Sicurezza e Microsoft TeamsSecurity and Microsoft Teams

Importante

Il modello di servizio di Teams è soggetto a modifiche per migliorare le esperienze degli utenti.The Teams service model is subject to change in order to improve customer experiences. Ad esempio, le scadenze del token di accesso o di aggiornamento predefinito potrebbero essere soggette a modifica per migliorare le prestazioni e la resilienza di autenticazione per gli utenti che usano Teams.For example, the default access or refresh token expiration times may be subject to modification in order to improve performance and authentication resiliency for those using Teams. Le modifiche apportate verranno applicate con l'obiettivo di garantire la protezione e l’affidabilità da progettazione di Teams.Any such changes would be made with the goal of keeping Teams secure and Trustworthy by Design.

Microsoft Teams, come parte dei servizi Microsoft 365 e Office 365, segue tutte le migliori pratiche e procedure di sicurezza, come la protezione a livello di servizio attraverso misure di difesa avanzate, controlli utente nell'ambito del servizio, potenziamento delle misure di sicurezza e best practice operative.Microsoft Teams, as part of the Microsoft 365 and Office 365 services, follows all the security best practices and procedures such as service-level security through defense-in-depth, customer controls within the service, security hardening and operational best practices. Per i dettagli completi, consultare il Centro protezione Microsoft.For full details, please see the Microsoft Trust Center.

Affidabilità da progettazioneTrustworthy by Design

Teams è progettato e sviluppato in conformità con Microsoft Trustworthy Computing Security Development Lifecycle (SDL) descritto in Microsoft Security Development Lifecycle (SDL).Teams is designed and developed in compliance with the Microsoft Trustworthy Computing Security Development Lifecycle (SDL), which is described at Microsoft Security Development Lifecycle (SDL). Il primo passo verso la creazione di un sistema di comunicazioni unificato più sicuro è stato quello di progettare modelli di minacce e testare ciascuna funzionalità così come era stata progettata.The first step in creating a more secure unified communications system was to design threat models and test each feature as it was designed. Ulteriori miglioramenti relativi alla protezione venivano apportati durante il processo e le procedure di codifica.Multiple security-related improvements were built into the coding process and practices. Gli strumenti della fase di compilazione rilevano sovraccarichi del buffer e altre potenziali minacce alla sicurezza prima che il codice venga archiviato nel prodotto finale.Build-time tools detect buffer overruns and other potential security threats before the code is checked in to the final product. Naturalmente, è impossibile progettare un prodotto che sia al sicuro da tutte le possibili minacce alla protezione.Of course, it is impossible to design against all unknown security threats. Nessun sistema è in grado di garantire una sicurezza totale.No system can guarantee complete security. Tuttavia, poiché lo sviluppo del prodotto ha accolto principi di progettazione sicuri fin dall'inizio, Teams incorpora tecnologie di protezione standard del settore come parte fondamentale della sua architettura.However, because product development embraced secure design principles from the start, Teams incorporates industry standard security technologies as a fundamental part of its architecture.

Affidabilità per impostazione predefinitaTrustworthy by Default

In Teams le comunicazioni di rete sono crittografate per impostazione predefinita.Network communications in Teams are encrypted by default. Con l’utilizzo dei certificati in tutti i server, OAuth, TLS e SRTP (Secure Real-Time Transport Protocol), tutti i dati di Teams sono protetti sulla rete.By requiring all servers to use certificates and by using OAUTH, TLS, Secure Real-Time Transport Protocol (SRTP), all Teams data is protected on the network.

In che modo Teams tratta le minacce alla sicurezza comuniHow Teams Handles Common Security Threats

Questa sezione identifica le più comuni minacce alla sicurezza del servizio Teams e come Microsoft riduce ciascun pericolo.This section identifies the more common threats to the security of the Teams Service and how Microsoft mitigates each threat.

Attacco basato su chiave compromessaCompromised-Key Attack

Teams utilizza le funzionalità PKI nel sistema operativo del Server Windows per proteggere i dati della chiave utilizzati per la crittografia nelle connessioni TLS (Transport Layer Security).Teams uses the PKI features in the Windows Server operating system to protect the key data used for encryption for the Transport Layer Security (TLS) connections. Le chiavi utilizzate per la crittografia dei file multimediali vengono scambiate tramite le connessioni TLS.The keys used for media encryptions are exchanged over TLS connections.

Attacco Denial-of-Service di reteNetwork Denial-of-Service Attack

L'attacco Denial-of-Service si verifica quando l'utente malintenzionato impedisce il normale utilizzo e funzionamento della rete da parte di utenti validi.The denial-of-service attack occurs when the attacker prevents normal network use and function by valid users. Utilizzando un attacco Denial-of-Service, l'utente malintenzionato può:By using a denial-of-service attack, the attacker can:

  • Inviare dati non validi alle applicazioni e ai servizi in esecuzione nella rete attaccata per interromperne la normale funzione.Send invalid data to applications and services running in the attacked network to disrupt their normal function.
  • Inviare una grande quantità di traffico, sovraccaricando il sistema fino a quando non smette di rispondere o risponde lentamente alle richieste legittime.Send a large amount of traffic, overloading the system until it stops responding or responds slowly to legitimate requests.
  • Nascondere l'evidenza degli attacchi.Hide the evidence of the attacks.
  • Impedire agli utenti di accedere alle risorse di rete.Prevent users from accessing network resources. Teams attenua questi attacchi eseguendo la protezione di rete DDOS di Azure e limitando le richieste dei client dagli stessi endpoint, subnet e entità federate.Teams mitigates against these attacks by running Azure DDOS network protection and by throttling client requests from the same endpoints, subnets, and federated entities.

