Android デバイスでの Teams 共有デバイス管理の認証のベスト プラクティス
Teams で使用されるデバイスの目標により、さまざまなデバイス管理戦略が必要になります。 たとえば、1 人の営業担当者が使用する個人用ビジネス タブレットには、多くの顧客サービスのユーザーが共有する通話中の電話とは異なるニーズのセットがあります。
セキュリティ管理者と運用チームは、organizationで使用できるデバイスを計画する必要があります。 各目的に最適な セキュリティ 対策を実装する必要があります。 この記事の推奨事項により、これらの決定の一部が容易になります。
注意
条件付きアクセスには、Microsoft Entra ID P1 または P2 サブスクリプションが必要です。
注意
Android モバイル デバイスのポリシーは、Teams Android デバイスには適用されない場合があります。
個人用と共有の Android デバイスでは、認証に関する推奨事項が異なります
共有 Teams デバイスでは、個人用デバイスで使用される登録とコンプライアンスに同じ要件を使用することはできません。 共有デバイスに個人用デバイス認証要件を適用すると、サインインの問題が発生します。
- パスワード ポリシーが原因でデバイスがサインアウトされます。
Teams デバイスで使用されるアカウントには、パスワードの有効期限ポリシーがあります。 共有デバイスで使用されるアカウントには、パスワードの有効期限が切れたときに更新して動作状態に復元する特定のユーザーがいません。 organizationでパスワードの有効期限が切れ、時折リセットされる必要がある場合、Teams 管理者がパスワードをリセットしてサインインするまで、これらのアカウントは Teams デバイスでの動作を停止します。
課題: アクセスに関しては。 デバイスの Teams には、ユーザーのアカウントにパスワードの有効期限ポリシーがあります。 パスワードの有効期限が切れると、パスワードが変更されます。 ただし、 共有デバイス (リソース アカウント) で使用されるアカウントは、必要に応じてパスワードを変更できる 1 人のユーザーに接続されていない可能性があります。 つまり、パスワードの有効期限が切れ、作業を再開する方法がわからない状態で、その場でワーカーを残すことができます。
organizationでパスワードのリセットが必要な場合、またはパスワードの有効期限が適用されている場合は、Teams 管理者がパスワードをリセットして、これらの共有アカウントがサインインできるように準備されていることを確認してください。
- 条件付きアクセス ポリシーのため、デバイスのサインインに失敗します。
課題: 共有デバイスは、ユーザー アカウントまたは個人用デバイスMicrosoft Entra条件付きアクセス ポリシーに準拠できません。 共有デバイスが条件付きアクセス ポリシーのユーザー アカウントまたは個人用デバイスとグループ化されている場合、サインインは 失敗します。
たとえば、Teams にアクセスするために多要素認証が必要な場合は、その認証を完了するためにコードのユーザー入力が必要です。 一般に、共有デバイスには、多要素認証を構成して完了できるユーザーが 1 人いません。 また、アカウントを X 日ごとに再認証する必要がある場合、共有デバイスはユーザーの介入なしにチャレンジを解決できません。
Teams での共有 Android デバイスの展開に関するベスト プラクティス
Microsoft では、organizationに Teams デバイスを展開するときに、次の設定をお勧めします。
リソース アカウントを使用し、パスワードの有効期限を縮めます
Teams 共有デバイスでは 、Exchange リソース メールボックスを使用する必要があります。 これらのメールボックスを作成すると、アカウントが自動的に生成されます。 これらのアカウントを Active Directory からMicrosoft Entra IDに同期するか、Microsoft Entra IDで直接作成できます。 ユーザーのパスワード有効期限ポリシーは、Teams 共有デバイスで使用されるアカウントにも適用されるため、パスワードの有効期限ポリシーによる中断を回避するために、共有デバイスのパスワード有効期限ポリシーを期限切れにならないように設定します。
Teams デバイス CY21 Update #1 (Teams バージョン 1449/1.0.94.2021022403 for Teams phone) と CY2021 Update #2 (Teams バージョン 1449/1.0.96.2021051904 for Microsoft Teams Rooms Android) 以降、テナント管理者は Teams デバイスにリモートでサインインできます。 テナント管理者は、デバイスを設定するために技術者とパスワードを共有する代わりに、リモート サインインを使用して検証コードを発行する必要があります。 これらのデバイスには、Teams 管理センターからサインインできます。
