Meilleures pratiques d’authentification pour les téléphones Teams
Les objectifs des appareils utilisés avec Teams sont de rendre nécessaires différentes stratégies de gestion des appareils. Par exemple, une tablette professionnelle personnelle utilisée par un seul vendeur a un ensemble de besoins différent d’un téléphone d’appel partagé par de nombreuses personnes du service clientèle. En outre, il existe différentes exigences pour un téléphone Teams qui n’est pas partagé avec d’autres personnes et un autre téléphone Teams utilisé comme téléphone de zone commune. Consultez Configurer des téléphones de zone commune pour Microsoft Teams.
Les administrateurs de sécurité et les équipes d’exploitation doivent planifier les appareils qui peuvent être utilisés dans le organization. Ils doivent implémenter les mesures de sécurité les mieux adaptées à chaque objectif. Les recommandations de cet article facilitent certaines de ces décisions.
Remarque
L’accès conditionnel nécessite un abonnement Microsoft Entra ID P1 ou P2.
Remarque
Les stratégies pour les appareils mobiles Android peuvent ne pas s’appliquer aux appareils Android Teams.
Les recommandations d’authentification sont différentes pour les appareils Android personnels et partagés
Les appareils Teams partagés tels que les téléphones Teams ne peuvent pas utiliser les mêmes exigences d’inscription et de conformité que celles utilisées sur les appareils personnels. L’application d’exigences d’authentification d’appareil personnel aux appareils partagés entraîne des problèmes de connexion.
Les appareils sont déconnectés en raison de stratégies de mot de passe.
Les comptes utilisés sur les téléphones Teams ont une stratégie d’expiration de mot de passe. Les comptes utilisés avec les appareils partagés n’ont pas d’utilisateur spécifique pour les mettre à jour et les restaurer à l’état opérationnel lorsque leurs mots de passe expirent. Si votre organization nécessite l’expiration et la réinitialisation occasionnelle des mots de passe, ces comptes cessent de fonctionner sur les appareils Teams jusqu’à ce qu’un administrateur Teams réinitialise le mot de passe et se reconnecte.
Défi : Quand il s’agit d’accéder. Teams à partir d’un appareil, le compte d’une personne a une stratégie d’expiration de mot de passe. Lorsque le mot de passe va expirer, ils le changent. Toutefois, les comptes utilisés sur les appareils partagés (comptes de ressources) peuvent ne pas être connectés à une seule personne qui peut modifier un mot de passe en fonction des besoins. Cela signifie qu’un mot de passe peut expirer et laisser les travailleurs sur place, sans savoir comment reprendre leur travail.
Lorsque votre organization nécessite une réinitialisation du mot de passe ou applique l’expiration du mot de passe, assurez-vous qu’un administrateur Teams est prêt à réinitialiser le mot de passe afin que ces comptes partagés puissent se reconnecter.
Les appareils ne parviennent pas à se connecter en raison de stratégies d’accès conditionnel.
Défi : Les appareils partagés ne peuvent pas se conformer aux stratégies d’accès conditionnel Microsoft Entra pour les comptes d’utilisateur ou les appareils personnels. Si les appareils partagés sont regroupés avec des comptes d’utilisateur ou des appareils personnels pour une stratégie d’accès conditionnel, la connexion échoue.
Par exemple, si l’authentification multifacteur est requise pour accéder à Teams, l’entrée utilisateur d’un code est nécessaire pour effectuer cette authentification. Les appareils partagés n’ont généralement pas un seul utilisateur capable de configurer et d’effectuer l’authentification multifacteur. En outre, si le compte doit se réauthentifier tous les X jours, un appareil partagé ne peut pas résoudre le problème sans l’intervention d’un utilisateur.
Meilleures pratiques pour le déploiement de téléphones Teams partagés
Microsoft recommande les paramètres suivants lors du déploiement de téléphones Teams dans votre organization.
Utiliser un compte de ressource et limiter l’expiration de son mot de passe
Les téléphones partagés Teams doivent utiliser un compte de ressource. Vous pouvez synchroniser ces comptes avec Microsoft Entra ID à partir d’Active Directory ou les créer directement dans Microsoft Entra ID. Toutes les stratégies d’expiration de mot de passe pour les utilisateurs s’appliquent également aux comptes utilisés sur les appareils partagés Teams. Par conséquent, pour éviter les interruptions provoquées par les stratégies d’expiration de mot de passe, définissez la stratégie d’expiration du mot de passe pour les appareils partagés pour ne jamais expirer.
