Microsoft Teams 会议室和面板的条件访问和Intune符合性
本文针对 Windows、Android 和 Teams 面板 设备上的Microsoft Teams 会议室提供条件访问和 Teams 会议室Intune设备符合性策略的要求和最佳做法。
注意
若要将此功能用于Teams 会议室设备,需要向设备分配Microsoft Teams 会议室专业版许可证。 有关详细信息,请参阅Microsoft Teams 会议室许可证。
要求
- Teams 会议室创建资源帐户,有关详细信息,请参阅为会议室和共享 Teams 设备创建资源帐户。
- 需要使用Microsoft Entra ID P1 服务计划才能使用条件访问。 它包含在 Microsoft Teams 会议室 许可证或共享设备许可证中。
Teams 会议室条件访问最佳做法
条件访问策略可以在共享空间中的设备上保护登录过程。 有关Microsoft Entra ID中的条件访问的概述,请参阅什么是Microsoft Entra ID中的条件访问?。
使用条件访问来保护Teams 会议室时,请考虑以下最佳做法:
- 在一个Microsoft Entra ID用户组中包含与Teams 会议室关联的所有Microsoft 365 会议室资源帐户。
- 对所有Teams 会议室资源帐户使用命名标准。 例如,帐户名称“”mtr-room1@contoso.com和“”mtr-room2@contoso.com都以前缀“mtr-”开头。 帐户名称标准化后,可以使用Microsoft Entra ID中的动态组一次性自动将条件访问策略应用到所有这些帐户。 有关动态组的详细信息,请参阅 动态填充组成员身份的规则。
- 从所有现有条件访问策略中排除Teams 会议室资源帐户,并创建特定于资源帐户的新策略。
- 不需要用户交互式多重身份验证 (MFA) 。 Teams 会议室资源帐户不支持用户交互式 MFA,因为资源帐户没有第二台设备来批准 MFA 请求。
有关Teams 会议室支持的条件访问分配的列表,请参阅支持的条件访问策略。
条件访问策略示例
在此示例中,条件访问策略的工作方式如下:
- 登录的帐户必须是特定用户组(在此示例中为“共享设备”组)的成员。
- 登录的帐户只能尝试访问 Office 365、Office 365 Exchange Online、Microsoft Teams 服务和 Microsoft 365 SharePoint Online。 尝试登录到任何其他客户端应用均被拒绝。
- 身份验证方法必须是新式身份验证。 应阻止旧式身份验证机制。
- 资源帐户必须在 Windows 或 Android 设备平台上登录。
- 资源帐户还必须从已知的受信任位置登录。
- 资源帐户必须从合规设备登录。
如果成功满足这些条件,并且设备具有正确的用户名和密码,则资源帐户将登录到 Teams。
Teams 会议室的Intune合规性
符合性要求是设备必须满足这些规则才能标记为合规的已定义规则,例如最低操作系统版本。 在资源帐户登录之前,可将设备符合性用作条件访问的条件。
有关Teams 会议室支持的Intune符合性策略的列表,请参阅支持的设备符合性策略。
Windows 上Teams 会议室Intune符合性策略示例
- 要求防火墙在 Windows 上的Teams 会议室上运行。
- 需要最低操作系统版本。
- 要求Microsoft Defender在 Teams 会议室 上运行。
应将此符合性策略分配给Teams 会议室设备和Teams 会议室资源帐户。 如果设备不符合这些要求,则不会将其标记为合规。
Android 和 Teams 面板上Teams 会议室的示例Intune符合性策略
- 最低操作系统版本大于 Android 10。
- 阻止具有根权限的设备。
- 要求对设备上的数据存储进行加密
应将此符合性策略分配给Teams 会议室设备和Teams 会议室资源帐户。 如果设备不符合这些要求,则不会将其标记为合规。