Omówienie przewodnika bezpieczeństwa dla Microsoft Teams — Microsoft Teams (2023)

Table of Contents
W tym artykule Godny zaufania projekt Domyślnie godny zaufania Jak usługa Teams radzi sobie z typowymi zagrożeniami bezpieczeństwa Atak z użyciem przejętego klucza Sieciowy atak typu „odmowa usługi”. Podsłuchiwanie Fałszowanie tożsamości (podszywanie się pod adres IP) Atak typu man-in-the-middle Atak powtórkowy protokołu transportu w czasie rzeczywistym (RTP). śpię Wirusy i robaki Framework bezpieczeństwa dla zespołów Azure Active Directory Szyfrowanie ruchu w Teams Federalny standard przetwarzania informacji (FIPS) Uwierzytelnianie użytkownika i klienta Windows PowerShell i narzędzia do zarządzania zespołem Konfigurowanie dostępu do aplikacji Teams na granicy internetu UDP 3478-3481 i TCP 443 Zabezpieczenia federacyjne dla zespołów Reagowanie na zagrożenia na spotkaniach zespołów Role uczestników Typy uczestników Wstęp uczestnika Możliwości prezentera Modyfikuj podczas trwania spotkania
  • Artykuł
  • Dotyczy:
    Zespoły Microsoftu

Ważny

Model usługi Teams może ulec zmianie w celu poprawy doświadczeń klientów. Na przykład domyślne czasy wygaśnięcia tokena dostępu lub odświeżania mogą podlegać modyfikacjom w celu poprawy wydajności i odporności na uwierzytelnianie dla osób korzystających z usługi Teams. Wszelkie takie zmiany byłyby wprowadzane w celu zapewnienia bezpieczeństwa i niezawodności usługi Teams od samego początku.

Microsoft Teams, jako część usług Microsoft 365 i Office 365, przestrzega wszystkich najlepszych praktyk i procedur w zakresie bezpieczeństwa, takich jak zabezpieczenia na poziomie usług poprzez dogłębną obronę, kontrolę klienta w ramach usługi, wzmacnianie zabezpieczeń i najlepsze praktyki operacyjne. Aby uzyskać szczegółowe informacje, zobaczCentrum zaufania firmy Microsoft.

Godny zaufania projekt

Usługa Teams została zaprojektowana i opracowana zgodnie z cyklem życia oprogramowania Microsoft Trustworthy Computing Security Development (SDL), który jest opisany pod adresemCykl życia rozwoju zabezpieczeń firmy Microsoft (SDL). Pierwszym krokiem w tworzeniu bezpieczniejszego systemu ujednoliconej komunikacji było zaprojektowanie modeli zagrożeń i przetestowanie każdej funkcji zgodnie z projektem. W proces i praktyki kodowania wbudowano wiele ulepszeń związanych z bezpieczeństwem. Narzędzia działające w czasie kompilacji wykrywają przepełnienia bufora i inne potencjalne zagrożenia bezpieczeństwa, zanim kod zostanie zarejestrowany w produkcie końcowym. Niemożliwe jest projektowanie pod kątem wszystkich nieznanych zagrożeń bezpieczeństwa. Żaden system nie gwarantuje pełnego bezpieczeństwa. Ponieważ jednak rozwój produktu od samego początku opierał się na zasadach bezpiecznego projektowania, Teams zawiera standardowe technologie bezpieczeństwa w branży jako fundamentalną część swojej architektury.

Domyślnie godny zaufania

Komunikacja sieciowa w usłudze Teams jest domyślnie szyfrowana. Wymagając, aby wszystkie serwery używały certyfikatów i używając OAUTH, Transport Layer Security (TLS) i Secure Real-Time Transport Protocol (SRTP), wszystkie dane Teams są chronione w sieci.

Jak usługa Teams radzi sobie z typowymi zagrożeniami bezpieczeństwa

W tej sekcji opisano bardziej typowe zagrożenia dla bezpieczeństwa usługi Teams oraz sposób, w jaki firma Microsoft ogranicza każde zagrożenie.

Atak z użyciem przejętego klucza

Teams używa funkcji PKI w systemie operacyjnym Windows Server do ochrony kluczowych danych używanych do szyfrowania połączeń TLS. Klucze używane do szyfrowania multimediów są wymieniane przez połączenia TLS.

Sieciowy atak typu „odmowa usługi”.

Rozproszony atak typu „odmowa usługi” (DDOS) ma miejsce, gdy osoba atakująca uniemożliwia prawidłowym użytkownikom normalne korzystanie z sieci i jej funkcjonowanie. Wykorzystując atak typu „odmowa usługi”, atakujący może:

  • Wysyłaj nieprawidłowe dane do aplikacji i usług działających w atakowanej sieci, aby zakłócić ich normalne funkcjonowanie.
  • Wysyłaj dużą ilość ruchu, przeciążając system, dopóki nie przestanie on odpowiadać lub będzie powoli odpowiadał na uzasadnione żądania.
  • Ukryj dowody ataków.
  • Uniemożliwiaj użytkownikom dostęp do zasobów sieciowych.

