Seguridad y Microsoft TeamsSecurity and Microsoft Teams

Importante

El modelo de servicio de Teams está sujeto a cambios para mejorar la experiencia del cliente.The Teams service model is subject to change in order to improve customer experiences. Por ejemplo, el acceso predeterminado o los tiempos de vencimiento del token de actualización pueden estar sujetos a modificaciones para mejorar el rendimiento y la resistencia de autenticación para aquellos que usan Teams.For example, the default access or refresh token expiration times may be subject to modification in order to improve performance and authentication resiliency for those using Teams. Cualquiera de estos cambios se haría con el objetivo de mantener Teams seguro y confiable por naturaleza.Any such changes would be made with the goal of keeping Teams secure and Trustworthy by Design.

Como parte del servicio de Microsoft 365 y Office 365, Microsoft Teams sigue los procedimientos y prácticas de seguridad recomendados, como la seguridad de nivel de servicio a través de la defensa en profundidad, los controles de cliente dentro del servicio, el reforzamiento de la seguridad y los procedimientos operativos recomendados.Microsoft Teams, as part of the Microsoft 365 and Office 365 services, follows all the security best practices and procedures such as service-level security through defense-in-depth, customer controls within the service, security hardening and operational best practices. Si necesita información detallada, consulte el Centro de confianza de Microsoft.For full details, please see the Microsoft Trust Center.

Confiable por su diseñoTrustworthy by Design

Teams está diseñado y desarrollado conforme al ciclo de vida de desarrollo de seguridad (SDL, Security Development Lifecycle) de Trustworthy Computing de Microsoft, que se describe en Microsoft Security Development Lifecycle (SDL) (Ciclo de vida de desarrollo de seguridad [SDL] de Microsoft).Teams is designed and developed in compliance with the Microsoft Trustworthy Computing Security Development Lifecycle (SDL), which is described at Microsoft Security Development Lifecycle (SDL). El primer paso para crear un sistema de comunicaciones unificadas más seguro fue diseñar modelos de amenazas y probar cada característica tal como se diseñó.The first step in creating a more secure unified communications system was to design threat models and test each feature as it was designed. Se integraron múltiples mejoras relacionadas con la seguridad en el proceso y las prácticas de codificación.Multiple security-related improvements were built into the coding process and practices. Las herramientas de tiempo de compilación detectan excesos de almacenaje y otras amenazas de seguridad antes de que el código se incorpore al producto final.Build-time tools detect buffer overruns and other potential security threats before the code is checked in to the final product. Evidentemente no se puede diseñar una protección contra todas las amenazas de seguridad no conocidas.Of course, it is impossible to design against all unknown security threats. Ningún sistema puede garantizar una seguridad completa.No system can guarantee complete security. Sin embargo, como el desarrollo del producto se basó en principios de diseño seguro desde el inicio, Teams cuenta con tecnologías de seguridad estándares del sector como parte fundamental de su infraestructura.However, because product development embraced secure design principles from the start, Teams incorporates industry standard security technologies as a fundamental part of its architecture.

Confiable de forma predeterminadaTrustworthy by Default

Las comunicaciones de red de Teams se cifran de forma predeterminada.Network communications in Teams are encrypted by default. Al requerir que todos los servidores usen certificados y al usar OAUTH, TLS y el protocolo de transporte seguro en tiempo real (SRTP), todos los datos de Teams están protegidos en la red.By requiring all servers to use certificates and by using OAUTH, TLS, Secure Real-Time Transport Protocol (SRTP), all Teams data is protected on the network.

¿Cómo controla Teams las amenazas comunes de seguridad?How Teams Handles Common Security Threats

En esta sección se identifican las amenazas de seguridad más comunes del servicio Teams y la forma en que Microsoft minimiza cada una de ellas.This section identifies the more common threats to the security of the Teams Service and how Microsoft mitigates each threat.

Ataque mediante clave conocidaCompromised-Key Attack

Teams usa las características de PKI en el sistema operativo Windows Server para proteger los datos clave que se usan para cifrar las conexiones de Seguridad de la capa de transporte (TLS).Teams uses the PKI features in the Windows Server operating system to protect the key data used for encryption for the Transport Layer Security (TLS) connections. Las claves que se usan para cifrar medios se intercambian a través de conexiones TLS.The keys used for media encryptions are exchanged over TLS connections.

Ataque por denegación de servicio de redNetwork Denial-of-Service Attack

El ataque por denegación de servicio tiene lugar cuando el atacante impide el uso y el funcionamiento normales de red a usuarios válidos.The denial-of-service attack occurs when the attacker prevents normal network use and function by valid users. Con un ataque por denegación de servicio, el atacante puede:By using a denial-of-service attack, the attacker can:

  • Enviar datos no válidos a las aplicaciones y los servicios que se ejecutan en la red que sufre el ataque para interrumpir su funcionamiento normal.Send invalid data to applications and services running in the attacked network to disrupt their normal function.
  • Enviar una gran cantidad de tráfico, lo que sobrecarga el sistema hasta que deja de responder o responde lentamente a las solicitudes legítimas.Send a large amount of traffic, overloading the system until it stops responding or responds slowly to legitimate requests.
  • Ocultar las pruebas de los ataques.Hide the evidence of the attacks.
  • Impedir que los usuarios obtengan acceso a los recursos de la red.Prevent users from accessing network resources. Teams ofrece protección frente a estos ataques mediante la ejecución de la protección de red Azure DDOS y la limitación de las solicitudes de los clientes desde los mismos puntos de conexión, subredes y entidades federadas.Teams mitigates against these attacks by running Azure DDOS network protection and by throttling client requests from the same endpoints, subnets, and federated entities.

