Комнаты Microsoft Teams БезопасностиMicrosoft Teams Rooms Security

Корпорация Майкрософт сотрудничает с нашими партнерами, чтобы обеспечить безопасное решение, которое не требует дополнительных действий для Комнаты Microsoft Teams.Microsoft works with our partners to deliver a solution that is secure and doesn't require additional actions to secure Microsoft Teams Rooms. В этой статье рассмотрены многие функции безопасности в Комнаты Teams.This article discusses many of the security features found in Teams Rooms.

Примечание

Комнаты Microsoft Teams не следует рассматривать как обычную рабочий станция для конечных пользователей.Microsoft Teams Rooms should not be treated like a typical end-user workstation. Не только случаи использования значительно отличаются, но и профили безопасности по умолчанию.Not only are the use cases vastly different, but the default security profiles are also much different. Эта статья относится к Комнаты Microsoft Teams устройствам, работающим на Windows.This article applies to Microsoft Teams Rooms devices running on Windows.

Ограниченные данные пользователя хранятся в Комнаты Teams.Limited end-user data is stored on Teams Rooms. Данные пользователя могут храниться в файлах журнала только для устранения неполадок и поддержки.End-user data may be stored in the log files for troubleshooting and support only. Участники собрания ни при каких Комнаты Teams могут копировать файлы на жесткий диск или вводить данные самостоятельно.At no point can an attendee of a meeting using Teams Rooms copy files to the hard drive or sign in as themselves. Данные конечных пользователей не передаются на устройство или доступны Комнаты Microsoft Teams.No end-user data is transferred to, or accessible by, the Microsoft Teams Rooms device.

Хотя конечные пользователи не могут поместить файлы на Комнаты Teams жесткий диск, Защитник Майкрософт по-прежнему включен.Even though end users can't put files on a Teams Rooms hard drive, Microsoft Defender is still enabled. Комнаты Teams проверка производительности с помощью Microsoft Defender.Teams Rooms performance is tested with Microsoft Defender. Отключение этого программного обеспечения или добавление программного обеспечения безопасности конечной точки может привести к непредсказуемым результатам и потенциальному ухудшению системы.Disabling this or adding endpoint security software can lead to unpredictable results and potential system degradation.

Безопасность оборудованияHardware security

В среде Комнаты Teams есть централизованный вычислительный модуль, который запускается Windows 10 IoT Корпоративная выпуске.In a Teams Rooms environment, there's a central compute module that runs Windows 10 IoT Enterprise edition. У каждого сертифицированного вычислительного модуля должно быть защищенное решение для подключения, разъем для блокировки системы безопасности (например, блокировка Кузнецова) и меры безопасности доступа к портам I/O для предотвращения подключения неавторизованных устройств.Every certified compute module must have a secure mounting solution, a security lock slot (for example, Kensington lock), and I/O port access security measures to prevent the connection of unauthorized devices. Вы также можете отключить определенные порты с помощью единой конфигурации extensible Firmware Interface (UEFI).You can also disable specific ports via Unified Extensible Firmware Interface (UEFI) configuration.

Каждый сертифицированный вычислительный модуль должен иметь технологию, которая соответствует доверенного модуля платформы (TPM) 2.0, включенной по умолчанию.Every certified compute module must ship with Trusted Platform Module (TPM) 2.0 compliant technology enabled by default. С помощью TPM можно зашифровать данные для учетной записи Комнаты Teams ресурса.TPM is used to encrypt the login information for the Teams Rooms resource account.

Безопасный загрузка включена по умолчанию.Secure boot is enabled by default. Безопасный загрузки — это стандарт безопасности, разработанный участниками отрасли компьютеров, чтобы обеспечить загрузку устройств с использованием только программного обеспечения, доверенного изготовителем исходного оборудования (OEM).Secure boot is a security standard developed by members of the PC industry to help make sure that a device boots using only software that is trusted by the Original Equipment Manufacturer (OEM). Когда компьютер запускается, программное обеспечение проверяет подпись каждого загружаемого программного обеспечения, включая драйверы UEFI (также известные как OPTION ROMs), приложения EFI и операционную систему.When the PC starts, the firmware checks the signature of each piece of boot software, including UEFI firmware drivers (also known as Option ROMs), EFI applications, and the operating system. Если подписи допустимы, валенки компьютера и программное обеспечение передает управление операционной системе.If the signatures are valid, the PC boots, and the firmware gives control to the operating system. Дополнительные сведения см. в этой теме.For more information, see Secure boot.