IntercettazioneEavesdropping

L'intercettazione può verificarsi quando un utente malintenzionato accede al percorso dei dati in una rete e ha la capacità di monitorare e leggere il traffico.Eavesdropping can occur when an attacker gains access to the data path in a network and has the ability to monitor and read the traffic. Si chiama anche sniffing o snooping.This is also called sniffing or snooping. Se il traffico è in testo normale, l'utente malintenzionato può leggerlo quando accede al percorso.If the traffic is in plain text, the attacker can read the traffic when the attacker gains access to the path. Un esempio è un attacco eseguito controllando un router sul percorso dei dati.An example is an attack performed by controlling a router on the data path.

Teams usa Mutual TLS (MTLS) per le comunicazioni del server all'interno di Microsoft 365 e Office 365. Usa TLS anche dai client al servizio, rendendo questo attacco molto difficile o impossibileda portare a termine nel periodo di tempo in cui una determinata conversazione potrebbe essere attaccata.Teams uses mutual TLS (MTLS) for server communications within Microsoft 365 and Office 365, and also uses TLS from clients to the service, rendering this attack very difficult or impossible to achieve within the time period in which a given conversation could be attacked. TLS autentica tutte le parti ed esegue la crittografia di tutto il traffico.TLS authenticates all parties and encrypts all traffic. Ciò non impedisce l'intercettazione, ma l'utente malintenzionato non può leggere il traffico a meno che la crittografia non sia interrotta.This does not prevent eavesdropping, but the attacker cannot read the traffic unless the encryption is broken.

Il protocollo TURN viene utilizzato per scopi multimediali in tempo reale.The TURN protocol is used for real time media purposes. Il protocollo TURN non impone la crittografia del traffico e le informazioni che invia sono protette dall'integrità del messaggio.The TURN protocol does not mandate the traffic to be encrypted and the information that it is sending is protected by message integrity. Sebbene sia aperto alle intercettazioni, le informazioni che invia (cioè gli indirizzi IP e la porta) possono essere estratte direttamente, guardando semplicemente gli indirizzi di origine e destinazione dei pacchetti.Although it is open to eavesdropping, the information it is sending (that is, IP addresses and port) can be extracted directly by simply looking at the source and destination addresses of the packets. Il servizio Teams garantisce che i dati siano validi controllando l'Integrità del Messaggio tramite la chiave derivata da alcune voci, inclusa una password TURN, che non viene mai inviata non crittografata.The Teams service ensures that the data is valid by checking the Message Integrity of the message using the key derived from a few items including a TURN password, which is never sent in clear text. SRTP viene utilizzato per il traffico multimediale ed è inoltre crittografato.SRTP is used for media traffic and is also encrypted.

Spoofing d'identità (spoofing dell'indirizzo IP)Identity Spoofing (IP Address Spoofing)

Lo spoofing si verifica quando l'utente malintenzionato determina e utilizza un indirizzo IP di una rete, un computer o un componente di rete senza essere autorizzato a farlo.Spoofing occurs when the attacker determines and uses an IP address of a network, computer, or network component without being authorized to do so. La riuscita dell'attacco consente all'utente malintenzionato di operare come se tale utente malintenzionato fosse l'entità normalmente identificata dall'indirizzo IP.A successful attack allows the attacker to operate as if the attacker is the entity normally identified by the IP address.

TLS autentica tutte le parti ed esegue la crittografia di tutto il traffico.TLS authenticates all parties and encrypts all traffic. L'uso di TLS impedisce all'autore di un attacco di effettuare lo spoofing dell'indirizzo IP su una connessione specifica (ad esempio, connessioni Mutual TLS).Using TLS prevents an attacker from performing IP address spoofing on a specific connection (for example, mutual TLS connections). Un utente malintenzionato può comunque falsificare l'indirizzo del server DNS.An attacker could still spoof the address of the DNS server. Tuttavia, poiché l'autenticazione in Teams viene eseguita con certificati, un utente malintenzionato non avrebbe un certificato valido richiesto per falsificare una delle parti nella comunicazione.However, because authentication in Teams is performed with certificates, an attacker would not have a valid certificate required to spoof one of the parties in the communication.

Attacco man-in-the-middleMan-in-the-Middle Attack

Un attacco man-in-the-middle si verifica quando un utente malintenzionato dirige la comunicazione tra due utenti attraverso il proprio computer senza che i due utenti comunicanti lo sappiano.A man-in-the-middle attack occurs when an attacker reroutes communication between two users through the attacker's computer without the knowledge of the two communicating users. L'utente malintenzionato può monitorare e leggere il traffico prima di inviarlo al destinatario previsto.The attacker can monitor and read the traffic before sending it on to the intended recipient. Ogni utente della comunicazione, inconsapevolmente, invia e riceve traffico dall'utente malintenzionato, il tutto pensando di comunicare solo con l'utente previsto.Each user in the communication unknowingly sends traffic to and receives traffic from the attacker, all while thinking they are communicating only with the intended user. Ciò può accadere se un utente malintenzionato riesce a modificare i Servizi di Dominio di Active Directory per aggiungere il proprio server come server attendibile, o modificare il DNS (Domain Name System) per consentire ai client di connettersi tramite l'utente malintenzionato nel percorso verso il server.This can happen if an attacker can modify Active Directory Domain Services to add his or her server as a trusted server or modify Domain Name System (DNS) to get clients to connect through the attacker on their way to the server.

Per impedire gli attacchi man-in-the-middle al traffico multimediale tra due endpoint che partecipano alla condivisione di audio, video e applicazioni di Teams è necessario crittografare il flusso multimediale con il protocollo SRTP.Man-in-the-middle attacks on media traffic between two endpoints participating in Teams audio, video, and application sharing, is prevented by using SRTP to encrypt the media stream. Le chiavi crittografiche vengono negoziate tra i due endpoint attraverso un protocollo di segnalazione proprietario (protocollo Teams Call Signaling), che sfrutta il canale UDP/TCP crittografato con TLS 1.2 e AES-256 (in modalità GCM).Cryptographic keys are negotiated between the two endpoints over a proprietary signaling protocol (Teams Call Signaling protocol) which leverages TLS 1.2 and AES-256 (in GCM mode) encrypted UDP / TCP channel.

