Sécurité et Microsoft TeamsSecurity and Microsoft Teams

Important

Le modèle de service Teams est susceptible d’être modifié pour améliorer l’expérience des clients.The Teams service model is subject to change in order to improve customer experience. Par exemple, il est possible que les heures d’expiration des jetons d’actualisation ou d’accès par défaut soient sujettes à des modifications pour améliorer les performances et la résilience de l’authentification pour les personnes qui utilisent Teams.For example, the default access or refresh token expiration times may be subject to modification in order to improve performance and authentication resiliency for those using Teams. Ces modifications sont apportées dans le but de maintenir la sécurité de Teams et la confiance en conception.Any such changes would be made with the goal of keeping Teams secure and Trustworthy by Design.

Microsoft Teams, dans le cadre des services Microsoft 365 et Office 365, respecte toutes les pratiques recommandées en matière de sécurité et des procédures telles que la sécurité de niveau de service, notamment les contrôles client de défense approfondie au sein du service, le renforcement de la sécurité et le fonctionnement optimal. techniques.Microsoft Teams, as part of the Microsoft 365 and Office 365 services, follows all the security best practices and procedures such as service-level security through defense-in-depth, customer controls within the service, security hardening and operational best practices. Pour plus d’informations, voir le centre de gestion de la confidentialité de Microsoft.For full details, please see the Microsoft Trust Center.

Confiance en conceptionTrustworthy by Design

Teams a été conçu et développé conformément au cycle de développement Microsoft Trustworthy Computing Security Development Lifecycle (SDL), décrit Microsoft Security Development Lifecycle (SDL).Teams is designed and developed in compliance with the Microsoft Trustworthy Computing Security Development Lifecycle (SDL), which is described at Microsoft Security Development Lifecycle (SDL). Pour créer un système de communications unifiées plus sûr, la première étape a consisté à concevoir des modèles de menace, puis à tester chaque nouvelle fonctionnalité durant sa conception.The first step in creating a more secure unified communications system was to design threat models and test each feature as it was designed. Plusieurs améliorations liées à la sécurité ont été intégrées au processus et aux pratiques de codage.Multiple security-related improvements were built into the coding process and practices. Au moment de la création, des outils détectent les dépassements de mémoire tampon et d’autres risques de sécurité potentiels avant l’archivage du code dans le produit final.Build-time tools detect buffer overruns and other potential security threats before the code is checked in to the final product. Bien sûr, il est impossible de prévoir toutes les menaces de sécurités inconnues lors de la conception.Of course, it is impossible to design against all unknown security threats. Aucun système ne peut garantir une sécurité totale.No system can guarantee complete security. Toutefois, dans la mesure où le développement du produit utilise des règles de conception prenant en compte la sécurité dès le départ, les technologies de sécurité standard font partie intégrante de l’architecture de Teams.However, because product development embraced secure design principles from the start, Teams incorporates industry standard security technologies as a fundamental part of its architecture.

Confiance par défautTrustworthy by Default

Par défaut, les communications réseau dans les équipes sont chiffrées.Network communications in Teams are encrypted by default. Avec l’exigence que tous les serveurs utilisent des certificats et avec l'utilisation d'OAUTH, de TLS, du protocole SRTP (Secure Real-Time Transport Protocol) et d'autres techniques de chiffrement standard, notamment le chiffrement AES (Advanced Encryption Standard) 256 bits, toutes les données de Skype Entreprise Online sont protégées sur le réseau.By requiring all servers to use certificates and by using OAUTH, TLS, Secure Real-Time Transport Protocol (SRTP), and other industry-standard encryption techniques, including 256-bit Advanced Encryption Standard (AES) encryption, all Teams data is protected on the network.

Comment les équipes gèrent les menaces de sécurité courantesHow Teams Handles Common Security Threats

Cette section identifie les menaces les plus courantes à la sécurité du service SfBO et la manière dont Microsoft fait face à chaque menace.This section identifies the more common threats to the security of the Teams Service and how Microsoft mitigates each threat.

Attaques par clé compromiseCompromised-Key Attack

Teams utilise les fonctionnalités de l’infrastructure à clé publique dans le système d’exploitation Windows Server pour protéger les données de clé utilisées pour le chiffrement des connexions TLS (Transport Layer Security).Teams uses the PKI features in the Windows Server operating system to protect the key data used for encryption for the Transport Layer Security (TLS) connections. Les clés utilisées pour le chiffrement multimédia sont échangées via des connexions TLS.The keys used for media encryptions are exchanged over TLS connections.

Attaque par déni de service réseauNetwork Denial-of-Service Attack

L’attaque par déni de service se produit lorsque l’agresseur empêche l’utilisation normale du réseau et la fonctionnement par des utilisateurs valides.The denial-of-service attack occurs when the attacker prevents normal network use and function by valid users. À l’aide d’une attaque par déni de service, l’agresseur peut :By using a denial-of-service attack, the attacker can:

  • envoyer des données non valides à des applications et des services exécutés sur le réseau faisant l’objet de l’attaque, afin de perturber leur exécution normale ;Send invalid data to applications and services running in the attacked network to disrupt their normal function.
  • envoyer un volume de trafic important, de manière à surcharger le système jusqu’à ce que celui-ci cesse de fonctionner ou nécessite beaucoup de temps pour répondre aux demandes légitimes ;Send a large amount of traffic, overloading the system until it stops responding or responds slowly to legitimate requests.
  • masquer les signes d’attaque ;Hide the evidence of the attacks.
  • empêcher les utilisateurs d’accéder aux ressources réseau.Prevent users from accessing network resources. Teams atténue ces attaques en exécutant la protection réseau Azure DDOS et en limitant la bande passante des demandes des clients provenant des mêmes nœuds finaux, sous-réseaux et entités fédérées.Teams mitigates against these attacks by running Azure DDOS network protection and by throttling client requests from the same endpoints, subnets, and federated entities.

Protection contre l’écouteEavesdropping

Eavesdropping can occur when an attacker gains access to the data path in a network and has the ability to monitor and read the traffic.Eavesdropping can occur when an attacker gains access to the data path in a network and has the ability to monitor and read the traffic. This is also called sniffing or snooping.This is also called sniffing or snooping. If the traffic is in plain text, the attacker can read the traffic when the attacker gains access to the path.If the traffic is in plain text, the attacker can read the traffic when the attacker gains access to the path. An example is an attack performed by controlling a router on the data path.An example is an attack performed by controlling a router on the data path.

Teams utilise MTLS (mutual TLS) pour les communications serveur au sein de Microsoft 365 et Office 365 et utiles également TLS des clients au service, rendant cette attaque très difficile à réaliser, voire impossible, dans le délai pendant lequel une conversation donnée pourrait être attaquée.Teams uses mutual TLS (MTLS) for server communications within Microsoft 365 and Office 365, and also uses TLS from clients to the service, rendering this attack very difficult or impossible to achieve within the time period in which a given conversation could be attacked. TLS authentifie toutes les parties et chiffre tout le trafic.TLS authenticates all parties and encrypts all traffic. Ceci n’empêche pas les attaques par écoute, mais l’intrus ne peut pas lire le trafic à moins que le chiffrement ne soit rompu.This does not prevent eavesdropping, but the attacker cannot read the traffic unless the encryption is broken.

Le protocole TURN est utilisé pour les médias en temps réel.The TURN protocol is used for real time media purposes. Le protocole TURN n’impose pas de chiffrement du trafic et les informations qu’il envoie sont protégées par l’intégrité des messages.The TURN protocol does not mandate the traffic to be encrypted and the information that it is sending is protected by message integrity. Bien qu’il soit ouvert à l’écoute électronique, les informations qu’il envoie (autrement dit les adresses IP et le port) peuvent être extraites directement en regardant simplement les adresses source et de destination des paquets.Although it is open to eavesdropping, the information it is sending (that is, IP addresses and port) can be extracted directly by simply looking at the source and destination addresses of the packets. Le service Teams s’assure que les données sont valides par la vérification de l’intégrité du message en utilisant la clé dérivée de quelques éléments comprenant un mot de passe TURN, qui n'est jamais envoyé en clair.The Teams service ensures that the data is valid by checking the Message Integrity of the message using the key derived from a few items including a TURN password, which is never sent in clear text. SRTP est utilisé pour le trafic multimédia et est également chiffré.SRTP is used for media traffic and is also encrypted.

Usurpation d’identité (usurpation d’adresse IP)Identity Spoofing (IP Address Spoofing)

On parle d’usurpation d’identité lorsqu’une personne malveillante parvient à déterminer et à utiliser l’adresse IP d’un réseau, d’un ordinateur ou d’un composant réseau, sans y avoir été autorisée.Spoofing occurs when the attacker determines and uses an IP address of a network, computer, or network component without being authorized to do so. Une attaque réussie permet à l’agresseur de fonctionner comme si l’utilisateur malveillant était l’entité identifiée normalement par l’adresse IP.A successful attack allows the attacker to operate as if the attacker is the entity normally identified by the IP address.

TLS authentifie toutes les parties et chiffre tout le trafic.TLS authenticates all parties and encrypts all traffic. L’utilisation de TLS empêche les agresseurs d’effectuer l’usurpation d’adresse IP sur une connexion spécifique (par exemple, des connexions Mutual TLS).Using TLS prevents an attacker from performing IP address spoofing on a specific connection (for example, mutual TLS connections). Un attaquant pourrait tout de même usurper l’adresse du serveur DNS.An attacker could still spoof the address of the DNS server. Comme l’authentification est assurée à l’aide de certificats dans Teams, un intrus n’aurait pas de certificat valide nécessaire pour usurper l’identité d’une des parties dans la communication.However, because authentication in Teams is performed with certificates, an attacker would not have a valid certificate required to spoof one of the parties in the communication.

Attaque de l’intercepteurMan-in-the-Middle Attack

Une attaque de l’intercepteur se produit lorsqu’une personne malveillante redirige les communications entre deux utilisateurs via son propre ordinateur, à l’insu des deux participants.A man-in-the-middle attack occurs when an attacker reroutes communication between two users through the attacker's computer without the knowledge of the two communicating users. L’intrus peut surveiller et lire le trafic avant de l’acheminer vers le destinataire concerné.The attacker can monitor and read the traffic before sending it on to the intended recipient. Chacun des utilisateurs envoie et reçoit du trafic vers/de l’intrus, alors qu’il pense communiquer avec l’utilisateur concerné uniquement.Each user in the communication unknowingly sends traffic to and receives traffic from the attacker, all while thinking they are communicating only with the intended user. Cela peut se produire si une personne malveillante modifie les services de domaine Active Directory pour ajouter son serveur en tant que serveur approuvé, ou si elle modifie DNS (Domain Name System) pour faire en sorte que les clients se connectent au serveur via l’ordinateur de l’intrus à l’origine de l’attaque.This can happen if an attacker can modify Active Directory Domain Services to add his or her server as a trusted server or modify Domain Name System (DNS) to get clients to connect through the attacker on their way to the server.

Les attaques d’homme-intermédiaire sur le trafic multimédia entre deux points de terminaison qui participent dans l’audio, la vidéo et le partage d’applications dans Teams sont évitées en utilisant SRTP pour chiffrer le flux de données multimédia.Man-in-the-middle attacks on media traffic between two endpoints participating in Teams audio, video, and application sharing, is prevented by using SRTP to encrypt the media stream. Les clés cryptographiques sont négociées entre les deux points de terminaison sur un protocole de signalisation propriétaire (Team Calling Protocol) qui utilise TLS 1,2 et AES-256 (en mode GCM) canal UDP/TCP chiffré.Cryptographic keys are negotiated between the two endpoints over a proprietary signaling protocol (Teams Call Signaling protocol) which leverages TLS 1.2 and AES-256 (in GCM mode) encrypted UDP / TCP channel.

Attaque par relecture RTPRTP Replay Attack

Une attaque par relecture se produit lorsqu’une transmission multimédia valide entre deux correspondants est interceptée, puis retransmise à des fins malveillantes.A replay attack occurs when a valid media transmission between two parties is intercepted and retransmitted for malicious purposes. Teams utilise SRTP conjointement avec un protocole de signalisation sécurisé qui protège les transmissions des attaques par relecture en permettant au destinataire de conserver un index des paquets RTP déjà reçus et de comparer chaque nouveau paquet à ceux figurant déjà dans l’index.Teams uses SRTP in conjunction with a secure signaling protocol that protects transmissions from replay attacks by enabling the receiver to maintain an index of already received RTP packets and compare each new packet with those already listed in the index.

SPIMSpim

Il s’agit de messages instantanés commerciaux non sollicités ou de demandes d’abonnement de présence, tels que le courrier indésirable, mais sous forme de message instantané.Spim is unsolicited commercial instant messages or presence subscription requests, like spam, but in instant message form. Bien qu’elle ne soit pas isolée du réseau, elle est agaçante au moins, peut réduire la disponibilité des ressources et la production, et peut entraîner la compromission du réseau.While not by itself a compromise of the network, it is annoying in the least, can reduce resource availability and production, and can possibly lead to a compromise of the network. Par exemple, les utilisateurs se font du spimming mutuellement en envoyant des demandes.An example of this is users spimming each other by sending requests. Les utilisateurs peuvent se bloquer pour empêcher cela, mais avec la fédération, si une attaque de spim coordonné est établie, cela peut être difficile à surmonter, sauf si vous désactivez la fédération pour le partenaire.Users can block each other to prevent this, but with federation, if a coordinated spim attack is established, this can be difficult to overcome unless you disable federation for the partner.

Virus et versViruses and Worms

Un virus est une unité de code ayant pour finalité la reproduction d’unités de code similaires supplémentaires.A virus is a unit of code whose purpose is to reproduce additional, similar code units. Pour fonctionner, un virus a besoin d’un hôte, par exemple un fichier, un e-mail ou un programme.To work, a virus needs a host, such as a file, email, or program. Comme un virus, un ver est une unité de code codée pour reproduire des unités de code similaires, mais contrairement à un virus, il n’a pas besoin d’hôte.Like a virus, a worm is a unit of code that is coded to reproduce additional, similar code units, but that unlike a virus does not need a host. Les virus et les vers apparaissent principalement lors des transferts de fichiers entre clients ou lorsque des URL sont envoyées par d’autres utilisateurs.Viruses and worms primarily show up during file transfers between clients or when URLs are sent from other users. Si vous avez un virus sur votre ordinateur, il peut, par exemple, utiliser votre identité et envoyer des messages instantanés en votre nom.If a virus is on your computer, it can, for example, use your identity and send instant messages on your behalf. Les meilleures pratiques standard de sécurité client, telles que la recherche périodique de virus, peuvent atténuer ce problème.Standard client security best practices such as periodically scanning for viruses can mitigate this issue.

Infrastructure de sécurité pour TeamsSecurity Framework for Teams

Cette section fournit une vue d’ensemble des éléments fondamentaux qui constituent une infrastructure de sécurité pour Microsoft Teams.This section gives an overview of fundamental elements that form a security framework for Microsoft Teams.

Les principaux éléments sont les suivants :Core elements are:

  • Azure Active Directory (Azure AD) fournit un unique référentiel back-end fiable pour les comptes d’utilisateurs.Azure Active Directory (Azure AD), which provides a single trusted back-end repository for user accounts. Les informations de profil utilisateur sont stockées dans Azure AD via les actions de Microsoft Graph.User profile information is stored in Azure AD through the actions of Microsoft Graph.
    • Il est possible que plusieurs jetons soient émis, ce que vous pouvez voir si vous suivez le trafic de votre réseau.Be advised that there may be multiple tokens issued which you may see if tracing your network traffic. Cela inclut les jetons Skype que vous pouvez voir dans les traces tout en regardant la conversation et le trafic audio.This includes Skype tokens you might see in traces while looking at chat and audio traffic.
  • TLS (Transport Layer Security) et Mutual TLS (MTLS) qui chiffre le trafic de messages instantanés et active l’authentification de point de terminaison.Transport Layer Security (TLS), and mutual TLS (MTLS) which encrypt instant message traffic and enable endpoint authentication. Les flux de données audio, vidéo et de partage d’applications point à point sont chiffrés et l’intégrité est vérifiée à l’aide du protocole SRTP (Secure Real-Time Transport Protocol).Point-to-point audio, video, and application sharing streams are encrypted and integrity checked using Secure Real-Time Transport Protocol (SRTP). Vous pouvez également voir le trafic OAuth dans votre trace, en particulier autour des autorisations de négociation, lorsque vous basculez entre les onglets dans Teams, par exemple, pour passer d’une publication à une autre.You may also see OAuth traffic in your trace, particularly around negotiating permissions while switching between tabs in Teams, for example to move from Posts to Files. Pour consulter un exemple de flux OAuth pour les onglets, consultez ce document.For an example of the OAuth flow for tabs, please see this document.
  • Les équipes utilisent des protocoles standard pour l’authentification des utilisateurs, autant que possible.Teams uses industry-standard protocols for user authentication, wherever possible.

Les sections suivantes décrivent certaines de ces technologies de base.The next sections discuss some of these core technologies.

Azure Active DirectoryAzure Active Directory

Azure Active Directory sert de service d’annuaire pour Microsoft 365 et Office 365.Azure Active Directory functions as the directory service for Microsoft 365 and Office 365. Il stocke toutes les affectations de stratégie et les informations de l’annuaire utilisateur.It stores all user directory information and policy assignments.