InterceptaciónEavesdropping

La interceptación se produce cuando un atacante obtiene acceso a la ruta de datos en una red y puede supervisar y leer el tráfico. Este tipo de ataque también se denomina rastreo o espionaje. Si el tráfico se produce como texto sin formato, el atacante puede leerlo cuando obtiene acceso a la ruta. Un ejemplo es un ataque que se realiza al controlar un enrutador de la ruta de acceso a los datos.Eavesdropping can occur when an attacker gains access to the data path in a network and has the ability to monitor and read the traffic. This is also called sniffing or snooping. If the traffic is in plain text, the attacker can read the traffic when the attacker gains access to the path. An example is an attack performed by controlling a router on the data path.

Teams utiliza TLS mutua (MTLS) para las comunicaciones del servidor en Microsoft 365 y Office 365, además de TLS para los clientes al servicio. Esto dificulta mucho —o imposibilita— realizar este tipo de ataque en el período de tiempo en el que se puede atacar una conversación determinada.Teams uses mutual TLS (MTLS) for server communications within Microsoft 365 and Office 365, and also uses TLS from clients to the service, rendering this attack very difficult or impossible to achieve within the time period in which a given conversation could be attacked. TLS autentica todas las partes y cifra todo el tráfico.TLS authenticates all parties and encrypts all traffic. Esto no impide la interceptación, pero el atacante no puede leer el tráfico a menos se interrumpa el cifrado.This does not prevent eavesdropping, but the attacker cannot read the traffic unless the encryption is broken.

El protocolo TURN se usa para lograr objetivos relacionados con elementos multimedia en tiempo real.The TURN protocol is used for real time media purposes. El protocolo TURN no impone el cifrado del tráfico, y la información que envía está protegida por la integridad del mensaje.The TURN protocol does not mandate the traffic to be encrypted and the information that it is sending is protected by message integrity. Si bien este protocolo está abierto a la interceptación, la información que envía (es decir, direcciones IP y puerto) se puede extraer directamente examinando simplemente las direcciones de origen y de destino de los paquetes.Although it is open to eavesdropping, the information it is sending (that is, IP addresses and port) can be extracted directly by simply looking at the source and destination addresses of the packets. El servicio Teams se asegura de que los datos son válidos comprobando la integridad del mensaje mediante la clave derivada de algunos elementos, como una contraseña TURN, la cual no se envía nunca en texto no cifrado.The Teams service ensures that the data is valid by checking the Message Integrity of the message using the key derived from a few items including a TURN password, which is never sent in clear text. SRTP (Secure Real-Time Transport Protocol) se utiliza para el tráfico de elementos multimedia y también está encriptado.SRTP is used for media traffic and is also encrypted.

Suplantación de identidad (imitación de direcciones IP)Identity Spoofing (IP Address Spoofing)

La suplantación de identidad (spoofing) se produce cuando el atacante identifica y usa una dirección IP de una red, un equipo o un componente de red sin tener autorización para ello.Spoofing occurs when the attacker determines and uses an IP address of a network, computer, or network component without being authorized to do so. Un ataque con éxito permite al atacante operar como si el atacante fuera la entidad que normalmente se identifica por la dirección IP.A successful attack allows the attacker to operate as if the attacker is the entity normally identified by the IP address.

TLS autentica todas las partes y cifra todo el tráfico.TLS authenticates all parties and encrypts all traffic. El uso de TLS impide que un atacante realice la suplantación de direcciones IP en una conexión específica (por ejemplo, conexiones de TLS mutua).Using TLS prevents an attacker from performing IP address spoofing on a specific connection (for example, mutual TLS connections). Un atacante aún podría suplantar la dirección del servidor DNS.An attacker could still spoof the address of the DNS server. Pero, puesto que la autenticación en Teams se realiza con certificados, un atacante no tendrá un certificado válido necesario para suplantar a una de las partes de la comunicación.However, because authentication in Teams is performed with certificates, an attacker would not have a valid certificate required to spoof one of the parties in the communication.

Ataque de intermediarioMan-in-the-Middle Attack

Un ataque de intermediario se produce cuando un atacante desvía la comunicación entre dos usuarios a través del equipo del atacante sin que lo sepan esos dos usuarios.A man-in-the-middle attack occurs when an attacker reroutes communication between two users through the attacker's computer without the knowledge of the two communicating users. El atacante puede supervisar y leer el tráfico antes de enviarlo al destinatario previsto.The attacker can monitor and read the traffic before sending it on to the intended recipient. Sin darse cuenta, todos los usuarios que participan en la comunicación envían tráfico al atacante y reciben tráfico del mismo pensando que la comunicación se produce únicamente con el usuario previsto.Each user in the communication unknowingly sends traffic to and receives traffic from the attacker, all while thinking they are communicating only with the intended user. Esto puede suceder si un atacante modifica los Servicios de dominio de Active Directory para agregar su servidor como un servidor de confianza o modifica el Sistema de nombres de dominio (DNS) para que los clientes se conecten al servidor a través del atacante.This can happen if an attacker can modify Active Directory Domain Services to add his or her server as a trusted server or modify Domain Name System (DNS) to get clients to connect through the attacker on their way to the server.

Los ataques de intermediario en el tráfico multimedia entre dos puntos de conexión que participen en audio, vídeo y uso compartido de aplicaciones en Teams, se impide usando SRTP para cifrar la secuencia multimedia.Man-in-the-middle attacks on media traffic between two endpoints participating in Teams audio, video, and application sharing, is prevented by using SRTP to encrypt the media stream. Las claves de cifrado se negocian entre los dos puntos de conexión a través de un protocolo de señalización de propietario (protocolo de señalización de llamada de Teams) que usa el canal de cifrado UDP/TCP de TLS 1.2 y AES-256 (en modo GCM).Cryptographic keys are negotiated between the two endpoints over a proprietary signaling protocol (Teams Call Signaling protocol) which leverages TLS 1.2 and AES-256 (in GCM mode) encrypted UDP / TCP channel.

Ataque de reproducción RTPRTP Replay Attack

Un ataque de reproducción se produce cuando se intercepta y retransmite una transmisión multimedia válida entre dos usuarios con fines malintencionados.A replay attack occurs when a valid media transmission between two parties is intercepted and retransmitted for malicious purposes. Teams usa SRTP junto con un protocolo de señalización segura que protege las transmisiones de estos ataques al permitir que el receptor tenga un índice de los paquetes RTP ya recibidos y pueda comparar cada paquete nuevo con los que figuran en ese índice.Teams uses SRTP in conjunction with a secure signaling protocol that protects transmissions from replay attacks by enabling the receiver to maintain an index of already received RTP packets and compare each new packet with those already listed in the index.

Mensajes instantáneos no deseadosSpim

Los mensajes instantáneos no deseados son mensajes instantáneos comerciales no solicitados o solicitudes de suscripción de presencia, como el correo no deseado, pero en forma de mensaje instantáneo.Spim is unsolicited commercial instant messages or presence subscription requests, like spam, but in instant message form. Si bien estos mensajes por sí mismos no son un peligro para la seguridad de la red, son como mínimo molestos, pueden reducir la disponibilidad y la productividad de los recursos, y podrían llegar a poner en peligro la red.While not by itself a compromise of the network, it is annoying in the least, can reduce resource availability and production, and can possibly lead to a compromise of the network. Un ejemplo de ello es el caso de usuarios que se envían solicitudes no deseadas entre sí.An example of this is users spimming each other by sending requests. Los usuarios pueden bloquearse entre sí para evitarlo, pero con la federación, si se establece un ataque coordinado de este tipo, puede ser difícil de solucionar a menos que se deshabilite la federación para el asociado.Users can block each other to prevent this, but with federation, if a coordinated spim attack is established, this can be difficult to overcome unless you disable federation for the partner.

Virus y gusanosViruses and Worms

Un virus es una unidad de código cuyo propósito es reproducir otras unidades de código similares.A virus is a unit of code whose purpose is to reproduce additional, similar code units. Para que funcione, un virus necesita un anfitrión, como un archivo, un correo electrónico o un programa.To work, a virus needs a host, such as a file, email, or program. Al igual que un virus, un gusano es una unidad de código que está codificada para reproducir unidades de código adicionales similares, pero que, a diferencia de un virus, no necesita un host.Like a virus, a worm is a unit of code that is coded to reproduce additional, similar code units, but that unlike a virus does not need a host. Los virus y los gusanos suelen aparecer principalmente durante las transferencias de archivo entre clientes o cuando otros usuarios envían direcciones URL.Viruses and worms primarily show up during file transfers between clients or when URLs are sent from other users. Si hay un virus en su equipo, podrá, por ejemplo, usar su identidad y enviar mensajes instantáneos en su nombre.If a virus is on your computer, it can, for example, use your identity and send instant messages on your behalf. Las medidas estándar de seguridad de cliente como los análisis periódicos en busca de virus pueden mitigar este problema.Standard client security best practices such as periodically scanning for viruses can mitigate this issue.

Marco de seguridad de TeamsSecurity Framework for Teams

Esta sección ofrece información general sobre los elementos fundamentales que conforman un marco de seguridad de Microsoft Teams.This section gives an overview of fundamental elements that form a security framework for Microsoft Teams.

Los elementos básicos son:Core elements are:

  • Azure Active Directory (Azure AD), que proporciona un único repositorio de back-end de confianza para cuentas de usuario.Azure Active Directory (Azure AD), which provides a single trusted back-end repository for user accounts. La información de perfil de usuario se almacena en Azure AD a través de las acciones de Microsoft Graph.User profile information is stored in Azure AD through the actions of Microsoft Graph.
    • Tenga en cuenta que pueden emitirse varios tokens que es posible que vea si realiza un seguimiento de su tráfico de red.Be advised that there may be multiple tokens issued which you may see if tracing your network traffic. Esto incluye los tokens de Skype que puede ver en los seguimientos mientras se observa el tráfico de audio y el chat.This includes Skype tokens you might see in traces while looking at chat and audio traffic.
  • Seguridad de la capa de transporte (TLS) y TLS mutua (MTLS) que cifran el tráfico de mensajes instantáneos y permiten la autenticación de extremos.Transport Layer Security (TLS), and mutual TLS (MTLS) which encrypt instant message traffic and enable endpoint authentication. Las secuencias de audio, vídeo y uso compartido de aplicaciones punto a punto se cifran y se comprueba su integridad con el protocolo de transporte seguro en tiempo real (SRTP).Point-to-point audio, video, and application sharing streams are encrypted and integrity checked using Secure Real-Time Transport Protocol (SRTP). También puede ver el tráfico de OAuth en el seguimiento, especialmente en torno a los permisos negociables mientras se cambia entre pestañas en Teams, por ejemplo, para desplazarse de Publicaciones a Archivos.You may also see OAuth traffic in your trace, particularly around negotiating permissions while switching between tabs in Teams, for example to move from Posts to Files. Para obtener un ejemplo del flujo de OAuth para pestañas, consulte este documento.For an example of the OAuth flow for tabs, please see this document.
  • Teams usa protocolos estándar del sector para la autenticación de usuarios, siempre que sea posible.Teams uses industry-standard protocols for user authentication, wherever possible.

En las siguientes secciones se tratan algunas de estas tecnologías básicas.The next sections discuss some of these core technologies.

Azure Active DirectoryAzure Active Directory

Azure Active Directory funciona como el servicio de directorio para Microsoft 365 y Office 365.Azure Active Directory functions as the directory service for Microsoft 365 and Office 365. Almacena todas las asignaciones de directivas y la información de directorio de usuario.It stores all user directory information and policy assignments.

Puntos de distribución de CRLCRL Distribution Points

El tráfico de Microsoft 365 y Office 365 se realiza en canales cifrados TLS/HTTPS, lo que significa que los certificados se usan para el cifrado de todo el tráfico.Microsoft 365 and Office 365 traffic takes place over TLS/HTTPS encrypted channels, meaning that certificates are used for encryption of all traffic. Teams requiere que todos los certificados de servidor cuenten con uno o más puntos de distribución de listas de revocación de certificados (CRL).Teams requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. Los puntos de distribución CRL (CDP) son ubicaciones desde las que se pueden descargar CRL para comprobar si un certificado no ha sido revocado después de su emisión y todavía se encuentra dentro del período de validez.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Un punto de distribución CRL se anota en las propiedades del certificado como una dirección URL y es HTTPS.A CRL distribution point is noted in the properties of the certificate as a URL and is secure HTTP. El servicio Teams comprueba CRL con cada autenticación de certificado.The Teams service checks CRL with every certificate authentication.

Uso mejorado de claveEnhanced Key Usage

Los componentes del servicio Teams requieren que los certificados de servidor sean compatibles con el Uso mejorado de clave (EKU) para la autenticación del servidor.All components of the Teams service require all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. La configuración del campo EKU para la autenticación de los servidores significa que el certificado es válido para la autenticación de los servidores.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. Este EKU es esencial para MTLS.This EKU is essential for MTLS.

TLS y MTLS para TeamsTLS and MTLS for Teams

TLS y MTLS ofrecen comunicaciones cifradas y autenticación de puntos de conexión en Internet.TLS and MTLS protocols provide encrypted communications and endpoint authentication on the Internet. Teams utiliza estos dos protocolos para crear la red de servidores de confianza y garantizar que todas las comunicaciones en esa red estén cifradas.Teams uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Todas las comunicaciones entre los servidores se llevan a cabo a través de MTLS.All communications between servers occur over MTLS. Las comunicaciones SIP restantes o heredadas entre el cliente y el servidor se realizan a través de TLS.Any remaining or legacy SIP communications from client to server occur over TLS.

TLS permite a los usuarios, mediante su software cliente, autenticar los servidores Teams a los que se conectan.TLS enables users, through their client software, to authenticate the Teams servers to which they connect. En una conexión TLS, el cliente solicita un certificado válido al servidor.On a TLS connection, the client requests a valid certificate from the server. Para que sea válido, una entidad de certificación (CA) debe haber emitido el certificado; esa CA también debe ser de confianza para el cliente y el nombre DNS del servidor debe coincidir con el nombre DNS del certificado.To be valid, the certificate must have been issued by a Certificate Authority (CA) that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Si el certificado es válido, el cliente usa la clave pública del certificado para cifrar las claves de cifrado simétricas que se utilizarán para la comunicación, de modo que solo el propietario original del certificado puede usar su clave privada para descifrar el contenido de la comunicación.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. La conexión resultante es fiable y desde ese punto no es desafiada por otros servidores o clientes fiables.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients.

Las conexiones de servidor a servidor se basan en TLS mutua (MTLS) para autenticación mutua.Server-to-server connections rely on mutual TLS (MTLS) for mutual authentication. En una conexión MTLS, el servidor de origen de un mensaje y el que lo recibe intercambian certificados procedentes de una CA de confianza para ambos.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. Los certificados permiten a los servidores demostrarse mutuamente sus identidades.The certificates prove the identity of each server to the other. En el servicio Teams se sigue este procedimiento.In the Teams service, this procedure is followed.

TLS y MTLS evitan la interceptación y los ataques de intermediario.TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. En los ataques de intermediario, el atacante enruta las comunicaciones entre dos entidades de red a través del equipo del atacante sin que lo sepa ninguna de esas entidades.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. La especificación de los servidores de confianza por parte de TLS y de los Teams mitiga el riesgo de un ataque intermediario parcialmente en el nivel de aplicación mediante el uso de un cifrado coordinado con la criptografía de clave pública entre los dos puntos finales.TLS and Teams' specification of trusted servers mitigate the risk of a man-in-the middle attack partially on the application layer by using encryption that is coordinated using the Public Key cryptography between the two endpoints. Un atacante tendría que tener un certificado válido y de confianza con la clave privada correspondiente y expedir el nombre del servicio al que se comunica el cliente para descifrar la comunicación.An attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication.

Nota

Los datos de Teams se cifran en tránsito y en reposo en los centros de datos de Microsoft.Teams data is encrypted in transit and at rest in Microsoft datacenters. Microsoft usa tecnologías estándares del sector como TLS y SRTP para cifrar todos los datos en tránsito entre los dispositivos de los usuarios y los centros de datos de Microsoft, así como entre los centros de datos de Microsoft.Microsoft uses industry standard technologies such as TLS and SRTP to encrypt all data in transit between users' devices and Microsoft datacenters, and between Microsoft datacenters. Esto incluye mensajes, archivos, reuniones y otro contenido.This includes messages, files, meetings, and other content. Los datos empresariales también se cifran en reposo en los centros de datos de Microsoft, para que las organizaciones puedan descifrar el contenido en caso necesario, para cumplir con sus obligaciones de seguridad y cumplimiento, como eDiscovery.Enterprise data is also encrypted at rest in Microsoft datacenters, in a way that allows organizations to decrypt content if needed, to meet their security and compliance obligations, such as eDiscovery.

Cifrado para TeamsEncryption for Teams

Teams usa TLS y MTLS para cifrar los mensajes instantáneos.Teams uses TLS and MTLS to encrypt instant messages. Todo el tráfico de servidor a servidor necesita MTLS, independientemente de si el tráfico está limitado a la red interna o atraviesa el perímetro de esta.All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network perimeter.

En esta tabla, se resumen los protocolos que usa Teams.This table summarizes the protocols used by Teams.

Cifrado de tráficoTraffic Encryption

Tipo de tráficoTraffic type Cifrado porEncrypted by
Servidor a servidorServer-to-server MTLSMTLS
Cliente a servidor (p. ej.,Client-to-server (ex. mensajería instantánea y presencia)instant messaging and presence) TLSTLS
Flujos multimedia (p. ej.,Media flows (ex. uso compartido de audio y vídeo en elementos multimedia)audio and video sharing of media) TLSTLS
Uso compartido de audio y vídeo en elementos multimediaAudio and video sharing of media SRTP/TLSSRTP/TLS
SeñalizaciónSignaling TLSTLS

Cifrado de mediosMedia Encryption

El tráfico de medios se cifra mediante RTP seguro (SRTP), que es un perfil de protocolo de transporte en tiempo real (RTP) que proporciona al tráfico RTP confidencialidad, autenticación y protección contra los ataques de reproducción.Media traffic is encrypted using Secure RTP (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. SRTP utiliza una clave de sesión creada con un generador de números aleatorios seguros y se intercambia mediante el canal de señalización TLS.SRTP uses a session key generated by using a secure random number generator and exchanged using the signaling TLS channel. El tráfico multimedia de cliente a cliente se negocia a través de una señalización de conexión de cliente a servidor, pero se cifra con SRTP cuando se dirige directamente de cliente a cliente.Client to Client media traffic is negotiated through a Client to Server connection signaling, but is encrypted using SRTP when going direct Client to Client.

Teams usa un token basado en credenciales para el acceso seguro a los relés multimedia mediante TURN.Teams uses a credentials-based token for secure access to media relays over TURN. Los relés multimedia intercambian el token a través de un canal seguro de TLS.Media relays exchange the token over a TLS-secured channel.

FIPSFIPS

Teams utiliza algoritmos compatibles con FIPS (Estándar federal de procesamiento de información) para intercambiar claves de cifrado.Teams uses FIPS (Federal Information Processing Standard) compliant algorithms for encryption key exchanges. Para obtener más información sobre la implementación de FIPS, vea la publicación 140-2 de Estándares Federales de Procesamiento de la Información (FIPS).For more information on the implementation of FIPS, please see Federal Information Processing Standard (FIPS) Publication 140-2.

Autenticación de usuario y clienteUser and Client Authentication

Un usuario de confianza es aquel cuyas credenciales se han autenticado mediante Azure AD en Office 365 o Microsoft 365.A trusted user is one whose credentials have been authenticated by Azure AD in Microsoft 365 or Office 365.

La autenticación consiste en proporcionar credenciales de usuario a un servicio o servidor de confianza.Authentication is the provision of user credentials to a trusted server or service. Teams utiliza los siguientes protocolos de autenticación, según el estado y la ubicación del usuario.Teams uses the following authentication protocols, depending on the status and location of the user.

  • La Autenticación moderna (MA) consiste en la implementación por parte de Microsoft de OAUTH 2.0 para la comunicación de cliente a servidor.Modern Authentication (MA) is the Microsoft implementation of OAUTH 2.0 for client to server communication. Ofrece características de seguridad, por ejemplo, Autenticación multifactor y Acceso condicional.It enables security features such as Multi-Factor Authentication and Conditional Access. Para poder usar MA, tanto el inquilino en línea como los clientes deben estar habilitados para MA.In order to use MA, both the online tenant and the clients need to be enabled for MA. Los clientes de Teams entre equipos y dispositivos móviles, así como el cliente web, son compatibles con MA.The Teams clients across PC and mobile, as well as the web client, all support MA.

Nota

Si necesita ponerse al día sobre la autenticación y los métodos de autorización de Azure AD, las secciones Introducción y "Aspectos básicos de la autenticación en Azure AD" de este artículo le serán útiles.If you need to brush up on Azure AD authentication and authorization methods, this article's Introduction and 'Authentication basics in Azure AD' sections will help.

La autenticación de Teams se lleva a cabo mediante Azure AD y OAuth.Teams authentication is accomplished through Azure AD and OAuth. El proceso de autenticación se puede simplificar de la manera siguiente:The process of authentication can be simplified to:

  • Inicio de sesión del usuario > emisión del token > token emitido de uso para solicitud posterior.User Login > Token issuance > subsequent request use issued token.

Las solicitudes del cliente al servidor se autentican y autorizan mediante Azure AD con el uso de OAuth.Requests from client to server are authenticated and authorized via Azure AD with the use of OAuth. Los usuarios con credenciales válidas emitidas por un socio federado son de confianza y pasan por el mismo proceso que los usuarios nativos.Users with valid credentials issued by a federated partner are trusted and pass through the same process as native users. Sin embargo, los administradores pueden aplicar otras restricciones.However, further restrictions can be put into place by administrators.

Para la autenticación multimedia, los protocolos ICE y TURN también usan el desafío de autenticación implícita que se describe en la RFC del IETF referente a TURN.For media authentication, the ICE and TURN protocols also use the Digest challenge as described in the IETF TURN RFC.

Herramientas de administración de Teams y Windows PowerShellWindows PowerShell and Team Management Tools

En Teams, los administradores de TI pueden administrar sus servicios a través del Centro de administración de Microsoft 365 o mediante el uso de Tenant Remote PowerShell (TRPS).In Teams, IT Admins can manage their service via the Microsoft 365 admin center or by using Tenant Remote PowerShell (TRPS). Los administradores de inquilinos usan la Autenticación moderna para autenticarse en TRPS.Tenant admins use Modern Authentication to authenticate to TRPS.

Configurar el acceso a Teams en su límite de InternetConfiguring Access to Teams at your Internet Boundary

Para que Teams pueda funcionar correctamente (de modo que los usuarios puedan unirse a reuniones, etc.), los clientes deben configurar el acceso a Internet para que se permita el tráfico UDP y TCP saliente a los servicios en la nube de Teams.For Teams to function properly (for users to be able to join meetings etc.), customers need to configure their internet access such that outbound UDP and TCP traffic to services in the Teams cloud is allowed. Para obtener más información, consulte aquí: Intervalos de direcciones IP y URL de Office 365.For more details, see here: Office 365 URLs and IP address ranges.