Attacco di riproduzione RTPRTP Replay Attack

Un attacco di riproduzione si verifica quando una trasmissione di file multimediali valida tra due parti viene intercettata e ritrasmessa per scopi illeciti.A replay attack occurs when a valid media transmission between two parties is intercepted and retransmitted for malicious purposes. Teams utilizza SRTP in combinazione con un protocollo di segnalazione sicuro che protegge le trasmissioni dagli attacchi di ripetizione, abilitando il destinatario a mantenere un indice dei pacchetti RTP già ricevuti e confrontare ogni nuovo pacchetto con quelli già elencati nell'indice.Teams uses SRTP in conjunction with a secure signaling protocol that protects transmissions from replay attacks by enabling the receiver to maintain an index of already received RTP packets and compare each new packet with those already listed in the index.

Messaggi istantanei indesideratiSpim

Gli spim sono messaggi istantanei commerciali non desiderati o richieste di sottoscrizione di presenza, come spam, ma sotto forma di messaggio istantaneo.Spim is unsolicited commercial instant messages or presence subscription requests, like spam, but in instant message form. Sebbene non sia di per sé una compromissione della rete, è quanto meno fastidioso, può ridurre la disponibilità e la produzione delle risorse e può comportare una compromissione della rete.While not by itself a compromise of the network, it is annoying in the least, can reduce resource availability and production, and can possibly lead to a compromise of the network. Un esempio di ciò è lo spimming reciproco degli utenti che si inviano richieste.An example of this is users spimming each other by sending requests. Gli utenti possono bloccarsi a vicenda per impedirlo, ma con la federazione, se si stabilisce un attacco spim coordinato, può essere difficile da superare a meno che non si disabiliti la federazione per il partner.Users can block each other to prevent this, but with federation, if a coordinated spim attack is established, this can be difficult to overcome unless you disable federation for the partner.

Virus e wormViruses and Worms

Un virus è un'unità di codice il cui scopo è riprodurre unità di codice aggiuntive e simili.A virus is a unit of code whose purpose is to reproduce additional, similar code units. Per funzionare, un virus ha bisogno di un host, come un file, un'e-mail o un programma.To work, a virus needs a host, such as a file, email, or program. Come un virus, un worm è un'unità di codice, codificata per riprodurre unità di codice aggiuntive e simili, ma che, a differenza di un virus, non ha bisogno di un host.Like a virus, a worm is a unit of code that is coded to reproduce additional, similar code units, but that unlike a virus does not need a host. Virus e worm si manifestano principalmente durante i trasferimenti di file tra client, quando gli URL vengono inviati da altri utenti.Viruses and worms primarily show up during file transfers between clients or when URLs are sent from other users. Se un virus si trova sul computer, può, ad esempio, utilizzare l'identità dell'utente e inviare messaggi istantanei per suo conto.If a virus is on your computer, it can, for example, use your identity and send instant messages on your behalf. Le migliori pratiche standard di protezione del client, come la scansione periodica alla ricerca di virus, possono mitigare questo problema.Standard client security best practices such as periodically scanning for viruses can mitigate this issue.

Framework di sicurezza di TeamsSecurity Framework for Teams

Questa sezione offre una panoramica degli elementi fondamentali che formano il framework di sicurezza di Microsoft Teams.This section gives an overview of fundamental elements that form a security framework for Microsoft Teams.

Gli elementi principali sono:Core elements are:

  • Azure Active Directory (Azure AD), che fornisce un singolo repository back-end attendibile per gli account utente.Azure Active Directory (Azure AD), which provides a single trusted back-end repository for user accounts. Le informazioni sul profilo utente vengono archiviate in Azure AD tramite le azioni di Microsoft Graph.User profile information is stored in Azure AD through the actions of Microsoft Graph.
    • Tenere presente che potrebbero essere presenti più token emessi, visibili se si esegue il monitoraggio del traffico di rete.Be advised that there may be multiple tokens issued which you may see if tracing your network traffic. Sono inclusi i token Skype, di cui potrebbero essere visibili tracce mentre si osserva il traffico audio e chat.This includes Skype tokens you might see in traces while looking at chat and audio traffic.
  • TLS (Transport Layer Security) e Mutual TLS (MTLS) che eseguono la crittografia del traffico dei messaggi istantanei e abilitano l'autenticazione degli endpoint.Transport Layer Security (TLS), and mutual TLS (MTLS) which encrypt instant message traffic and enable endpoint authentication. I flussi audio, video e di condivisione di applicazioni da punto a punto sono crittografati e la relativa integrità è verificata utilizzando il protocollo SRTP (Secure Real-Time Transport Protocol).Point-to-point audio, video, and application sharing streams are encrypted and integrity checked using Secure Real-Time Transport Protocol (SRTP). Nella traccia potrebbe essere visibile anche traffico OAuth, specialmente relativo alle autorizzazioni di negoziazione quando si passa da una scheda all'altra in Teams, ad esempio per passare da Post a File.You may also see OAuth traffic in your trace, particularly around negotiating permissions while switching between tabs in Teams, for example to move from Posts to Files. Per un esempio del flusso OAuth per le schede, vedere il documento.For an example of the OAuth flow for tabs, please see this document.
  • Teams usa protocolli standard del settore per l'autenticazione degli utenti, ove possibile.Teams uses industry-standard protocols for user authentication, wherever possible.

Nelle sezioni successive vengono illustrate alcune di queste tecnologie principali.The next sections discuss some of these core technologies.

Azure Active DirectoryAzure Active Directory

Azure Active Directory funziona come servizio directory per Microsoft 365 e Office 365.Azure Active Directory functions as the directory service for Microsoft 365 and Office 365. Archivia tutte le informazioni della directory degli utenti e le assegnazioni dei criteri.It stores all user directory information and policy assignments.