Zespoły ograniczają te ataki, uruchamiając ochronę sieci Azure DDOS i ograniczając żądania klientów z tych samych punktów końcowych, podsieci i jednostek federacyjnych.

Podsłuchiwanie

Podsłuchiwanie ma miejsce, gdy atakujący uzyskuje dostęp do ścieżki danych w sieci i ma możliwość monitorowania i odczytywania ruchu. Podsłuchiwanie jest również nazywane wąchaniem lub szpiegowaniem. Jeśli ruch jest w postaci zwykłego tekstu, osoba atakująca może odczytać ruch, gdy uzyska dostęp do ścieżki. Przykładem jest atak przeprowadzony poprzez kontrolowanie routera na ścieżce danych.

Teams używa wzajemnej autoryzacji TLS (MTLS) i Server to Server (S2S) OAuth (między innymi protokołami) do komunikacji między serwerami w Microsoft 365 i Office 365, a także używa TLS od klientów do usługi. Cały ruch w sieci jest szyfrowany.

Te metody komunikacji utrudniają lub uniemożliwiają podsłuchiwanie w czasie jednej rozmowy. TLS uwierzytelnia wszystkie strony i szyfruje cały ruch. Chociaż TLS nie zapobiega podsłuchiwaniu, atakujący nie może odczytać ruchu, chyba że szyfrowanie zostanie złamane.

ThePrzechodzenie za pomocą przekaźników wokół NAT(TURN) jest używany do celów związanych z mediami w czasie rzeczywistym. Protokół TURN nie wymaga szyfrowania ruchu, a przesyłane przez niego informacje są chronione przez integralność wiadomości. Chociaż jest podatny na podsłuchiwanie, informacje, które wysyła, czyli adresy IP i port, można uzyskać bezpośrednio, patrząc na adresy źródłowe i docelowe pakietów. Usługa Teams zapewnia poprawność danych, sprawdzając integralność wiadomości za pomocą klucza utworzonego na podstawie kilku elementów, w tym hasła TURN, które nigdy nie jest wysyłane zwykłym tekstem. SRTP jest używany do ruchu w mediach i jest również szyfrowany.

Fałszowanie tożsamości (podszywanie się pod adres IP)

Fałszowanie ma miejsce, gdy atakujący identyfikuje, a następnie używa adresu IP sieci, komputera lub składnika sieci bez upoważnienia. Udany atak pozwala atakującemu działać tak, jakby atakujący był podmiotem zwykle identyfikowanym przez adres IP.

TLS uwierzytelnia wszystkie strony i szyfruje cały ruch. Korzystanie z protokołu TLS uniemożliwia osobie atakującej podszywanie się pod adres IP na określonym połączeniu (na przykład wzajemne połączenia TLS). Osoba atakująca może nadal sfałszować adres serwera systemu nazw domen (DNS). Ponieważ jednak uwierzytelnianie w usłudze Teams odbywa się za pomocą certyfikatów, osoba atakująca nie miałaby prawidłowych informacji wymaganych do podszycia się pod jedną ze stron komunikacji.

Atak typu man-in-the-middle

Atak typu man-in-the-middle ma miejsce, gdy osoba atakująca przekierowuje komunikację między dwoma użytkownikami za pośrednictwem komputera osoby atakującej bez wiedzy dwóch komunikujących się użytkowników. Atakujący może monitorować i odczytywać ruch przed wysłaniem go do zamierzonego odbiorcy. Każdy użytkownik w komunikacji nieświadomie wysyła ruch do i odbiera ruch od atakującego, myśląc, że komunikuje się tylko z zamierzonym użytkownikiem. Ten scenariusz może się zdarzyć, jeśli osoba atakująca może zmodyfikować Usługi domenowe w usłudze Active Directory, aby dodać swój serwer jako serwer zaufany, zmodyfikować konfigurację DNS lub użyć innych środków, aby skłonić klientów do łączenia się przez osobę atakującą w drodze do serwera.

Atakom typu „man-in-the-middle” na ruch multimedialny między dwoma punktami końcowymi uczestniczącymi w udostępnianiu audio, wideo i aplikacji w usłudze Teams można zapobiegać za pomocąBezpieczny protokół transportu w czasie rzeczywistym(SRTP) do szyfrowania strumienia multimediów. Klucze kryptograficzne są negocjowane między dwoma punktami końcowymi za pośrednictwem zastrzeżonego protokołu sygnalizacyjnego (protokół Teams Call Signaling), który wykorzystuje szyfrowany kanał UDP lub TCP za pomocą TLS 1.2 i AES-256 (w trybie GCM).

Atak powtórkowy protokołu transportu w czasie rzeczywistym (RTP).

Atak powtórkowy ma miejsce, gdy prawidłowa transmisja medialna między dwiema stronami zostaje przechwycona i ponownie przesłana w złośliwych celach. Teams używa SRTP z bezpiecznym protokołem sygnalizacyjnym, który chroni transmisje przed atakami polegającymi na powtórce, umożliwiając odbiornikowi utrzymywanie indeksu już odebranych pakietów RTP i porównywanie każdego nowego pakietu z pakietami już wymienionymi w indeksie.

śpię

Spim to niechciane komercyjne wiadomości błyskawiczne lub prośby o subskrypcję obecności, takie jak spam, ale w formie wiadomości błyskawicznych. Chociaż samo w sobie nie stanowi kompromisu w sieci, jest co najmniej irytujące, może zmniejszyć dostępność zasobów i produkcję oraz może doprowadzić do naruszenia bezpieczeństwa sieci. Przykładem jest to, że użytkownicy nabijają się nawzajem, wysyłając żądania. Użytkownicy mogą blokować się nawzajem, aby zapobiec spimmowaniu, ale w przypadku federacji, jeśli złośliwy aktor ustanowi skoordynowany atak spimowania, może to być trudne do pokonania, chyba że wyłączysz federację u partnera.

Wirusy i robaki

Wirus to jednostka kodu, której celem jest odtworzenie większej liczby podobnych jednostek kodu. Aby wirus działał, potrzebuje hosta, takiego jak plik, wiadomość e-mail lub program. Podobnie jak wirus, robak jest jednostką kodu, która odtwarza więcej podobnych jednostek kodu, ale w przeciwieństwie do wirusa nie potrzebuje hosta. Wirusy i robaki pojawiają się głównie podczas przesyłania plików między klientami lub podczas wysyłania adresów URL od innych użytkowników. Jeśli wirus znajduje się na Twoim komputerze, może na przykład wykorzystać Twoją tożsamość i wysyłać wiadomości błyskawiczne w Twoim imieniu. Standardowe najlepsze praktyki w zakresie bezpieczeństwa klienta, takie jak okresowe skanowanie w poszukiwaniu wirusów, mogą złagodzić ten problem.

Framework bezpieczeństwa dla zespołów

Teams popiera idee bezpieczeństwa, takie jak Zero Trust i zasady dostępu o najmniejszych uprawnieniach. Ta sekcja zawiera przegląd podstawowych elementów, które tworzą ramy bezpieczeństwa dla Microsoft Teams.

Podstawowe elementy to:

  • Azure Active Directory (Azure AD), która zapewnia jedno zaufane repozytorium zaplecza dla kont użytkowników. Informacje o profilu użytkownika są przechowywane w usłudze Azure AD za pośrednictwem akcji Microsoft Graph.
    • Może być wydanych wiele tokenów, które możesz zobaczyć podczas śledzenia ruchu sieciowego. W tym tokeny Skype'a, które możesz zobaczyć w śladach podczas przeglądania ruchu na czacie i dźwięku.
  • Transport Layer Security (TLS) szyfruje kanał w ruchu. Uwierzytelnianie odbywa się przy użyciu wzajemnego protokołu TLS (MTLS) na podstawie certyfikatów lub przy użyciu uwierzytelniania między usługami w oparciu o usługę Azure AD.
  • Strumienie audio i wideo oraz udostępniane aplikacje są szyfrowane i sprawdzane pod kątem integralności przy użyciu bezpiecznego protokołu transportu w czasie rzeczywistym (SRTP).
  • W śledzeniu zobaczysz ruch OAuth, szczególnie związany z wymianą tokenów i negocjowaniem uprawnień podczas przełączania między kartami w usłudze Teams, na przykład w celu przejścia z wpisów do plików. Aby zapoznać się z przykładem przepływu OAuth dla kart,zobacz ten dokument.
  • Tam, gdzie to możliwe, Teams używa protokołów zgodnych ze standardami branżowymi do uwierzytelniania użytkowników.

W następnych sekcjach omówiono niektóre z tych podstawowych technologii.

Azure Active Directory

Azure Active Directory działa jako usługa katalogowa dla Microsoft 365 i Office 365. Przechowuje wszystkie informacje o katalogach użytkowników i aplikacji oraz przypisania zasad.

Szyfrowanie ruchu w Teams

W tej tabeli przedstawiono główne typy ruchu oraz protokół używany do szyfrowania.

Rodzaj ruchuZaszyfrowane przez
Serwer do serweraTLS (z MTLS lub Service-to-Service OAuth)
Klient-serwer, na przykład wiadomości błyskawiczne i obecnośćTLS
Przepływy mediów, na przykład udostępnianie audio i wideo mediówTLS
Udostępnianie audio i wideo multimediówSRTP/TLS
SygnalizacjaTLS
Ulepszone szyfrowanie między klientami (na przykład połączenia z szyfrowaniem typu end-to-end)SRTP/DTLS

Punkty dystrybucji listy unieważnionych certyfikatów (CRL).

