Segurança e Microsoft TeamsSecurity and Microsoft Teams

Importante

O modelo de serviço do Teams está sujeito a alterações para melhorar as experiências do cliente.The Teams service model is subject to change in order to improve customer experiences. Por exemplo, o acesso padrão ou os tempos de expiração do token de atualização podem estar sujeitos a modificações para melhorar a resiliência de desempenho e autenticação para as pessoas que usam o Teams.For example, the default access or refresh token expiration times may be subject to modification in order to improve performance and authentication resiliency for those using Teams. Quaisquer alterações são feitas com a meta de manter o Teams seguro e confiável por padrão.Any such changes would be made with the goal of keeping Teams secure and Trustworthy by Design.

Microsoft Teams, como parte do serviço do Microsoft 365 e do Office 365, segue todas as práticas recomendadas e os procedimentos de segurança, como segurança de nível de serviço por meio de defesa profunda, controles do cliente dentro do serviço, aumento da segurança e melhores práticas operacionais.Microsoft Teams, as part of the Microsoft 365 and Office 365 services, follows all the security best practices and procedures such as service-level security through defense-in-depth, customer controls within the service, security hardening and operational best practices. Para obter todos os detalhes, consulte a Central de Confiabilidade da Microsoft.For full details, please see the Microsoft Trust Center.

Confiável por DdesignTrustworthy by Design

O Teams foi projetado e desenvolvido em conformidade com Microsoft Trustworthy Computing Security Development Lifecycle (SDL), descrito em Microsoft Trustworthy Computing Security Development Lifecycle.Teams is designed and developed in compliance with the Microsoft Trustworthy Computing Security Development Lifecycle (SDL), which is described at Microsoft Security Development Lifecycle (SDL). O primeiro passo para criar um sistema de comunicações unificado mais seguro é o desenvolvimento de modelos de ameaça e teste de cada recurso projetado.The first step in creating a more secure unified communications system was to design threat models and test each feature as it was designed. Vários aprimoramentos relacionados à segurança foram incorporados às práticas e processos de codificação.Multiple security-related improvements were built into the coding process and practices. As ferramentas de construção em tempo detectam invasões de buffer e outras potenciais ameaças antes do código ser checado no produto final.Build-time tools detect buffer overruns and other potential security threats before the code is checked in to the final product. É claro que é impossível prever todas as ameaças à segurança desconhecidas e incluí-las no projeto.Of course, it is impossible to design against all unknown security threats. Nenhum sistema pode garantir a segurança completa.No system can guarantee complete security. No entanto, porque o desenvolvimento do produto adotou os princípios de design seguro desde o início, o Teams incorpora tecnologias de segurança padrão da indústria como parte fundamental de sua arquitetura.However, because product development embraced secure design principles from the start, Teams incorporates industry standard security technologies as a fundamental part of its architecture.

Confiável por padrãoTrustworthy by Default

As comunicações de rede no Teams são criptografadas por padrão.Network communications in Teams are encrypted by default. Ao exigir que todos os servidores usem certificados e ao usar OAUTH, TLS, SRTP (Secure Real-Time Transport Protocol), e outras técnicas de criptografia padrão do setor, incluindo a criptografia AES de 256 bits, todos os dados do Teams estão protegidos na rede.By requiring all servers to use certificates and by using OAUTH, TLS, Secure Real-Time Transport Protocol (SRTP), and other industry-standard encryption techniques, including 256-bit Advanced Encryption Standard (AES) encryption, all Teams data is protected on the network.

Como o Teams lida com ameaças comuns de segurançaHow Teams Handles Common Security Threats

Esta seção identifica as ameaças mais comuns à segurança do serviço do Teams e aborda como a Microsoft atenua cada ameaça.This section identifies the more common threats to the security of the Teams Service and how Microsoft mitigates each threat.

Ataque de chave comprometidaCompromised-Key Attack

O Teams usa os recursos PKI no sistema operacional do Windows Server para proteger os dados-chave usados para criptografar as conexões do Transport Layer Security (TLS).Teams uses the PKI features in the Windows Server operating system to protect the key data used for encryption for the Transport Layer Security (TLS) connections. As chaves usadas para criptografar mídia são trocadas através de conexões TLS.The keys used for media encryptions are exchanged over TLS connections.

Ataque de negação de serviço de redeNetwork Denial-of-Service Attack

O ataque de negação de serviço ocorre quando o invasor impede o uso e o funcionamento normal da rede com usuários válidos.The denial-of-service attack occurs when the attacker prevents normal network use and function by valid users. Ao usar um ataque de negação de serviço, o invasor pode:By using a denial-of-service attack, the attacker can:

  • Enviar dados inválidos aos aplicativos e serviços que estão funcionando na rede atacada para interromper o funcionamento normal delel.Send invalid data to applications and services running in the attacked network to disrupt their normal function.
  • Enviar uma grande quantidade de tráfego, sobrecarregando o sistema até que ele pare de responder ou responda devagar aos pedidos legítimos.Send a large amount of traffic, overloading the system until it stops responding or responds slowly to legitimate requests.
  • Esconder a evidência dos ataques.Hide the evidence of the attacks.
  • Impedir os usuários de acessar os recursos de acesso a rede.Prevent users from accessing network resources. O Teams atenua esses ataques ao executar a proteção de rede DDOS do Azure e ao limitar as solicitações dos clientes a partir dos mesmos pontos de extremidade, sub-redes e entidades federadas.Teams mitigates against these attacks by running Azure DDOS network protection and by throttling client requests from the same endpoints, subnets, and federated entities.

