Android デバイスでの Teams 共有デバイス管理の認証のベスト プラクティス
Teams で使用されるデバイスの目標により、さまざまなデバイス管理戦略が必要になります。 たとえば、1 人の営業担当者が使用する個人用ビジネス タブレットには、多くの顧客サービス担当者が共有する電話とは異なる一連のニーズがあります。
セキュリティ管理者と運用チームは、組織内で使用できるデバイスを計画する必要があります。 各目的に最適な セキュリティ 対策を実装する必要があります。 この記事の推奨事項は、これらの決定の一部を容易にします。
注意
条件付きアクセスには、Azure Active Directory (Azure AD) Premium サブスクリプションが必要です。
注意
Android モバイル デバイスのポリシーは、Teams Android デバイスには適用されない場合があります。
認証に関する推奨事項は、個人用デバイスと共有 Android デバイスでは異なります
共有 Teams デバイスでは、個人用デバイスで使用されるのと同じ要件を登録とコンプライアンスに使用することはできません。 個人用デバイス認証要件を共有デバイスに適用すると、サインインの問題が発生します。
- デバイスは、パスワード ポリシーが原因でサインアウトされます。
Teams デバイスで使用されるアカウントには、パスワード有効期限ポリシーがあります。 共有デバイスで使用されるアカウントには、パスワードの有効期限が切れたときに、それらを更新して動作状態に復元する特定のユーザーがいません。 組織でパスワードの期限切れとリセットが必要な場合、Teams 管理者がパスワードをリセットしてサインインし直すまで、これらのアカウントは Teams デバイスでの作業を停止します。
課題: アクセスする場合。 デバイスの Teams、ユーザーのアカウントにはパスワード有効期限ポリシーがあります。 パスワードの有効期限が切れると、パスワードは単に変更されます。 ただし、 共有デバイス (リソース アカウント) で使用されるアカウントは、必要に応じてパスワードを変更できる 1 人のユーザーに接続できない場合があります。 つまり、パスワードは期限切れになり、その場でワーカーを残すことができます。作業を再開する方法がわかりません。
組織でパスワードのリセットが必要な場合、またはパスワードの有効期限を適用する場合は、Teams 管理者がパスワードをリセットして、これらの共有アカウントがサインインできるように準備されていることを確認します。
- 条件付きアクセス ポリシーが原因で、デバイスのサインインに失敗します。
課題: 共有デバイスは、ユーザー アカウントまたは個人用デバイスの Azure AD 条件付きアクセス ポリシーに準拠できません。 共有デバイスが条件付きアクセス ポリシーのユーザー アカウントまたは個人用デバイスでグループ化されている場合、サインインは 失敗 します。
たとえば、Teams にアクセスするために多要素認証が必要な場合、その認証を完了するにはコードのユーザー入力が必要です。 共有デバイスには、一般に、多要素認証を構成して完了できるユーザーは 1 人もいません。 また、アカウントが X 日ごとに再認証する必要がある場合、共有デバイスはユーザーの介入なしに課題を解決できません。
多要素認証は、共有デバイスではサポートされていません。 代わりに使用するメソッドの概要を以下に示します。
Teams で共有 Android デバイスを展開するためのベスト プラクティス
Microsoft では、組織内に Teams デバイスを展開するときに、次の設定をお勧めします。
リソース アカウントを使用し、パスワードの有効期限を制限する
Teams 共有デバイスでは 、Exchange リソース メールボックスを使用する必要があります。 これらのメールボックスを作成すると、アカウントが自動的に生成されます。 これらのアカウントは、Active Directory から Azure AD に同期することも、Azure AD で直接作成することもできます。 ユーザーのパスワード有効期限ポリシーは、Teams 共有デバイスで使用されるアカウントにも適用されるため、パスワードの有効期限ポリシーによる中断を回避するために、共有デバイスのパスワード有効期限ポリシーを無期限に設定します。
Teams デバイス CY21 Update #1 (Teams Phone 用 Teams バージョン 1449/1.0.94.2021022403) と CY2021 Update #2 (Teams バージョン 1449/1.0.96.2021051904 for Microsoft Teams Rooms on Android) 以降、テナント管理者は Teams デバイスにリモートでサインインできます。 テナント管理者は、デバイスを設定するために技術者とパスワードを共有する代わりに、リモート サインインを使用して検証コードを発行する必要があります。 これらのデバイスのサインインは、Teams 管理センターから行うことができます。