Ruch Microsoft 365 i Office 365 odbywa się za pośrednictwem zaszyfrowanych kanałów TLS/HTTPS, co oznacza, że ​​do szyfrowania całego ruchu używane są certyfikaty. Teams wymaga, aby wszystkie certyfikaty serwera zawierały co najmniej jeden punkt dystrybucji listy CRL. Punkty dystrybucji list CRL (CDP) to lokalizacje, z których można pobrać listy CRL w celu sprawdzenia, czy certyfikat nie został odwołany od czasu jego wystawienia i czy certyfikat nadal jest w okresie ważności. Punkt dystrybucji listy CRL jest odnotowany we właściwościach certyfikatu jako adres URL i jest bezpiecznym protokołem HTTP. Usługa Teams sprawdza listę CRL przy każdym uwierzytelnianiu certyfikatu.

Ulepszone użycie klucza

Wszystkie składniki usługi Teams wymagają wszystkich certyfikatów serwera do obsługi rozszerzonego użycia klucza (EKU) na potrzeby uwierzytelniania serwera. Skonfigurowanie pola EKU do uwierzytelniania serwera oznacza, że ​​certyfikat jest ważny dla serwerów uwierzytelniających. To EKU jest niezbędne dla MTLS.

TLS dla zespołów

Dane usługi Teams są szyfrowane podczas przesyłania i przechowywania w usługach firmy Microsoft, między usługami oraz między klientami a usługami.Firma Microsoft robi to przy użyciu standardowych technologii branżowych, takich jak TLS i SRTP, w celu szyfrowania wszystkich przesyłanych danych. Przesyłane dane obejmują wiadomości, pliki, spotkania i inną zawartość. Dane korporacyjne są również szyfrowane w spoczynku w usługach firmy Microsoft, dzięki czemu organizacje mogą w razie potrzeby odszyfrować zawartość, aby spełnić wymagania dotyczące bezpieczeństwa i zgodności za pomocą metod takich jak eDiscovery. Aby uzyskać więcej informacji na temat szyfrowania w Microsoft 365, zobaczSzyfrowanie w Microsoft 365

Przepływy danych TCP są szyfrowane przy użyciu protokołu TLS, a protokoły MTLS i Service-to-service OAuth zapewniają uwierzytelnioną komunikację punktu końcowego między usługami, systemami i klientami. Teams używa tych protokołów do tworzenia sieci zaufanych systemów i zapewnienia, że ​​cała komunikacja w tej sieci jest szyfrowana.

W przypadku połączenia TLS klient żąda od serwera ważnego certyfikatu. Aby certyfikat był ważny, musi zostać wystawiony przez urząd certyfikacji (CA), któremu klient również ufa, a nazwa DNS serwera musi być zgodna z nazwą DNS na certyfikacie. Jeśli certyfikat jest ważny, klient używa klucza publicznego w certyfikacie do zaszyfrowania symetrycznych kluczy szyfrujących, które mają być używane do komunikacji, więc tylko pierwotny właściciel certyfikatu może użyć swojego klucza prywatnego do odszyfrowania treści komunikacji. Wynikowe połączenie jest zaufane i od tego momentu nie jest kwestionowane przez inne zaufane serwery lub klientów.

Korzystanie z TLS pomaga zapobiegać zarówno podsłuchiwaniu, jak i atakom typu „man-in-the-middle”. W ataku typu man-in-the-middle osoba atakująca przekierowuje komunikację między dwiema jednostkami sieciowymi za pośrednictwem komputera osoby atakującej bez wiedzy żadnej ze stron. Specyfikacja zaufanych serwerów TLS i Teams ogranicza ryzyko ataku typu „man-in-the-middle” częściowo na warstwę aplikacji dzięki zastosowaniu szyfrowania skoordynowanego przy użyciu kryptografii klucza publicznego między dwoma punktami końcowymi. Atakujący musiałby mieć ważny i zaufany certyfikat z odpowiednim kluczem prywatnym i wystawiony na nazwę usługi, z którą komunikuje się klient, aby odszyfrować komunikację.

Szyfrowanie w Teams i Microsoft 365

Na platformie Microsoft 365 działa wiele warstw szyfrowania. Szyfrowanie w usłudze Teams współpracuje z pozostałymi funkcjami szyfrowania platformy Microsoft 365 w celu ochrony zawartości Twojej organizacji. W tym artykule opisano technologie szyfrowania, które są specyficzne dla aplikacji Teams. Aby zapoznać się z omówieniem szyfrowania w Microsoft 365, zobaczSzyfrowanie w Microsoft 365.

Szyfrowanie mediów

Przepływy połączeń w usłudze Teams są oparte naProtokół opisu sesji (SDP) RFC 8866model oferty i odpowiedzi przez HTTPS. Gdy odbiorca zaakceptuje połączenie przychodzące, dzwoniący i odbiorca uzgadniają parametry sesji.