EspionagemEavesdropping

A Espionagem pode ocorrer quando um atacante ganha acesso ao caminho dos dados na rede e tem a habilidade para monitorar e ler o tráfego. Isso também é chamado de bisbilhotar ou falsificar. Se o tráfego está no texto plano, o atacante pode lê-lo quando o atacante ganha acesso ao caminho. Um exemplo é um ataque realizado no controle de um router no caminho dos dados.Eavesdropping can occur when an attacker gains access to the data path in a network and has the ability to monitor and read the traffic. This is also called sniffing or snooping. If the traffic is in plain text, the attacker can read the traffic when the attacker gains access to the path. An example is an attack performed by controlling a router on the data path.

O Teams usa TLS mútuo (MTLS) para comunicações do servidor no Microsoft 365 e Office 365 e também usa TLS de clientes para o serviço, tornando esse ataque muito difícil ou impossível de ser realizado no período em que uma determinada conversa pode ser atacada.Teams uses mutual TLS (MTLS) for server communications within Microsoft 365 and Office 365, and also uses TLS from clients to the service, rendering this attack very difficult or impossible to achieve within the time period in which a given conversation could be attacked. O TLS autentica todos os participantes e criptografa todo o tráfego.TLS authenticates all parties and encrypts all traffic. Isso não impede a espionagem, mas o atacante não pode ler o tráfego, a não ser que quebre a criptografia.This does not prevent eavesdropping, but the attacker cannot read the traffic unless the encryption is broken.

O protocolo TURN é usado para fins de mídia em tempo real.The TURN protocol is used for real time media purposes. O protocolo TURN não exige que o tráfego seja criptografado e as informações que são enviadas são protegidas pela integridade da mensagem.The TURN protocol does not mandate the traffic to be encrypted and the information that it is sending is protected by message integrity. Mesmo estando abertas apara a espionagem, as informações que são enviadas (o endereço do IP e a porta) podem ser extraídas diretamente olhando os endereços de saída e de destino dos pacotes.Although it is open to eavesdropping, the information it is sending (that is, IP addresses and port) can be extracted directly by simply looking at the source and destination addresses of the packets. O serviço do Teams garante que os dados são válidos verificando a Integridade da Mensagem da mensagem, usando a chave derivada de poucos itens, incluindo uma senha do TURN, que nunca é enviada em um texto não criptografado.The Teams service ensures that the data is valid by checking the Message Integrity of the message using the key derived from a few items including a TURN password, which is never sent in clear text. O SRTP é usado para o tráfego de mídia e também é criptografado.SRTP is used for media traffic and is also encrypted.

Falsificação de identidade (falsificação de endereço IP)Identity Spoofing (IP Address Spoofing)

A Falsificação ocorre quando o atacante determina e usa um endereço IP de uma rede, computador ou componente de rede sem autorização para tal ação.Spoofing occurs when the attacker determines and uses an IP address of a network, computer, or network component without being authorized to do so. Um ataque bem-sucedido permite que o invasor opere como se o invasor fosse a entidade normalmente identificada pelo endereço IP.A successful attack allows the attacker to operate as if the attacker is the entity normally identified by the IP address.

O TLS autentica todos os participantes e criptografa todo o tráfego.TLS authenticates all parties and encrypts all traffic. Usar o TLS impede que um invasor execute a falsificação do endereço IP em uma conexão específica (por exemplo, conexões TLS mútuas).Using TLS prevents an attacker from performing IP address spoofing on a specific connection (for example, mutual TLS connections). Um invasor ainda poderia falsificar o endereço do servidor DNS.An attacker could still spoof the address of the DNS server. No entanto, como a autenticação no Teams é feita com certificados, um invasor não teria um certificado válido necessário para falsificar um dos participantes na comunicação.However, because authentication in Teams is performed with certificates, an attacker would not have a valid certificate required to spoof one of the parties in the communication.

Ataque man-in-the-middleMan-in-the-Middle Attack

Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários por meio do computador do invasor sem o conhecimento dos dois usuários que estão se comunicando.A man-in-the-middle attack occurs when an attacker reroutes communication between two users through the attacker's computer without the knowledge of the two communicating users. O invasor pode monitorar e ler o tráfego antes de enviá-lo ao destinatário pretendido.The attacker can monitor and read the traffic before sending it on to the intended recipient. Cada usuário presente na comunicação, sem saber, envia e recebe tráfego do invasor pensando estar se comunicando apenas com o usuário pretendido.Each user in the communication unknowingly sends traffic to and receives traffic from the attacker, all while thinking they are communicating only with the intended user. Isso pode acontecer se um invasor conseguir modificar os Active Directory Domain Services para adicionar o servidor dele como um servidor confiável ou modificar o DNS (Sistema de Nome de Domínio) para fazer com que os clientes se conectem ao invasor no caminho para o servidor.This can happen if an attacker can modify Active Directory Domain Services to add his or her server as a trusted server or modify Domain Name System (DNS) to get clients to connect through the attacker on their way to the server.

Ataques intermediários ao tráfego de mídia entre dois pontos de extremidade participando em compartilhamento de áudio, vídeo e aplicativo do Teams são evitados usando SRTP para criptografar o fluxo de mídia.Man-in-the-middle attacks on media traffic between two endpoints participating in Teams audio, video, and application sharing, is prevented by using SRTP to encrypt the media stream. As chaves criptográficas são negociadas entre os dois pontos de extremidade através de um protocolo de sinalização patenteado (protocolo de Sinalização de Chamada do Teams) que utiliza o canal UDP/TCP criptografado TLS 1.2 e AES-256 (no modo GCM).Cryptographic keys are negotiated between the two endpoints over a proprietary signaling protocol (Teams Call Signaling protocol) which leverages TLS 1.2 and AES-256 (in GCM mode) encrypted UDP / TCP channel.

