Microsoft Teams Roomsの条件付きアクセスと Intune コンプライアンス

この記事では、共有スペースで使用されるMicrosoft Teams Roomsの条件付きアクセスと Intune デバイスコンプライアンスポリシーの要件とベストプラクティスについて説明します。

注意

Teams Rooms デバイスでこの機能を使用するには、デバイスにMicrosoft Teams Rooms Pro ライセンスを割り当てる必要があります。詳細については、「Microsoft Teams Rooms ライセンス」を参照してください。

要件

Teams Roomsは、条件付きアクセスポリシーを割り当てるデバイスに既にデプロイされている必要があります。まだTeams Rooms展開していない場合は、「会議室と共有 Teams デバイスのリソースアカウントを作成する」および「Android にMicrosoft Teams Roomsをデプロイする」を参照してください。

条件付きアクセスを使用するには、Microsoft Entra ID P1 サービスプランが必要です。 Microsoft Teams Rooms ライセンスに含まれています。

条件付きアクセスポリシーを使用すると、共有スペース内にあり、複数のユーザーが使用するデバイスでサインインプロセスをセキュリティで保護できます。 Microsoft Entra IDの条件付きアクセスの概要については、「Microsoft Entra IDの条件付きアクセスとは」を参照してください。

条件付きアクセスを使用してTeams Roomsをセキュリティで保護する場合は、次のベストプラクティスを検討してください。

展開と管理を簡略化するには、Teams Roomsに関連付けられているすべての Microsoft 365 会議室リソースアカウントを 1 つのユーザーグループに含めます。
すべてのTeams Roomsリソースアカウントの名前付け標準があります。たとえば、アカウント名 '' と 'mtr-room1@contoso.commtr-room2@contoso.com' はどちらもプレフィックス 'mtr-' で始まります。アカウント名が標準化されている場合は、Microsoft Entra IDの動的グループを使用して、これらのすべてのアカウントに条件付きアクセスポリシーを自動的に一度に適用できます。動的グループの詳細については、「動的に設定されたグループメンバーシップのルール」を参照してください。

Teams Roomsでサポートされている条件付きアクセス割り当ての一覧については、「サポートされている条件付きアクセスポリシー」を参照してください。

次の例では、条件付きアクセスポリシーは次のように機能します。

アカウントのサインインは、特定のユーザーグループのメンバーである必要があります。この例では、"共有デバイス" グループです。
アカウントサインインは、Exchange Online、Microsoft Teams、SharePoint Online、または Microsoft Whiteboard Services にのみアクセスしようとしている必要があります。他のクライアントアプリへのサインインは拒否されます。
リソースアカウントは、Windows デバイスプラットフォームでサインインしている必要があります。
リソースアカウントは、既知の信頼できる場所からサインインする必要もあります。

これらの条件が正常に満たされ、ユーザーが正しいユーザー名とパスワードを入力すると、リソースアカウントは Teams にサインインします。

コンプライアンス要件は、オペレーティングシステムの最小バージョンなど、デバイスが準拠としてマークするために満たす必要がある規則を定義します。デバイスは、リソースアカウントへのサインインに使用する前に、準拠と見なす必要があります。

Teams Roomsでサポートされている Intune コンプライアンスポリシーの一覧については、「サポートされているデバイスコンプライアンスポリシー」を参照してください。

Teams Android デバイスを使用して Intune を設定する方法の詳細については、「Teams Android ベースのデバイスを登録するように Intune を構成する」を参照してください。

この例では、Windows でのTeams Rooms

このコンプライアンスポリシーは、Teams リソースアカウントだけでなく、すべてのユーザーに適用されます。