詳細については、「 Teams Android デバイスのリモート プロビジョニングとサインイン」を参照してください。
これらの条件付きアクセス ポリシーを確認する
Microsoft Entra条件付きアクセスは、サインインするためにデバイスが満たす必要があるその他の要件を設定します。 Teams デバイスの場合は、次のガイダンスを確認して、共有デバイス ユーザーが作業を行うことを許可するポリシーを作成したかどうかを確認します。
ヒント
条件付きアクセスの概要については、「 条件付きアクセスとは」を参照してください。
ヒント
名前付き場所を使用するか、共有デバイスをセキュリティで保護するために準拠しているデバイスを必要とします。
名前付き場所で場所ベースのアクセスを使用できます
共有デバイスが、IP アドレスの範囲で識別できる適切に定義された場所にプロビジョニングされている場合は、これらのデバイスの 名前付き場所 を使用して条件付きアクセスを構成できます。 この条件付きでは、これらのデバイスがネットワーク内にある場合にのみ、会社のリソースにアクセスできるようになります。
準拠している共有デバイスを必要としない場合とそうでない場合
注意
デバイスコンプライアンスには Intune ライセンスが必要です。
Intune に共有デバイスを登録する場合は、条件付きアクセスのコントロールとしてデバイス コンプライアンスを構成して、準拠しているデバイスのみが企業リソースにアクセスできるようにすることができます。 Teams デバイスは、デバイスのコンプライアンスに基づいて条件付きアクセス ポリシー用に構成できます。 詳細については、「条件付きアクセス: ハイブリッド参加済みデバイスの準拠またはMicrosoft Entraを要求する」を参照してください。
Intune を使用してデバイスのコンプライアンス設定を設定するには、「 コンプライアンス ポリシーを使用して Intune で管理するデバイスのルールを設定する」を参照してください。
注意
ホット デスクに使用されている共有デバイスは、コンプライアンス ポリシーから除外する必要があります。 コンプライアンス ポリシーは、デバイスがホット デスク ユーザー アカウントに登録されないようにします。 代わりに、名前付き場所を使用してこれらのデバイスをセキュリティで保護します。 セキュリティを強化するために、名前付き場所ポリシーに加えて、ホット デスク ユーザー/ユーザー アカウントに多要素認証を必要とすることもできます。
サインイン頻度条件から共有デバイスを除外する
条件付きアクセスでは、サインイン 頻度を構成 して、指定した期間が経過した後にユーザーがリソースに再度アクセスするように要求できます。 会議室アカウントにサインイン頻度が適用されている場合、共有デバイスは管理者によって再びサインインされるまでサインアウトします。Microsoft では、サインイン頻度ポリシーから共有デバイスを除外することをお勧めします。
デバイスにフィルターを使用する
デバイスのフィルターは、条件付きアクセスの機能であり、Microsoft Entra IDで使用できるデバイス プロパティに基づいてデバイスのより詳細なポリシーを構成できます。 デバイス オブジェクトに拡張属性 1 から 15 を設定し、それらを使用して、独自のカスタム値を使用することもできます。
デバイスのフィルターを使用して、共通領域デバイスを識別し、次の 2 つの主要なシナリオでポリシーを有効にします。
個人用デバイスに適用されるポリシーから共有デバイスを除外する。 たとえば、ホット デスクに使用される共有デバイスにはデバイスコンプライアンスの要求は 適用されません が、モデル番号に基づいて他のすべてのデバイスに 適用されます 。
個人用デバイスに適用 すべきではない 共有デバイスに対して特別なポリシーを適用する。 たとえば、これらのデバイスに設定した拡張属性 ("CommonAreaPhone" など) に基づいて、共通エリア デバイスに対してのみ名前付き場所をポリシーとして要求します。
注意
モデル、製造元、オペレーティングSystemVersion などの一部の属性は、デバイスが Intune によって管理されている場合にのみ設定できます。 デバイスが Intune によって管理されていない場合は、拡張機能属性を使用します。
Microsoft Teams Rooms使用状況レポート
レポート セクションのTeams Rooms Pro管理ポータルに、カメラのビデオの分単位や通話時間 (分) データなどの新機能が追加されました。 このデータを使用すると、ユーザーは各会議中にエンゲージメントを追跡し、それらのデータをより深く理解できます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示