Ataque de reprodução de RTPRTP Replay Attack

Um ataque de reprodução ocorre quando uma transmissão de mídia válida entre duas partes é interceptada e retransmitida por motivos mal-intencionados.A replay attack occurs when a valid media transmission between two parties is intercepted and retransmitted for malicious purposes. O Teams usa SRTP com um protocolo de sinalização de segurança que protege as transmissões contra ataques de reprodução, habilitando o receptor a manter um índice de pacotes RTP já recebidos e a comparar cada novo pacote com aqueles já listados no índice.Teams uses SRTP in conjunction with a secure signaling protocol that protects transmissions from replay attacks by enabling the receiver to maintain an index of already received RTP packets and compare each new packet with those already listed in the index.

SPIMSpim

O SPIM é um serviço de mensagens instantâneas comerciais não solicitadas ou solicitações de assinatura de presença, como spam, mas na forma de mensagem instantânea.Spim is unsolicited commercial instant messages or presence subscription requests, like spam, but in instant message form. Embora não seja por si só um comprometimento da rede, é, no mínimo, irritante, pois pode reduzir a disponibilidade e a produção de recursos e levar a um comprometimento da rede.While not by itself a compromise of the network, it is annoying in the least, can reduce resource availability and production, and can possibly lead to a compromise of the network. Um exemplo disso é quando os usuários fazem "spimming" uns para os outros, por meio de envios de solicitações.An example of this is users spimming each other by sending requests. Os usuários podem bloquear uns aos outros para evitar isso, mas com a federação, se um ataque spim coordenado for estabelecido, isso poderá ser difícil de superar, a não ser que você desabilite a federação do parceiro.Users can block each other to prevent this, but with federation, if a coordinated spim attack is established, this can be difficult to overcome unless you disable federation for the partner.

Vírus e WormsViruses and Worms

Um vírus é uma unidade de código cujo objetivo é reproduzir outras unidades de código semelhantes.A virus is a unit of code whose purpose is to reproduce additional, similar code units. Para trabalhar, um vírus precisa de um host, como um arquivo, um email ou um programa.To work, a virus needs a host, such as a file, email, or program. Como um vírus, um worm é uma unidade de código que é codificada para reproduzir unidades de código adicionais semelhantes, mas que, ao contrário de um vírus, não precisa de um host.Like a virus, a worm is a unit of code that is coded to reproduce additional, similar code units, but that unlike a virus does not need a host. Os vírus e os worms aparecem principalmente durante transferências de arquivos entre clientes ou quando as URLs são enviadas por outros usuários.Viruses and worms primarily show up during file transfers between clients or when URLs are sent from other users. Um vírus no seu computador pode, por exemplo, usar sua identidade e enviar mensagens instantâneas em seu nome.If a virus is on your computer, it can, for example, use your identity and send instant messages on your behalf. Práticas recomendadas de segurança padrão para o cliente, como a verificação periódica de vírus, podem atenuar esse problema.Standard client security best practices such as periodically scanning for viruses can mitigate this issue.

Estrutura de segurança para o TeamsSecurity Framework for Teams

Esta seção oferece uma visão geral dos elementos fundamentais que compõem a estrutura de segurança do Microsoft Teams.This section gives an overview of fundamental elements that form a security framework for Microsoft Teams.

Os principais elementos são:Core elements are:

  • O Active Directory do Azure (Azure AD) que fornece um único repositório de back-end confiável às contas dos usuários.Azure Active Directory (Azure AD), which provides a single trusted back-end repository for user accounts. As informações de perfil do usuário são armazenadas no Azure AD pelas ações do Microsoft Graph.User profile information is stored in Azure AD through the actions of Microsoft Graph.
    • Lembre-se de que pode haver vários tokens emitidos, que pode ser visto se rastrear o tráfego de rede.Be advised that there may be multiple tokens issued which you may see if tracing your network traffic. Skype que você pode ver em rastreamentos ao olhar o tráfego de áudio e de chat.This includes Skype tokens you might see in traces while looking at chat and audio traffic.
  • O protocolo TLS (Transport Layer Security) e o TLS (MTLS) mútuo que criptografam o tráfego de mensagens instantâneas e permitem a autenticação do ponto de extremidade.Transport Layer Security (TLS), and mutual TLS (MTLS) which encrypt instant message traffic and enable endpoint authentication. Os fluxos de áudio e vídeo ponto a ponto e de compartilhamento de aplicativos são criptografados e a integridade verificada utilizando protocolo SRTP).Point-to-point audio, video, and application sharing streams are encrypted and integrity checked using Secure Real-Time Transport Protocol (SRTP). Você também pode ver o tráfego OAuth em seu rastreamento, principalmente em relação à negociação de permissões durante a mudança entre as guias no Teams, por exemplo, para mover-se de postagens para arquivos.You may also see OAuth traffic in your trace, particularly around negotiating permissions while switching between tabs in Teams, for example to move from Posts to Files. Para obter um exemplo do fluxo OAuth para guias, consulte este documento.For an example of the OAuth flow for tabs, please see this document.
  • O Teams usa protocolos padrão do setor para autenticação de usuário, sempre que possível.Teams uses industry-standard protocols for user authentication, wherever possible.

As seções a seguir abordam algumas das principais tecnologias.The next sections discuss some of these core technologies.

Azure Active DirectoryAzure Active Directory

O Active Directory do Azure funciona como o serviço de diretório do Microsoft 365 e do Office 365.Azure Active Directory functions as the directory service for Microsoft 365 and Office 365. Ele armazena todas as informações do diretório e as atribuições de política do usuário.It stores all user directory information and policy assignments.