Punti di distribuzione CRLCRL Distribution Points

Il traffico di Microsoft 365 e Office 365 avviene su canali crittografati TLS/HTTPS, ossia vengono usati certificati per la crittografia di tutto il traffico.Microsoft 365 and Office 365 traffic takes place over TLS/HTTPS encrypted channels, meaning that certificates are used for encryption of all traffic. Teams richiede che tutti i certificati del server contengano uno o più punti di distribuzione dell'elenco di revoche di certificati (CRL).Teams requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. I punti di distribuzione CRL (CDP) sono posizioni da cui è possibile scaricare i CRL per verificare che il certificato non sia stato revocato dal momento in cui è stato rilasciato e che rientri ancora nel periodo di validità.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Un punto di distribuzione CRL è indicato nelle proprietà del certificato come URL ed è HTTP protetto.A CRL distribution point is noted in the properties of the certificate as a URL and is secure HTTP. Il servizio Teams controlla il CRL con ogni autenticazione del certificato.The Teams service checks CRL with every certificate authentication.

Utilizzo delle chiavi avanzatoEnhanced Key Usage

Tutti i componenti del servizio Teams richiedono che tutti i certificati del server supportino l'utilizzo chiavi avanzato (EKU, Enhanced Key Usage) ai fini dell'autenticazione del server.All components of the Teams service require all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. La configurazione del campo EKU per l'autenticazione del server indica che il certificato è valido ai fini dell'autenticazione dei server.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. Tale EKU è essenziale per MTLS.This EKU is essential for MTLS.

TLS e MTLS per TeamsTLS and MTLS for Teams

I protocolli TLS e MTLS forniscono comunicazioni crittografate e autenticazione degli endpoint su Internet.TLS and MTLS protocols provide encrypted communications and endpoint authentication on the Internet. Teams utilizza questi due protocolli per creare la rete di server affidabili e per garantire che tutte le comunicazioni su quella rete siano crittografate.Teams uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Tutte le comunicazioni tra server si verificano su MTLS.All communications between servers occur over MTLS. Le comunicazioni SIP rimanenti o legacy da client a server si verificano su TLS.Any remaining or legacy SIP communications from client to server occur over TLS.

TLS consente agli utenti, tramite il proprio software client, di autenticare i server Teams a cui si connettono.TLS enables users, through their client software, to authenticate the Teams servers to which they connect. In una connessione TLS, il client richiede un certificato valido dal server.On a TLS connection, the client requests a valid certificate from the server. Per essere valido, il certificato deve essere stato emesso da una CA che sia considerata affidabile anche dal client e il nome DNS del server deve corrispondere al nome DNS sul certificato.To be valid, the certificate must have been issued by a Certificate Authority (CA) that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Se il certificato è valido, il client utilizza la chiave pubblica nel certificato per crittografare le chiavi di crittografia simmetriche da utilizzare per la comunicazione, quindi solo il proprietario originale del certificato può utilizzare la propria chiave privata per decrittografare il contenuto della comunicazione.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. La connessione risultante è affidabile e da quel momento non viene contestata da altri server o client affidabili.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients.

Le connessioni tra server si basano su TLS reciproco (MTLS) per l'autenticazione reciproca.Server-to-server connections rely on mutual TLS (MTLS) for mutual authentication. Su una connessione MTLS, il server che genera un messaggio e il server che lo riceve si scambiano i certificati da una CA reciprocamente attendibile.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. I certificati dimostrano l'identità di ciascun server all'altro.The certificates prove the identity of each server to the other. Nel servizio Teams, questa procedura è seguita.In the Teams service, this procedure is followed.

TLS e MTLS consentono di impedire sia gli attacchi di intercettazione sia gli attacchi man-in-the-middle.TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. In un attacco man-in-the-middle, l'utente malintenzionato dirige le comunicazioni tra due entità di rete attraverso il computer dell'utente malintenzionato all'insaputa delle due parti.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. Le specifiche di TLS e Teams di server attendibili attenuano il rischio di un attacco man-in-the-middle parzialmente sul livello dell'applicazione, utilizzando la crittografia coordinata, tramite la crittografia a chiave pubblica tra i due endpoint.TLS and Teams' specification of trusted servers mitigate the risk of a man-in-the middle attack partially on the application layer by using encryption that is coordinated using the Public Key cryptography between the two endpoints. Un utente malintenzionato dovrebbe avere un certificato valido e affidabile con la chiave privata corrispondente ed emesso a nome del servizio con cui il client sta comunicando per decrittografare la comunicazione.An attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication.

Nota

I dati dei team vengono crittografati durante il transito e quando vengono archiviati nei centri dati Microsoft.Teams data is encrypted in transit and at rest in Microsoft datacenters. Microsoft usa le tecnologie standard del settore, come TLS e SRTP, per crittografare tutti i dati in transito tra i dispositivi degli utenti e i data center Microsoft e tra gli stessi data center Microsoft.Microsoft uses industry standard technologies such as TLS and SRTP to encrypt all data in transit between users' devices and Microsoft datacenters, and between Microsoft datacenters. Sono inclusi i messaggi, i file, le riunioni e altri contenuti.This includes messages, files, meetings, and other content. Vengono crittografati anche i dati aziendali archiviati nei data center Microsoft, in modo da consentire alle organizzazioni di decrittografare i contenuti, se necessario, per rispettare gli obblighi di sicurezza e conformità, ad esempio eDiscovery.Enterprise data is also encrypted at rest in Microsoft datacenters, in a way that allows organizations to decrypt content if needed, to meet their security and compliance obligations, such as eDiscovery.

Crittografia di TeamsEncryption for Teams

Teams utilizza TLS e MTLS per crittografare i messaggi istantanei.Teams uses TLS and MTLS to encrypt instant messages. Tutto il traffico da server a server richiede lo standard MTLS, indipendentemente dal fatto che il traffico sia confinato alla rete interna o che attraversi il perimetro della rete interna.All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network perimeter.

In questa tabella sono riepilogati i protocolli usati da Teams.This table summarizes the protocols used by Teams.

