Android 设备上的 Teams 共享设备管理的身份验证最佳做法
与 Teams 一起使用的设备的目标需要不同的设备管理策略。 例如,单个销售人员使用的个人商务平板电脑与许多客户服务人员共享的电话有不同的需求集。
安全管理员和运营团队必须规划可在组织中使用的设备。 他们必须实施最适合每种用途的 安全措施 。 本文的建议使其中一些决策更容易。
注意
条件访问需要Microsoft Entra ID P1 或 P2 订阅。
注意
适用于 Android 移动设备的策略可能不适用于 Teams Android 设备。
个人与共享 Android 设备的身份验证建议不同
共享 Teams 设备不能使用与个人设备上相同的注册和合规性要求。 将个人设备身份验证要求应用于共享设备会导致登录问题。
- 设备因密码策略而注销。
Teams 设备上使用的帐户具有密码过期策略。 与共享设备一起使用的帐户没有特定用户在其密码过期时更新和还原到工作状态。 如果你的组织要求密码偶尔过期并重置,这些帐户将停止在 Teams 设备上工作,直到 Teams 管理员重置密码并重新登录。
挑战:在访问方面。 来自设备的 Teams、用户的帐户具有密码过期策略。 密码过期时,会对其进行更改。 但共享 设备上 使用的帐户 (资源帐户) 可能无法连接到可根据需要更改密码的单个人员。 这意味着密码可能会过期,并让工作人员当场离开,不知道如何恢复工作。
当组织需要密码重置或强制密码过期时,请确保 Teams 管理员已准备好重置密码,以便这些共享帐户可以重新登录。
- 由于条件访问策略,设备无法登录。
挑战:共享设备不符合用户帐户或个人设备Microsoft Entra条件访问策略。 如果共享设备与条件访问策略的用户帐户或个人设备分组,则登录将 失败。
例如,如果访问 Teams 需要多重身份验证,则需要用户输入代码才能完成该身份验证。 共享设备通常没有一个可以配置和完成多重身份验证的用户。 此外,如果帐户必须每隔 X 天重新进行身份验证,则共享设备无法在没有用户干预的情况下解决质询。
使用 Teams 部署共享 Android 设备的最佳做法
在组织中部署 Teams 设备时,Microsoft 建议使用以下设置。
使用资源帐户并限制其密码过期时间
Teams 共享设备应使用 Exchange 资源邮箱。 创建这些邮箱会自动生成一个帐户。 可以将这些帐户同步到 Active Directory 中的Microsoft Entra ID,也可以直接在 Microsoft Entra ID 中创建这些帐户。 用户的任何密码过期策略也将应用于 Teams 共享设备上使用的帐户,因此,为了避免密码过期策略导致的中断,请将共享设备的密码过期策略设置为永不过期。
从 Teams 设备 CY21 更新 #1 (Teams 版本 1449/1.0.94.2021022403 开始,适用于 Teams 手机) 和 CY2021 更新 #2 (Teams 版本 1449/1.0.96.2021051904,适用于 Android) 上的Microsoft Teams 会议室,租户管理员可以远程登录到 Teams 设备。 租户管理员应使用远程登录来颁发验证码,而不是与技术人员共享密码来设置设备。 可以从 Teams 管理中心登录到这些设备。
有关详细信息,请参阅 Teams Android 设备的远程预配和登录。
查看这些条件访问策略
Microsoft Entra条件访问设置设备登录必须满足的其他要求。 对于 Teams 设备,请查看以下指南,以确定你是否创作了允许共享设备用户完成其工作的策略。
提示
有关条件访问的概述,请参阅 什么是条件访问?
可以将基于位置的访问与命名位置配合使用
如果在可使用一系列 IP 地址标识的明确定义的位置中预配共享设备,则可以使用这些设备的 命名位置 配置条件访问。 此条件将仅允许这些设备在网络中访问公司资源。
何时以及何时不需要合规的共享设备
注意
设备符合性需要 Intune 许可证。
如果要将共享设备注册到 Intune,则可以在条件访问中将设备符合性配置为控件,以便只有合规设备才能访问公司资源。 可以根据设备符合性为条件访问策略配置 Teams 设备。 有关详细信息,请参阅条件访问:要求合规或Microsoft Entra混合联接设备。
若要使用 Intune 为设备设置符合性设置,请参阅 使用符合性策略为使用 Intune 管理的设备设置规则。
注意
应从合规性策略中排除用于 热桌面的 共享设备。 合规性策略可防止设备注册到桌面用户帐户。 请改用命名位置来保护这些设备。 为了提高安全性,除了命名位置策略外,还可以要求对热桌面用户/用户帐户进行多重身份验证。
从登录频率条件中排除共享设备
在条件访问中,可以 配置登录频率 ,以要求用户在指定时间段后再次登录才能访问资源。 如果对会议室帐户强制使用登录频率,则共享设备将注销,直到管理员再次登录。Microsoft 建议从任何登录频率策略中排除共享设备。
对设备使用筛选器
设备筛选器是条件访问中的一项功能,可用于根据Microsoft Entra ID中可用的设备属性为设备配置更精细的策略。 还可以通过在设备对象上设置扩展属性 1-15,然后使用这些属性来使用自己的自定义值。
使用设备的筛选器来识别常见区域设备,并在两个关键方案中启用策略:
从应用于个人设备的策略中排除共享设备。 例如,对于用于热桌面的共享设备 ,不会强制 要求设备符合性,而是根据型号对所有其他设备 强制要求 设备符合性。
在 不应 应用于个人设备的共享设备上强制实施特殊策略。 例如,基于为这些设备设置的扩展属性,仅要求将命名位置作为策略, (例如:“CommonAreaPhone”) 。
注意
某些属性(例如 model、 manufacturer 和 operatingSystemVersion )只能在由 Intune 管理设备时设置。 如果设备不是由 Intune 管理,请使用扩展属性。
Microsoft Teams 会议室使用情况报告
新功能(如相机视频分钟数和通话分钟数数据)已添加到报表部分中的Teams 会议室专业版管理门户。 此数据允许用户在每次会议期间跟踪参与情况,并更好地了解这些数据。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