Pontos de distribuição CRLCRL Distribution Points

O tráfego do Microsoft 365 e do Office 365 ocorre por canais criptografados por TLS/HTTPS, o que significa que os certificados são usados para a criptografia de todo o tráfego.Microsoft 365 and Office 365 traffic takes place over TLS/HTTPS encrypted channels, meaning that certificates are used for encryption of all traffic. O Teams requer que todos os certificados de servidor contenham um ou mais pontos de distribuição das Listas de Certificados Revogados (CRLs).Teams requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. Os pontos de distribuição (CDP) de CRL são locais dos quais as CRLs podem ser baixadas para verificar se o certificado não foi revogado desde sua emissão e se o certificado continua dentro do período de validade.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Um ponto de distribuição de CRL pode ser encontrado nas propriedades do certificado como uma URL e é normalmente uma HTTP segura.A CRL distribution point is noted in the properties of the certificate as a URL and is secure HTTP. O serviço do Teams verifica a CRL com cada autenticação de certificado.The Teams service checks CRL with every certificate authentication.

Uso Avançado de ChaveEnhanced Key Usage

Todos os componentes do serviço do Teams exigem que todos os certificados do servidor tenham suporte para EKU (Uso Avançado de Chave) para fins de autenticação do servidor.All components of the Teams service require all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. A configuração do campo do EKU para autenticação do servidor significa que o certificado é válido para fins de autenticação de servidores.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. Esse EKU é essencial para MTLS.This EKU is essential for MTLS.

TLS e MTLS para o TeamsTLS and MTLS for Teams

Os protocolos TLS e MTLS fornecem comunicações criptografadas e autenticação de ponto de extremidade na Internet.TLS and MTLS protocols provide encrypted communications and endpoint authentication on the Internet. O Teams usa esses dois protocolos para criar uma rede de servidores confiáveis e para garantir que todas as comunicações nessa rede sejam criptografadas.Teams uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Todas as comunicações entre servidores ocorrem no MTLS.All communications between servers occur over MTLS. Qualquer comunicação SIP ou herdado restante entre o cliente e o servidor ocorrem no TLS.Any remaining or legacy SIP communications from client to server occur over TLS.

O TLS permite que os usuários, por meio de seu software cliente, autentiquem os servidores do teams aos quais se conectam.TLS enables users, through their client software, to authenticate the Teams servers to which they connect. Em uma conexão TLS, o cliente solicita um certificado válido do servidor.On a TLS connection, the client requests a valid certificate from the server. Para ser válido, o certificado deve ser emitido por uma Autoridade de Certificação (AC) considerada confiável pelo cliente, e o nome DNS do servidor deve corresponder ao nome DNS no certificado.To be valid, the certificate must have been issued by a Certificate Authority (CA) that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Se o certificado for válido, o cliente usa a chave pública no certificado para criptografar as chaves de criptografia simétricas a serem utilizadas na comunicação, assim, apenas o proprietário original do certificado pode utilizar sua chave privada para descriptografar os conteúdos de comunicação.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. A conexão resultante é confiável e, a partir desse momento, não será desafiada por nenhum outro servidor ou cliente confiável.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients.

Conexões de servidor para servidor dependem do MTLS (TLS mútuo) para autenticação mútua.Server-to-server connections rely on mutual TLS (MTLS) for mutual authentication. Em uma conexão MTLS, o servidor que cria a mensagem e o servidor que a recebe trocam certificados mutuamente a partir de uma AC confiável.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. Os certificados comprovam a identidade de cada servidor ao outro.The certificates prove the identity of each server to the other. No serviço do Teams, este procedimento é seguido.In the Teams service, this procedure is followed.

O TLS e o MTLS ajudam a evitar a espionagem e os ataques man-in-the Middle.TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. Em um ataque man-in-the-middle, o invasor redireciona as comunicações entre duas entidades de rede por meio do computador do invasor, sem o conhecimento dos participantes.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. As especificações de servidores confiáveis do TLS e do Teams reduzem o risco de um ataque man-in-the middle parcialmente na camada de aplicativos usando criptografia coordenada por meio da criptografia de Chave Pública entre os dois pontos de extremidade.TLS and Teams' specification of trusted servers mitigate the risk of a man-in-the middle attack partially on the application layer by using encryption that is coordinated using the Public Key cryptography between the two endpoints. O invasor teria que possuir um certificado válido e confiável com a Chave Privada correspondente e emitido para o nome do serviço ao qual o cliente está solicitando descriptografar a comunicação.An attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication.

Observação

Os dados do Teams são criptografados em trânsito e em repouso nos datacenters da Microsoft.Teams data is encrypted in transit and at rest in Microsoft datacenters. A Microsoft usa tecnologias padrão do setor, como TLS e SRTP, para criptografar todos os dados em trânsito entre os dispositivos dos usuários e os datacenters da Microsoft e entre os datacenters da Microsoft.Microsoft uses industry standard technologies such as TLS and SRTP to encrypt all data in transit between users' devices and Microsoft datacenters, and between Microsoft datacenters. Isso inclui mensagens, arquivos, reuniões e outros conteúdos.This includes messages, files, meetings, and other content. Os dados corporativos também são criptografados em repouso nos datacenters da Microsoft, de forma que as organizações descriptografem o conteúdo, se necessário, para cumprir suas obrigações de segurança e conformidade, como a Descoberta eletrônica.Enterprise data is also encrypted at rest in Microsoft datacenters, in a way that allows organizations to decrypt content if needed, to meet their security and compliance obligations, such as eDiscovery.

Criptografia para o TeamsEncryption for Teams

O Teams utiliza o TLS e MTLS para criptografar mensagens instantâneas.Teams uses TLS and MTLS to encrypt instant messages. Todo o tráfego de servidor para servidor exige o MTLS, independentemente de o tráfego ter sido ajustado à rede interna ou cruzar o perímetro da rede interna.All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network perimeter.