Crittografia del trafficoTraffic Encryption

Tipo di trafficoTraffic type Crittografato daEncrypted by
Da server a serverServer-to-server MTLSMTLS
Da client a server (ad esempio,Client-to-server (ex. messaggistica istantanea e presenza)instant messaging and presence) TLSTLS
Flussi multimediali (ad esempio,Media flows (ex. condivisione audio e video di contenuti multimediali)audio and video sharing of media) TLSTLS
Condivisione audio e video di contenuti multimedialiAudio and video sharing of media SRTP/TLSSRTP/TLS
SegnalazioneSignaling TLSTLS

Crittografia file multimedialiMedia Encryption

Il traffico di file multimediali viene crittografato tramite Secure RTP (SRTP), un profilo di Real-Time Transport Protocol (RTP) che offre riservatezza, autenticazione e protezione dagli attacchi di riproduzione al traffico RTP.Media traffic is encrypted using Secure RTP (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. SRTP utilizza una chiave della sessione generata utilizzando un generatore di numeri casuali sicuro e scambiata utilizzando il canale di segnalazione TLS.SRTP uses a session key generated by using a secure random number generator and exchanged using the signaling TLS channel. Il traffico dei contenuti multimediali tra client viene negoziato attraverso una connessione tra client e server, ma è crittografato con SRTP quando si passa direttamente da client a client.Client to Client media traffic is negotiated through a Client to Server connection signaling, but is encrypted using SRTP when going direct Client to Client.

Teams utilizza un token basato su credenziali per proteggere l'accesso ai contenuti multimediali inoltrati tramite TURN.Teams uses a credentials-based token for secure access to media relays over TURN. I contenuti multimediali inoltrano lo scambio del token a un canale protetto tramite TLS.Media relays exchange the token over a TLS-secured channel.

FIPSFIPS

Teams utilizza algoritmi FIPS (Federal Information Processing Standard) per gli scambi di chiavi di crittografia.Teams uses FIPS (Federal Information Processing Standard) compliant algorithms for encryption key exchanges. Per altre informazioni sull'implementazione di FIPS, vedere Pubblicazione Federal Information Processing Standard (FIPS) 140-2.For more information on the implementation of FIPS, please see Federal Information Processing Standard (FIPS) Publication 140-2.

Autenticazione utente e clientUser and Client Authentication

Un utente affidabile è un utente le cui credenziali sono state autenticate da Azure AD in Office 365 o Microsoft 365.A trusted user is one whose credentials have been authenticated by Azure AD in Microsoft 365 or Office 365.

L'autenticazione è il provisioning delle credenziali utente a un server o servizio attendibile.Authentication is the provision of user credentials to a trusted server or service. Teams utilizza i seguenti protocolli di autenticazione, a seconda dello stato e della posizione dell'utente.Teams uses the following authentication protocols, depending on the status and location of the user.

  • Autenticazione moderna (MA) è l'implementazione Microsoft di OAUTH 2.0 per le comunicazioni da client a server.Modern Authentication (MA) is the Microsoft implementation of OAUTH 2.0 for client to server communication. Offre funzionalità di sicurezza come l'autenticazione a più fattori e l'accesso condizionale.It enables security features such as Multi-Factor Authentication and Conditional Access. Per usare MA, sia il tenant online sia i client devono essere abilitati per MA.In order to use MA, both the online tenant and the clients need to be enabled for MA. Tutti i client di Teams su PC e dispositivi mobili, oltre al client Web, supportano MA.The Teams clients across PC and mobile, as well as the web client, all support MA.

Nota

Se è necessario rispolverare i metodi di autenticazione e autorizzazione di Azure Active Directory, l'introduzione di questo articolo e le sezioni "Informazioni di base sull'autenticazione in Azure AD" possono essere d'aiuto.If you need to brush up on Azure AD authentication and authorization methods, this article's Introduction and 'Authentication basics in Azure AD' sections will help.

L'autenticazione di Teams viene eseguita tramite Azure AD e OAuth.Teams authentication is accomplished through Azure AD and OAuth. Il processo di autenticazione può essere semplificato per:The process of authentication can be simplified to:

  • Accesso utente > Emissione di token > richiesta successiva per usare il token emesso.User Login > Token issuance > subsequent request use issued token.

Le richieste da client a server sono autenticate e autorizzate tramite Azure AD mediante l'uso di OAuth.Requests from client to server are authenticated and authorized via Azure AD with the use of OAuth. Gli utenti con credenziali valide emesse da un partner federato sono considerati attendibili ed è possibile eseguire lo stesso processo come utenti nativi.Users with valid credentials issued by a federated partner are trusted and pass through the same process as native users. Tuttavia, gli amministratori potrebbero applicare ulteriori limitazioni.However, further restrictions can be put into place by administrators.

Per l'autenticazione dei contenuti multimediali, anche i protocolli ICE e TURN usano la challenge Digest come descritto nell'RFC su TURN di IETF.For media authentication, the ICE and TURN protocols also use the Digest challenge as described in the IETF TURN RFC.

Strumenti di gestione di Windows PowerShell e TeamsWindows PowerShell and Team Management Tools

In Teams, gli amministratori IT possono gestire il proprio servizio tramite l'interfaccia di amministrazione di Microsoft 365 o usando TRPS (Tenant Remote PowerShell).In Teams, IT Admins can manage their service via the Microsoft 365 admin center or by using Tenant Remote PowerShell (TRPS). Gli amministratori del tenant usano l'autenticazione moderna per eseguire l'autenticazione in TRPS.Tenant admins use Modern Authentication to authenticate to TRPS.

Configurazione dell'accesso a Teams entro il limite InternetConfiguring Access to Teams at your Internet Boundary

Affinché Teams funzioni correttamente (affinché gli utenti riescano a partecipare alle riunioni e così via), i clienti devono configurare il proprio accesso Internet in modo tale che il traffico UDP e TCP in uscita verso i servizi nel cloud Teams sia consentito.For Teams to function properly (for users to be able to join meetings etc.), customers need to configure their internet access such that outbound UDP and TCP traffic to services in the Teams cloud is allowed. Per ulteriori dettagli, vedere URL e intervalli di indirizzi IP di Office 365.For more details, see here: Office 365 URLs and IP address ranges.

UDP 3478-3481 e TCP 443UDP 3478-3481 and TCP 443

Le porte UDP 3478-3481 e TCP 443 vengono utilizzate dai client per richiedere il servizio per i contenuti audiovisivi.The UDP 3478-3481 and TCP 443 ports are used by clients to request service for audio visuals. Un client utilizza queste due porte per allocare rispettivamente le porte UDP e TCP e consentire questi flussi multimediali.A client uses these two ports to allocate UDP and TCP ports respectively to enable these media flows. I flussi multimediali su queste porte sono protetti con una chiave che viene scambiata su un canale di segnalazione protetto con TLS.The media flows on these ports are protected with a key that is exchanged over a TLS protected signaling channel.

Protezioni federative di TeamsFederation Safeguards for Teams

La federazione consente all'organizzazione di comunicare con altre organizzazioni per condividere messaggistica istantanea e presenza.Federation provides your organization with the ability to communicate with other organizations to share IM and presence. In Teams, la federazione è attiva per impostazione predefinita.In Teams federation is on by default. Tuttavia, gli amministratori del tenant hanno la possibilità di controllarla tramite l'interfaccia di amministrazione di Microsoft 365.However, tenant admins have the ability to control this via the Microsoft 365 admin center.

Risposta alle minacce alle riunioni di TeamsAddressing Threats to Teams Meetings

Sono due le opzioni disponibili per controllare chi arriva nelle riunioni di Teams e chi potrà accedere alle informazioni presentate.There are two options to control who arrives in Teams meetings and who will have access to the information you present.

  1. È possibile controllare chi partecipa alle riunioni tramite le impostazioni relative alla sala di attesa.You can control who joins your meetings through settings for the lobby.

    Opzioni per l'impostazione dei partecipanti che possono evitare la sala di attesa disponibili nella pagina Opzioni riunione"Who can bypass the lobby" setting options available in Meeting options page Tipi di utente che dispongono dell’accesso diretto alla riunioneUser types joining the meeting directly Tipi di utenti che passano per la sala di attesaUser types going to the lobby
    Utenti dell’organizzazionePeople in my organization - Nel tenant- In-tenant
    - Ospite del tenant- Guest of tenant
    - Federato- Federated
    - Anonimo- Anonymous
    - Con accesso esterno PSTN- PSTN dial-in
    Utenti dell'organizzazione e organizzazioni attendibiliPeople in my organization and trusted organizations - Nel tenant- In-tenant
    - Ospite del tenant- Guest of tenant
    - Federato- Federated
    - Anonimo- Anonymous
    - Con accesso esterno PSTN- PSTN dial-in
    TuttiEveryone - Nel tenant- In-tenant
    - Ospite del tenant- Guest of tenant
    - Federato Anonimo- Federated Anonymous
    - Con accesso esterno PSTN- PSTN dial-in
  2. Il secondo metodo riguarda le riunioni strutturate, dove il relatore può effettuare praticamente tutte le operazioni e i partecipanti hanno un'esperienza controllata.The second way is through structured meetings (where Presenters can do about anything that should be done, and attendees have a controlled experience). Dopo aver partecipato a una riunione strutturata, i relatori controllano cosa possono fare i partecipanti alla riunione.After joining a structured meeting, presenters control what attendees can do in the meeting.

    AzioniActions RelatoriPresenters PartecipantiAttendees
    Parlare e condividere il proprio videoSpeak and share their video SY SY
    Partecipare alla chat della riunioneParticipate in meeting chat SY SY
    Modificare le impostazioni nelle opzioni della riunioneChange settings in meeting options SY NN
    Disattivare l'audio degli altri partecipantiMute other participants SY NN
    Rimuovere altri partecipantiRemove other participants SY NN
    Condividere il contenutoShare content SY NN
    Ammettere altri partecipanti dalla sala di attesaAdmit other participants from the lobby SY NN
    Rendere altri partecipanti relatori o partecipantiMake other participants presenters or attendees SY NN
    Interrompere o avviare la registrazioneStart or stop recording SY NN
    Prendere il controllo quando un altro partecipante condivide una presentazione PowerPointTake control when another participant shares a PowerPoint SY NN

Teams offre agli utenti aziendali la possibilità di creare e partecipare in tempo reale a riunioni.Teams provides the capability for enterprise users to create and join real-time meetings. Gli utenti aziendali possono anche invitare utenti esterni che non dispongono di un account di Azure AD, Microsoft 365 o Office 365 a partecipare a tali riunioni.Enterprise users can also invite external users who do not have an Azure AD, Microsoft 365, or Office 365 account to participate in these meetings. Anche gli utenti impiegati da partner esterni con un'identità sicura e autenticata possono partecipare alle riunioni e, se autorizzati a farlo, possono agire da relatori.Users who are employed by external partners with a secure and authenticated identity can also join meetings and, if promoted to do so, can act as presenters. Gli utenti anonimi non possono creare o partecipare a una riunione come relatori, ma possono essere promossi a tale ruolo una volta che avranno partecipato.Anonymous users cannot create or join a meeting as a presenter, but they can be promoted to presenter after they join.

Affinché gli utenti anonimi possano partecipare alle riunioni di Teams, deve essere attivata l'impostazione Partecipanti nell'interfaccia di amministrazione di Teams.For Anonymous users to be able to join Teams meetings, the Participants meetings setting in the Teams Admin Center must be toggled on.

Nota

Il termine utenti anonimi significa utenti che non sono autenticati nel tenant dell'organizzazione.The term anonymous users means users that are not authenticated to the organizations tenant. In questo contesto, tutti gli utenti esterni sono considerati anonimi.In this context all external users are considered anonymous. Gli utenti autenticati includono gli utenti del tenant e gli utenti guest del tenant.Authenticated users include tenant users and Guest users of the tenant.

Consentire agli utenti esterni di partecipare alle riunioni di Teams può essere molto utile, ma comporta alcuni rischi per la sicurezza.Enabling external users to participate in Teams meetings can be very useful, but entails some security risks. Per affrontare questi rischi, Teams fornisce le seguenti misure aggiuntive:To address these risks, Teams uses the following additional safeguards:

  • I ruoli dei partecipanti determinano i privilegi di controllo della riunione.Participant roles determine meeting control privileges.

  • I tipi di partecipante consentono di limitare l'accesso a specifiche riunioni.Participant types allow you to limit access to specific meetings.

  • La pianificazione delle riunioni è limitata agli utenti che possiedono un account AAD e una licenza per Teams.Scheduling meetings is restricted to users who have an AAD account and a Teams license.

  • Gli utenti anonimi, ovvero non autenticati, che desiderano partecipare a una conferenza telefonica con accesso esterno, compongono uno dei numeri di accesso alla conferenza.Anonymous, that is, unauthenticated, users who want to join a dial-in conference, dial one of the conference access numbers. Se l'opzione "Consenti sempre ai chiamanti di evitare la sala di attesa" è attivata, dovranno attendere finché un oratore o un utente autenticato non parteciperà alla riunione.If the "Always allow callers to bypass the lobby" setting is turned On then they also need to wait until a presenter or authenticated user joins the meeting.

    Attenzione

    Per fare in modo che gli utenti anonimi (utenti non invitati esplicitamente) non possano partecipare a una riunione, è necessario verificare che Gli utenti anonimi possono partecipare a una riunione sia impostato su Disattivato per la sezione Participante delle riunione.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

Un organizzatore può anche configurare impostazioni per consentire ai chiamanti esterni di accedere per primi a una riunione.It's also possible for an organizer to configure settings to let Dial-in callers be the first person in a meeting. Questa impostazione è configurata nelle impostazioni Audioconferenza per gli utenti e viene applicata a tutte le riunioni pianificate dall'utente.This setting is configured in the Audio Conferencing settings for users and would apply to all meetings scheduled by the user.

Nota

Per ulteriori informazioni sull'accesso di utenti guest ed esterni in Teams, vedere questo articolo.For more information on Guest and External Access in Teams, see this article. Nell'articolo vengono descritte quali funzionalità gli utenti guest o esterni possono vedere usare quando accedono a Teams.It covers what features guest or external users can expect to see and use when they login to Teams.

Se si stanno registrando delle riunioni e si vuole visualizzare una matrice di autorizzazioni per l'accesso al contenuto, consultare questo articolo e la relativa matrice.If you're recording meetings and want to see a permissions matrix around accessing the content, consult this article and its matrix.

Ruoli del partecipanteParticipant Roles

I partecipanti alla riunione si dividono in tre gruppi, ognuno con i propri privilegi e restrizioni:Meeting participants fall into three groups, each with its own privileges and restrictions:

  • Organizzatore: l'utente che crea una riunione, sia estemporanea che pianificata.Organizer The user who creates a meeting, whether impromptu or by scheduling. Un organizzatore deve essere un utente del tenant autenticato e avere il controllo su tutti gli aspetti di una riunione per gli utenti finali.An organizer must be an authenticated in-tenant user and has control over all end-user aspects of a meeting.
  • Relatore: un utente autorizzato a presentare le informazioni durante una riunione, usando qualsiasi contenuto multimediale supportato.Presenter A user who is authorized to present information at a meeting, using whatever media is supported. Un organizzatore della riunione è per definizione anche un relatore e determina chi altro possa essere un relatore.A meeting organizer is by definition also a presenter and determines who else can be a presenter. Un organizzatore può prendere questa decisione quando è in programma una riunione o mentre la riunione è in corso.An organizer can make this determination when a meeting is scheduled or while the meeting is under way.
  • Partecipante: un utente che è stato invitato a partecipare a una riunione, ma che non è autorizzato a partecipare come relatore.Attendee A user who has been invited to attend a meeting but who is not authorized to act as a presenter.

Un relatore può anche promuovere un partecipante al ruolo di relatore durante la riunione.A presenter can also promote an attendee to the role of presenter during the meeting.

Tipi di partecipanteParticipant Types

I partecipanti alla riunione sono inoltre classificati per posizione e credenziali.Meeting participants are also categorized by location and credentials. È possibile utilizzare entrambe queste caratteristiche per decidere quali utenti possono accedere a riunioni specifiche.You can use both of these characteristics to decide which users can have access to specific meetings. Gli utenti possono essere divisi in modo esteso nelle categorie seguenti:Users can be divided broadly into the following categories:

  1. Utenti che appartengono al tenant: questi utenti dispongono di credenziali in Azure Active Directory per il tenant.Users that belong to the tenant These users have a credential in Azure Active Directory for the tenant. a.a. Persone dell'organizzazione: questi utenti dispongono di credenziali in Azure Active Directory per il tenant.People in my organization – These users have a credential in Azure Active Directory for the tenant. Persone dell'organizzazione include gli account guest invitati.People in my organization includes invited Guest accounts. b.b. Utenti remoti: questi utenti partecipano dall'esterno della rete aziendale.Remote users – These users are joining from outside the corporate network. Possono comprendere i dipendenti che lavorano da casa o in viaggio e altri, come dipendenti di fornitori affidabili, a cui sono state concesse credenziali aziendali per le rispettive condizioni d'uso.They can include employees who are working at home or on the road, and others, such as employees of trusted vendors, who have been granted enterprise credentials for their terms of service. Gli utenti remoti possono creare e partecipare alle riunioni, anche come relatori.Remote users can create and join meetings and act as presenters. ..
  2. Utenti che non appartengono al tenant: questi utenti non dispongono di credenziali in Azure Active Directory per il tenant.Users that do not belong to the tenant These users do not have credentials in Azure AD for the tenant. a.a. Utenti federati: gli utenti federati dispongono di credenziali valide con partner federati e vengono pertanto trattati come autenticati da Teams, ma rimangono comunque esterni per il tenant della riunione o dell'organizzatore.Federated Users - Federated users have valid credentials with federated partners and are therefore treated as authenticated by Teams, but are still external to the meeting organizer tenant. Gli utenti federati possono partecipare alle riunioni ed essere promossi a relatori dopo che hanno partecipato alla riunione, ma non possono creare riunioni in aziende con cui sono federati.Federated users can join meetings and be promoted to presenters after they have joined the meeting, but they can't create meetings in enterprises with which they are federated. b.b. Utenti anonimi: gli utenti anonimi non hanno un'identità di Active Directory e non sono federati con il tenant.Anonymous Users - Anonymous users do not have an Active Directory identity and are not federated with the tenant.

