Questo articolo intende rispondere ad alcune domande comuni e fornire consigli generali, ma non sostituisce le raccomandazioni complete degli esperti. Lambert Consulting.
I sistemi di sale Teams (TRS) o i sistemi di sale Skype (SRS) possono essere registrati e gestiti da Intune per fornire molte delle funzioni di gestione dei dispositivi e di sicurezza disponibili per altri endpoint gestiti in Intune. Poiché questi dispositivi eseguono Windows 10 sotto il cofano, molte delle funzioni di Windows 10 saranno disponibili, ma molte non saranno applicabili o consigliate.
Abbiamo suddiviso questo articolo in base all'ambito delle funzionalità gestite da Intune.
Iscrizione
Windows 10 Profili di configurazione
Politiche di conformità
Conditional Access
Gestione delle app
Gruppo e target

Iscrizione
I dispositivi Teams basati su Windows 10 vengono forniti dai fornitori con un'immagine del sistema operativo, account utente e profili preconfigurati. L'accesso a Windows con il profilo di amministratore e l'esecuzione del join Azure AD dalle impostazioni consente un'iscrizione/registrazione senza problemi in Intune. L'ulteriore raccomandazione di utilizzare un account Intune Device Enrollment Manager (DEM) è dovuta al fatto che questi dispositivi Room Systems sono dispositivi condivisi piuttosto che dispositivi con associazione utente-dispositivo in Intune. Gli account DEM sono utilizzati per gli scenari di dispositivi condivisi. Per saperne di più sugli account DEM, consultare https://docs.microsoft.com/intune /enrollment/device-enrollment-manager-enroll .
NOTA: L'iscrizione automatica richiede una licenza Azure AD Premium.
A seconda dello scenario attuale, sono disponibili diverse altre opzioni di iscrizione, tra cui
Usare il Configuration Designer Windows per creare un pacchetto di provisioning Windows 10 che esegue un join di blocco Azure AD . I dettagli sono qui: https: //docs.microsoft.com/windows/client-management/mdm/bulk-enrollment-using-windows-provisioning-...
I clienti i cui domini di dispositivi sono uniti e/o gestiti da Configuration Manager può scegliere di attivare il cogestione (clicca per maggiori informazioni su co-management) o avviare l'iscrizione Intune tramite l'impostazione dei Criteri di gruppo "Abilita iscrizione automatica MDM utilizzando le credenziali predefinite Azure AD ".
Windows 10 Politica di configurazione
Raccomandazione: utilizzare i profili di configurazione Windows per configurare le impostazioni del dispositivo che devono essere modificate oltre i valori predefiniti.
Per saperne di più sui criteri di configurazione disponibili qui: https://docs.microsoft.com/intune/configuration/device-profile-create
Politiche di conformità
Raccomandazione: Utilizzate le strategie di conformità per raggiungere il livello di sicurezza desiderato per il vostro TRS.
È possibile utilizzare i criteri di conformità sui dispositivi della sala riunioni. È necessario creare esclusioni appropriate per i criteri di conformità Windows 10 esistenti e attualmente distribuiti nell'organizzazione su "Tutti i dispositivi". Ad esempio, è possibile che in un criterio sia stata impostata l'impostazione "Minuti massimi di inattività prima che venga richiesta la password" per tutti i dispositivi desktop di Windows 10, ma ciò comporterebbe un'esperienza scadente nella sala riunioni se applicato ai sistemi per sale riunioni Teams . Se attualmente i criteri di conformità Windows 10 sono distribuiti su grandi gruppi di dispositivi, assicuratevi di utilizzare la funzione "Escludi gruppo" in modo da poter indirizzare un criterio di conformità più specifico ai dispositivi della sala riunioni.
Questo documento approfondisce i criteri di conformità: https://docs.microsoft.com/en-us/intune/protect/device-compliance-get-started.
Conditional Access
È possibile utilizzare i criteri diaccesso condizionato con i dispositivi Teams Rooms Systems. Microsoft Teams si collega ai servizi cloud SharePoint Online e Exchange Online. Se si dispone di un criterio di accesso condizionato esistente che protegge l'accesso ai servizi cloud Exchange Online e SharePoint Online per gli utenti della propria organizzazione, è necessario fare attenzione a escludere l'account di risorsa Teams (utilizzato per connettersi all'applicazione Teams) o creare un gruppo contenente tutti gli account di risorsa e indirizzare un criterio di accesso condizionato più specifico e appropriato. Ad esempio, poiché i dispositivi delle sale riunioni si connettono sempre a questi servizi dalla stessa postazione, potrebbe essere più appropriata una regola di autorità di certificazione basata sulla posizione, in combinazione con una regola di conformità del dispositivo.
NOTA: Come promemoria, l'accesso condizionato è una funzione di Azure Active Directory Premium (P1).
Gestione delle app
Raccomandazione: utilizzare la distribuzione delle applicazioni Win32 per installare gli agenti aggiuntivi richiesti dall'organizzazione.
I dispositivi per sale riunioni basati su Windows 10 di solito vengono forniti con le applicazioni giuste preinstallate. Tuttavia, nelle grandi organizzazioni, gli amministratori IT devono installare un pacchetto di applicazioni o distribuire gli aggiornamenti delle applicazioni. Tutte le applicazioni che vengono distribuite devono essere distribuite come "necessarie". Le applicazioni "disponibili" richiedono l'installazione aggiuntiva dell'applicazione Enterprise Portal, che non è consigliata per i dispositivi delle sale riunioni Teams. È inoltre necessario assicurarsi che tutte le applicazioni siano installate nel contesto del dispositivo (in modo che siano accessibili a tutti i profili Windows).
Raggruppamento e targeting
Una buona idea è quella di utilizzare i gruppi dinamici Azure AD per raggruppare efficacemente tutti i sistemi di stanze Teams . Uno dei modi migliori per farlo è utilizzare uno standard di denominazione al momento della distribuzione/iscrizione. Tenete presente che i gruppi Azure AD dinamici sono una caratteristica di AAD P1.