Esta tabela resume os protocolos usados pelo Teams.This table summarizes the protocols used by Teams.

Criptografia de tráfegoTraffic Encryption

Tipo de tráfegoTraffic type Criptografado porEncrypted by
Servidor para ServidorServer-to-server MTLSMTLS
Cliente para servidor (por exemplo,Client-to-server (ex. Mensagens instantâneas e presença)instant messaging and presence) TLSTLS
Fluxos de mídia (por exemplo,Media flows (ex. Compartilhamento de mídia de áudio e vídeo)audio and video sharing of media) TLSTLS
Compartilhamento de mídia de áudio e vídeoAudio and video sharing of media SRTP/TLSSRTP/TLS
SinalizaçãoSignaling TLSTLS

Criptografia de mídiaMedia Encryption

O tráfego de mídia é criptografado usando SRTP (Secure RTP), um perfil do protocolo RTP que fornece confidencialidade, autenticação e proteção contra ataques de repetição para o tráfego RTP.Media traffic is encrypted using Secure RTP (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. SRTP usa uma chave da sessão gerada por meio de um gerador de número aleatório seguro e trocada por meio do canal TLS de sinalização.SRTP uses a session key generated by using a secure random number generator and exchanged using the signaling TLS channel. O tráfego da mídia cliente para cliente é negociado por meio de uma conexão de cliente para o servidor, mas é criptografado usando o SRTP ao ir para cliente direto para o cliente.Client to Client media traffic is negotiated through a Client to Server connection signaling, but is encrypted using SRTP when going direct Client to Client.

O Teams usa um token baseado em credenciais para acesso seguro a retransmissores de mídia por TURN.Teams uses a credentials-based token for secure access to media relays over TURN. Media Relays trocam o token por um canal protegido por TLS.Media relays exchange the token over a TLS-secured channel.

FIPSFIPS

O Teams usa algoritmos compatíveis com FIPS (Federal Information Processing Standard) para trocas de chave de criptografia.Teams uses FIPS (Federal Information Processing Standard) compliant algorithms for encryption key exchanges. Para obter mais informações sobre a implementação do FIPS, confira Publicação 140-2 do padrão FIPS (Federal Information Processing Standard).For more information on the implementation of FIPS, please see Federal Information Processing Standard (FIPS) Publication 140-2.

Autenticação do usuário e do clienteUser and Client Authentication

Um usuário confiável é aquele cujas credenciais foram autenticadas pelo Azure AD no Microsoft 365 ou no Office 365.A trusted user is one whose credentials have been authenticated by Azure AD in Microsoft 365 or Office 365.

Autenticação é o provisionamento de credenciais de usuário em um servidor ou serviço confiável.Authentication is the provision of user credentials to a trusted server or service. O Teams usa os seguintes protocolos de autenticação, dependendo do status e da localização do usuário.Teams uses the following authentication protocols, depending on the status and location of the user.

  • Autenticação moderna (MA) é a implementação Microsoft do OAUTH 2.0 para comunicação de cliente para servidor.Modern Authentication (MA) is the Microsoft implementation of OAUTH 2.0 for client to server communication. Ela ativa recursos de segurança como a Autenticação Multifatorial e o Acesso Condicional.It enables security features such as Multi-Factor Authentication and Conditional Access. Para usar a MA, tanto o locatário online quanto os clientes precisam ser habilitados para a MA.In order to use MA, both the online tenant and the clients need to be enabled for MA. Os clientes do Teams em PC e dispositivos móveis, bem como no cliente Web, todos são compatíveis do MA.The Teams clients across PC and mobile, as well as the web client, all support MA.

Observação

Se você precisar revisar a autenticação e os métodos de autorização do Azure AD, a introdução desse artigo e a sessão “Noções básicas de autenticação no Azure AD”.If you need to brush up on Azure AD authentication and authorization methods, this article's Introduction and 'Authentication basics in Azure AD' sections will help.

A autenticação do Teams é realizada pelo Azure AD e pelo OAuth.Teams authentication is accomplished through Azure AD and OAuth. O processo de autenticação pode ser simplificado para:The process of authentication can be simplified to:

  • Logon de usuário > Emissão de token > Solicitação posterior usa o token emitido.User Login > Token issuance > subsequent request use issued token.

As solicitações do cliente ao servidor são autenticadas e autorizadas pelo Azure AD com o uso do OAuth.Requests from client to server are authenticated and authorized via Azure AD with the use of OAuth. Os usuários com credenciais válidas emitidas por um parceiro federado são confiáveis e passam pelo mesmo processo de usuários nativos.Users with valid credentials issued by a federated partner are trusted and pass through the same process as native users. No entanto, outras restrições podem ser colocadas no local por administradores.However, further restrictions can be put into place by administrators.

Para autenticação de mídia, os protocolos ICE e TURN também utilizam o mecanismo do desafio Digest, conforme descrito no IETF TURN RFC.For media authentication, the ICE and TURN protocols also use the Digest challenge as described in the IETF TURN RFC.

Ferramentas de gerenciamento do Teams e Windows PowerShellWindows PowerShell and Team Management Tools

No Teams, os administradores de TI podem gerenciar seus serviços por meio do Centro de administração do Microsoft 365 ou usando o Tenant Remote PowerShell (TRPS).In Teams, IT Admins can manage their service via the Microsoft 365 admin center or by using Tenant Remote PowerShell (TRPS). Os administradores de locatário usam autenticação moderna para autenticar o TRPS.Tenant admins use Modern Authentication to authenticate to TRPS.