UDP 3478-3481 y TCP 443UDP 3478-3481 and TCP 443

Los clientes usan los puertos UDP 3478 a 3481 y TCP 443 para solicitar el servicio audiovisual.The UDP 3478-3481 and TCP 443 ports are used by clients to request service for audio visuals. Un cliente utiliza estos dos puertos para asignar puertos UDP y TCP, respectivamente, con el fin de permitir estos flujos multimedia.A client uses these two ports to allocate UDP and TCP ports respectively to enable these media flows. Los flujos multimedia en estos puertos se protegen con una clave que se intercambia a través de un canal de señalización protegida TLS.The media flows on these ports are protected with a key that is exchanged over a TLS protected signaling channel.

Protecciones de federación de TeamsFederation Safeguards for Teams

La federación ofrece a su organización la posibilidad de comunicarse con otras organizaciones para compartir mensajería instantánea y presencia.Federation provides your organization with the ability to communicate with other organizations to share IM and presence. En Teams, la federación está activada de forma predeterminada.In Teams federation is on by default. Pero los administradores de inquilinos pueden controlar esta opción mediante el Centro de administración de Microsoft 365.However, tenant admins have the ability to control this via the Microsoft 365 admin center.

Solucionar amenazas para reuniones de TeamsAddressing Threats to Teams Meetings

Hay dos opciones para controlar quién llega a las reuniones de Teams y quién tendrá acceso a la información que se presenta.There are two options to control who arrives in Teams meetings and who will have access to the information you present.

  1. Puede controlar quién se une a las reuniones mediante la configuración de la sala de espera.You can control who joins your meetings through settings for the lobby.

    Hay opciones de configuración para "¿Quién puede omitir la sala de espera?" disponibles en la página Opciones de reunión"Who can bypass the lobby" setting options available in Meeting options page Tipos de usuarios que se unen a la reunión directamenteUser types joining the meeting directly Tipos de usuarios que van a la sala de esperaUser types going to the lobby
    Usuarios en mi organizaciónPeople in my organization - Cuentas empresariales- In-tenant
    - Invitados del espacio empresarial- Guest of tenant
    - Federados- Federated
    - Anónimos- Anonymous
    - Acceso telefónico PSTN- PSTN dial-in
    Usuarios de mi organización y de organizaciones de confianzaPeople in my organization and trusted organizations - Cuentas empresariales- In-tenant
    - Invitados del espacio empresarial- Guest of tenant
    - Federados- Federated
    - Anónimos- Anonymous
    - Acceso telefónico PSTN- PSTN dial-in
    TodosEveryone - Cuentas empresariales- In-tenant
    - Invitados del espacio empresarial- Guest of tenant
    - Federados anónimos- Federated Anonymous
    - Acceso telefónico PSTN- PSTN dial-in
  2. El segundo método consiste en reuniones estructuradas (donde los moderadores pueden hacer todo lo que se debería hacer, y los asistentes tienen una experiencia controlada).The second way is through structured meetings (where Presenters can do about anything that should be done, and attendees have a controlled experience). Después de unirse a una reunión estructurada, los moderadores controlan lo que pueden hacer los asistentes en la reunión.After joining a structured meeting, presenters control what attendees can do in the meeting.

    AccionesActions ModeradoresPresenters AsistentesAttendees
    Hablar y compartir su vídeoSpeak and share their video vY vY
    Participar en el chat de la reuniónParticipate in meeting chat vY vY
    Cambiar la configuración en las opciones de reuniónChange settings in meeting options vY NN
    Silenciar a otros participantesMute other participants vY NN
    Quitar a otros participantesRemove other participants vY NN
    Compartir contenidoShare content vY NN
    Admitir a otros participantes de la sala de esperaAdmit other participants from the lobby vY NN
    Hacer que otros participantes sean moderadores o asistentesMake other participants presenters or attendees vY NN
    Iniciar o detener una grabaciónStart or stop recording vY NN
    Tomar el control cuando otro participante comparte una presentación de PowerPointTake control when another participant shares a PowerPoint vY NN

Teams permite que los usuarios empresariales creen reuniones en tiempo real y se unan a ellas.Teams provides the capability for enterprise users to create and join real-time meetings. Los usuarios empresariales también pueden invitar a usuarios externos que no tengan una cuenta de Azure AD, Microsoft 365 u Office 365 para que participen en estas reuniones.Enterprise users can also invite external users who do not have an Azure AD, Microsoft 365, or Office 365 account to participate in these meetings. Los usuarios que son empleados de socios externos con una identidad segura y autenticada también pueden unirse a las reuniones y, si se les promueve para hacerlo, pueden actuar como moderadores.Users who are employed by external partners with a secure and authenticated identity can also join meetings and, if promoted to do so, can act as presenters. Los usuarios anónimos no pueden crear una reunión ni unirse a una como moderadores, pero se pueden promover a moderador después de que se unan.Anonymous users cannot create or join a meeting as a presenter, but they can be promoted to presenter after they join.

Para que los usuarios anónimos puedan unirse a las reuniones de Teams, debe estar activada la opción Participantes para reuniones en el Centro de administración de Teams.For Anonymous users to be able to join Teams meetings, the Participants meetings setting in the Teams Admin Center must be toggled on.

Nota

El término usuarios anónimos significa que los usuarios no se autentican en el inquilino de la organización.The term anonymous users means users that are not authenticated to the organizations tenant. En este contexto, todos los usuarios externos se consideran anónimos.In this context all external users are considered anonymous. Los usuarios autenticados pueden ser usuarios o invitados del inquilino.Authenticated users include tenant users and Guest users of the tenant.

