Условный доступ и соответствие Intune для Комнаты Microsoft Teams и панелей

В этой статье приводятся требования и рекомендации по условному доступу и Intune политик соответствия устройств для Комнаты Microsoft Teams в Windows, Комнаты Teams на Android и Панель Teams устройствах.

Требования

• Комнаты Teams созданных учетных записей ресурсов, дополнительные сведения см. в статье Создание учетных записей ресурсов для комнат и общих устройств Teams.
• Для использования условного доступа требуется план обслуживания Microsoft Entra ID P1. Он включен в лицензию на Комнаты Microsoft Teams или лицензию на общее устройство.

Рекомендации по условному доступу Комнаты Teams

Политики условного доступа могут защитить процесс входа на устройствах, которые находятся в общих пространствах. Общие сведения об условном доступе в Microsoft Entra ID см. в статье Что такое условный доступ в Microsoft Entra ID?.

При использовании условного доступа для защиты Комнаты Teams учитывайте следующие рекомендации.

• Включите все учетные записи ресурсов комнат Microsoft 365, связанные с Комнаты Teams, в одну Microsoft Entra ID группу пользователей.
• Используйте стандарт именования для всех учетных записей ресурсов Комнаты Teams. Например, имена учетных записей "[email protected]" и "[email protected]" начинаются с префикса "mtr-". При стандартизации имен учетных записей можно использовать динамические группы в Microsoft Entra ID для автоматического применения политик условного доступа ко всем этим учетным записям одновременно. Дополнительные сведения о динамических группах см. в разделе Правила для динамического членства в группах.
• Исключите учетные записи ресурсов Комнаты Teams из всех существующих политик условного доступа и создайте новую политику, относясь к учетным записям ресурсов.
• Не требуется интерактивная многофакторная проверка подлинности (MFA). Интерактивная MFA пользователей не поддерживается для учетных записей ресурсов Комнаты Teams, так как у учетных записей ресурсов нет второго устройства для утверждения запроса MFA.

Список поддерживаемых назначений условного доступа для Комнаты Teams см. в разделе Поддерживаемые политики условного доступа.

Пример политики условного доступа

В этом примере политика условного доступа работает следующим образом:

1. Вход в учетную запись должен быть членом определенной группы пользователей, в данном примере — группы "Общие устройства".
2. Вход в учетную запись должен только пытаться получить доступ к Office 365, Office 365 Exchange Online, Службам Microsoft Teams и Microsoft 365 SharePoint Online. Попытки входа в любое другое клиентское приложение отклоняются.
3. Метод проверки подлинности должен быть современным. Устаревшие механизмы проверки подлинности должны быть заблокированы.
4. Учетная запись ресурса должна выполнять вход на платформе устройств Windows или Android.
5. Учетная запись ресурса также должна войти из известного надежного расположения.
6. Учетная запись ресурса должна выполнять вход с соответствующего устройства.

Если эти условия выполнены успешно и устройство имеет правильное имя пользователя и пароль, учетная запись ресурса входит в Teams.

соответствие Intune для Комнаты Teams

Требования к соответствию — это определенные правила, которым должны соответствовать устройства, чтобы они были помечены как соответствующие требованиям, например минимальная версия операционной системы. Соответствие устройств можно использовать в качестве условия условного доступа, прежде чем учетная запись ресурса сможет войти в систему.

Список поддерживаемых политик соответствия Intune для Комнаты Teams см. в разделе Поддерживаемые политики соответствия устройств.

Пример политики соответствия Intune для Комнаты Teams в Windows

1. Требовать, чтобы брандмауэр работал на Комнаты Teams в Windows.
2. Требуется минимальная версия операционной системы.
3. Требовать, чтобы Microsoft Defender выполнялись на Комнаты Teams.

Эта политика соответствия требованиям должна быть назначена Комнаты Teams устройствам и учетным записям ресурсов Комнаты Teams. Если устройство не соответствует этим требованиям, оно не будет помечено как соответствующее.

Пример политики соответствия Intune для Комнаты Teams на панелях Android и Teams

1. Минимальная версия операционной системы больше Android 10.
2. Блокировать устройства с привилегированным доступом.
3. Требование шифрования хранилища данных на устройстве

Эта политика соответствия требованиям должна быть назначена Комнаты Teams устройствам и учетным записям ресурсов Комнаты Teams. Если устройство не соответствует этим требованиям, оно не будет помечено как соответствующее.