Configuração do acesso ao Teams no seu limite de InternetConfiguring Access to Teams at your Internet Boundary

Para que o Teams funcione corretamente (para que os usuários possam participar de reuniões, etc.), os clientes devem configurar o acesso à Internet de forma que o tráfego de saída UDP e TCP para os serviços na nuvem do Teams seja permitido.For Teams to function properly (for users to be able to join meetings etc.), customers need to configure their internet access such that outbound UDP and TCP traffic to services in the Teams cloud is allowed. Para obter mais informações, confira URLs e intervalos de endereços IP do Office 365.For more details, see here: Office 365 URLs and IP address ranges.

UDP 3478-3481 e TCP 443UDP 3478-3481 and TCP 443

As portas UDP 3478-3481 e TCP 443 são usadas pelos clientes para solicitar o serviço de áudio visuais.The UDP 3478-3481 and TCP 443 ports are used by clients to request service for audio visuals. Um cliente usa essas duas portas para atribuir as portas UDP e TCP, respectivamente, para permitir esses fluxos de mídia.A client uses these two ports to allocate UDP and TCP ports respectively to enable these media flows. Os fluxos de mídia nessas portas estão protegidos por uma chave trocada por um canal de sinalização protegido por TLS.The media flows on these ports are protected with a key that is exchanged over a TLS protected signaling channel.

Proteções de Federação para o TeamsFederation Safeguards for Teams

A Federação fornece à sua organização a capacidade de se comunicar com outras organizações para compartilhar mensagens instantâneas e presença.Federation provides your organization with the ability to communicate with other organizations to share IM and presence. No Teams, a federação está ativada por padrão.In Teams federation is on by default. No entanto, os administradores de locatários têm a capacidade de controlar isso por meio do Centro de administração do Microsoft 365.However, tenant admins have the ability to control this via the Microsoft 365 admin center.

Enfrentando ameaças em reuniões do TeamsAddressing Threats to Teams Meetings

Essas são as duas opções para controlar quem chega nas reuniões do Teams e quem terá acesso às informações apresentadas.There are two options to control who arrives in Teams meetings and who will have access to the information you present.

  1. Você pode controlar quem entra em suas reuniões nas configurações de lobby.You can control who joins your meetings through settings for the lobby.

    As opções de configuração "Quem pode ignorar o lobby" disponíveis na página Opções de reunião"Who can bypass the lobby" setting options available in Meeting options page Os tipos de usuário ingressam diretamente na reuniãoUser types joining the meeting directly Tipos de usuário indo para o lobbyUser types going to the lobby
    Pessoas da minha organizaçãoPeople in my organization - No locatário- In-tenant
    - Convidado do locatário- Guest of tenant
    - Federado- Federated
    - Anônimo- Anonymous
    - Discagem PSTN- PSTN dial-in
    Pessoas da minha organização e organizações confiáveisPeople in my organization and trusted organizations - No locatário- In-tenant
    - Convidado do locatário- Guest of tenant
    - Federado- Federated
    - Anônimo- Anonymous
    - Discagem PSTN- PSTN dial-in
    TodosEveryone - No locatário- In-tenant
    - Convidado do locatário- Guest of tenant
    - Federado anônimo- Federated Anonymous
    - Discagem PSTN- PSTN dial-in
  2. A segunda forma é por meio de reuniões estruturadas (onde os apresentadores podem fazer isso em relação a tudo o que deve ser feito e os participantes têm uma experiência controlada).The second way is through structured meetings (where Presenters can do about anything that should be done, and attendees have a controlled experience). Depois de ingressar em uma reunião estruturada, os apresentadores controlam o que os participantes podem fazer na reunião.After joining a structured meeting, presenters control what attendees can do in the meeting.

    AçõesActions ApresentadoresPresenters ParticipantesAttendees
    Falar e compartilhar seus vídeosSpeak and share their video YY YY
    Participar do chat da reuniãoParticipate in meeting chat YY YY
    Alterar as configurações das opções de reuniãoChange settings in meeting options YY NN
    Ativar mudo de outros participantesMute other participants YY NN
    Remover outros participantesRemove other participants YY NN
    Compartilhar conteúdoShare content YY NN
    Admitir outros participantes do lobbyAdmit other participants from the lobby YY NN
    Tornar outros participantes apresentadores ou participantesMake other participants presenters or attendees YY NN
    Iniciar ou parar gravação Start or stop recording YY NN
    Assumir o controle quando outro participante compartilhar um PowerPointTake control when another participant shares a PowerPoint YY NN

O Teams oferece aos usuários corporativos a capacidade de criar e ingressar em reuniões em tempo real.Teams provides the capability for enterprise users to create and join real-time meetings. Os usuários corporativos também podem convidar usuários externos que não possuem uma conta do Azure AD, do Microsoft 365 ou do Office 365 para participar dessas reuniões.Enterprise users can also invite external users who do not have an Azure AD, Microsoft 365, or Office 365 account to participate in these meetings. Usuários empregados por parceiros externos com uma identidade segura e autenticada também podem ingressar em reuniões e podem atuar como apresentadores se forem promovidos para tal atividade.Users who are employed by external partners with a secure and authenticated identity can also join meetings and, if promoted to do so, can act as presenters. Os usuários anônimos não podem criar ou entrar em uma reunião como um apresentador, mas eles podem ser promovidos para o apresentador após entrarem.Anonymous users cannot create or join a meeting as a presenter, but they can be promoted to presenter after they join.

Para que os usuários anônimos possam participar de reuniões do Teams, a configuração reuniões dos participantes no centro de administração de Teams deve ser ativada.For Anonymous users to be able to join Teams meetings, the Participants meetings setting in the Teams Admin Center must be toggled on.

Observação

O termo usuários anônimos significa os usuários que não são autenticados no locatário de organizações.The term anonymous users means users that are not authenticated to the organizations tenant. Neste contexto, todos os usuários externos são considerados anônimos.In this context all external users are considered anonymous. Os usuários autenticados incluem usuários locatários e usuários convidados do locatário.Authenticated users include tenant users and Guest users of the tenant.

Habilitar os usuários externos a participar de reuniões do Teams pode ser muito útil, mas envolve alguns riscos à segurança.Enabling external users to participate in Teams meetings can be very useful, but entails some security risks. Para lidar com esses riscos, o Teams oferece as seguintes proteções adicionais:To address these risks, Teams uses the following additional safeguards:

  • As funções do participante determinam privilégios de controle de reunião.Participant roles determine meeting control privileges.

  • Os tipos de participantes permitem limitar o acesso a reuniões específicas.Participant types allow you to limit access to specific meetings.

  • Agendar reuniões é restrito a usuários que têm uma conta do AAD e uma licença do Teams.Scheduling meetings is restricted to users who have an AAD account and a Teams license.

  • Os usuários anônimos não autenticados que desejem ingressar em uma conferência de discagem discam um dos números de acesso de conferência.Anonymous, that is, unauthenticated, users who want to join a dial-in conference, dial one of the conference access numbers. Se a configuração "Sempre permitir que os chamadores ignore o lobby" está Ativada, eles também deverão esperar até que um apresentador ou usuário autenticado participe da reunião.If the "Always allow callers to bypass the lobby" setting is turned On then they also need to wait until a presenter or authenticated user joins the meeting.

    Cuidado

    Se você não quiser que usuários Anônimos (usuários não convidados explicitamente) ingressem em uma reunião, você precisará garantir que Usuários anônimos podem participar de uma reunião esteja definido como Desativado na seção de Participantes da reunião.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

Também é possível que um organizador defina as configurações para permitir que os chamadores de discagem sejam a primeira pessoa de uma reunião.It's also possible for an organizer to configure settings to let Dial-in callers be the first person in a meeting. Essa configuração é definida nas configurações de videoconferência para os usuários e se aplica a todas as reuniões agendadas pelo usuário.This setting is configured in the Audio Conferencing settings for users and would apply to all meetings scheduled by the user.

Observação

Para obter mais informações sobre o convidado e o acesso externo no Teams, confira este artigo.For more information on Guest and External Access in Teams, see this article. Ele aborda quais recursos os usuários convidados ou externos podem esperar ver e usar quando fazem logon no Teams.It covers what features guest or external users can expect to see and use when they login to Teams.

Funções do participanteParticipant Roles

Os participantes da reunião dividem-se em três grupos, cada um com seus próprios privilégios e restrições:Meeting participants fall into three groups, each with its own privileges and restrictions:

  • Organizador o usuário que cria uma reunião, seja improvisado ou por programação.Organizer The user who creates a meeting, whether impromptu or by scheduling. Um organizador deve ser um usuário no locatário autenticado e ter controle sobre todos os aspectos do usuário final de uma reunião.An organizer must be an authenticated in-tenant user and has control over all end-user aspects of a meeting.
  • Apresentador um usuário que está autorizado a apresentar informações em uma reunião, usando qualquer mídia com suporte.Presenter A user who is authorized to present information at a meeting, using whatever media is supported. O organizador da reunião, por definição, também é um apresentador e determina quem mais pode ser um apresentador.A meeting organizer is by definition also a presenter and determines who else can be a presenter. O organizador pode determinar isso ao agendar uma reunião ou com a reunião já em andamento.An organizer can make this determination when a meeting is scheduled or while the meeting is under way.
  • Participante um usuário que foi convidado a participar de uma reunião, mas que não está autorizado a atuar como um apresentador.Attendee A user who has been invited to attend a meeting but who is not authorized to act as a presenter.

Um apresentador também pode promover um participante ao papel de apresentador durante a reunião.A presenter can also promote an attendee to the role of presenter during the meeting.

Tipos de participantesParticipant Types

Os participantes da reunião também são categorizados por local e por credenciais.Meeting participants are also categorized by location and credentials. Você pode usar essas duas características para decidir quais usuários podem ter acesso a reuniões específicas.You can use both of these characteristics to decide which users can have access to specific meetings. Os usuários podem ser divididos amplamente nas categorias a seguir:Users can be divided broadly into the following categories:

  1. Usuários que não pertencem ao locatárioesses usuários têm credenciais no Active Directory do Azure para o locatário.Users that belong to the tenant These users have a credential in Azure Active Directory for the tenant. a.a. Pessoas na minha organizaçãoesses usuários têm credenciais no Active Directory do Azure para o locatário.People in my organization – These users have a credential in Azure Active Directory for the tenant. Pessoas na minha organização – incluem contas de convidado.People in my organization includes invited Guest accounts. b.b. Usuários remotos – esses usuários estão ingressando de fora da rede corporativa.Remote users – These users are joining from outside the corporate network. Podem ser funcionários que estão trabalhando em casa ou em trânsito, entre outros, como funcionários de fornecedores confiáveis que receberam credenciais corporativas em seus termos de serviço.They can include employees who are working at home or on the road, and others, such as employees of trusted vendors, who have been granted enterprise credentials for their terms of service. Usuários remotos podem criar e ingressar em reuniões e atuar como apresentadores.Remote users can create and join meetings and act as presenters. ..
  2. Usuários que não pertencem ao locatário esses usuários não têm credenciais no AD do Azure para o locatário.Users that do not belong to the tenant These users do not have credentials in Azure AD for the tenant. a.a. Os usuários federados– os usuários federados têm credenciais válidas com parceiros federados e são tratados como autenticados pelo Teams, mas ainda são anônimos no locatário do organizador da reunião.Federated Users - Federated users have valid credentials with federated partners and are therefore treated as authenticated by Teams, but are still Anonymous to the meeting organizer tenant. Os usuários federados podem ingressar em reuniões e ser promovidos a apresentadores depois de ingressarem na reunião, mas não podem criar reuniões em empresas com as quais são federados.Federated users can join meetings and be promoted to presenters after they have joined the meeting, but they can't create meetings in enterprises with which they are federated. b.b. Os usuários anônimos – os usuários anônimos não têm uma identidade do Active Directory e não são federados com o locatário.Anonymous Users - Anonymous users do not have an Active Directory identity and are not federated with the tenant.