Permitir que los usuarios externos participen en las reuniones de Teams puede ser muy útil, pero conlleva ciertos riesgos de seguridad.Enabling external users to participate in Teams meetings can be very useful, but entails some security risks. Para abordar estos riesgos, Teams usa las siguientes medidas de seguridad adicionales:To address these risks, Teams uses the following additional safeguards:

  • Los roles de los participantes determinan los privilegios de control de la reunión.Participant roles determine meeting control privileges.

  • Los tipos de participante permiten limitar el acceso a reuniones específicas.Participant types allow you to limit access to specific meetings.

  • La programación de reuniones está restringida a los usuarios que tienen una cuenta de AAD y una licencia de Teams.Scheduling meetings is restricted to users who have an AAD account and a Teams license.

  • Los usuarios anónimos, es decir, que no están autenticados, que deseen unirse a una conferencia de acceso por marcado necesitan marcar uno de los números de acceso a la conferencia.Anonymous, that is, unauthenticated, users who want to join a dial-in conference, dial one of the conference access numbers. Si la opción "Permitir siempre que los autores de llamadas eviten la sala de espera" está activada, también tendrán que esperar hasta que un moderador o usuario autenticado se una a la reunión.If the "Always allow callers to bypass the lobby" setting is turned On then they also need to wait until a presenter or authenticated user joins the meeting.

    Precaución

    Si no quiere que los usuarios anónimos (usuarios que no invite explícitamente) se unan a una reunión, debe asegurarse de que Usuarios anónimos pueden unirse a una reunión esté configurado como Desactivado para la sección de reunión Participantes.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

También es posible que un organizador establezca las opciones de configuración para permitir que los autores de llamadas de acceso por marcado sean los primeros en una reunión.It's also possible for an organizer to configure settings to let Dial-in callers be the first person in a meeting. Esta opción se establece en la configuración de conferencia de audio para los usuarios y se aplicará a todas las reuniones programadas por el usuario.This setting is configured in the Audio Conferencing settings for users and would apply to all meetings scheduled by the user.

Nota

Para obtener más información sobre el acceso externo y de invitados en Teams, consulte este artículo.For more information on Guest and External Access in Teams, see this article. En él se explican las características que los usuarios externos o invitados pueden ver y usar cuando inician sesión en Teams.It covers what features guest or external users can expect to see and use when they login to Teams.

Si está grabando reuniones y desea ver una matriz de permisos que tiene acceso al contenido, consulte este artículo y su matriz.If you're recording meetings and want to see a permissions matrix around accessing the content, consult this article and its matrix.

Roles de los participantesParticipant Roles

Los participantes de la reunión se dividen en tres grupos, cada uno con sus propios privilegios y restricciones:Meeting participants fall into three groups, each with its own privileges and restrictions:

  • Organizador: el usuario que crea una reunión, independientemente de si es improvisada o programada.Organizer The user who creates a meeting, whether impromptu or by scheduling. Un organizador debe ser un usuario de cuenta empresarial autenticada y tener el control sobre todos los aspectos de usuario final de la reunión.An organizer must be an authenticated in-tenant user and has control over all end-user aspects of a meeting.
  • Moderador: un usuario al que se autoriza la presentación de información durante una reunión con cualquier elemento multimedia admitido.Presenter A user who is authorized to present information at a meeting, using whatever media is supported. El organizador de la reunión es, por definición, también un moderador y determina quién más puede serlo.A meeting organizer is by definition also a presenter and determines who else can be a presenter. Un organizador puede determinarlo cuando se programa una reunión o mientras se está llevando a cabo.An organizer can make this determination when a meeting is scheduled or while the meeting is under way.
  • Asistente: un usuario al que se le ha invitado a asistir a una reunión, pero que no está autorizado para actuar como moderador.Attendee A user who has been invited to attend a meeting but who is not authorized to act as a presenter.

Un moderador también puede promover a un asistente al rol de moderador durante la reunión.A presenter can also promote an attendee to the role of presenter during the meeting.

Tipos de participantesParticipant Types

Los participantes en la reunión también se clasifican por ubicación y credenciales.Meeting participants are also categorized by location and credentials. Puede utilizar estas dos características para decidir qué usuarios pueden tener acceso a reuniones específicas.You can use both of these characteristics to decide which users can have access to specific meetings. Los usuarios se pueden dividir de forma general en las siguientes categorías:Users can be divided broadly into the following categories:

  1. Usuarios que pertenecen al inquilino: estos usuarios tienen una credencial en Azure Active Directory para el inquilino.Users that belong to the tenant These users have a credential in Azure Active Directory for the tenant. a.a. Usuarios de mi organización: estos usuarios tienen una credencial en Azure Active Directory para el inquilino.People in my organization – These users have a credential in Azure Active Directory for the tenant. Usuarios de mi organización incluye cuentas de invitado.People in my organization includes invited Guest accounts. b.b. Usuarios remotos: estos usuarios se unen desde fuera de la red corporativa.Remote users – These users are joining from outside the corporate network. Pueden incluir empleados que trabajan desde casa o mientras viajan, y otros, como empleados de proveedores de confianza, a quienes se les han otorgado credenciales empresariales por sus términos de servicio.They can include employees who are working at home or on the road, and others, such as employees of trusted vendors, who have been granted enterprise credentials for their terms of service. Los usuarios remotos pueden crear reuniones y unirse a ellas, así como actuar como moderadores.Remote users can create and join meetings and act as presenters. ..
  2. Usuarios que no pertenecen al inquilino estos usuarios no tienen una credencial en Azure AD para el inquilino.Users that do not belong to the tenant These users do not have credentials in Azure AD for the tenant. a.a. Usuarios federados: los usuarios federados tienen credenciales válidas con asociados federados y, por lo tanto, se tratan como autenticadas por Teams, pero son externos al espacio empresarial del organizador de la reunión.Federated Users - Federated users have valid credentials with federated partners and are therefore treated as authenticated by Teams, but are still external to the meeting organizer tenant. Los usuarios federados pueden unirse a reuniones y ser promovidos a moderadores después de unirse a la reunión, pero no pueden crear reuniones en las empresas con las que se hayan federado.Federated users can join meetings and be promoted to presenters after they have joined the meeting, but they can't create meetings in enterprises with which they are federated. b.b. Usuarios anónimos: no tienen una identidad de Active Directory y no están federados con el inquilino.Anonymous Users - Anonymous users do not have an Active Directory identity and are not federated with the tenant.

