Условный доступ и соответствие Intune для Комнаты Microsoft Teams и панелей

В этой статье приводятся требования и рекомендации по условному доступу и Intune политик соответствия устройств для Комнаты Microsoft Teams в Windows, Комнаты Teams на Android и Панель Teams устройствах.

Примечание.

Чтобы использовать эту функцию с Комнаты Teams устройством, необходимо назначить этому устройству лицензию Комнаты Microsoft Teams Pro. Дополнительные сведения см. в разделе лицензии на Комнаты Microsoft Teams.

Требования

Рекомендации по условному доступу Комнаты Teams

Политики условного доступа могут защитить процесс входа на устройствах, которые находятся в общих пространствах. Общие сведения об условном доступе в Microsoft Entra ID см. в статье Что такое условный доступ в Microsoft Entra ID?.

При использовании условного доступа для защиты Комнаты Teams учитывайте следующие рекомендации.

  • Включите все учетные записи ресурсов комнат Microsoft 365, связанные с Комнаты Teams, в одну Microsoft Entra ID группу пользователей.
  • Используйте стандарт именования для всех учетных записей ресурсов Комнаты Teams. Например, имена учетных записей "mtr-room1@contoso.com" и "mtr-room2@contoso.com" начинаются с префикса "mtr-". При стандартизации имен учетных записей можно использовать динамические группы в Microsoft Entra ID для автоматического применения политик условного доступа ко всем этим учетным записям одновременно. Дополнительные сведения о динамических группах см. в разделе Правила для динамического членства в группах.
  • Исключите учетные записи ресурсов Комнаты Teams из всех существующих политик условного доступа и создайте новую политику, относясь к учетным записям ресурсов.
  • Не требуется интерактивная многофакторная проверка подлинности (MFA). Интерактивная MFA пользователей не поддерживается для учетных записей ресурсов Комнаты Teams, так как у учетных записей ресурсов нет второго устройства для утверждения запроса MFA. Следует использовать альтернативные методы многофакторной проверки подлинности для устройств без пользователей, которые удовлетворяют по крайней мере двум из этих факторов: то, что вы являетесь, то, что вы знаете, и то, что у вас есть.
  • Учетные записи ресурсов устройств Teams следует исключить из политик, требующих выполнения действий во время входа, таких как интерактивная MFA пользователя или добавление методов проверки подлинности с самостоятельным сбросом пароля. Запрос на регистрацию не поддерживается на устройствах Teams и блокирует вход.
  • Для личных учетных записей конечных пользователей, выполняющих вход на устройство Teams, убедитесь, что на рабочей станции или мобильном устройстве настроены другие методы проверки подлинности, прежде чем пытаться выполнить вход на устройстве Teams.
  • Для устройств Teams Android имя производителя и модель устройства передаются в условный доступ в поле Отображаемое имя при первоначальном входе. Его можно использовать для фильтрации и разрешения или запрета входа для определенных моделей устройств.

Список поддерживаемых назначений условного доступа для Комнаты Teams см. в разделе Поддерживаемые политики условного доступа.

Пример политики условного доступа

В этом примере политика условного доступа работает следующим образом:

  1. Вход в учетную запись должен быть членом определенной группы пользователей, в данном примере — группы "Общие устройства".
  2. Вход в учетную запись должен только пытаться получить доступ к Office 365, Office 365 Exchange Online, Службам Microsoft Teams и Microsoft 365 SharePoint Online. Попытки входа в любое другое клиентское приложение отклоняются.
  3. Метод проверки подлинности должен быть современным. Устаревшие механизмы проверки подлинности должны быть заблокированы.
  4. Учетная запись ресурса должна выполнять вход на платформе устройств Windows или Android.
  5. Учетная запись ресурса также должна войти из известного надежного расположения.
  6. Учетная запись ресурса должна выполнять вход с соответствующего устройства.

Если эти условия выполнены успешно и устройство имеет правильное имя пользователя и пароль, учетная запись ресурса входит в Teams.

соответствие Intune для Комнаты Teams

Требования к соответствию — это определенные правила, которым должны соответствовать устройства, чтобы они были помечены как соответствующие требованиям, например минимальная версия операционной системы. Соответствие устройств можно использовать в качестве условия условного доступа, прежде чем учетная запись ресурса сможет войти в систему.

Список поддерживаемых политик соответствия Intune для Комнаты Teams см. в разделе Поддерживаемые политики соответствия устройств.

Пример политики соответствия Intune для Комнаты Teams в Windows

  1. Требовать, чтобы брандмауэр работал на Комнаты Teams в Windows.
  2. Требуется минимальная версия операционной системы.
  3. Требовать, чтобы Microsoft Defender выполнялись на Комнаты Teams.

Эта политика соответствия требованиям должна быть назначена Комнаты Teams устройствам и учетным записям ресурсов Комнаты Teams. Если устройство не соответствует этим требованиям, оно будет помечено как несоответствующее.

Пример политики соответствия Intune для Комнаты Teams на панелях Android и Teams

  1. Минимальная версия операционной системы больше Android 10.
  2. Блокировать устройства с привилегированным доступом.
  3. Требование шифрования хранилища данных на устройстве

Эта политика соответствия требованиям должна быть назначена Комнаты Teams устройствам и учетным записям ресурсов Комнаты Teams. Если устройство не соответствует этим требованиям, оно будет помечено как несоответствующее.