共用方式為

Teams 手機的驗證最佳做法

  • 發行項
  • 適用於:
    Microsoft Teams

搭配 Teams 使用的裝置的目標是制定必要的不同裝置管理策略。 例如,單一銷售人員所使用的個人商務平板計算機,與許多客戶服務人員共用的通話電話有不同的需求。 此外,對於未與其他人共用的 Teams 手機,以及另一部用作常見區域電話的 Teams 手機,也有不同的需求。 請參閱 為 Microsoft Teams 設定通用的區域電話

安全性系統管理員和營運團隊必須針對組織中可用的裝置進行規劃。 他們必須實作最適合每個用途 的安全 性措施。 本文提供的建議可讓您更輕鬆地做出其中一些決策。

注意事項

條件式存取需要 Microsoft Entra ID P1 或 P2 訂閱。

注意事項

Android 行動裝置的原則可能不適用於 Teams Android 裝置。

個人與共用Android裝置的驗證建議不同

Teams 手機等共用 Teams 裝置無法對個人裝置上使用的註冊和合規性使用相同的要求。 將個人裝置驗證需求套用至共用裝置會導致登入問題。

  1. 裝置已註銷,因為密碼原則。

    在 Teams 手機上使用的帳戶有密碼過期原則。 與共用裝置搭配使用的帳戶不會有特定用戶在密碼過期時更新並還原到正常運作狀態。 如果貴組織要求密碼必須過期並偶爾重設,這些帳戶會在 Teams 裝置上停止運作,直到 Teams 系統管理員重設密碼並重新登入為止。

    挑戰:存取時。 Teams 的裝置、人員的帳戶有密碼過期原則。 當密碼即將過期時,他們會變更密碼。 但是在 共享裝置 上使用的帳戶 (資源帳戶) 可能無法連線到可以視需要變更密碼的單一人員。 這表示密碼可能會過期並讓員工不知如何繼續工作。

    當貴組織要求重設密碼或強制執行密碼到期時,請確定已準備好讓 Teams 系統管理員重設密碼,讓這些共用帳戶可以重新登入。

  2. 裝置無法登入,因為條件式存取原則。

    挑戰:共用裝置無法遵守使用者帳戶或個人裝置 Microsoft Entra 條件式存取原則。 如果共用裝置是依條件式存取原則與用戶帳戶或個人裝置分組,則登入將會 失敗

    例如,如果存取Teams需要多重要素驗證,用戶必須輸入驗證碼才能完成驗證。 共用裝置通常沒有單一使用者可以設定及完成多重要素驗證。 此外,如果帳戶必須每隔 X 天重新撰寫一次,共用裝置就無法在沒有使用者介入的情況下解決此挑戰。

部署共用Teams手機的最佳做法

Microsoft在組織中部署 Teams 手機時,建議使用下列設定。

使用資源帳戶並取消密碼到期

Teams 共用電話應使用 資源帳戶。 您可以將這些帳戶同步處理至 Active Directory Microsoft Entra ID,或直接在 Microsoft Entra ID 中建立。 使用者的任何密碼到期原則也會套用至 Teams 共用裝置上使用的帳戶,因此,若要避免密碼到期原則造成的干擾,請將共用裝置的密碼到期原則設為永不過期。

檢閱這些條件式存取原則

Microsoft Entra 條件式存取會設定裝置登入時必須符合的其他需求。 針對 Teams 手機,請檢閱下列指導方針,以判斷您是否已撰寫允許共用裝置使用者執行其工作的原則。

提示

如需條件式存取的概觀,請參閱 什麼是條件式存取? 使用 具名位置需要符合規範的裝置 來保護共用裝置資源帳戶。

您可以將位置型存取與具名位置搭配使用

如果共用 Teams 手機是在定義清楚的位置布建,可以使用 IP 位址範圍識別,您可以使用這些裝置的 具名位置 來設定條件式存取。 此條件可讓這些裝置僅在您的網路記憶體取您的公司資源。

何時不需符合規範的共享裝置

注意事項

裝置合規性需要 Intune 授權。

將共用裝置註冊至 Intune 時,您可以將裝置合規性設定為條件式存取中的控件,以便只有符合規範的裝置才能存取您的公司資源。 Teams 手機可以根據裝置合規性來設定條件式存取原則。 如需詳細資訊,請參閱 AOSP 裝置管理 合規性原則

注意事項

應將用於 熱桌功能的 共用裝置排除在合規性原則之外。 合規性原則可防止裝置註冊至熱門桌面用戶帳戶。 請改用具名位置來保護這些裝置。 若要提高安全性,除了具名的位置原則之外,您還可以要求快捷使用者/用戶帳戶進行多重要素驗證

排除共用裝置的登入頻率條件

在條件式存取中,您可以 設定登入頻率 ,要求使用者在指定的時段後再次登入以存取資源。 如果手機資源帳戶強制執行登入頻率,共用裝置會註銷,直到系統管理員再次登入為止。Microsoft建議將共用裝置排除在任何登入頻率原則之外。

使用裝置的篩選

裝置篩選是條件式存取中的一項功能,可讓您根據 Microsoft Entra ID 中提供的裝置屬性,為裝置設定更精細的原則。 您也可以在裝置物件上設定 1-15 擴展名屬性,然後使用這些值,藉此使用您自己的自定義值。

使用裝置的篩選來識別您的常見區域裝置,並在兩個關鍵案例中啟用原則:

  1. 從適用於個人裝置的原則中排除共享裝置。 例如,對於用於快捷式計算機的共用裝置 ,不會強制要求 裝置合規性,但會根據型號對所有其他裝置 強制執行

  2. 在不應該套用至個人裝置 共用裝置上強制執行特殊原則。 例如,根據您為這些裝置設定的擴充功能屬性要求命名位置為原則, (例如:「CommonAreaPhone」) 。

注意事項

只有當裝置由 Intune 管理時,才能設定型號製造商操作SystemVersion等某些屬性。 如果您的裝置不受 Intune 管理,請使用擴充功能屬性。

Teams 舊版授權

Teams 升級設定原則提供一個名為 BlockLegacyAuthorization 的設定,啟用時可防止 Teams 手機連線至 Teams 服務。 若要深入瞭解此原則,請參閱 Set-CsTeamsUpgradeConfiguration 或執行 Get-CsTeamsUpgradeConfiguration,檢查您的租使用者中是否已啟用 BlockLegacyAuthorization

Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization