Wie wird ein Teams Telefon in Betrieb genommen? Die notwendigen Schritte gehen wir nachfolgend mit euch nacheinander durch. Dabei werfen wir Anhand des AudioCodes C455HD auch einen Blick in Intune und schauen uns dort die unterschiedlichen Richtlinien an.

Seien wir ehrlich: um mit Teams zu telefonieren braucht es in vielen Fällen kein Telefon. Telefonieren über Headset oder ähnlichem hat sich etabliert. Dennoch gibt es Anwendungsbereiche, bei der ein „richtiges“ Telefon gern zur Anwendung kommt. In Produktionshallen zum Beispiel, oder auch gerne mal am Empfang.

Es gibt eine Fülle an möglichen Geräten, die ihr über die Seite Tischtelefone und Teams-Displays | Teams-Geräte (microsoft.com) findet. Also nur noch auswählen und loslegen.

Die Oberfläche der Teams Telefone sind alle gleich gehalten, so dass sich die eigentlichen Installationsschritte nicht (großartig) entscheiden werden. Einziger Unterschied dürfte sein, ob ihr das Gerät per WLAN (wie zum Beispiel unser AudioCodes C455HD) oder LAN anbindet. Je nach gewählter Variante muss die Verbindung vorab noch hergestellt werden.

Bevor es aber mit dem eigentlichen Telefon los geht, sollten wir uns erst mal die Basics anschauen. Wie bei allen Teams Themen ist es wichtig, dass eure Firewall entsprechend der offiziellen Seite Office 365 URLs and IP address ranges – Microsoft 365 Enterprise | Microsoft Learn konfiguriert ist.

Außerdem ist es wichtig, über sein eigenes Netzwerk Bescheid zu wissen. Wenn beispielsweise für Telefone ein eigenes VLAN vorgesehen ist, sollte man dafür sorgen, dass das Teams Telefon ebenfalls in diesem angesiedelt wird.

Viele Unternehmen haben Intune mit Compliance und Conditional Access Richtlinien in Nutzung und häufig sind diese noch nicht auf Teams Telefone vorbereitet, da die Geräte mit Android ausgeliefert werden. Daher lasst uns das einmal zusammen durchgehen.

Als ersten Schritt müssen wir den Geräteadministrator freischalten, um die Geräte zu verwalten. Dazu gehen wir in einem Browser auf https://intune.microsoft.com/ und dann auf Devices > Enroll devices > Android enrollment und scrollen ganz nach unten, bis wir zum Punkt Android device administrator ankommen.

Auf der nächsten Seite aktivieren wir den Device Admin, indem wir die Option aktivieren.

Als nächsten Punkt kümmern wir uns um den Punkt Gerätebeschränkungen und prüfen hier, ob die Einstellungen es zulassen, dass wir uns mit einem Android Gerät an unserer Infrastruktur anmelden können. Dazu gehen wir in Intune auf Devices > Enroll devices > Enrollment device platfrom restrictions > Android restrictions.

Hier gilt es zu prüfen, ob die Policy, die für das Device und den User gilt, der Device Admin als Plattform erlaubt wird. Ggf. ist hier eine Änderung erforderlich. Es besteht auch die Möglichkeit, nur einzelne Hersteller, zum Beispiel AudioCodes zu erlauben.
Empfohlen ist hier auf eine eigene Policy zurückzugreifen, in der ihr die benötigten Settins konfiguriert und diesen jeweils dem Device zuweist.

Falls in eurem Unternehmen Geräte über die Seriennummer als Firmengeräte identifiziert werden, dann wäre dies der richtige Zeitpunkt, die notwendigen Schritte für das Gerät zu unternehmen. Einfach unter Devices > Enroll devices > Corporate device identifiers das neue Gerät hinzufügen:

Als nächster Punkt kommt die Compliance Richtlinie dran. Zu finden ist sie unter Devices > Compliance Policy. Auch hier empfiehlt es sich in der Regel, eine eigene Policy für die Teams Telefone anzulegen.

Vorweg: nicht alle angebotenen Einstellungen sind auch für Teams Telefone relevant. Daher lohnt sich vorher ein Blick hier rein, um die unterstützten Optionen zu finden.

Eine Policy könnte zum Beispiel so aussehen:

Alle anderen Werte wurden im Standard belassen.

Sollte das Gerät als nicht compliant eingestuft werden, kann es helfen, wenn dies nicht direkt als solches markiert und damit ggf. direkt wieder entfernt wird, sondern man beispielsweise einen Tag Zeit hat, die benötigten Updates und Konfigurationen nachzuziehen.

Damit wären wir im Bereich der Compliance erst einmal soweit vorbereitet und können uns dem Thema Conditional Access widmen.

