Segurança de Salas do Microsoft TeamsMicrosoft Teams Rooms Security

A Microsoft trabalha com nossos parceiros para fornecer uma solução segura e que não exige ações adicionais para proteger as Salas do Microsoft Teams.Microsoft works with our partners to deliver a solution that is secure and doesn't require additional actions to secure Microsoft Teams Rooms. Este artigo discute muitos dos recursos de segurança encontrados em Salas do Teams.This article discusses many of the security features found in Teams Rooms.

Observação

As Salas do Microsoft Teams não devem ser tratadas como uma estação de trabalho típica do usuário final.Microsoft Teams Rooms should not be treated like a typical end-user workstation. Não apenas os casos de uso são muito diferentes, mas os perfis de segurança padrão também são muito diferentes.Not only are the use cases vastly different, but the default security profiles are also much different.

Dados limitados do usuário final são armazenados em Salas do Teams.Limited end-user data is stored on Teams Rooms. Os dados do usuário final podem ser armazenados nos arquivos de log apenas para solução de problemas e suporte.End-user data may be stored in the log files for troubleshooting and support only. Em nenhum momento, um participante de uma reunião usando Salas do Teams pode copiar arquivos para o disco rígido ou entrar como eles mesmos.At no point can an attendee of a meeting using Teams Rooms copy files to the hard drive or sign in as themselves. Nenhum dado do usuário final é transferido ou acessado pelo dispositivo salas do Microsoft Teams.No end-user data is transferred to, or accessible by, the Microsoft Teams Rooms device.

Mesmo que os usuários finais não possam colocar arquivos em um disco rígido salas do Teams, o Microsoft Defender ainda está habilitado.Even though end users can't put files on a Teams Rooms hard drive, Microsoft Defender is still enabled. O desempenho das Salas do Teams é testado com o Microsoft Defender.Teams Rooms performance is tested with Microsoft Defender. Desabilitar isso ou adicionar software de segurança de ponto de extremidade pode levar a resultados imprevisíveis e degradação potencial do sistema.Disabling this or adding endpoint security software can lead to unpredictable results and potential system degradation.

Segurança de hardwareHardware security

Em um ambiente de Salas do Teams, há um módulo de computação central que executa a edição windows 10 IoT Enterprise.In a Teams Rooms environment, there's a central compute module that runs Windows 10 IoT Enterprise edition. Cada módulo de computação certificado deve ter uma solução de montagem segura, um slot de bloqueio de segurança (por exemplo, bloqueio kensington) e medidas de segurança de acesso de porta de E/S para impedir a conexão de dispositivos não autorizados.Every certified compute module must have a secure mounting solution, a security lock slot (for example, Kensington lock), and I/O port access security measures to prevent the connection of unauthorized devices. Você também pode desabilitar portas específicas por meio da configuração UEFI (Interface de Firmware Extensível Unificada).You can also disable specific ports via Unified Extensible Firmware Interface (UEFI) configuration.

Todos os módulos de computação certificados devem ser comunicados com a tecnologia compatível com o TPM (Trusted Platform Module) 2.0 habilitada por padrão.Every certified compute module must ship with Trusted Platform Module (TPM) 2.0 compliant technology enabled by default. O TPM é usado para criptografar as informações de logon para a conta de recurso Salas do Teams.TPM is used to encrypt the login information for the Teams Rooms resource account.

A inicialização segura é habilitada por padrão.Secure boot is enabled by default. A inicialização segura é um padrão de segurança desenvolvido por membros do setor de computadores para ajudar a garantir que um dispositivo seja inicializado usando apenas o software confiável pelo Fabricante de Equipamento Original (OEM).Secure boot is a security standard developed by members of the PC industry to help make sure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). Quando o computador é iniciado, o firmware verifica a assinatura de cada parte do software de inicialização, incluindo drivers de firmware UEFI (também conhecidos como ROMs de opção), aplicativos EFI e o sistema operacional.When the PC starts, the firmware checks the signature of each piece of boot software, including UEFI firmware drivers (also known as Option ROMs), EFI applications, and the operating system. Se as assinaturas são válidas, o computador é inicializado e o firmware dá controle ao sistema operacional.If the signatures are valid, the PC boots, and the firmware gives control to the operating system. Para obter mais informações, consulte Inicialização segura.For more information, see Secure boot.

