Dieser Artikel soll einige häufig gestellte Fragen beantworten und bietet allgemeine Ratschläge, ersetzt aber nicht die vollständigen Empfehlungen von Experten. Lambert Consulting.
Teams Rooms Systems (TRS) oder Skype Room Systems (SRS) können bei Intune angemeldet und verwaltet werden, um zahlreiche Funktionen zur Geräteverwaltung und Sicherheit bereitzustellen, die auch anderen verwalteten Endpunkten in Intune zur Verfügung stehen. Da diese Geräte Windows 10 unter der Haube ausführen, werden viele der Funktionen von Windows 10 verfügbar sein, aber viele werden nicht anwendbar oder empfehlenswert sein.
Wir haben diesen Artikel nach Perimetern von Funktionen unterteilt, die um Intune verwaltet werden.
Einrollen
Windows 10 Configuration Profiles
Compliance Policies
Conditional Access
App Management
Gruppen und Zielgruppen
Einrollen
Die auf Windows 10 basierenden Geräte Teams stammen von Anbietern, die mit einem Betriebssystemabbild, Benutzerkonten und vorkonfigurierten Profilen vorbereitet sind. Die Anmeldung bei Windows mit dem Administratorprofil und die Durchführung des Azure AD Join aus den Einstellungen ermöglicht eine reibungslose Anmeldung/Einführung in Intune. Die zusätzliche Empfehlung, ein Konto Intune Device Enrollment Manager (DEM) zu verwenden, ist darauf zurückzuführen, dass es sich bei diesen Room Systems-Geräten um gemeinsam genutzte Geräte handelt und nicht um solche, die eine User-Device-Zuordnung in Intune haben. DEM-Konten werden für Szenarien mit gemeinsam genutzten Geräten verwendet. WEITERE INFORMATIONEN zu DEM-Konten finden Sie hier - https://docs.microsoft.com/intune /enrollment/device-enrollment-manager-enroll .
HINWEIS: Für Automatic Enrollment ist eine Lizenz für Azure AD Premium erforderlich.
Je nach Ihrem derzeitigen Szenario stehen Ihnen mehrere andere Anmeldeoptionen zur Verfügung, z. B:
Verwenden Sie den Windows Configuration Designer, um ein Provisioning-Paket Windows 10 zu erstellen, das einen Azure AD Bulk-Join durchführt. Die Details finden Sie hier: https: //docs.microsoft.com/windows/client-management/mdm/bulk-enrollment-using-windows-provisioning -...
Kunden, deren bestimmte Gerätebereiche beigefügt sind und / oder verwaltet werden von Configuration Manager können wählen, ob sie die Mitbestimmung (klicken Sie hier, um mehr über co-management zu erfahren ) oder eine Anmeldung Intune über die Group Policy-Einstellung "Enable Automatic MDM enrollment using default Azure AD credentials" initiieren.
Windows 10 Configuration Policy
Empfehlung: Verwenden Sie Konfigurationsprofile unter Windows , um Geräteeinstellungen zu konfigurieren, die Sie über die vorgegebenen Standardwerte hinaus ändern müssen.
Weitere Informationen zu den Konfigurationsrichtlinien finden Sie hier: https://docs.microsoft.com/intune/configuration/device-profile-create
Compliance Policies
Empfehlung: Verwenden Sie Compliance-Richtlinien, um das gewünschte Sicherheitsniveau für Ihre TRS zu erreichen.
Sie können Compliance-Richtlinien auf den Geräten in Ihrem Besprechungsraum verwenden. Sie müssen darauf achten, dass Sie für alle bestehenden Windows 10 Compliance-Richtlinien, die derzeit in Ihrer Organisation eingesetzt werden, die entsprechenden Ausschlüsse auf "Alle Geräte" erstellen. Beispielsweise haben Sie vielleicht die Einstellung "Maximale Anzahl von Minuten der Inaktivität, bevor ein Passwort erforderlich ist" in einer Richtlinie für alle Desktop-Geräte Windows 10 konfiguriert, aber dies würde zu einem schlechten Besprechungsraumerlebnis führen, wenn sie auf Teams Rooms Systems angewendet würde. Wenn Sie derzeit über Compliance-Richtlinien Windows 10 verfügen, die auf großen Gruppen von Geräten eingesetzt werden, stellen Sie sicher, dass Sie die Funktion "Gruppe ausschließen" verwenden, damit Sie eine spezifischere Compliance-Richtlinie für Besprechungsraumgeräte anvisieren können.
In diesem Dokument werden die Compliance-Richtlinien näher erläutert: https://docs.microsoft.com/en-us/intune/protect/device-compliance-get-started.
Conditional Access
Sie können mit den Geräten Teams Rooms SystemsZugangsberechtigungsrichtlinien verwenden. Microsoft Teams stellt eine Verbindung zu den Diensten cloud SharePoint Online und Exchange Online her. Wenn Sie über eine bestehende Zugangsberechtigungsrichtlinie verfügen, die den Zugriff auf die Dienste cloud Exchange Online und SharePoint Online für die Benutzer in Ihrer Organisation schützt, sollten Sie darauf achten, das Ressourcenkonto Teams (das für die Anmeldung bei der Anwendung Teams verwendet wird) auszuschließen, oder erstellen Sie eine Gruppe, die alle Ressourcenkonten enthält, und zielen Sie auf eine spezifischere und angemessenere Zugangsberechtigungsrichtlinie ab. Da sich beispielsweise Besprechungsraumgeräte immer vom selben Standort aus mit diesen Diensten verbinden, kann eine standortbasierte Zertifizierungsstellenregel in Kombination mit einer Regel für die Gerätekonformität angemessener sein.
HINWEIS: Zur Erinnerung: Die Zugangskontrolle ist eine Funktion von Azure Active Directory Premium (P1).
App Management
Empfehlung: Verwenden Sie den Einsatz der Win32-Anwendung, um zusätzliche Agenten zu installieren, die von Ihrer Organisation benötigt werden.
Konferenzraumgeräte, die auf Windows 10 basieren, kommen in der Regel mit den richtigen vorinstallierten Anwendungen. In größeren Unternehmen müssen die Administratoren IT jedoch ein Anwendungspaket installieren oder Anwendungsaktualisierungen bereitstellen. Alle Anwendungen, die bereitgestellt werden, müssen als "erforderlich" bereitgestellt werden. "Verfügbare" Anwendungen erfordern die zusätzliche Installation der Enterprise Portal-Anwendung, was im Falle von Konferenzraumgeräten nicht empfohlen wird Teams. Sie werden auch sicherstellen wollen, dass alle Anwendungen im Kontext des Geräts installiert werden (damit sie für alle Profile zugänglich sind Windows).
Grouping und Targeting
Eine gute Idee ist es, die dynamischen Gruppen Azure AD zu verwenden, um alle Ihre Teams Rooms Systems effizient zusammenzufassen. Eine der besten Möglichkeiten, dies zu erreichen, ist die Verwendung eines Benennungsstandards bei der Bereitstellung/Registrierung. Denken Sie daran, dass die dynamischen Gruppen Azure AD eine Funktion AAD P1 sind.