Доступ к настройкам UEFI можно получить только с помощью физической клавиатуры и мыши.Access to UEFI settings is only possible by attaching a physical keyboard and mouse. Это предотвращает доступ к UEFI с помощью Комнаты Teams сенсорной консоли, а также других дисплеев с поддержкой сенсорного управления, подключенных к Комнаты Teams.This prevents being able to access UEFI via the Teams Rooms touch-enabled console as well as any other touch-enabled displays attached to Teams Rooms.

Защита прямой памяти ядра (DMA) — это Windows 10, которая включена в Комнаты Teams.Kernel Direct Memory Access (DMA) Protection is a Windows 10 setting that is enabled on Teams Rooms. С помощью этой функции ОС и системное ПО защищают систему от вредоносных и нежелательных атак DMA на всех устройствах с возможностью DMA:With this feature, the OS and the system firmware protect the system against malicious and unintended DMA attacks for all DMA-capable devices:

  • Во время загрузки.During the boot process.

  • От вредоносных DMA устройств, подключенных к легкодоступным внутренним и внешним портам с возможностью DMA, таким как разъемы PCIe m.2 и Thunderbolt 3, во время работы ОС.Against malicious DMA by devices connected to easily accessible internal/external DMA-capable ports, such as M.2 PCIe slots and Thunderbolt 3, during OS runtime.

Комнаты Teams также обеспечивает целостность кода, защищенного гипервизором (HVCI).Teams Rooms also enables Hypervisor-protected code integrity (HVCI). Одна из функций HVCI — Credential Guard.One of the features provided by HVCI is Credential Guard. Credential Guard предоставляет следующие преимущества:Credential Guard provides the following benefits:

  • Безопасность оборудования В NTLM, Kerberos и диспетчере учетных данных для защиты учетных данных есть ряд функций безопасности платформы, включая Безопасная загрузка и виртуализация.Hardware security NTLM, Kerberos, and Credential Manager take advantage of platform security features, including Secure Boot and virtualization, to protect credentials.

  • Системы безопасности на основе Windows NTLM и Kerberos, основанные на виртуализации, работают в защищенной среде, изолированной от операционной системы.Virtualization-based security Windows NTLM and Kerberos derived credentials and other secrets run in a protected environment that is isolated from the running operating system.

  • Улучшение защиты от сложных сохраняемой угрозы Если учетные данные диспетчера учетных данных, NTLM и Kerberos защищены с помощью системы безопасности на основе виртуализации, методы и средства кражи учетных данных, используемые во многих целевых атаках, блокируются.Better protection against advanced persistent threats When Credential Manager domain credentials, NTLM, and Kerberos derived credentials are protected using virtualization-based security, the credential theft attack techniques and tools used in many targeted attacks are blocked. Вредоносные программы, работающие в операционной системе с административными привилегиями, не могут извлекать секрет, защищенный безопасностью на основе виртуализации.Malware running in the operating system with administrative privileges can't extract secrets that are protected by virtualization-based security.

Безопасность программного обеспеченияSoftware Security

После Windows microsoft Комнаты Teams автоматически включит в локальной учетной записи Windows с именем Skype.After Microsoft Windows boots, Teams Rooms automatically signs into a local Windows user account named Skype. У Skype нет пароля.The Skype account has no password. Чтобы защитить Skype учетной записи, сделайте следующее:To make the Skype account session secure, the following steps are taken.

Важно!

Не изменяйте пароль и не изменяйте локализованную учетную запись Skype пользователя.Don't change the password or edit the local Skype user account. Это может предотвратить Комнаты Teams автоматический вход.Doing so can prevent Teams Rooms from automatically signing in.