Points de distributionCRL Distribution Points

Le trafic Microsoft 365 et Office 365 a lieu sur les canaux chiffrés TLS/HTTPs, ce qui signifie que les certificats sont utilisés pour le chiffrement de tout le trafic.Microsoft 365 and Office 365 traffic takes place over TLS/HTTPS encrypted channels, meaning that certificates are used for encryption of all traffic. Teams exige que tous les certificats de serveur contiennent un ou plusieurs points de distribution de liste de révocation de certificats (CRL).Teams requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. Les points de distribution CRL (CDP) sont des emplacements à partir desquels les CRL peuvent être téléchargés en vue de vérifier que le certificat n’a pas été révoqué depuis son émission et qu’il est toujours dans sa période de validité.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Un point de distribution CRL est indiqué dans les propriétés du certificat sous forme d’URL et il s’agit d’une adresse HTTP sécurisée.A CRL distribution point is noted in the properties of the certificate as a URL and is secure HTTP. Le service Teams vérifie la liste de révocation de certificats avec chaque authentification de certificat.The Teams service checks CRL with every certificate authentication.

Utilisation avancée de la clé :Enhanced Key Usage

Toutes les composantes du service Teams exigent que tous les certificats de serveur prennent en charge l’utilisation améliorée de la clé (EKU) aux fins de l’authentification du serveur.All components of the Teams service require all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. La configuration du champ EKU pour l’authentification du serveur signifie que le certificat est valide pour l’authentification des serveurs.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. Cette EKU est essentielle pour MTLS.This EKU is essential for MTLS.

TLS et MTLS pour les équipesTLS and MTLS for Teams

Les protocoles TLS et MTLS fournissent des communications chiffrées et une authentification de point de terminaison sur Internet.TLS and MTLS protocols provide encrypted communications and endpoint authentication on the Internet. Teams utilise ces deux protocoles pour créer le réseau de serveurs approuvés et pour garantir que toutes les communications sur ce réseau sont chiffrées.Teams uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Toutes les communications entre les serveurs interviennent sur MTLS.All communications between servers occur over MTLS. Toutes les communications SIP restantes ou héritées du client au serveur ont lieu via TLS.Any remaining or legacy SIP communications from client to server occur over TLS.

TLS permet aux utilisateurs, via leur logiciel client, d’authentifier les serveurs Teams auxquels ils se connectent.TLS enables users, through their client software, to authenticate the Teams servers to which they connect. Sur une connexion TLS, le client demande un certificat valide au serveur.On a TLS connection, the client requests a valid certificate from the server. Pour être valide, le certificat doit avoir été émis par une autorité de certification qui est également approuvée par le client et le nom DNS du serveur doit correspondre au nom DNS dans le certificat.To be valid, the certificate must have been issued by a Certificate Authority (CA) that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Si le certificat est valide, le client utilise la clé publique du certificat pour chiffrer les clés de chiffrement symétriques à utiliser pour la communication, de sorte que seul le propriétaire d’origine du certificat peut utiliser sa clé privée pour déchiffrer le contenu de la communication.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. La connexion résultante est approuvée et à partir de ce point n’est pas contestée par d’autres serveurs ou clients approuvés.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients.

Les connexions de serveur à serveur reposent sur le protocole TLS (MTLS) mutuel pour l’authentification mutuelle.Server-to-server connections rely on mutual TLS (MTLS) for mutual authentication. Sur une connexion MTLS, le serveur à l’origine d’un message et le serveur le recevant échangent des certificats à partir d’une autorité de certification mutuellement approuvée.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. Les certificats prouvent l’identité d’un serveur à un autre.The certificates prove the identity of each server to the other. Cette procédure est suivie dans le service Teams.In the Teams service, this procedure is followed.

Les protocoles TLS et MTLS évitent les attaques par écoute clandestine et les attaques d’homme intercepteurs.TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. Dans le cas d’une attaque d’intercepteur, l’attaquant réachemine les communications entre deux entités de réseau via l’ordinateur de l’attaquant sans que l’autre partie n’en ait connaissance.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. La spécification des serveurs approuvés de TLS et de Teams atténue les risques d’attaque de l’intercepteur sur la couche d’application en utilisant le chiffrement qui est coordonné à l’aide du chiffrement à clé publique entre les deux points de terminaison.TLS and Teams' specification of trusted servers mitigate the risk of a man-in-the middle attack partially on the application layer by using encryption that is coordinated using the Public Key cryptography between the two endpoints. Un attaquant doit avoir un certificat valide et approuvé avec la clé privée correspondante et émis au nom du service vers lequel le client communique pour déchiffrer la communication.An attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication.

Notes

Les données Teams sont chiffrées pendant le transit et au repos.Teams data is encrypted in transit and at rest. Microsoft utilise les technologies standard du secteur telles que TLS et SRTP pour chiffrer toutes les données en transit entre les appareils des utilisateurs et les centres de données Microsoft, ainsi qu’entre les centres de données Microsoft.Microsoft uses industry standard technologies such as TLS and SRTP to encrypt all data in transit between users' devices and Microsoft datacenters, and between Microsoft datacenters. Elles comprennent les messages, fichiers, réunions et d’autres contenus.This includes messages, files, meetings, and other content. Les données de l’entreprise sont également chiffrées au repos dans les centres de données de Microsoft, ce qui permet aux organisations de déchiffrer du contenu le cas échéant, dans le but de respecter leurs obligations en matière de sécurité et de conformité, telles que eDiscovery.Enterprise data is also encrypted at rest in Microsoft datacenters, in a way that allows organizations to decrypt content if needed, to meet their security and compliance obligations, such as eDiscovery.

Chiffrement pour TeamsEncryption for Teams

Teams utilise TLS et MTLS pour encrypter les messages instantanés.Teams uses TLS and MTLS to encrypt instant messages. Tout le trafic de serveur à serveur requiert MTLS, que le trafic soit confiné au réseau interne ou qu’il traverse le périmètre réseau interne.All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network perimeter.

Ce tableau résume les protocoles utilisés par les équipes.This table summarizes the protocols used by Teams.

Chiffrement du traficTraffic Encryption

Type de traficTraffic type Encrypté parEncrypted by
Serveur à serveurServer-to-server MTLSMTLS
Client-vers-serveur (par exemple.Client-to-server (ex. Messagerie instantanée et présenceinstant messaging and presence) TLSTLS
Flux multimédias (par exemple.Media flows (ex. partage de fichiers audio et vidéoaudio and video sharing of media) TLSTLS
Partage de fichiers audio et vidéoAudio and video sharing of media SRTP/TLSSRTP/TLS
SignalisationSignaling TLSTLS

Chiffrement multimédiaMedia Encryption

Le trafic multimédia est chiffré à l'aide du protocole SRTP (Secure Real-time Transport Protocol), un profil du protocole RTP (Real-Time Transport Protocol) qui offre confidentialité, authentification et protection contre les attaques sur le trafic RTP.Media traffic is encrypted using Secure RTP (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. SRTP utilise une clé de session produite à l’aide d’un générateur de nombres aléatoires sécurisé et échangée en utilisant le canal TLS de signalisation.SRTP uses a session key generated by using a secure random number generator and exchanged using the signaling TLS channel. Le trafic multimédia du client au client est négocié via un signal de connexion du client au serveur, mais il est chiffré à l’aide de SRTP lors d’une relation directe du client au client.Client to Client media traffic is negotiated through a Client to Server connection signaling, but is encrypted using SRTP when going direct Client to Client.

Teams utilise un jeton basé sur les informations d’identification pour sécuriser l’accès aux relais multimédias à la main.Teams uses a credentials-based token for secure access to media relays over TURN. Les relais de contenu échangent le jeton via un canal sécurisé TLS.Media relays exchange the token over a TLS-secured channel.

FIPSFIPS

Teams utilise des algorithmes qui sont conformes aux normes FIPS (Federal Information Processing Standard) pour les échanges de clés de chiffrement.Teams uses FIPS (Federal Information Processing Standard) compliant algorithms for encryption key exchanges. Pour plus d’informations sur l’implémentation de la norme FIPS, consultez la Publication 140-2 du Federal Information Processing Standard (FIPS).For more information on the implementation of FIPS, please see Federal Information Processing Standard (FIPS) Publication 140-2.

Authentification utilisateur et clientUser and Client Authentication

Un utilisateur approuvé est un utilisateur dont les informations d’identification ont été authentifiées par Azure AD dans Microsoft 365 et Office 365.A trusted user is one whose credentials have been authenticated by Azure AD in Microsoft 365 or Office 365.

L’authentification consiste à fournir des informations d’identification d’utilisateur à un serveur approuvé ou service.Authentication is the provision of user credentials to a trusted server or service. Teams utilise les protocoles d’authentification suivants, en fonction du statut et de l’emplacement de l’utilisateur.Teams uses the following authentication protocols, depending on the status and location of the user.

  • L’authentification moderne (AM) est l’implémentation Microsoft d’OAUTH 2.0 pour la communication client à serveur.Modern Authentication (MA) is the Microsoft implementation of OAUTH 2.0 for client to server communication. Il active les fonctionnalités de sécurité telles que l’authentification multi-facteur et accès conditionnel.It enables security features such as Multi-Factor Authentication and Conditional Access. Pour utiliser AM, les clients online et client doivent être activés pour AM.In order to use MA, both the online tenant and the clients need to be enabled for MA. Les clients Teams sur PC et mobiles, ainsi que sur le client Web, prennent tous en charge AM.The Teams clients across PC and mobile, as well as the web client, all support MA.

Notes

Si vous devez vous conformer aux méthodes d’authentification et d’autorisation Azure AD, cet article explique comment les sections « concepts de base de l’authentification dans Azure AD » sont utiles.If you need to brush up on Azure AD authentication and authorization methods, this article's Introduction and 'Authentication basics in Azure AD' sections will help.

L’authentification des équipes est effectuée via Azure AD et OAuth.Teams authentication is accomplished through Azure AD and OAuth. Le processus d’authentification peut être simplifié pour :The process of authentication can be simplified to:

  • Accès utilisateur > émission de jetons > demande ultérieure utilisez un jeton émis.User Login > Token issuance > subsequent request use issued token.

Les demandes de client à serveur sont authentifiées par l’intermédiaire de Azure AD et utilisant OAuth.Requests from client to server are authenticated and authorized via Azure AD with the use of OAuth. Les utilisateurs disposant d’informations d’identification valides émises par un partenaire fédéré sont approuvés et passent par le même processus que les utilisateurs natifs.Users with valid credentials issued by a federated partner are trusted and pass through the same process as native users. Toutefois, des restrictions complémentaires peuvent être mises en place par les administrateurs.However, further restrictions can be put into place by administrators.

Pour l’authentification multimédias, les protocoles de glace et de tournage utilisent également la stimulation Digest, comme décrit dans l’IETF TURN RFC.For media authentication, the ICE and TURN protocols also use the Digest challenge as described in the IETF TURN RFC.

Windows PowerShell et outils de gestion TeamsWindows PowerShell and Team Management Tools

Dans Teams, les administrateurs informatiques peuvent gérer leur service via le centre d’administration Microsoft 365 ou à l’aide de client Remote PowerShell (TRPS).In Teams, IT Admins can manage their service via the Microsoft 365 admin center or by using Tenant Remote PowerShell (TRPS). Les administrateurs de client utilisent l’authentification moderne pour s’authentifier auprès de TRPS.Tenant admins use Modern Authentication to authenticate to TRPS.

Configuration de l'accès à Teams à votre frontière InternetConfiguring Access to Teams at your Internet Boundary

Pour que Teams fonctionne correctement (pour permettre aux utilisateurs de participer à des réunions, etc.), les clients doivent configurer leur accès à Internet de telle sorte que le trafic UDP et TCP sortant vers les services dans le Cloud Teams soit autorisé.For Teams to function properly (for users to be able to join meetings etc.), customers need to configure their internet access such that outbound UDP and TCP traffic to services in the Teams cloud is allowed. Pour Informations supplémentaires, voir URL Office 365 et plages d’adresses IP.For more details, see here: Office 365 URLs and IP address ranges.

UDP 3478-3481 et TCP 443UDP 3478-3481 and TCP 443

Les ports UDP 3478-3481 et TCP 443 sont utilisés par les clients pour demander un service pour les visuels audio.The UDP 3478-3481 and TCP 443 ports are used by clients to request service for audio visuals. Un client utilise ces deux ports pour allouer les ports UDP et TCP respectivement pour activer ces flux multimédias.A client uses these two ports to allocate UDP and TCP ports respectively to enable these media flows. Les flux de médias sur ces ports sont protégés par une clé qui est échangée via un canal de signalisation sécurisé TLS.The media flows on these ports are protected with a key that is exchanged over a TLS protected signaling channel.

Protection de la Fédération pour TeamsFederation Safeguards for Teams

La Fédération offre à votre organisation la possibilité de communiquer avec d’autres organisations afin de partager la messagerie instantanée et la présence.Federation provides your organization with the ability to communicate with other organizations to share IM and presence. La Fédération de Teams est activée par défaut.In Teams federation is on by default. En revanche, les administrateurs de client peuvent contrôler cet environnement via le centre d’administration Microsoft 365.However, tenant admins have the ability to control this via the Microsoft 365 admin center.

Répondre aux réunions TeamsAddressing Threats to Teams Meetings

Deux options s’offrent à vous pour contrôler les personnes qui ont atteint les réunions Teams et qui auront accès aux informations que vous présentez.There are two options to control who arrives in Teams meetings and who will have access to the information you present.

  1. Vous pouvez contrôler les personnes qui joignent vos réunions via les paramètres de la lobby.You can control who joins your meetings through settings for the lobby.

    Options de paramètre « Qui peut éviter la salle d’attente ? » disponibles sur la page d’options Meeting"Who can bypass the lobby" setting options available in Meeting options page Types d’utilisateurs participant directement à la réunionUser types joining the meeting directly Types d’utilisateurs passant par la salle d’attenteUser types going to the lobby
    Membres de mon organisationPeople in my organization -Locataire hébergé- In-tenant
    -Invité du client- Guest of tenant
    -Fédéré- Federated
    -Anonyme- Anonymous
    -Rendez-vous PSTN- PSTN dial-in
    Membres de mon organisation et organisations approuvéesPeople in my organization and trusted organizations -Locataire hébergé- In-tenant
    -Invité du client- Guest of tenant
    -Fédéré- Federated
    -Anonyme- Anonymous
    -Rendez-vous PSTN- PSTN dial-in
    Tout le mondeEveryone -Locataire hébergé- In-tenant
    -Invité du client- Guest of tenant
    -Anonyme fédéré- Federated Anonymous
    -Rendez-vous PSTN- PSTN dial-in
  2. La deuxième méthode consiste à passer par les réunions structurées (où les Présentateurs peuvent faire quelque chose à faire, et les participants ont une expérience contrôlée).The second way is through structured meetings (where Presenters can do about anything that should be done, and attendees have a controlled experience). Une fois que vous avez rejoint une réunion structurée, les présentateurs contrôlent ce que les participants peuvent faire pendant la réunion.After joining a structured meeting, presenters control what attendees can do in the meeting.

    ActionsActions PrésentateursPresenters ParticipantsAttendees
    Parlez et partagez leur vidéoSpeak and share their video OY vY
    Participer à une conversation de réunionParticipate in meeting chat OY vY
    Modifier les paramètres dans les options de réunionChange settings in meeting options vY NN
    Désactiver le son des participantsMute other participants vY NN
    Supprimer les autres participantsRemove other participants vY NN
    Partager le contenuShare content vY NN
    Admettre d’autres participants de la salle d’attenteAdmit other participants from the lobby vY NN
    Rendre les présentateurs ou participants d’autres participantsMake other participants presenters or attendees vY NN
    Démarrer ou arrêter l’enregistrementStart or stop recording vY NN
    Prise de contrôle lorsqu’un autre participant partage un PowerPointTake control when another participant shares a PowerPoint vY NN

Teams offre aux utilisateurs d’entreprise la possibilité de créer et de participer à des réunions en temps réel.Teams provides the capability for enterprise users to create and join real-time meetings. Les utilisateurs d’entreprise peuvent également inviter des utilisateurs externes ne possédant pas de compte Azure AD, Microsoft 365 ou Office 365 à participer à ces réunions.Enterprise users can also invite external users who do not have an Azure AD, Microsoft 365, or Office 365 account to participate in these meetings. Les utilisateurs qui sont employés par des partenaires externes avec une identité sécurisée et authentifiée peuvent également participer à des réunions et, s’ils sont promus, ils peuvent agir en tant que présentateurs.Users who are employed by external partners with a secure and authenticated identity can also join meetings and, if promoted to do so, can act as presenters. Les utilisateurs anonymes ne peuvent pas créer ou participer à une réunion en tant que présentateur, mais ils peuvent être promus au présentateur une fois qu’ils ont rejoint la réunion.Anonymous users cannot create or join a meeting as a presenter, but they can be promoted to presenter after they join.

Pour que les utilisateurs anonymes puissent participer aux réunions Teams, le paramètre réunions des participants dans le centre d’administration teams doit être activé.For Anonymous users to be able to join Teams meetings, the Participants meetings setting in the Teams Admin Center must be toggled on.

Notes

Le terme utilisateurs anonymes indique que les utilisateurs qui ne sont pas authentifiés auprès du locataire des organisations.The term anonymous users means users that are not authenticated to the organizations tenant. Dans ce contexte, tous les utilisateurs externes sont considérés comme anonymes.In this context all external users are considered anonymous. Les utilisateurs authentifiés incluent les utilisateurs clients et les utilisateurs invités du locataire.Authenticated users include tenant users and Guest users of the tenant.

Permettre aux utilisateurs externes de participer à des réunions Teams peut être très utile, mais implique des risques en matière de sécurité.Enabling external users to participate in Teams meetings can be very useful, but entails some security risks. Pour résoudre ces problèmes, Teams exploite les garanties supplémentaires suivantes :To address these risks, Teams uses the following additional safeguards:

  • Les rôles de participants déterminent les privilèges de contrôle de réunion.Participant roles determine meeting control privileges.

  • Les types de participants vous permettent de limiter l’accès à des réunions spécifiques.Participant types allow you to limit access to specific meetings.

  • La planification de réunions est réservée aux utilisateurs qui ont un compte AAD et une licence Teams.Scheduling meetings is restricted to users who have an AAD account and a Teams license.

  • Les utilisateurs anonymes, qui ne sont pas authentifiés, ont besoin de participer à une conférence rendez-vous en utilisant un numéro de conférence.Anonymous, that is, unauthenticated, users who want to join a dial-in conference, dial one of the conference access numbers. Si le paramètre « toujours autoriser les appelants à contourner le lobby » est activé, il doit également patienter jusqu’à ce qu’un présentateur ou utilisateur authentifié se connecte à la réunion.If the "Always allow callers to bypass the lobby" setting is turned On then they also need to wait until a presenter or authenticated user joins the meeting.

    Attention

    Si vous ne souhaitez pas que les utilisateurs anonymes (usagers que vous n'invitez pas explicitement) participent à une réunion, vous devez vous assurer que Les utilisateurs anonymes peuvent participer à une réunion sont définis sur Désactivée pour la section réunion des Participants.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

Il est également possible pour un organisateur de configurer les paramètres de façon à ce que les appelants entrants soient la première personne participant à une réunion.It's also possible for an organizer to configure settings to let Dial-in callers be the first person in a meeting. Ce paramètre est configuré dans les paramètres de conférence audio pour les utilisateurs et s’applique à toutes les réunions planifiées par l’utilisateur.This setting is configured in the Audio Conferencing settings for users and would apply to all meetings scheduled by the user.

Notes

Pour plus d’informations sur l’accès invité et externe dans Teams, voir cet article .For more information on Guest and External Access in Teams, see this article. Il couvre les fonctionnalités que les utilisateurs invités ou externes peuvent espérer voir et utiliser lorsqu’ils se connectent à Teams.It covers what features guest or external users can expect to see and use when they login to Teams.

Rôles des participantsParticipant Roles

Les participants à la réunion se répartissent en trois groupes, chacun ayant ses propres privilèges et restrictions :Meeting participants fall into three groups, each with its own privileges and restrictions:

  • ** Organisateur **L’utilisateur qui crée une réunion, qu’elle soit impromptue ou programmée.Organizer The user who creates a meeting, whether impromptu or by scheduling. Un organisateur doit être un utilisateur de client authentifié et contrôler tous les aspects d’un utilisateur final d’une réunion.An organizer must be an authenticated in-tenant user and has control over all end-user aspects of a meeting.
  • Présentateur Un utilisateur autorisé à présenter des informations lors d’une réunion, quel que soit le média pris en charge.Presenter A user who is authorized to present information at a meeting, using whatever media is supported. Un organisateur de réunion est par définition également un présentateur et détermine qui d’autre peut être un présentateur.A meeting organizer is by definition also a presenter and determines who else can be a presenter. Il peut effectuer cette détermination lorsqu’une réunion est planifiée ou pendant son déroulement.An organizer can make this determination when a meeting is scheduled or while the meeting is under way.
  • Participant Un utilisateur qui a été invité à participer à une réunion, mais qui n’est pas autorisé à agir en tant que présentateur.Attendee A user who has been invited to attend a meeting but who is not authorized to act as a presenter.

Un présentateur peut également promouvoir un participant au rôle de présentateur pendant la réunion.A presenter can also promote an attendee to the role of presenter during the meeting.

Types de participantsParticipant Types

Les participants à la réunion sont également classés par localisation et informations d’identification.Meeting participants are also categorized by location and credentials. Vous pouvez utiliser ces deux caractéristiques pour préciser les utilisateurs pouvant avoir accès à des réunions spécifiques.You can use both of these characteristics to decide which users can have access to specific meetings. Les utilisateurs peuvent être répartis dans les catégories suivantes :Users can be divided broadly into the following categories:

  1. Les utilisateurs qui appartiennent au client ces utilisateurs ont une information d’identification dans Azure Active Directory pour le client.Users that belong to the tenant These users have a credential in Azure Active Directory for the tenant. a.a. Membres de mon organisation : ces utilisateurs ont une information d’identification dans Azure Active Directory pour le client.People in my organization – These users have a credential in Azure Active Directory for the tenant. Membres de mon organisation inclut les comptes invités invités.People in my organization includes invited Guest accounts. b.b. Utilisateurs distants : ces utilisateurs se rejoignent en dehors du réseau de l’entreprise.Remote users – These users are joining from outside the corporate network. Ce sont, par exemple, des employés qui travaillent à domicile ou en déplacement, ou d’autres personnes, comme les employés de fournisseurs de confiance, qui ont reçu des informations d’identification d’entreprise pour leurs conditions d’utilisation du service.They can include employees who are working at home or on the road, and others, such as employees of trusted vendors, who have been granted enterprise credentials for their terms of service. Les utilisateurs distants peuvent créer et participer à des réunions et se comporter comme présentateurs.Remote users can create and join meetings and act as presenters. ..
  2. Les utilisateurs qui n’appartiennent pas au client ces utilisateurs n’ont pas d’informations d’identification dans Azure AD pour le client.Users that do not belong to the tenant These users do not have credentials in Azure AD for the tenant. a.a. Les utilisateurs fédérés les utilisateurs fédérés ont des informations d’identification valides avec les partenaires fédérés et sont donc traités comme authentifiés par Teams, mais restent anonymes pour le client organisateur de la réunion.Federated Users - Federated users have valid credentials with federated partners and are therefore treated as authenticated by Teams, but are still Anonymous to the meeting organizer tenant. Les utilisateurs fédérés peuvent participer à des réunions et être promus aux présentateurs une fois qu’ils ont rejoint la réunion, mais ils ne peuvent pas créer de réunions dans les entreprises avec lesquelles ils sont fédérés.Federated users can join meetings and be promoted to presenters after they have joined the meeting, but they can't create meetings in enterprises with which they are federated. b.b. Les utilisateurs anonymes-les utilisateurs anonymes n’ont pas d’identité Active Directory et ne sont pas fédérés avec le client.Anonymous Users - Anonymous users do not have an Active Directory identity and are not federated with the tenant.