Wer Conditional Access im Einsatz hat, sollte diese Policies unbedingt auch nochmal darauf überprüfen, ob sich das Telefon denn überhaupt anmelden darf. Auch hier gibt es wieder eine Seite, mit deren Hilfe ihr die Einstellungen auf Zulässigkeit bei einem Teams Phone überprüfen könnt. Die Microsoft Seite lautet: Supported Conditional Access and Intune device compliance policies for Microsoft Teams Rooms – Microsoft Teams | Microsoft Learn

Wenn eine Policy identifiziert wurde, die nicht passt, kann diese relativ einfach für Teams Devices herausgefiltert werden: Man setzt einen Filter für das oder die Device(s) in den Conditions fest. Geht sehr einfach:

Der Filter lässt sich auch um Modellbezeichnung, Version und viele andere Eigenschaften ergänzen und jeweils mit einer UND oder ODER Verknüpfung zusammenbauen. Und wer sich anschließende Tipperei ersparen möchte, kopiert sich die Rule syntax im unteren Bereich und kann die bei jeder weiteren zu ändernden Policy nur noch reinkopieren.

Nachdem alle Compliance Policies überprüft wurden, erstellen wir für die Teams Telefone noch eine neue Richtlinie. Darin fügen wir die Apps Teams, Exchange Online und SharePoint Online als Zielresourcen hinzu, denn auf diese benötigt das Teams Device zwingend Zugriff.

Außerdem setzen wir den Devicefilter explizit auf die Teams Devices.

Und zu guter Letzt sagen wir noch, daß der Zugriff dann erlaubt werden soll, wenn das Gerät als compliant markiert ist.

Nachdem damit auch das Thema Conditional Access abgeschloßen ist, können wir uns an die Anmeldung ans Gerät macheen.

Grade wenn man nur hin und wieder ein Telefon in Betrieb nimmt, eignet sich diese Variante sehr, da es keine großen Vorbereitung bedarf. Die Schritte sind sehr einfach: Erst einmal Telefon aufbauen, anschließen und starten lassen.

Sobald die folgende Anzeige erscheint, geht es auf der Seite https://microsoft.com/devicelogin weiter.

Auf der Micosoft Seite werdet ihr dazu aufgefordert einen Code einzugeben. Das ist der gleiche, der bei euch auf dem Telefon erscheint.

Danach werdet ihr dazu aufgefordert, euch bei Microsoft anzumelden. Dies sind dann auch die Anmeldeinformationen, die ihr auf dem Telefon nutzen wollt. Sprich: Wenn ihr das Telefon auf euren eigenen Nutzer laufen lassen wollt, dann nutzt ihr bei der Anmeldung eure persönlichen Informationen.

Sobald die Informationen eingetragen sind und ihr auf „weiter“ klickt, startet ihr die Anmeldung auf dem Telefon. Solltet ihr hier für den Nutzer MFA aktiviert haben, erhaltet ihr auch eine entsprechende Abfrage auf dem Telefon:

Nach entsprechender Bestätigung in der Authenticator App wird die Anmeldung ausgeführt und ihr gelangt kurze Zeit später auf den Hauptschirm des Telefons und man kann mit telefonieren loslegen.

Wenn mehrere Geräte gleichzeitig ins TAC aufgenommen werden sollen, ist die erste Variante nicht wirklich praktikabel. Dafür hat Microsoft einen zweiten Weg implementiert, den wir euch nachfolgend zeigen.

Zuerst gehen wir wiederum hin, stellen das Telefon auf und verkabeln es. Dann notieren wir uns die MAC Adresse des Telefons. Beim AudioCodes C455HD ist praktischerweise direkt ein Aufkleber auf der Unterseite. Wichtig an der Stelle: das C455HD kann nicht nur per Kabel ans Netz angebunden werden, sondern bietet auch WLAN an. Die MAC-Adressen sind unterschiedlich, daher bitte die richtige notieren!

Dann geht ihr auf die Seite Devices – Microsoft Teams admin center und wählt rechts unter Actions den Punkt Provision devices aus.

Auf der nachfolgenden Seite können wir entweder eine einzelne MAC-Adresse manuell hinzufügen, oder man fügt direkt mehrere Telefone über eine csv-Datei hinzu.

Wenn wir den Weg über die CSV-Datei nutzen wollen, laden wir im ersten Schritt das Template herunter, ändern sie entsprechend unseren Geräten ab und speichern sie dann ab. Sie sieht in unserem Fall dann so aus:

Im nächsten Schritt laden wir die csv-Datei über Upload multiple MAC addresses hoch (und ja, das geht auch, wenn da nur eine MAC-Adresse enthalten ist). Damit ist das Gerät erst mal grundsätzlich fürs Provisioning im Teams Admin Center registriert worden.

Weiter geht es mit dem Verification Code. Diesen können wir hier direkt im TAC erstellen. Geht sehr einfach: Gerät anklicken und dann über Generate verification code den Code erstellen lassen.

Nun wird das Telefon gestartet und nach dem Start geht man auf das Zahnrad und wählt dann Bereitstellungsgerät aus.

Dort gibt man dann den Verification Code ein, der im AdminCenter angezeigt wird und schon ist das Gerät im Teams Admin Center bekannt und kann darüber verwaltet werden.

Um das Thema Konfiguration wird sich einer unserer nächsten Blogartikel drehen. Also dran bleiben!