O acesso às configurações uefi só é possível anexando um teclado físico e um mouse.Access to UEFI settings is only possible by attaching a physical keyboard and mouse. Isso impede que seja possível acessar a UEFI por meio do console habilitado para toque de Salas do Teams, bem como qualquer outra exibição habilitada para toque anexada às Salas do Teams.This prevents being able to access UEFI via the Teams Rooms touch-enabled console as well as any other touch-enabled displays attached to Teams Rooms.

Proteção DMA (Acesso direto à Memória) do Kernel é uma configuração do Windows 10 habilitada em Salas do Teams.Kernel Direct Memory Access (DMA) Protection is a Windows 10 setting that is enabled on Teams Rooms. Com esse recurso, o sistema operacional e o firmware do sistema protegem o sistema contra ataques DMA mal-intencionados e não intencionais para todos os dispositivos compatíveis com DMA:With this feature, the OS and the system firmware protect the system against malicious and unintended DMA attacks for all DMA-capable devices:

  • Durante o processo de inicialização.During the boot process.

  • Em relação ao DMA mal-intencionado por dispositivos conectados a portas internas/externas com capacidade para DMA facilmente acessíveis, como slots PCIe M.2 e Thunderbolt 3, durante o tempo de execução do sistema operacional.Against malicious DMA by devices connected to easily accessible internal/external DMA-capable ports, such as M.2 PCIe slots and Thunderbolt 3, during OS runtime.

As Salas do Teams também habilitam a integridade de código protegido por hipervisor (HVCI).Teams Rooms also enables Hypervisor-protected code integrity (HVCI). Um dos recursos fornecidos pelo HVCI é o Credential Guard.One of the features provided by HVCI is Credential Guard. O Credential Guard oferece os seguintes benefícios:Credential Guard provides the following benefits:

  • Segurança de hardware NTLM, Kerberos e Credential Manager aproveitam os recursos de segurança da plataforma, incluindo Inicialização Segura e virtualização, para proteger credenciais.Hardware security NTLM, Kerberos, and Credential Manager take advantage of platform security features, including Secure Boot and virtualization, to protect credentials.

  • Segurança baseada em virtualização Credenciais derivadas do Windows NTLM e Kerberos e outros segredos são executados em um ambiente protegido isolado do sistema operacional em execução.Virtualization-based security Windows NTLM and Kerberos derived credentials and other secrets run in a protected environment that is isolated from the running operating system.

  • Melhor proteção contra ameaças persistentes avançadas Quando credenciais de domínio do Gerenciador de Credenciais, NTLM e credenciais derivadas kerberos são protegidas usando a segurança baseada em virtualização, as técnicas de ataque de roubo de credenciais e as ferramentas usadas em muitos ataques direcionados são bloqueadas.Better protection against advanced persistent threats When Credential Manager domain credentials, NTLM, and Kerberos derived credentials are protected using virtualization-based security, the credential theft attack techniques and tools used in many targeted attacks are blocked. O malware executado no sistema operacional com privilégios administrativos não pode extrair segredos protegidos pela segurança baseada em virtualização.Malware running in the operating system with administrative privileges can't extract secrets that are protected by virtualization-based security.

Segurança de SoftwareSoftware Security

Após a inicialização do Microsoft Windows, as Salas do Teams entrarão automaticamente em uma conta de usuário local do Windows chamada Skype.After Microsoft Windows boots, Teams Rooms automatically signs into a local Windows user account named Skype. A conta do Skype não tem senha.The Skype account has no password. Para tornar a sessão de conta do Skype segura, as etapas a seguir são tomadas.To make the Skype account session secure, the following steps are taken.

Importante

Não altere a senha ou edite a conta de usuário local do Skype.Don't change the password or edit the local Skype user account. Isso pode impedir que salas do Teams entre automaticamente.Doing so can prevent Teams Rooms from automatically signing in.

O aplicativo Salas do Microsoft Teams é executado usando o recurso Acesso Atribuído encontrado no Windows 10 1903 e posterior.The Microsoft Teams Rooms app runs using the Assigned Access feature found in Windows 10 1903 and later. O Access atribuído é um recurso no Windows 10 que limita os pontos de entrada do aplicativo expostos ao usuário.Assigned Access is a feature in Windows 10 that limits the application entry points exposed to the user. Isso é o que habilita o modo de quiosque de aplicativo único.This is what enables single-app kiosk mode. Usando o Shell Launcher, as Salas do Teams são configuradas como um dispositivo de quiosque que executa um aplicativo de área de trabalho do Windows como a interface do usuário.Using Shell Launcher, Teams Rooms is configured as a kiosk device that runs a Windows desktop application as the user interface. O aplicativo salas do Microsoft Teams substitui o shell padrão (explorer.exe) que geralmente é executado quando um usuário faz o login.The Microsoft Teams Rooms app replaces the default shell (explorer.exe) that usually runs when a user logs on. Em outras palavras, o shell tradicional do Explorer não é lançado.In other words, the traditional Explorer shell does not get launched at all. Isso reduz consideravelmente a superfície de vulnerabilidade do Microsoft Teams Rooms no Windows.This greatly reduces the Microsoft Teams Rooms vulnerability surface within Windows. Para obter mais informações, consulte Configure kiosks and digital signs on Windows desktop editions.For more information, see Configure kiosks and digital signs on Windows desktop editions.

Se você decidir executar uma verificação de segurança ou um parâmetro do Centro de Segurança da Internet (CIS) em Salas do Teams, a verificação só poderá ser executado no contexto de uma conta de administrador local, pois a conta de usuário do Skype não dá suporte à execução de aplicativos que não sejam o aplicativo Salas do Teams.If you decide to run a security scan or a Center for Internet Security (CIS) benchmark on Teams Rooms, the scan can only run under the context of a local administrator account as the Skype user account doesn't support running applications other than the Teams Rooms app. Muitos dos recursos de segurança aplicados ao contexto de usuário do Skype não se aplicam a outros usuários locais e, como resultado, essas verificações de segurança não aparecerão no bloqueio de segurança total aplicado à conta do Skype.Many of the security features applied to the Skype user context don't apply to other local users and, as a result, these security scans won't surface the full security lockdown applied to the Skype account. Portanto, não é recomendável executar uma verificação local em Salas do Teams.Therefore, it is not recommended to run a local scan on Teams Rooms. No entanto, você pode executar testes de penetração externa, se assim desejar.However, you can run external penetration tests if so desired. Devido a isso, recomendamos que você execute testes de penetração externa em dispositivos Teams Rooms em vez de executar verificações locais.Because of this, we recommend that you run external penetration tests against Teams Rooms devices instead of running local scans.

Além disso, as políticas de bloqueio são aplicadas para limitar os recursos não administrativos de serem usados.Additionally, lock down policies are applied to limit non-administrative features from being used. Um filtro de teclado está habilitado para interceptar e bloquear combinações de teclado potencialmente inseguras que não são cobertas pelas políticas de Acesso Atribuído.A keyboard filter is enabled to intercept and block potentially insecure keyboard combinations that aren't covered by Assigned Access policies. Somente usuários com direitos administrativos locais ou de domínio têm permissão para entrar no Windows para gerenciar salas do Teams.Only users with local or domain administrative rights are permitted to sign into Windows to manage Teams Rooms. Essas e outras políticas aplicadas ao Windows em dispositivos microsoft Teams Rooms são continuamente avaliadas e testadas durante o ciclo de vida do produto.These and other policies applied to Windows on Microsoft Teams Rooms devices are continually assessed and tested during the product lifecycle.

Segurança da ContaAccount Security

Os dispositivos teams Rooms incluem uma conta administrativa chamada "Admin" com uma senha padrão.Teams Rooms devices include an administrative account named "Admin" with a default password. Recomendamos que você altere a senha padrão assim que possível após concluir a instalação.We strongly recommend that you change the default password as soon as possible after you complete setup.

A conta de administrador não é necessária para a operação adequada de dispositivos teams Rooms e pode ser renomeada ou até mesmo excluída.The Admin account isn't required for proper operation of Teams Rooms devices and can be renamed or even deleted. No entanto, antes de excluir a conta admin, certifique-se de configurar uma conta de administrador local alternativa configurada antes de remover a que acompanha dispositivos teams Rooms.However, before you delete the Admin account, make sure that you set up an alternate local administrator account configured before removing the one that ships with Teams Rooms devices. Para obter mais informações sobre como alterar uma senha para uma conta local do Windows usando ferramentas do Windows ou PowerShell integrados, consulte o seguinte:For more information on how to change a password for a local Windows account using built-in Windows tools or PowerShell, see the following:

Você também pode importar contas de domínio para o grupo administrador do Windows local.You can also import domain accounts into the local Windows Administrator group. Você pode fazer isso para contas do Azure AD usando o Intune.You can do this for Azure AD accounts by using Intune. Para obter mais informações, consulte CSP de política – RestrictedGroups..For more information, see Policy CSP – RestrictedGroups..

Cuidado

Se você excluir ou desabilitar a conta de Administrador antes de conceder permissões de Administrador local para outra conta local ou de domínio, poderá perder a capacidade de administrar o dispositivo Salas do Teams.If you delete or disable the Admin account before granting local Administrator permissions to another local or domain account, you may lose the ability to administer the Teams Rooms device. Se isso acontecer, você precisará redefinir o dispositivo de volta para suas configurações originais e concluir o processo de instalação novamente.If this happens, you'll need to reset the device back to its original settings and complete the setup process again.

Não conceda permissões de administrador local à conta de usuário do Skype.Don't grant local Administrator permissions to the Skype user account.

O Designer de Configuração do Windows pode ser usado para criar pacotes de provisionamento do Windows 10.Windows Configuration Designer can be used to create Windows 10 provisioning packages. Além de alterar a senha de Administrador local, você também pode fazer coisas como alterar o nome do computador e se inscrever no Azure Active Directory.Along with changing the local Admin password, you can also do things like changing the machine name and enrolling into Azure Active Directory. Para obter mais informações sobre como criar um pacote de provisionamento do Designer de Configuração do Windows, consulte Provisionamento de pacotes para Windows 10.For more information on creating a Windows Configuration Designer provisioning package, see Provisioning packages for Windows 10.

Você precisa criar uma conta de recurso para cada dispositivo teams Rooms para que ele possa entrar no Teams.You need to create a resource account for each Teams Rooms device so that it can sign into Teams. Não é possível usar a autenticação de dois fatores ou multifações com essa conta.You can't use two-factor or multi-factor authentication with this account. Exigir um segundo fator impediria que a conta fosse capaz de entrar automaticamente no aplicativo Salas do Teams após uma reinicialização.Requiring a second factor would prevent the account from being able to automatically sign into the Teams Rooms app after a reboot. No entanto, você pode habilitar a Autenticação Moderna para obter segurança adicional para essa conta.However, you can enable Modern Authentication for additional security for this account. Além disso, as políticas de Acesso Condicional baseadas em local podem ser implantadas para a conta de recurso para impedir a entrada na conta de um local não aprovado.In addition, location based Conditional Access policies can be deployed for the resource account to prevent signing into the account from an unapproved location. Para obter mais informações, consulte Using the location condition in a Conditional Access policyFor more information, see Using the location condition in a Conditional Access policy

Recomendamos que você crie a conta de recurso no Azure AD, se possível.We recommend that you create the resource account in Azure AD, if possible. Embora uma conta sincronizada possa funcionar com salas do Teams em implantações híbridas, essas contas sincronizadas geralmente têm dificuldades para entrar em Salas do Teams e podem ser difíceis de solucionar problemas.While a synced account can work with Teams Rooms in hybrid deployments, these synced accounts often have difficulty signing into Teams Rooms and can be difficult to troubleshoot. Se você optar por usar um serviço de federação de terceiros para autenticar as credenciais da conta de recurso, verifique se o IDP de terceiros responde com o wsTrustResponse atributo definido como urn:oasis:names:tc:SAML:1.0:assertion .If you choose to use a third-party federation service to authenticate the credentials for the resource account, ensure the third-party IDP responds with the wsTrustResponse attribute set to urn:oasis:names:tc:SAML:1.0:assertion.

Segurança de RedeNetwork Security

Geralmente, as Salas do Teams têm os mesmos requisitos de rede que qualquer cliente do Microsoft Teams.Generally, Teams Rooms has the same network requirements as any Microsoft Teams client. O acesso por firewalls e outros dispositivos de segurança é o mesmo para Salas do Teams como para qualquer outro cliente do Microsoft Teams.Access through firewalls and other security devices is the same for Teams Rooms as for any other Microsoft Teams client. Específicas para Salas do Teams, as categorias listadas como "necessárias" para o Teams devem estar abertas no firewall.Specific to Teams Rooms, the categories listed as "required" for Teams must be open on your firewall. As Salas do Teams também precisam de acesso ao Windows Update, Microsoft Store e Microsoft Intune (se você usar o Microsoft Intune para gerenciar seus dispositivos).Teams Rooms also needs access to Windows Update, Microsoft Store, and Microsoft Intune (if you use Microsoft Intune to manage your devices). Para ver a lista completa de IPs e URLs necessárias para salas do Microsoft Teams, consulte:For the full list of IPs and URLs required for Microsoft Teams Rooms, see:

Se você estiver usando o componente de serviços gerenciados do Microsoft Teams Rooms do Microsoft Teams Rooms Premium, também precisará garantir que as Salas do Teams possam acessar as SEGUINTES URLs:If you're using the Microsoft Teams Rooms managed services component of Microsoft Teams Rooms Premium, you also need to make sure that Teams Rooms can access the following URLs:

  • agent.rooms.microsoft.comagent.rooms.microsoft.com
  • global.azure-devices-provisioning.netglobal.azure-devices-provisioning.net
  • gj3ftstorage.blob.core.windows.netgj3ftstorage.blob.core.windows.net
  • iothubsgagwt5wgvwg6.azure-devices.netiothubsgagwt5wgvwg6.azure-devices.net
  • blobssgagwt5wgvwg6.blob.core.windows.netblobssgagwt5wgvwg6.blob.core.windows.net
  • mmrstgnoamiot.azure-devices.netmmrstgnoamiot.azure-devices.net
  • mmrstgnoamstor.blob.core.windows.netmmrstgnoamstor.blob.core.windows.net
  • mmrprodapaciot.azure-devices.netmmrprodapaciot.azure-devices.net
  • mmrprodapacstor.blob.core.windows.netmmrprodapacstor.blob.core.windows.net
  • mmrprodemeaiot.azure-devices.netmmrprodemeaiot.azure-devices.net
  • mmrprodemeastor.blob.core.windows.netmmrprodemeastor.blob.core.windows.net
  • mmrprodnoamiot.azure-devices.netmmrprodnoamiot.azure-devices.net
  • mmrprodnoamstor.blob.core.windows.netmmrprodnoamstor.blob.core.windows.net

As Salas do Teams estão configuradas para se manterem automaticamente corrigidas com as atualizações mais recentes do Windows, incluindo as atualizações de segurança.Teams Rooms is configured to automatically keep itself patched with the latest Windows updates, including security updates. As Salas do Teams instalam todas as atualizações pendentes todos os dias a partir das 2:00 usando uma política local pré-definida.Teams Rooms installs any pending updates every day beginning at 2:00am using a pre-set local policy. Não é necessário usar ferramentas adicionais para implantar e aplicar atualizações do Windows.There is no need to use additional tools to deploy and apply Windows Updates. O uso de ferramentas adicionais para implantar e aplicar atualizações pode atrasar a instalação de patches do Windows e, assim, levar a uma implantação menos segura.Using additional tools to deploy and apply updates can delay the installation of Windows patches and thus lead to a less secure deployment. O aplicativo Salas do Teams é implantado usando a Microsoft Store.The Teams Rooms app is deployed using the Microsoft Store. Se seus dispositivos são licenciados com o Microsoft Teams Rooms Standard, todas as novas versões do aplicativo são instaladas automaticamente durante o processo de correção noturna.If your devices are licensed with Microsoft Teams Rooms Standard, any new versions of the app are automatically installed during the nightly patching process. Se seus dispositivos são licenciados com o Microsoft Teams Rooms Premium e estão inscritos no Serviço Gerenciado da Microsoft, as novas versões do aplicativo Salas do Teams serão instaladas de acordo com seu plano de implantação definido.If your devices are licensed with Microsoft Teams Rooms Premium and enrolled in the Microsoft Managed Service, new versions of the Teams Rooms app are installed per your defined rollout plan.