Molte riunioni coinvolgono utenti esterni.Many meetings involve external users. Queste stesse società desiderano anche rassicurazioni in merito all'identità degli utenti esterni prima di consentire a tali utenti di partecipare a una riunione.Those same customers also want reassurance about the identity of external users before allowing those users to join a meeting. Nella sezione seguente viene descritto in che modo Teams limita l'accesso alle riunioni per i tipi di utenti che non sono stati autorizzati in modo esplicito e richiede a tutti i tipi di utente di fornire credenziali appropriate per l'accesso a una riunione.The next section describes how Teams limits meeting access to those user types that have been explicitly allowed, and requires all user types to present appropriate credentials when entering a meeting.

Ammissione dei partecipantiParticipant Admittance

Attenzione

Per fare in modo che gli utenti anonimi (utenti non invitati esplicitamente) non possano partecipare a una riunione, è necessario verificare che Gli utenti anonimi possono partecipare a una riunione sia impostato su Disattivato per la sezione Participante delle riunione.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

In Teams, gli utenti anonimi possono essere trasferiti a un'area di attesa chiamata sala di attesa.In Teams, anonymous users can be transferred to a waiting area called the lobby. I relatori possono quindi scegliere di ammettere questi utenti alla riunione o di rifiutarli.Presenters can then either admit these users into the meeting or reject them. Quando gli utenti vengono trasferiti nella sala di attesa, il relatore e i partecipanti ricevono una notifica e gli utenti anonimi devono attendere di essere accettati o rifiutati oppure che la connessione scada.When these users are transferred to the lobby, the presenter and attendees are notified, and the anonymous users must then wait until they are either accepted or rejected, or their connection times out.

Per impostazione predefinita, i partecipanti che si collegano dalla PSTN accedono direttamente alla riunione, ma questa opzione può essere modificata per forzare i partecipanti esterni a passare per la sala di attesa.By default, participants dialing in from the PSTN go directly to the meeting once an authenticated user joins the meeting, but this option can be changed to force dial-in participants to go to the lobby.

Gli organizzatori della riunione controllano se i partecipanti possono partecipare a una riunione senza attendere nella lobby.Meeting organizers control whether participants can join a meeting without waiting in the lobby. Ogni riunione può essere configurata in modo da consentire l'accesso utilizzando uno dei seguenti metodi:Each meeting can be set up to enable access using any one of the following methods:

Le impostazioni predefinite sono:The defaults are:

  • Persone dell'organizzazione: chiunque esterno all'organizzazione attenderà nella sala di attesa finché non verrà ammesso.People in my Organization - Everyone external to the organization will wait in the lobby until admitted.
  • Persone dell'organizzazione e di organizzazioni attendibili: gli utenti esterni e autenticati dei domini di Teams e Skype for Business, presenti nell'elenco degli utenti esterni consentiti, possono evitare la sala di attesa.People from my organization and trusted organizations - Authenticated users and external users from Teams and Skype for Business domains that are in the external access allow list can bypass the lobby. Tutti gli altri utenti aspetteranno nella sala di attesa finché non saranno ammessi.All other users will wait in the lobby until admitted.
  • Tutti: tutti i partecipanti alla riunione evitano la sala di attesa dopo che un utente autenticato ha partecipato alla riunione.Everyone - All meeting participants bypass the lobby once an authenticated user has joined the meeting.

Funzionalità del relatorePresenter Capabilities

Gli organizzatori della riunione controllano se i partecipanti possono presentare durante una riunione.Meeting organizers control whether participants can present during a meeting. Ogni riunione può essere configurata in modo da limitare i relatori a una delle seguenti opzioni:Each meeting can be set up to limit presenters to any one of the following:

  • Persone dell'organizzazione: tutti gli utenti del tenant, inclusi gli utenti guest, possono presentarePeople in my organization - All in tenant users, including guests, can present
  • Persone dell'organizzazione e di organizzazioni attendibili: tutti gli utenti del tenant, inclusi gli utenti guest, possono presentare insieme agli utenti dei domini di Teams e Skype for Business presenti nell'elenco degli utenti con accesso esterno consentiti.People in my organization and trusted organizations - All in tenant users, including guests, can present and external users from Teams and Skype for Business domains that are in the external access allow list can present.
  • Tutti: tutti i partecipanti alla riunione sono relatori.Everyone - All meeting participants are presenters.

Modifica delle impostazioni mentre una riunione è in corsoModify While Meeting is Running

È possibile modificare le opzioni della riunione mentre questa è in corso.It's possible to modify the meeting options while a meeting is on-going. La modifica, se salvata, influirà sulla riunione in corso in pochi secondi.The change, when saved, will impact the running meeting within seconds. Interesserà anche le sessioni future della riunione.It also effects any future occurrences of the meeting.

12 principali attività per i team di sicurezza per supportare il lavoro da casaTop 12 tasks for security teams to support working from home

Centro protezione MicrosoftMicrosoft Trust Center

Gestire le impostazioni di riunione in Microsoft TeamsManage meeting settings in Microsoft Teams

Ottimizzare la connettività di Microsoft 365 o Office 365 per gli utenti remoti tramite split tunneling per VPNOptimize Microsoft 365 or Office 365 connectivity for remote users using VPN split tunneling

Registrazioni delle riunioni in Teams, dove sono archiviate le registrazioni e chi può accederviMeeting recordings in Teams, where recordings are stored, and who can access them