詳細については、「 Teams Android デバイスのリモート プロビジョニングとサインイン」を参照してください。
条件付きアクセス ポリシーを確認する
Azure AD 条件付きアクセスは、サインインするためにデバイスが満たす必要がある追加の要件を設定します。 Teams デバイスの場合は、次のガイダンスを確認して、共有デバイス ユーザーが作業を行えるようにするポリシーを作成したかどうかを確認します。
ヒント
条件付きアクセスの概要については、「 条件付きアクセスとは」を参照してください。
共有デバイスに多要素認証を使用しない
共有デバイスのアカウントは、エンド ユーザー アカウントではなく、会議室または物理空間にリンクされます。 共有デバイスは多要素認証をサポートしていないため、多要素認証ポリシーから共有デバイスを除外します。
ヒント
共有デバイスをセキュリティで保護するには 、名前付きの場所 を使用するか 、準拠しているデバイスを必要と します。
名前付き場所で場所ベースのアクセスを使用できます
共有デバイスが、IP アドレスの範囲で識別できる明確に定義された場所にプロビジョニングされている場合は、これらのデバイスの 名前付き場所 を使用して条件付きアクセスを構成できます。 この条件により、これらのデバイスは、ネットワーク内にある場合にのみ、企業リソースにアクセスできるようになります。
準拠している共有デバイスを必要としない場合とタイミング
注意
デバイス コンプライアンスには、Intune ライセンスが必要です。
共有デバイスをIntuneに登録する場合は、コンプライアンスに準拠しているデバイスのみが会社のリソースにアクセスできるように、条件付きアクセスのコントロールとしてデバイスコンプライアンスを構成できます。 Teams デバイスは、デバイスコンプライアンスに基づいて条件付きアクセス ポリシー用に構成できます。 詳細については、「 条件付きアクセス: 準拠またはハイブリッドの Azure AD 参加済みデバイスを必要とする」を参照してください。
Intuneを使用してデバイスのコンプライアンス設定を設定するには、「コンプライアンス ポリシーを使用して、Intuneで管理するデバイスのルールを設定する」を参照してください。
注意
ホット デスク に使用されている共有デバイスは、コンプライアンス ポリシーから除外する必要があります。 コンプライアンス ポリシーは、デバイスがホット デスク ユーザー アカウントに登録されないようにします。 代わりに、名前付き場所を使用して、これらのデバイスをセキュリティで保護します。 セキュリティを強化するために、名前付き場所ポリシーに加えて 、ホット デスクユーザー/ユーザー アカウント に 多要素認証を要求することもできます。
サインイン頻度条件から共有デバイスを除外する
条件付きアクセスでは、ユーザーが指定した期間後にリソースにアクセスするためにもう一度サインインするようにサインイン 頻度を構成 できます。 ルーム アカウントに対してサインイン頻度が適用されている場合、共有デバイスは管理者が再度サインインするまでサインアウトします。Microsoft では、サインイン頻度ポリシーから共有デバイスを除外することをお勧めします。
デバイスにフィルターを使用する
デバイスのフィルター は条件付きアクセスの機能であり、Azure AD で使用可能なデバイスのプロパティに基づいて、デバイスのより詳細なポリシーを構成できます。 また、デバイス オブジェクトに拡張属性 1 ~ 15 を設定し、それらを使用して、独自のカスタム値を使用することもできます。
デバイスのフィルターを使用して共通領域デバイスを識別し、2 つの主要なシナリオでポリシーを有効にします。
個人用デバイスに適用されたポリシーから共有デバイスを除外する。 たとえば、ホット デスクに使用される共有デバイスにはデバイス コンプライアンスの要求は 適用されません が、モデル番号に基づいて他のすべてのデバイスに 適用されます 。
個人用デバイスに適用 すべきでない 共有デバイスに対して特別なポリシーを適用する。 たとえば、これらのデバイスに設定した拡張属性に基づいて、共通領域デバイスに対してのみ名前付き場所をポリシーとして要求します (例: "CommonAreaPhone")。
注意
モデル、製造元、operatingSystemVersion などの一部の属性は、デバイスがIntuneによって管理されている場合にのみ設定できます。 デバイスがIntuneによって管理されていない場合は、拡張機能属性を使用します。