De nombreuses réunions impliquent des utilisateurs externes.Many meetings involve external users. Ces mêmes clients veulent également être rassurés en ce qui concerne l’identité des utilisateurs externes avant de permettre à ces utilisateurs de participer à une réunion.Those same customers also want reassurance about the identity of external users before allowing those users to join a meeting. La section suivante décrit comment les équipes limitent l’accès aux types d’utilisateurs qui ont été explicitement autorisés et nécessite que tous les types d’utilisateur présentent les* informations d’identification* lors de la saisie d’une réunion.The next section describes how Teams limits meeting access to those user types that have been explicitly allowed, and requires all user types to present appropriate credentials when entering a meeting.

Admission des participantParticipant Admittance

Attention

Si vous ne souhaitez pas que les utilisateurs anonymes (usagers que vous n'invitez pas explicitement) participent à une réunion, vous devez vous assurer que Les utilisateurs anonymes peuvent participer à une réunion sont définis sur Désactivée pour la section réunion des Participants.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

Dans Teams, les utilisateurs anonymes peuvent être transférés vers une zone d’attente appelée salle d’attente.In Teams, anonymous users can be transferred to a waiting area called the lobby. Les présentateurs peuvent ensuite *admettre *ces utilisateurs à la réunion ou les rejeter.Presenters can then either admit these users into the meeting or reject them. Lorsque ces utilisateurs sont transférés vers la salle d’attente, le présentateur et les participants reçoivent une notification et les utilisateurs anonymes doivent patienter jusqu’à ce qu’ils soient acceptés ou rejetés, ou que leur connexion arrive à expiration.When these users are transferred to the lobby, the presenter and attendees are notified, and the anonymous users must then wait until they are either accepted or rejected, or their connection times out.

Par défaut, les participants qui accèdent à partir du RTC accèdent directement à la réunion une fois qu’un utilisateur authentifié rejoint la réunion, mais cette option peut être modifiée pour forcer les participants à appeler la salle d’attente.By default, participants dialing in from the PSTN go directly to the meeting once an authenticated user joins the meeting, but this option can be changed to force dial-in participants to go to the lobby.

Les organisateurs de la réunion contrôlent si les participants peuvent rejoindre une réunion sans attendre dans la salle d’attente.Meeting organizers control whether participants can join a meeting without waiting in the lobby. Chaque réunion peut être configurée pour autoriser l’accès à l’aide de l’une des méthodes suivantes :Each meeting can be set up to enable access using any one of the following methods:

Les valeurs par défaut sont les suivantes :The defaults are:

  • Les membres de mon organisation – toutes les personnes extérieures à l’organisation attendent dans la salle d’attente jusqu’à leur admission.People in my Organization - Everyone external to the organization will wait in the lobby until admitted.
  • Les membres de mon organisation et les organisations approuvées-utilisateurs authentifiés et les utilisateurs externes de Teams et des domaines Skype Entreprise figurant dans la liste verte d’accès externe peuvent contourner la salle d’attente.People from my organization and trusted organizations - Authenticated users and external users from Teams and Skype for Business domains that are in the external access allow list can bypass the lobby. Tous les autres utilisateurs attendent dans la salle d’attente jusqu’à leur admission.All other users will wait in the lobby until admitted.
  • Tout le monde – tous les participants à la réunion ignorent la salle d’attente une fois qu’un utilisateur authentifié a rejoint la réunion.Everyone - All meeting participants bypass the lobby once an authenticated user has joined the meeting.

Fonctions du présentateurPresenter Capabilities

Les organisateurs de la réunion contrôlent si les participants peuvent présenter lors d’une réunion.Meeting organizers control whether participants can present during a meeting. Chaque réunion peut être configurée pour limiter les présentateurs à l’une des entités suivantes :Each meeting can be set up to limit presenters to any one of the following:

  • Les membres de mon organisation-tous les utilisateurs clients, y compris les invités, peuvent présenterPeople in my organization - All in tenant users, including guests, can present
  • Les membres de mon organisation et les organisations de confiance – toutes dans les utilisateurs des clients, y compris les invités, peuvent présenter des utilisateurs et externes d’équipes et de domaines Skype Entreprise dans la liste verte d’accès externe.People in my organization and trusted organizations - All in tenant users, including guests, can present and external users from Teams and Skype for Business domains that are in the external access allow list can present.
  • Tout le monde – tous les participants à la réunion sont des présentateurs.Everyone - All meeting participants are presenters.

Modifier pendant l’exécution d’une réunionModify While Meeting is Running

Il est possible de modifier les options de réunion pendant la réunion.It's possible to modify the meeting options while a meeting is on-going. La modification, lors de son enregistrement, a un impact sur la réunion en cours en quelques secondes.The change, when saved, will impact the running meeting within seconds. Il affecte également les occurrences ultérieures de la réunion.It also effects any future occurrences of the meeting.

12 premières tâches pour les équipes de sécurité qui prennent en charge le travail à domicileTop 12 tasks for security teams to support working from home

Centre de gestion de la confidentialité MicrosoftMicrosoft Trust Center

Gérer les paramètres de réunion dans Microsoft TeamsManage meeting settings in Microsoft Teams

Optimiser la connectivité de Microsoft 365 ou Office 365 pour les utilisateurs à distance à l’aide de la segmentation de tunnel VPNOptimize Microsoft 365 or Office 365 connectivity for remote users using VPN split tunnelling