Ruch medialny jest szyfrowany i przepływa między dzwoniącym a odbiorcą za pomocą Secure RTP (SRTP), profilu Real-time Transport Protocol (RTP), który zapewnia poufność, uwierzytelnianie i ochronę przed atakami powtórkowymi dla ruchu RTP. SRTP wykorzystuje klucz sesyjny generowany przez bezpieczny generator liczb losowych i wymieniany za pomocą sygnalizacyjnego kanału TLS. W większości przypadków ruch medialny klienta do klienta jest negocjowany za pośrednictwem sygnalizacji połączenia klient-serwer i jest szyfrowany przy użyciu SRTP, gdy przechodzi bezpośrednio od klienta do klienta.

W normalnych przepływach połączeń negocjowanie klucza szyfrowania odbywa się w kanale sygnalizacji wywołania. W zaszyfrowanym połączeniu typu end-to-end przepływ sygnalizacji jest taki sam, jak w przypadku zwykłego połączenia jeden-do-jednego w usłudze Teams. Jednak Teams używa DTLS do uzyskiwania klucza szyfrowania na podstawie certyfikatów na wywołanie generowanych na obu punktach końcowych klienta. Ponieważ DTLS uzyskuje klucz na podstawie certyfikatów klienta, klucz jest nieprzejrzysty dla firmy Microsoft. Gdy obaj klienci uzgodnią klucz, media zaczynają przepływać przy użyciu tego klucza szyfrowania wynegocjowanego przez DTLS przez SRTP.

Aby zabezpieczyć się przed atakiem typu „man-in-the-middle” między dzwoniącym a odbiorcą, Teams wyprowadza 20-cyfrowy kod bezpieczeństwa z odcisków palców SHA-256 certyfikatów połączeń punktu końcowego dzwoniącego i odbieranego. Dzwoniący i odbiorca mogą zweryfikować 20-cyfrowe kody bezpieczeństwa, czytając je sobie nawzajem, aby sprawdzić, czy pasują. Jeśli kody się nie zgadzają, oznacza to, że połączenie między dzwoniącym a odbiorcą zostało przechwycone przez atak typu „man-in-the-middle”. Jeśli połączenie zostało naruszone, użytkownicy mogą zakończyć połączenie ręcznie.

Teams używa tokena opartego na poświadczeniach do bezpiecznego dostępu do przekaźników multimediów przez TURN. Przekaźniki mediów wymieniają token przez kanał zabezpieczony protokołem TLS.

Federalny standard przetwarzania informacji (FIPS)

Teams używa algorytmów zgodnych ze standardem FIPS do wymiany kluczy szyfrowania. Aby uzyskać więcej informacji na temat implementacji FIPS, zobaczPublikacja Federalnego Standardu Przetwarzania Informacji (FIPS) 140-2.

Uwierzytelnianie użytkownika i klienta

Zaufany użytkownik to taki, którego poświadczenia zostały uwierzytelnione przez usługę Azure AD w Microsoft 365 lub Office 365.

Uwierzytelnianie to udostępnianie poświadczeń użytkownika zaufanemu serwerowi lub usłudze. Teams używa następujących protokołów uwierzytelniania, w zależności od statusu i lokalizacji użytkownika.

  • Nowoczesne uwierzytelnianie (MA)to implementacja firmy Microsoft protokołu OAUTH 2.0 do komunikacji klient-serwer. Umożliwia funkcje bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy. Aby korzystać z MA, zarówno dzierżawca online, jak i klienci muszą mieć włączoną obsługę MA. Klienci Teams na komputery PC i urządzenia mobilne oraz klient internetowy,wszyscy popierają MA.

Notatka

Jeśli chcesz uzyskać więcej informacji na temat metod uwierzytelniania i autoryzacji usługi Azure AD, pomocne będą sekcje wprowadzenie i "Podstawy uwierzytelniania w usłudze Azure AD".

Uwierzytelnianie w usłudze Teams odbywa się za pośrednictwem usługi Azure AD i OAuth. Proces uwierzytelniania można uprościć do:

  • Logowanie użytkownika > wystawienie tokena > następne żądanie użyj wystawionego tokena.

Żądania od klienta do serwera są uwierzytelniane i autoryzowane przez usługę Azure AD przy użyciu protokołu OAuth. Użytkownicy z prawidłowymi poświadczeniami wydanymi przez partnera federacyjnego są zaufani i przechodzą przez ten sam proces, co użytkownicy natywni. Administratorzy mogą jednak wprowadzić dalsze ograniczenia.

Do uwierzytelniania mediów protokoły ICE i TURN wykorzystują również wyzwanie Digest, jak opisano w IETF TURN RFC.