Приложение Комнаты Microsoft Teams с помощью функции "Назначено" в Windows 10 1903 и более поздних.The Microsoft Teams Rooms app runs using the Assigned Access feature found in Windows 10 1903 and later. Назначенная функция Access — это функция Windows 10, ограничивающая точки входа в приложения, которые доступны пользователю.Assigned Access is a feature in Windows 10 that limits the application entry points exposed to the user. В этом режиме можно использовать одно приложение.This is what enables single-app kiosk mode. С помощью shell Launcher Комнаты Teams настраивается в качестве киоска, которое запускает Windows в качестве пользовательского интерфейса.Using Shell Launcher, Teams Rooms is configured as a kiosk device that runs a Windows desktop application as the user interface. Приложение Комнаты Microsoft Teams заменяет стандартную оболочку (explorer.exe), которая обычно выполняется при входе пользователя.The Microsoft Teams Rooms app replaces the default shell (explorer.exe) that usually runs when a user logs on. Другими словами, традиционная оболочка проводника не запускаться.In other words, the traditional Explorer shell does not get launched at all. Это значительно снижает Комнаты Microsoft Teams уязвимости в Windows.This greatly reduces the Microsoft Teams Rooms vulnerability surface within Windows. Дополнительные сведения см. в теме Настройка киосков и цифровых знаков Windows классических версий.For more information, see Configure kiosks and digital signs on Windows desktop editions.

Если вы решите запустить проверку безопасности или тест в Центре безопасности Интернета (CIS) на сайте Комнаты Teams, сканирование может запускаться только в контексте учетной записи локального администратора, так как учетная запись пользователя Skype не поддерживает запущенные приложения, кроме Комнаты Teams.If you decide to run a security scan or a Center for Internet Security (CIS) benchmark on Teams Rooms, the scan can only run under the context of a local administrator account as the Skype user account doesn't support running applications other than the Teams Rooms app. Многие из функций безопасности, применяемых к контексту Skype, не применяются к другим локальным пользователям, поэтому при проверке безопасности не будет применена полная блокировка для учетной записи Skype безопасности.Many of the security features applied to the Skype user context don't apply to other local users and, as a result, these security scans won't surface the full security lockdown applied to the Skype account. Поэтому не рекомендуется запускать локализованную проверку на компьютере Комнаты Teams.Therefore, it is not recommended to run a local scan on Teams Rooms. Тем не менее при желании вы можете выполнить внешние тесты на внешние внешние проверки.However, you can run external penetration tests if so desired. В связи с этим мы рекомендуем вам вместо локальной проверки Комнаты Teams на внешних устройствах.Because of this, we recommend that you run external penetration tests against Teams Rooms devices instead of running local scans.

Кроме того, политики блокировки применяются для ограничения использования функций, не влиять на административные функции.Additionally, lock down policies are applied to limit non-administrative features from being used. Фильтр клавиатуры позволяет перехватывать и блокировать потенциально комбинации клавиатуры, не охватываемых политиками назначенного доступа.A keyboard filter is enabled to intercept and block potentially insecure keyboard combinations that aren't covered by Assigned Access policies. Только пользователи с правами администратора локального или домена могут встраиться в Windows для управления Комнаты Teams.Only users with local or domain administrative rights are permitted to sign into Windows to manage Teams Rooms. Эти и другие политики, применяемые Windows на Комнаты Microsoft Teams устройствах, постоянно проверяются и проверяются в течение жизненного цикла продукта.These and other policies applied to Windows on Microsoft Teams Rooms devices are continually assessed and tested during the product lifecycle.

Безопасность учетной записиAccount Security

Комнаты Teams включают учетную запись администратора с паролем по умолчанию.Teams Rooms devices include an administrative account named "Admin" with a default password. Мы настоятельно рекомендуем вам изменить пароль по умолчанию как можно скорее после завершения настройки.We strongly recommend that you change the default password as soon as possible after you complete setup.

