通过

Teams 电话的身份验证最佳做法

  • 项目
  • 适用于:
    Microsoft Teams

与 Teams 一起使用的设备的目标是使不同的设备管理策略变得必要。 例如,单个销售人员使用的个人商务平板电脑与许多客户服务人员共享的电话有不同的需求集。 此外,对于不与其他人共享的 Teams 手机和用作公用区域电话的另一部 Teams 手机,也有不同的要求。 请参阅 为 Microsoft Teams 设置公用区域电话

安全管理员和运营团队必须规划可在组织中使用的设备。 他们必须实施最适合每种用途的 安全措施 。 本文的建议使其中一些决策更容易。

注意

条件访问需要Microsoft Entra ID P1 或 P2 订阅。

注意

适用于 Android 移动设备的策略可能不适用于 Teams Android 设备。

个人与共享 Android 设备的身份验证建议不同

共享 Teams 设备(如 Teams 电话)不能使用与个人设备上相同的注册和合规性要求。 将个人设备身份验证要求应用于共享设备会导致登录问题。

  1. 设备因密码策略而注销。

    Teams 手机上使用的帐户具有密码过期策略。 与共享设备一起使用的帐户没有特定用户在其密码过期时更新和还原到工作状态。 如果你的组织要求密码偶尔过期并重置,这些帐户将停止在 Teams 设备上工作,直到 Teams 管理员重置密码并重新登录。

    挑战:在访问方面。 来自设备的 Teams、用户的帐户具有密码过期策略。 密码过期时,会对其进行更改。 但共享 设备上 使用的帐户 (资源帐户) 可能无法连接到可根据需要更改密码的单个人员。 这意味着密码可能会过期,并让工作人员当场离开,不知道如何恢复工作。

    当组织需要密码重置或强制密码过期时,请确保 Teams 管理员已准备好重置密码,以便这些共享帐户可以重新登录。

  2. 由于条件访问策略,设备无法登录。

    挑战:共享设备不符合用户帐户或个人设备Microsoft Entra条件访问策略。 如果共享设备与条件访问策略的用户帐户或个人设备分组,则登录将 失败

    例如,如果访问 Teams 需要多重身份验证,则需要用户输入代码才能完成该身份验证。 共享设备通常没有一个可以配置和完成多重身份验证的用户。 此外,如果帐户必须每隔 X 天重新进行身份验证,则共享设备无法在没有用户干预的情况下解决质询。

部署共享 Teams 电话的最佳做法

在组织中部署 Teams 电话时,Microsoft建议以下设置。

使用资源帐户并限制其密码过期时间

Teams 共享电话应使用 资源帐户。 可以将这些帐户同步到 Active Directory 中的Microsoft Entra ID,也可以直接在 Microsoft Entra ID 中创建这些帐户。 用户的任何密码过期策略也将应用于 Teams 共享设备上使用的帐户,因此,为了避免密码过期策略导致的中断,请将共享设备的密码过期策略设置为永不过期。

查看这些条件访问策略

Microsoft Entra条件访问设置设备登录必须满足的其他要求。 对于 Teams 电话,请查看以下指南,以确定你是否创作了允许共享设备用户完成其工作的策略。

提示

有关条件访问的概述,请参阅 什么是条件访问? 使用 命名位置要求合规设备 来保护共享设备资源帐户。

可以将基于位置的访问与命名位置配合使用

如果共享 Teams 电话预配在一个定义明确的位置(可使用一系列 IP 地址进行标识),则可以使用这些设备的 命名位置 配置条件访问。 此条件将仅允许这些设备在网络中访问公司资源。

何时以及何时不需要合规的共享设备

注意

设备符合性需要Intune许可证。

将共享设备注册到Intune时,可以在条件访问中将设备符合性配置为控件,以便只有合规设备才能访问公司资源。 可以根据设备符合性为条件访问策略配置 Teams 电话。 有关详细信息,请参阅 AOSP 设备管理合规性策略

注意

应从合规性策略中排除用于 热桌面的 共享设备。 合规性策略可防止设备注册到桌面用户帐户。 请改用命名位置来保护这些设备。 为了提高安全性,除了命名位置策略外,还可以要求对热桌面用户/用户帐户进行多重身份验证

从登录频率条件中排除共享设备

在条件访问中,可以 配置登录频率 ,以要求用户在指定时间段后再次登录才能访问资源。 如果对电话资源帐户强制使用登录频率,则共享设备将注销,直到管理员再次登录。Microsoft建议从任何登录频率策略中排除共享设备。

对设备使用筛选器

设备筛选器是条件访问中的一项功能,可用于根据Microsoft Entra ID中可用的设备属性为设备配置更精细的策略。 还可以通过在设备对象上设置扩展属性 1-15,然后使用这些属性来使用自己的自定义值。

使用设备的筛选器来识别常见区域设备,并在两个关键方案中启用策略:

  1. 从应用于个人设备的策略中排除共享设备。 例如,对于用于热桌面的共享设备 ,不会强制 要求设备符合性,而是根据型号对所有其他设备 强制要求 设备符合性。

  2. 不应 应用于个人设备的共享设备上强制实施特殊策略。 例如,基于为这些设备设置的扩展属性,仅要求将命名位置作为策略, (例如:“CommonAreaPhone”) 。

注意

某些属性(如 modelmanufactureroperatingSystemVersion)只能在由Intune管理设备时设置。 如果设备不是由 Intune 管理,请使用扩展属性。

Teams 旧版授权

Teams 升级配置策略提供一个名为 BlockLegacyAuthorization 的设置,启用后会阻止 Teams 手机连接到 Teams 服务。 若要了解有关此策略的详细信息,请参阅 Set-CsTeamsUpgradeConfiguration 或运行 Get-CsTeamsUpgradeConfiguration 以检查租户中是否启用了 BlockLegacyAuthorization

Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization