 Windows 设备上注册Microsoft Teams 会议室。 在 Intune 中注册设备时,Teams 会议室应用程序使用 Windows 注册帐户(使用 Web 访问管理 (WAM) 发送设备符合性状态进行条件访问评估)。 若要详细了解条件访问和Intune符合性策略,请参阅Microsoft Teams 会议室的条件访问和Intune合规性和支持的条件访问和Intune设备符合性策略Microsoft Teams 会议室

Teams 旧版授权

Teams 升级配置策略提供一个名为 BlockLegacyAuthorization 的设置,启用后,该设置会阻止 Windows 上的Teams 会议室连接到 Teams 服务。 若要了解有关此策略的详细信息,请参阅 Set-CsTeamsUpgradeConfiguration 或运行 Get-CsTeamsUpgradeConfiguration 以检查租户中是否启用了 BlockLegacyAuthorization

Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization