Teams 电话的Intune和条件访问
本文概述了如何部署和配置Intune和条件访问以支持 Teams 电话。
配置Intune以允许注册 Teams 电话
客户必须使用 Android 设备管理员注册其 Teams 电话设备。 在设备成功注册到Intune之前,需要执行几个基本步骤。 如果你现在使用 Intune 管理设备,则可以跳过几个步骤。 如果没有,请执行以下操作:
确保Intune设置为 MDM (移动设备管理) 机构。
需要先将 MDM 机构设置为Intune,然后才能注册设备。 有关详细信息,请参阅 设置移动设备管理机构。 MDM 机构设置是创建新Intune租户时必须执行的一次性步骤。
启用 Android 设备管理员。
Teams 电话是基于 Android 的,没有 Google 移动服务 (GMS) ,因此在 Intune与 Android 设备管理员 (ADA) 进行管理。 对于新创建的租户,设备管理员注册默认处于关闭状态。 有关如何在环境中启用 Android 设备管理员 的步骤,请参阅 Android 设备管理员注册。
注意
Intune Teams Phone 注册将在 2025 年切换到 Android 开源项目 (AOSP) 设备管理。
分配设备管理员符合性策略。
Android 设备管理员提供Intune合规性策略,这些策略可用于确保 Teams 电话符合各种组织安全策略。 创建 Android 设备管理员合规性策略,然后将其分配给 Teams 电话资源帐户。 有关详细信息,请参阅使用符合性策略为使用 Intune 管理的设备设置规则。
注意
- 如果用于登录 Teams 设备的用户帐户未获得Intune许可,则需要为该帐户禁用Intune合规性策略和注册限制。
- 如果用于登录 Teams 设备的用户帐户已获得Intune许可,则 Teams 设备将自动注册Intune。
条件访问
条件访问是一项Microsoft Entra ID功能,可帮助确保访问 Microsoft 365 资源的设备得到适当的管理和保护。 对于 Teams 电话,我们建议使用条件访问来保护 Teams 电话资源帐户,因为资源帐户不支持用户交互式多重身份验证 (MFA) 。 条件访问可用于强制实施其他次要因素,例如已知的网络位置或合规设备,以匹配组织安全策略。 如果应用条件访问策略要求 Teams 电话Intune合规性,则必须将 Teams 电话注册到配置符合性策略的 Intune。 如果设备未注册到Intune,或者已注册,但其设置不符合策略,则条件访问将阻止 Teams 手机成功登录。
通常,Intune中定义的符合性策略分配给用户组。 这意味着,如果将 Android 合规性策略 user@contoso.com分配给 ,该策略同样适用于其 Android 智能手机以及登录的任何基于 Android 的 Teams 设备 user@contoso.com 。 有关详细信息,请查看 Teams 电话身份验证最佳做法。
如果使用条件访问符合性策略,则需要Intune注册。 需要设置以下几项才能成功注册Intune:
- Intune许可证 登录 Teams 手机的用户必须获得Intune许可。 只要 Teams 设备登录到具有有效Intune许可证的用户帐户,设备就会自动注册Microsoft Intune作为登录过程的一部分。
- 配置Intune 必须为 Android 设备管理员注册正确配置Intune租户。