Windows PowerShell i narzędzia do zarządzania zespołem

W usłudze Teams administratorzy IT mogą zarządzać swoimi usługami za pośrednictwem centrum administracyjnego platformy Microsoft 365 lub przy użyciu programu Tenant Remote PowerShell (TRPS). Administratorzy dzierżawy używają nowoczesnego uwierzytelniania do uwierzytelniania w usłudze TRPS.

Konfigurowanie dostępu do aplikacji Teams na granicy internetu

Aby usługa Teams działała prawidłowo, na przykład aby użytkownicy mogli dołączać do spotkań, klienci muszą skonfigurować swój dostęp do Internetu w taki sposób, aby ruch wychodzący UDP i TCP do usług w chmurze Teams był dozwolony. Aby uzyskać więcej informacji, zobaczAdresy URL usługi Office 365 i zakresy adresów IP.

UDP 3478-3481 i TCP 443

Porty UDP 3478-3481 i TCP 443 są używane przez klientów do żądania usługi audiowizualnej. Klient używa tych dwóch portów do przydzielania odpowiednio portów UDP i TCP w celu umożliwienia tych przepływów mediów. Przepływy mediów na tych portach są chronione kluczem, który jest wymieniany przez kanał sygnalizacyjny chroniony TLS.

Zabezpieczenia federacyjne dla zespołów

Federacja zapewnia Twojej organizacji możliwość komunikowania się z innymi organizacjami w celu udostępniania wiadomości błyskawicznych i obecności. W Teams federacja jest domyślnie włączona. Jednak administratorzy dzierżawy mają możliwość kontrolowania federacji za pośrednictwem centrum administracyjnego platformy Microsoft 365.

Reagowanie na zagrożenia na spotkaniach zespołów

Istnieją dwie opcje kontrolowania, kto przybywa na spotkania w usłudze Teams i kto będzie miał dostęp do prezentowanych informacji.

  1. Możesz kontrolować, kto dołącza do Twoich spotkań za pomocą ustawień dlalobby.

    Opcje ustawienia „Kto może ominąć lobby” dostępne na stronie Opcje spotkaniaTypy użytkowników dołączających bezpośrednio do spotkaniaTypy użytkowników przechodzące do lobby
    Ludzie w mojej organizacji- In-tenant - Gość najemcy- Federacyjne - Anonimowe - Wdzwaniane PSTN
    Ludzie w mojej organizacji i zaufanych organizacjach- Najemca - Gość najemcy - Federacja- Anonimowy - wdzwaniane PSTN
    Wszyscy- In-tenant - Gość najemcy - Federated Anonymous - Telefonowanie PSTN

  2. Druga droga jest przezzorganizowane spotkania(gdzie prezenterzy mogą zrobić wszystko, co powinno być zrobione, a uczestnicy mają kontrolowane doświadczenie). Po dołączeniu do zorganizowanego spotkania prezenterzy kontrolują, co uczestnicy mogą robić na spotkaniu.

    działaniaPrezenterzyUczestnicy
    Mów i udostępniaj ich wideoYY
    Weź udział w czacie spotkaniaYY
    Zmień ustawienia w opcjach spotkaniaYN
    Wycisz innych uczestnikówYN
    Usuń innych uczestnikówYN
    Udostępnij zawartośćYN
    Wpuszczaj innych uczestników z lobbyYN
    Uczyń innych uczestników prezenterami lub uczestnikamiYN
    Rozpocznij lub zatrzymaj nagrywanieYN
    Przejmij kontrolę, gdy inny uczestnik udostępni PowerPointYN

Teams zapewnia użytkownikom korporacyjnym możliwość tworzenia spotkań w czasie rzeczywistym i dołączania do nich. Użytkownicy korporacyjni mogą również zapraszać użytkowników zewnętrznych, którzy nie mają konta Azure AD, Microsoft 365 ani Office 365, do udziału w tych spotkaniach. Użytkownicy zatrudnieni przez zewnętrznych partnerów z bezpieczną i uwierzytelnioną tożsamością mogą również dołączać do spotkań, a jeśli zostaną do tego awansowani, mogą pełnić rolę prezenterów. Anonimowi użytkownicy nie mogą tworzyć spotkania ani dołączać do niego jako prezenter, ale po dołączeniu mogą awansować na prezentera.

Aby użytkownicy anonimowi mogli dołączać do spotkań w aplikacji Teams, ustawienie Spotkania uczestników w Centrum administracyjnym aplikacji Teams musi być włączone.

Notatka

Terminanonimowi użytkownicyoznacza użytkowników, którzy nie są uwierzytelnieni w dzierżawie organizacji. W tym kontekście wszyscy użytkownicy zewnętrzni są uważani za anonimowych. Uwierzytelnieni użytkownicy obejmują użytkowników dzierżawy i użytkowników gościa dzierżawy.