Учетная запись администратора не требуется для правильной работы Комнаты Teams устройств и может быть переименована или даже удалена.The Admin account isn't required for proper operation of Teams Rooms devices and can be renamed or even deleted. Однако перед удалением учетной записи администратора необходимо настроить альтернативную учетную запись локального администратора, прежде чем удалять учетную запись, которая будет Комнаты Teams устройств.However, before you delete the Admin account, make sure that you set up an alternate local administrator account configured before removing the one that ships with Teams Rooms devices. Дополнительные сведения о том, как изменить пароль локальной учетной записи Windows с помощью встроенных средств Windows powerShell, см. в следующих следующих местах:For more information on how to change a password for a local Windows account using built-in Windows tools or PowerShell, see the following:

Вы также можете импортировать учетные записи домена в лок Windows администратора.You can also import domain accounts into the local Windows Administrator group. Это можно сделать для учетных записей Azure AD с помощью Intune.You can do this for Azure AD accounts by using Intune. Дополнительные сведения см. в группе CSP политики — RestrictedGroups.For more information, see Policy CSP – RestrictedGroups..

Внимание!

Если вы удалите или отключите учетную запись администратора, прежде чем предоставлять локальные разрешения администратора другой локальной или доменной учетной записи, вы можете потерять возможность администрирования Комнаты Teams устройстве.If you delete or disable the Admin account before granting local Administrator permissions to another local or domain account, you may lose the ability to administer the Teams Rooms device. В этом случае потребуется восстановить исходные параметры устройства и снова выполнить настройку.If this happens, you'll need to reset the device back to its original settings and complete the setup process again.

Не предоставлять локальные разрешения администратора для учетной записи Skype пользователя.Don't grant local Administrator permissions to the Skype user account.

Windows Конструктор конфигураций можно использовать для создания пакетов Windows 10 подготовка.Windows Configuration Designer can be used to create Windows 10 provisioning packages. Помимо изменения локального пароля администратора, вы также можете изменить имя компьютера и зарегистрироваться в Azure Active Directory.Along with changing the local Admin password, you can also do things like changing the machine name and enrolling into Azure Active Directory. Дополнительные сведения о создании пакета Windows configuration Designer см. в этой Windows 10.For more information on creating a Windows Configuration Designer provisioning package, see Provisioning packages for Windows 10.

Для этого необходимо создать учетную запись ресурса для каждого устройства Комнаты Teams, чтобы войти в Teams.You need to create a resource account for each Teams Rooms device so that it can sign into Teams. С этой учетной записью нельзя использовать двухфакторную или многофакторную проверку подлинности.You can't use two-factor or multi-factor authentication with this account. Если требуется второй фактор, учетная запись не сможет автоматически войти в приложение Комнаты Teams после перезагрузки.Requiring a second factor would prevent the account from being able to automatically sign into the Teams Rooms app after a reboot. Однако вы можете включить современную проверку подлинности для дополнительной защиты этой учетной записи.However, you can enable Modern Authentication for additional security for this account. Кроме того, для учетной записи ресурса можно развернуть политики условного доступа на основе расположения, чтобы предотвратить вход в учетную запись из неподтверченного расположения.In addition, location based Conditional Access policies can be deployed for the resource account to prevent signing into the account from an unapproved location. Дополнительные сведения см. в том, как использовать условие расположения в политике условного доступа.For more information, see Using the location condition in a Conditional Access policy

По возможности рекомендуется создать учетную запись ресурса в Azure AD.We recommend that you create the resource account in Azure AD, if possible. Хотя синхронизированная учетная запись может работать с Комнаты Teams в гибридных развертываниях, эти синхронизированные учетные записи часто имеют трудности со входом в Комнаты Teams и могут быть трудно устранить неполадки.While a synced account can work with Teams Rooms in hybrid deployments, these synced accounts often have difficulty signing into Teams Rooms and can be difficult to troubleshoot. Если для проверки подлинности учетных данных для учетной записи ресурса используется сторонная служба федерации, убедитесь, что сторонний IDP отвечает с атрибутом wsTrustResponse urn:oasis:names:tc:SAML:1.0:assertion .If you choose to use a third-party federation service to authenticate the credentials for the resource account, ensure the third-party IDP responds with the wsTrustResponse attribute set to urn:oasis:names:tc:SAML:1.0:assertion.