En muchas reuniones se incluyen usuarios externos.Many meetings involve external users. Esos clientes también quieren confirmar la identidad de los usuarios externos antes de permitir que se unan a una reunión.Those same customers also want reassurance about the identity of external users before allowing those users to join a meeting. En la siguiente sección, se describe cómo Teams limita el acceso a una reunión a los tipos de usuarios permitidos y requiere que todos los tipos de usuario presenten las credenciales adecuadas al entrar en una reunión.The next section describes how Teams limits meeting access to those user types that have been explicitly allowed, and requires all user types to present appropriate credentials when entering a meeting.

Admisión de participantesParticipant Admittance

Precaución

Si no quiere que los usuarios anónimos (usuarios que no invite explícitamente) se unan a una reunión, debe asegurarse de que Usuarios anónimos pueden unirse a una reunión esté configurado como Desactivado para la sección de reunión Participantes.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

En Teams, los usuarios anónimos pueden transferirse a un área llamada sala de espera.In Teams, anonymous users can be transferred to a waiting area called the lobby. A continuación, los moderadores pueden admitir a estos usuarios en la reunión o rechazarlos.Presenters can then either admit these users into the meeting or reject them. Cuando estos usuarios se transfieren a la sala de espera, se notifica al moderador y a los asistentes, y los usuarios anónimos tienen que esperar hasta que se les acepte o rechace, o se agote el tiempo de espera de la conexión.When these users are transferred to the lobby, the presenter and attendees are notified, and the anonymous users must then wait until they are either accepted or rejected, or their connection times out.

De forma predeterminada, los participantes que marcan para acceder desde RTC pasan directamente a la reunión cuando un usuario autenticado se une a ella, pero esta opción se puede cambiar para obligarlos a pasar a la sala de espera.By default, participants dialing in from the PSTN go directly to the meeting once an authenticated user joins the meeting, but this option can be changed to force dial-in participants to go to the lobby.

Los organizadores de la reunión controlan si los participantes pueden unirse a una reunión sin aguardar en la sala de espera.Meeting organizers control whether participants can join a meeting without waiting in the lobby. Cada reunión puede configurarse para permitir el acceso mediante cualquiera de los métodos siguientes:Each meeting can be set up to enable access using any one of the following methods:

Los valores predeterminados son:The defaults are:

  • Usuarios de mi organización: todos los usuarios externos a la organización esperarán en la sala de espera hasta que se les admita.People in my Organization - Everyone external to the organization will wait in the lobby until admitted.
  • Usuarios de mi organización y de organizaciones de confianza: los usuarios autenticados y usuarios externos de Teams y dominios de Skype Empresarial que están en la lista de permitidos de acceso externo pueden evitar la sala de espera.People from my organization and trusted organizations - Authenticated users and external users from Teams and Skype for Business domains that are in the external access allow list can bypass the lobby. Los demás usuarios permanecerán en la sala de espera hasta que se les admita.All other users will wait in the lobby until admitted.
  • Todos los usuarios: todos los participantes de la reunión evitan la sala de espera cuando un usuario autenticado se une a la reunión.Everyone - All meeting participants bypass the lobby once an authenticated user has joined the meeting.

Capacidades del presentadorPresenter Capabilities

Los organizadores de la reunión controlan si los participantes pueden realizar presentaciones durante una reunión.Meeting organizers control whether participants can present during a meeting. Cada reunión puede configurarse para limitar los presentadores, según estas opciones:Each meeting can be set up to limit presenters to any one of the following:

  • Usuarios de mi organización: todos los usuarios del inquilino, incluidos los invitados, pueden presentar contenido.People in my organization - All in tenant users, including guests, can present
  • Usuarios de mi organización y de organizaciones de confianza: todos los usuarios del inquilino, incluidos los invitados, pueden presentar contenido, y los usuarios externos de Teams y de dominios de Skype Empresarial que estén en la lista de permitidos de acceso externo pueden presentar contenido.People in my organization and trusted organizations - All in tenant users, including guests, can present and external users from Teams and Skype for Business domains that are in the external access allow list can present.
  • Todos: todos los participantes de la reunión son moderadores.Everyone - All meeting participants are presenters.

Modificar mientras se lleva a cabo la reuniónModify While Meeting is Running

Las opciones de reunión se pueden modificar mientras se celebra la reunión.It's possible to modify the meeting options while a meeting is on-going. Cuando se guarde el cambio, este afectará a la reunión en marcha en cuestión de segundos.The change, when saved, will impact the running meeting within seconds. También afectará a las repeticiones futuras de la reunión.It also effects any future occurrences of the meeting.

Las 12 tareas principales de los equipos de seguridad para dar soporte al trabajo desde casaTop 12 tasks for security teams to support working from home

Centro de confianza de MicrosoftMicrosoft Trust Center

Administrar la configuración de reuniones en Microsoft TeamsManage meeting settings in Microsoft Teams

Optimizar la conectividad de Microsoft 365 u Office 365 para usuarios remotos que usan túnel dividido de VPNOptimize Microsoft 365 or Office 365 connectivity for remote users using VPN split tunneling

Grabaciones de reuniones en Teams, donde se almacenan grabaciones, y quien puede acceder a ellasMeeting recordings in Teams, where recordings are stored, and who can access them