Umożliwienie użytkownikom zewnętrznym udziału w spotkaniach Teams może być przydatne, ale wiąże się z pewnymi zagrożeniami dla bezpieczeństwa. Aby przeciwdziałać tym zagrożeniom, Teams stosuje następujące zabezpieczenia:

  • Role uczestników określają uprawnienia do sterowania spotkaniem.

  • Typy uczestników pozwalają ograniczyć dostęp do określonych spotkań.

  • Planowanie spotkań jest ograniczone do użytkowników, którzy mają konto usługi AAD i licencję na usługę Teams.

  • Anonimowi, czyli nieuwierzytelnieni użytkownicy, którzy chcą dołączyć do konferencji telefonicznej, wybierają jeden z numerów dostępu do konferencji. Jeśli ustawienie „Zawsze zezwalaj dzwoniącym na pomijanie poczekalni” jest włączoneNAwtedy również muszą poczekać, aż prezenter lub uwierzytelniony użytkownik dołączy do spotkania.

    Ostrożność

    Jeśli nie chcesz, aby użytkownicy anonimowi (użytkownicy, których wyraźnie nie zapraszasz) dołączyli do spotkania, musisz upewnić się, żeAnonimowi użytkownicy mogą dołączyć do spotkaniajest ustawione naWyłączonydlaUczestniksekcja spotkania.

Organizator może również skonfigurować ustawienia, aby osoby dzwoniące przez telefon były pierwszą osobą na spotkaniu. To ustawienie jest konfigurowane w ustawieniach konferencji audio dla użytkowników i ma zastosowanie do wszystkich spotkań zaplanowanych przez użytkownika.

Notatka

Aby uzyskać więcej informacji na temat dostępu dla gości i dostępu zewnętrznego w usłudze Teams, zobacz toartykuł. Obejmuje funkcje, których goście lub użytkownicy zewnętrzni mogą się spodziewać i których mogą używać po zalogowaniu się do usługi Teams.

Jeśli nagrywasz spotkania i chcesz zobaczyć macierz uprawnień dotyczących dostępu do zawartości, skonsultuj sięTen artykułi jego macierz.

Role uczestników

Uczestnicy spotkania dzielą się na trzy grupy, z których każda ma własne przywileje i ograniczenia:

  • OrganizatorUżytkownik, który tworzy spotkanie, zarówno improwizowane, jak i według harmonogramu. Organizator musi być uwierzytelnionym użytkownikiem w dzierżawie i mieć kontrolę nad wszystkimi aspektami spotkania użytkownika końcowego.
  • PrezenterUżytkownik, który jest upoważniony do przedstawiania informacji na spotkaniu przy użyciu dowolnych obsługiwanych mediów. Organizator spotkania jest z definicji także prezenterem i określa, kto jeszcze może być prezenterem. Organizator może dokonać tego ustalenia, gdy spotkanie jest zaplanowane lub gdy spotkanie jest w toku.
  • UczestnikUżytkownik, który został zaproszony do udziału w spotkaniu, ale który nie jest upoważniony do pełnienia funkcji prezentera.

Prezenter może również promować uczestnika do roli prezentera podczas spotkania.

Typy uczestników

Uczestnicy spotkania są również kategoryzowani według lokalizacji i poświadczeń. Możesz użyć obu tych cech, aby zdecydować, którzy użytkownicy mogą mieć dostęp do określonych spotkań. Użytkowników można ogólnie podzielić na następujące kategorie:

  • Użytkownicy należący do dzierżawy. Ci użytkownicy mają poświadczenia w Azure Active Directory dla dzierżawy.

    Ludzie w mojej organizacji– Ci użytkownicy mają poświadczenia w usłudze Azure Active Directory dla dzierżawy.Ludzie w mojej organizacjiobejmuje konta zaproszonych Gości.

    Użytkownicy zdalni– Ci użytkownicy dołączają spoza sieci korporacyjnej. Mogą to być pracownicy, którzy pracują w domu lub w podróży, a także inni, na przykład pracownicy zaufanych dostawców, którym przyznano poświadczenia przedsiębiorstwa dotyczące ich warunków świadczenia usług. Użytkownicy zdalni mogą tworzyć spotkania i dołączać do nich oraz występować jako prezenterzy.

  • Użytkownicy, którzy nie należą do dzierżawcy. Ci użytkownicy nie mają poświadczeń w usłudze Azure AD dla dzierżawy.

    Użytkownicy federacyjni— Użytkownicy federacyjni mają ważne poświadczenia z partnerami federacyjnymi i dlatego są traktowani jako uwierzytelnieni przez Teams, ale nadal są zewnętrzni w stosunku do dzierżawcy organizatora spotkania. Użytkownicy federacyjni mogą dołączać do spotkań i awansować na prezenterów po dołączeniu do spotkania, ale nie mogą tworzyć spotkań w przedsiębiorstwach, z którymi są sfederowani.

    Użytkownicy anonimowi— Użytkownicy anonimowi nie mają tożsamości usługi Active Directory i nie są sfederowani z dzierżawcą.

