Microsoft Teams 會議室和面板的條件式存取和 Intune 合規性

本文針對 Windows、Android Teams 會議室和 Teams 面板裝置上的 Microsoft Teams 會議室，提供條件式存取和 Intune 裝置合規性原則的需求和最佳做法。

注意事項

若要搭配 Teams 會議室裝置使用此功能，您必須將 Microsoft Teams 會議室專業版授權指派給裝置。如需詳細資訊，請參閱 Microsoft Teams 會議室授權。

需求

條件式存取原則可以保護位於共享空間之裝置上的登入程式。如需 Microsoft Entra ID 中的條件式存取概觀，請參閱 Microsoft Entra ID 中什麼是條件式存取？。

使用條件式存取來保護 Teams 會議室時，請考慮下列最佳做法：

在一個 Microsoft Entra ID 使用者群組中，包含與 Teams 會議室關聯的所有Microsoft 365 會議室資源帳戶。
針對所有 Teams 會議室資源帳戶使用命名標準。例如，帳戶名稱「mtr-room1@contoso.com」和「『mtr-room2@contoso.com」都是以前置詞「mtr-」開頭。當帳戶名稱標準化時，您可以使用 Microsoft Entra ID 中的動態群組，一次自動將條件式存取原則套用到所有這些帳戶。如需有關動態群組的詳細資訊，請參閱動態填入群組成員資格的規則。
從所有現有的條件式存取原則中排除您的 Teams 會議室資源帳戶，並建立資源帳戶專屬的新原則。
不需要使用者互動式多重要素驗證 (MFA) 。 Teams 會議室資源帳戶不支援使用者互動式 MFA，因為資源帳戶沒有核准 MFA 要求的第二個裝置。

如需 Teams 會議室支援的條件式存取指派清單，請參閱支援的條件式存取原則。

在此範例中，條件式存取原則的運作方式如下：

帳戶登入必須是特定使用者群組的成員，在此範例中為「共用裝置」群組。
帳戶登入時，必須只嘗試存取 Office 365、Office 365 Exchange Online、Microsoft Teams Services 和 Microsoft 365 SharePoint Online。登入任何其他用戶端應用程式的嘗試遭到拒絕。
驗證方法必須是新式驗證。應該封鎖舊版驗證機制。
資源帳戶必須登入 Windows 或 Android 裝置平臺。
資源帳戶也必須從已知、信任的位置登入。
資源帳戶必須從符合規範的裝置登入。

如果順利符合這些條件，且裝置具有正確的使用者名稱和密碼，則資源帳戶會登入 Teams。

合規性需求是已定義的規則，裝置必須符合該規則才能標示為符合規範，例如最低操作系統版本。在資源帳戶可以登入之前，可以使用裝置合規性做為條件式存取的條件。

如需 Teams 會議室支援 Intune 合規性原則的清單，請參閱支援的裝置合規性原則。

此合規性原則應指派給 Teams 會議室裝置和 Teams 會議室資源帳戶。如果裝置不符合這些需求，就不會標示為符合規範。

此合規性原則應指派給 Teams 會議室裝置和 Teams 會議室資源帳戶。如果裝置不符合這些需求，就不會標示為符合規範。