Безопасность сетиNetwork Security

Как правило, Комнаты Teams требования к сети те же, что и у Microsoft Teams клиента.Generally, Teams Rooms has the same network requirements as any Microsoft Teams client. Доступ через брандмауэры и другие устройства безопасности для Комнаты Teams так же, как и для других Microsoft Teams клиента.Access through firewalls and other security devices is the same for Teams Rooms as for any other Microsoft Teams client. Для Комнаты Teams категории, перечисленные как "необходимые" для Teams должны быть открыты в брандмауэре.Specific to Teams Rooms, the categories listed as "required" for Teams must be open on your firewall. Комнаты Teams также требуется доступ к Windows, Microsoft Store и Microsoft Intune (если вы Microsoft Intune управлять устройствами).Teams Rooms also needs access to Windows Update, Microsoft Store, and Microsoft Intune (if you use Microsoft Intune to manage your devices). Полный список url-адресов и url-адресов, необходимых для Комнаты Microsoft Teams, см. в этой Комнаты Microsoft Teams.For the full list of IPs and URLs required for Microsoft Teams Rooms, see:

Если вы используете компонент Комнаты Microsoft Teams управляемых служб Комнаты Microsoft Teams Premium, вам также необходимо убедиться, что Комнаты Teams может получить доступ к следующим URL-адресам:If you're using the Microsoft Teams Rooms managed services component of Microsoft Teams Rooms Premium, you also need to make sure that Teams Rooms can access the following URLs:

  • agent.rooms.microsoft.comagent.rooms.microsoft.com
  • global.azure-devices-provisioning.netglobal.azure-devices-provisioning.net
  • gj3ftstorage.blob.core.windows.netgj3ftstorage.blob.core.windows.net
  • iothubsgagwt5wgvwg6.azure-devices.netiothubsgagwt5wgvwg6.azure-devices.net
  • blobssgagwt5wgvwg6.blob.core.windows.netblobssgagwt5wgvwg6.blob.core.windows.net
  • mmrstgnoamiot.azure-devices.netmmrstgnoamiot.azure-devices.net
  • mmrstgnoamstor.blob.core.windows.netmmrstgnoamstor.blob.core.windows.net
  • mmrprodapaciot.azure-devices.netmmrprodapaciot.azure-devices.net
  • mmrprodapacstor.blob.core.windows.netmmrprodapacstor.blob.core.windows.net
  • mmrprodemeaiot.azure-devices.netmmrprodemeaiot.azure-devices.net
  • mmrprodemeastor.blob.core.windows.netmmrprodemeastor.blob.core.windows.net
  • mmrprodnoamiot.azure-devices.netmmrprodnoamiot.azure-devices.net
  • mmrprodnoamstor.blob.core.windows.netmmrprodnoamstor.blob.core.windows.net

Комнаты Teams настроено автоматическое обновление с учетом последних обновлений Windows, включая обновления для системы безопасности.Teams Rooms is configured to automatically keep itself patched with the latest Windows updates, including security updates. Комнаты Teams устанавливает все ожидающих обновления каждый день, начиная с 02:00, с помощью предварительной локальной политики.Teams Rooms installs any pending updates every day beginning at 2:00am using a pre-set local policy. Нет необходимости использовать дополнительные средства для развертывания и применения Windows обновлений.There is no need to use additional tools to deploy and apply Windows Updates. Использование дополнительных средств для развертывания и применения обновлений может задержать установку Windows обновлений, что ведет к менее безопасному развертыванию.Using additional tools to deploy and apply updates can delay the installation of Windows patches and thus lead to a less secure deployment. Приложение Комнаты Teams развертывается с помощью Microsoft Store.The Teams Rooms app is deployed using the Microsoft Store. Если ваши устройства имеют лицензию Комнаты Microsoft Teams Standard, все новые версии приложения устанавливаются автоматически во время ночного исправления.If your devices are licensed with Microsoft Teams Rooms Standard, any new versions of the app are automatically installed during the nightly patching process. Если ваши устройства имеют лицензию Комнаты Microsoft Teams Premium и зарегистрированы в управляемой службе Майкрософт, новые версии Комнаты Teams устанавливаются в установленном вами плане.If your devices are licensed with Microsoft Teams Rooms Premium and enrolled in the Microsoft Managed Service, new versions of the Teams Rooms app are installed per your defined rollout plan.

Комнаты Teams устройства работают с большинством протоколов безопасности 802.1X или другими сетевыми протоколами безопасности.Teams Rooms devices work with most 802.1X or other network-based security protocols. Однако мы не можем протестировать Комнаты Teams конфигурации безопасности сети.However, we're not able to test Teams Rooms against all possible network security configurations. Таким образом, если возникают проблемы с производительностью, которые могут быть отслеганы до проблем с производительностью сети, может потребоваться отключить эти протоколы, если они настроены в вашей организации.Therefore, if performance issues arise that can be traced to network performance issues, you may need to disable these protocols if they're configured in your organization.

Для оптимальной производительности мультимедиа в режиме реального времени настоятельно Teams трафик мультимедиа для обхода прокси-серверов и других сетевых устройств безопасности.For optimum performance of real time media, we strongly recommend that you configure Teams media traffic to bypass proxy servers and other network security devices. Мультимедиа в режиме реального времени очень чувствителен к задержкам, а прокси-серверы и сетевые устройства безопасности могут значительно ухудшить качество видео и звука пользователей.Real time media is very latency sensitive and proxy servers and network security devices can significantly degrade users' video and audio quality. Кроме того, поскольку Teams мультимедиа уже зашифрованы, передачу трафика через прокси-сервер не имеет никакого преимущества.Also, because Teams media is already encrypted, there's no tangible benefit from passing the traffic through a proxy server. Дополнительные сведения см. в подсети (в облаке). Один из архитекторов обсуждает рекомендации по повышению производительности мультимедиа с помощью Microsoft Teams и Комнаты Microsoft Teams.For more information, see Networking up (to the cloud) — One architect’s viewpoint which discusses network recommendations to improve the performance of media with Microsoft Teams and Microsoft Teams Rooms.

Важно!

Комнаты Teams не поддерживает прокси-серверы, поддерживаемые проверкой подлинности.Teams Rooms doesn't support authenticated proxy servers.

Комнаты Teams устройству не нужно подключаться к внутренней локальной сети.Teams Rooms devices don't need to connect to an internal LAN. Рассмотрите возможность Комнаты Teams в сегмент защищенной сети с прямым доступом к Интернету.Consider placing Teams Rooms in a secure network segment with direct Internet access. Если ваша внутренняя локальной сети будет скомпрометирована, вектор атак в направлении Комнаты Teams будет уменьшен.If your internal LAN becomes compromised, the attack vector opportunities towards Teams Rooms will be reduced.

Мы настоятельно рекомендуем подключать устройства Комнаты Teams к проводной сети.We strongly recommend that you connect your Teams Rooms devices to a wired network. Использование беспроводных сетей на Комнаты Teams устройствах не рекомендуется и не сертифицировано.The use of wireless networks on Teams Rooms devices isn't recommended or certified. Некоторые функции подключения, например Wi-Fi Sense, по умолчанию отключены.Some connectivity features, such as Wi-Fi Sense, are disabled by default.

Присоединиться к близости и другие Комнаты Teams, которые зависят от Bluetooth.Proximity Join and other Teams Rooms features rely on Bluetooth. Однако внедрение Bluetooth на Комнаты Teams устройствах не позволяет использовать подключение внешнего устройства к Комнаты Teams устройству.However, the Bluetooth implementation on Teams Rooms devices doesn't allow for an external device connection to a Teams Rooms device. Bluetooth технологией, которая используется на Комнаты Teams устройствах, в настоящее время ограничена рекламными маяками и запросами на подключение.Bluetooth technology use on Teams Rooms devices is currently limited to advertising beacons and prompted proximal connections. Тип ADV_NONCONN_INT данных протокола (PDU) используется в рекламного маяка.The ADV_NONCONN_INT protocol data unit (PDU) type is used in the advertising beacon. Этот тип PDU предназначен для устройств, не подключенных к подключению, для рекламы информации на прослушиваемом устройстве.This PDU type is for non-connectable devices advertising information to the listening device. В этих Bluetooth не существует никакого сопряжения устройств.There is no Bluetooth device pairing as part of these features. Дополнительные сведения о Bluetooth протоколов можно найти на веб-сайте Bluetooth SIG.Additional details on Bluetooth protocols can be found on the Bluetooth SIG website.