W wielu spotkaniach uczestniczą użytkownicy zewnętrzni. Ci sami klienci chcą również mieć pewność co do tożsamości użytkowników zewnętrznych, zanim zezwolą im na dołączenie do spotkania. W następnej sekcji opisano, w jaki sposób usługa Teams ogranicza dostęp do spotkania do tych typów użytkowników, którym wyraźnie zezwolono, i wymaga od wszystkich typów użytkowników przedstawienia odpowiednichreferencjeprzy wejściu na spotkanie.

Wstęp uczestnika

Ostrożność

Jeśli nie chcesz, aby użytkownicy anonimowi (użytkownicy, których nie zapraszasz wprost) dołączyli do spotkania, musisz upewnić się, żeAnonimowi użytkownicy mogą dołączyć do spotkaniajest ustawione naWyłączonydlaUczestniksekcja spotkania.

W aplikacji Teams anonimowi użytkownicy mogą zostać przeniesieni do poczekalni zwanej lobby. Prezenterzy mogą wtedy alboprzyznawać tych użytkowników do spotkania lubodrzucićich. Kiedy ci użytkownicy zostaną przeniesieni do poczekalni, prezenter i uczestnicy zostaną powiadomieni, a anonimowi użytkownicy muszą czekać, aż zostaną zaakceptowani lub odrzuceni albo przekroczy limit czasu połączenia.

Domyślnie uczestnicy łączący się przez telefon z PSTN przechodzą bezpośrednio do spotkania, gdy uwierzytelniony użytkownik dołączy do spotkania, ale tę opcję można zmienić, aby wymusić na uczestnikach dołączających się przez telefon przejście do poczekalni.

Organizatorzy spotkania kontrolują, czy uczestnicy mogą dołączyć do spotkania bez czekania w poczekalni. Każde spotkanie można skonfigurować tak, aby umożliwić dostęp, korzystając z jednej z następujących metod:

Wartości domyślne to:

  • Ludzie w mojej organizacji- Wszyscy spoza organizacji będą czekać w holu, aż zostaną wpuszczeni.
  • Osoby w mojej organizacji, zaufane organizacje i goście- Uwierzytelnieni użytkownicy w organizacji, w tym goście i użytkownicy z zaufanych organizacji, dołączają do spotkania bezpośrednio, bez czekania w lobby. Anonimowi użytkownicy czekają w lobby.
  • Wszyscy- Wszyscy uczestnicy spotkania pomijają poczekalnię, gdy uwierzytelniony użytkownik dołączy do spotkania.

Możliwości prezentera

Organizatorzy spotkania kontrolują, czy uczestnicy mogą prezentować podczas spotkania. Każde spotkanie można skonfigurować tak, aby ograniczyć prezenterów do jednej z następujących opcji:

  • Ludzie w mojej organizacji- Wszyscy użytkownicy najemcy, w tym goście, mogą prezentować
  • Ludzie w mojej organizacji i zaufanych organizacjach— Wszyscy użytkownicy w dzierżawie, w tym goście, mogą prezentować, a użytkownicy zewnętrzni z domen Teams i Skype dla firm, którzy znajdują się na liście dozwolonych dostępu zewnętrznego, mogą prezentować.
  • Wszyscy- Wszyscy uczestnicy spotkania są prezenterami.

Modyfikuj podczas trwania spotkania

Możesz modyfikować opcje spotkania, gdy spotkanie jest w toku. Po zapisaniu zmiana będzie zauważalna na trwającym spotkaniu w ciągu kilku sekund. Wpływa również na wszelkie przyszłe wystąpienia spotkania.

12 najważniejszych zadań dla zespołów bezpieczeństwa wspierających pracę z domu

Centrum zaufania firmy Microsoft

Zarządzaj ustawieniami spotkań w Microsoft Teams

Zoptymalizuj łączność Microsoft 365 lub Office 365 dla użytkowników zdalnych za pomocą dzielonego tunelowania VPN

  • Implementacja dzielonego tunelowania VPN

Nagrania spotkań w aplikacji Teams, gdzie są przechowywane nagrania i kto ma do nich dostęp

Top Articles
Latest Posts
Article information

Author: Sen. Ignacio Ratke

Last Updated: 05/25/2023

Views: 5297

Rating: 4.6 / 5 (76 voted)

Reviews: 83% of readers found this page helpful

Author information

Name: Sen. Ignacio Ratke

Birthday: 1999-05-27

Address: Apt. 171 8116 Bailey Via, Roberthaven, GA 58289

Phone: +2585395768220

Job: Lead Liaison

Hobby: Lockpicking, LARPing, Lego building, Lapidary, Macrame, Book restoration, Bodybuilding

Introduction: My name is Sen. Ignacio Ratke, I am a adventurous, zealous, outstanding, agreeable, precious, excited, gifted person who loves writing and wants to share my knowledge and understanding with you.