Muitas reuniões envolvem usuários externos.Many meetings involve external users. Esses mesmos clientes também querem garantias sobre a identidade de usuários externos antes de permitir que ingressem em uma reunião.Those same customers also want reassurance about the identity of external users before allowing those users to join a meeting. Como a seção a seguir descreve, o Teams limita o acesso à reunião aos tipos de usuários cuja permissão foi explícita e exige que todos os tipos de usuários apresentem as credenciais apropriadas ao entrarem em uma reunião.The next section describes how Teams limits meeting access to those user types that have been explicitly allowed, and requires all user types to present appropriate credentials when entering a meeting.

Admissão de participantesParticipant Admittance

Cuidado

Se você não quiser que usuários Anônimos (usuários não convidados explicitamente) ingressem em uma reunião, você precisará garantir que Usuários anônimos podem participar de uma reunião esteja definido como Desativado na seção de Participantes da reunião.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

No Teams, os usuários anônimos são transferidos para uma área de espera chamada lobby.In Teams, anonymous users can be transferred to a waiting area called the lobby. Os apresentadores podem, então, *permitir ou rejeitar a participação desses usuários na reunião.Presenters can then either admit these users into the meeting or reject them. Quando esses usuários são transferidos para o lobby, o apresentador e os participantes são notificados, e os usuários anônimos devem aguardar até que sejam aceitos ou rejeitados, ou a conexão vai expirar.When these users are transferred to the lobby, the presenter and attendees are notified, and the anonymous users must then wait until they are either accepted or rejected, or their connection times out.

Por padrão, os participantes cujas chamadas vêm do PSTN vão diretamente para a reunião, uma vez que um usuário autenticado entra na reunião, mas essa opção pode ser alterada para forçar os participantes de discagem a irem para o lobby.By default, participants dialing in from the PSTN go directly to the meeting once an authenticated user joins the meeting, but this option can be changed to force dial-in participants to go to the lobby.

Os organizadores da reunião controlam se os participantes podem ingressar em uma reunião sem esperar no lobby.Meeting organizers control whether participants can join a meeting without waiting in the lobby. Cada reunião pode ser configurada para habilitar o acesso por meio de qualquer um dos métodos a seguir:Each meeting can be set up to enable access using any one of the following methods:

Os padrões são:The defaults are:

  • Pessoas na minha organização – toda pessoa fora da organização espera no lobby até ser admitido.People in my Organization - Everyone external to the organization will wait in the lobby until admitted.
  • Pessoas da minha organização e organizações confiáveis – domínios de usuários autenticados e externos do Teams e do Skype for Business que estão na lista de permissão de acesso externo podem ignorar o lobby.People from my organization and trusted organizations - Authenticated users and external users from Teams and Skype for Business domains that are in the external access allow list can bypass the lobby. Todos os usuários vão esperar no lobby até serem admitidos.All other users will wait in the lobby until admitted.
  • Todas as pessoas– todos os participantes da reunião ignoram o o lobby uma vez que um usuário autenticado entrou em uma reunião. Everyone - All meeting participants bypass the lobby once an authenticated user has joined the meeting.

Recursos do apresentadorPresenter Capabilities

Os organizadores da reunião controlam se os participantes podem fazer apresentações durante uma reunião.Meeting organizers control whether participants can present during a meeting. Cada reunião pode ser configurada para limitar os apresentadores de acordo com as seguintes opções:Each meeting can be set up to limit presenters to any one of the following:

  • Pessoas na minha organização – todos os usuários do locatário, incluindo convidados, podem apresentarPeople in my organization - All in tenant users, including guests, can present
  • Pessoas na minha organização e e organizações confiáveis – todos os usuários do locatário, incluindo convidados, podem apresentar e domínios usuários externos do Teams e Skype for Business que estão na lista de permissões de acesso externo podem apresentar.People in my organization and trusted organizations - All in tenant users, including guests, can present and external users from Teams and Skype for Business domains that are in the external access allow list can present.
  • Todas as pessoas – todos os participantes da reunião são apresentadores.Everyone - All meeting participants are presenters.

Modificar enquanto uma reunião está ocorrendoModify While Meeting is Running

É possível modificar as opções da reunião enquanto uma reunião está em execução.It's possible to modify the meeting options while a meeting is on-going. A alteração, quando salva, irá impactar a reunião em execução dentro de segundos.The change, when saved, will impact the running meeting within seconds. Também afeta qualquer ocorrência futura da reunião.It also effects any future occurrences of the meeting.

As 12 principais tarefas para as equipes de segurança dar suporte ao trabalho em casaTop 12 tasks for security teams to support working from home

Central de Confiabilidade da MicrosoftMicrosoft Trust Center

Gerenciar configurações de reunião no Microsoft TeamsManage meeting settings in Microsoft Teams

Otimize a conectividade do Microsoft 365 ou do Office 365 para usuários remotos usando o tunelamento dividido da VPNOptimize Microsoft 365 or Office 365 connectivity for remote users using VPN split tunnelling