Os dispositivos teams Rooms funcionam com a maioria de 802.1X ou outros protocolos de segurança baseados em rede.Teams Rooms devices work with most 802.1X or other network-based security protocols. No entanto, não podemos testar salas do Teams em relação a todas as configurações de segurança de rede possíveis.However, we're not able to test Teams Rooms against all possible network security configurations. Portanto, se surgirem problemas de desempenho que podem ser rastreados para problemas de desempenho de rede, talvez seja necessário desabilitar esses protocolos se eles estão configurados em sua organização.Therefore, if performance issues arise that can be traced to network performance issues, you may need to disable these protocols if they're configured in your organization.

Para um desempenho ideal de mídia em tempo real, recomendamos que você configure o tráfego de mídia do Teams para ignorar servidores proxy e outros dispositivos de segurança de rede.For optimum performance of real time media, we strongly recommend that you configure Teams media traffic to bypass proxy servers and other network security devices. A mídia em tempo real é muito sensível à latência e servidores proxy e dispositivos de segurança de rede podem degradar significativamente a qualidade de vídeo e áudio dos usuários.Real time media is very latency sensitive and proxy servers and network security devices can significantly degrade users' video and audio quality. Além disso, como a mídia do Teams já está criptografada, não há benefício tangível de passar o tráfego por um servidor proxy.Also, because Teams media is already encrypted, there's no tangible benefit from passing the traffic through a proxy server. Para obter mais informações, consulte Networking up (para a nuvem) — Um ponto de vista do arquiteto que discute as recomendações de rede para melhorar o desempenho da mídia com o Microsoft Teams e salas do Microsoft Teams.For more information, see Networking up (to the cloud) — One architect’s viewpoint which discusses network recommendations to improve the performance of media with Microsoft Teams and Microsoft Teams Rooms.

Importante

Salas do Teams não suportam servidores proxy autenticados.Teams Rooms doesn't support authenticated proxy servers.

Os dispositivos teams Rooms não precisam se conectar a uma LAN interna.Teams Rooms devices don't need to connect to an internal LAN. Considere colocar salas do Teams em um segmento de rede seguro com acesso direto à Internet.Consider placing Teams Rooms in a secure network segment with direct Internet access. Se sua LAN interna for comprometida, as oportunidades de vetor de ataque para Salas do Teams serão reduzidas.If your internal LAN becomes compromised, the attack vector opportunities towards Teams Rooms will be reduced.

Recomendamos que você conecte seus dispositivos salas do Teams a uma rede com fio.We strongly recommend that you connect your Teams Rooms devices to a wired network. O uso de redes sem fio em dispositivos Teams Rooms não é recomendado ou certificado.The use of wireless networks on Teams Rooms devices isn't recommended or certified. Alguns recursos de conectividade, como Wi-Fi Sense, são desabilitados por padrão.Some connectivity features, such as Wi-Fi Sense, are disabled by default.

A Participação de Proximidade e outros recursos de Salas do Teams dependem Bluetooth.Proximity Join and other Teams Rooms features rely on Bluetooth. No entanto, Bluetooth implementação em dispositivos teams Rooms não permite uma conexão de dispositivo externo a um dispositivo Teams Rooms.However, the Bluetooth implementation on Teams Rooms devices doesn't allow for an external device connection to a Teams Rooms device. Bluetooth uso de tecnologia em dispositivos teams Rooms atualmente está limitado a sinalizadores de publicidade e conexões proximales solicitados.Bluetooth technology use on Teams Rooms devices is currently limited to advertising beacons and prompted proximal connections. O tipo pdu (unidade de dados ADV_NONCONN_INT de protocolo) é usado no sinalizador de publicidade.The ADV_NONCONN_INT protocol data unit (PDU) type is used in the advertising beacon. Esse tipo de PDU é para dispositivos não conectáveis que anunciam informações ao dispositivo de escuta.This PDU type is for non-connectable devices advertising information to the listening device. Não há Bluetooth de dispositivos como parte desses recursos.There is no Bluetooth device pairing as part of these features. Detalhes adicionais sobre Bluetooth protocolos podem ser encontrados no site Bluetooth SIG.Additional details on Bluetooth protocols can be found on the Bluetooth SIG website.