Passer en revue ces stratégies d’accès conditionnel
Microsoft Entra l’accès conditionnel définit d’autres exigences que les appareils doivent respecter pour se connecter. Pour les téléphones Teams, passez en revue les conseils ci-dessous pour déterminer si vous avez créé les stratégies qui permettent aux utilisateurs d’appareils partagés d’effectuer leur travail.
Pourboire
Pour obtenir une vue d’ensemble de l’accès conditionnel, consultez Qu’est-ce que l’accès conditionnel ? Utilisez un emplacement nommé ou exigez un appareil conforme pour sécuriser les comptes de ressources d’appareil partagés.
Vous pouvez utiliser l’accès basé sur l’emplacement avec des emplacements nommés
Si les téléphones Teams partagés sont provisionnés dans un emplacement bien défini qui peut être identifié avec une plage d’adresses IP, vous pouvez configurer l’accès conditionnel à l’aide d’emplacements nommés pour ces appareils. Cette condition permet à ces appareils d’accéder à vos ressources d’entreprise uniquement lorsqu’ils se trouvent dans votre réseau.
Quand et quand ne pas exiger des appareils partagés conformes
Remarque
La conformité de l’appareil nécessite une licence Intune.
Lors de l’inscription d’appareils partagés dans Intune, vous pouvez configurer la conformité des appareils en tant que contrôle dans l’accès conditionnel afin que seuls les appareils conformes puissent accéder aux ressources de votre entreprise. Les téléphones Teams peuvent être configurés pour les stratégies d’accès conditionnel en fonction de la conformité des appareils. Pour plus d’informations, consultez Stratégie de conformité aOSP Gestion des appareils.
Remarque
Les appareils partagés utilisés pour la duplication à chaud doivent être exclus des stratégies de conformité. Les stratégies de conformité empêchent les appareils de s’inscrire dans le compte d’utilisateur hot desk. Utilisez plutôt des emplacements nommés pour sécuriser ces appareils. Pour renforcer la sécurité, vous pouvez également exiger l’authentification multifacteur pour les utilisateurs/comptes d’utilisateur à chaud en plus des stratégies d’emplacement nommées.
Exclure les appareils partagés des conditions de fréquence de connexion
Dans l’accès conditionnel, vous pouvez configurer la fréquence de connexion pour demander aux utilisateurs de se reconnecter pour accéder à une ressource après une période spécifiée. Si la fréquence de connexion est appliquée pour les comptes de ressources téléphoniques, les appareils partagés se déconnectent jusqu’à ce qu’ils soient à nouveau connectés par un administrateur. Microsoft recommande d’exclure les appareils partagés de toutes les stratégies de fréquence de connexion.
Utilisation de filtres pour les appareils
Filtres pour appareils est une fonctionnalité de l’accès conditionnel qui vous permet de configurer des stratégies plus précises pour les appareils en fonction des propriétés des appareils disponibles dans Microsoft Entra ID. Vous pouvez également utiliser vos propres valeurs personnalisées en définissant les attributs d’extension 1 à 15 sur l’objet d’appareil, puis en les utilisant.
Utilisez des filtres pour les appareils afin d’identifier vos appareils de zone commune et d’activer des stratégies dans deux scénarios clés :
Exclusion des appareils partagés des stratégies appliquées pour les appareils personnels. Par exemple, l’exigence de conformité des appareils n’est pas appliquée pour les appareils partagés utilisés pour le desking à chaud, mais est appliquée à tous les autres appareils, en fonction du numéro de modèle.
Application de stratégies spéciales sur des appareils partagés qui ne doivent pas être appliquées à des appareils personnels. Par exemple, exiger des emplacements nommés comme stratégie uniquement pour les appareils de zone commune en fonction d’un attribut d’extension que vous définissez pour ces appareils (par exemple : « CommonAreaPhone »).
Remarque
Certains attributs tels que model, manufacturer et operatingSystemVersion ne peuvent être définis que lorsque les appareils sont gérés par Intune. Si vos appareils ne sont pas gérés par Intune, utilisez les attributs d’extension.
Autorisation héritée teams
Les stratégies de configuration de mise à niveau Teams offrent un paramètre appelé BlockLegacyAuthorization qui, lorsqu’il est activé, empêche les téléphones Teams de se connecter aux services Teams. Pour en savoir plus sur cette stratégie, consultez Set-CsTeamsUpgradeConfiguration ou exécutez Get-CsTeamsUpgradeConfiguration pour case activée si BlockLegacyAuthorization est activé dans votre locataire.
Get-CsTeamsUpgradeConfiguration | fl BlockLegacyAuthorization