Сквозное шифрование для звонков Microsoft Teams (общедоступная предварительная версия)

Важно!

Чтобы улучшить взаимодействие с пользователями, в модель службы Teams и поддержку шифрования могут вноситься изменения. Например, служба регулярно рекомендует не использовать наборы шифров, которые больше не считаются безопасными. Любые изменения такого рода направлены на безопасность и обеспечиваемую дизайном защищенность Teams. Кроме того, шифруется весь контент клиента в центрах обработки данных Майкрософт. Сведения об уровнях шифрования в Microsoft 365 см. в статье о шифровании в Microsoft 365.

Сквозное шифрование (E2EE) происходит при шифровании содержимого перед его отправлением и расшифровывается только предполагаемым получателем. При сквозном шифровании только две системы конечных точек участвуют в шифровании и расшифровке данных вызова. Ни одна другая сторона, включая Майкрософт, не имеет доступа к расшифрованной беседе.

В этом выпуске общедоступной предварительной версии мы развертываем E2EE для незапланированных личных звонков. Сквозным способом шифруется только поток мультимедиа в режиме реального времени, то есть видео- и голосовые данные во время личных звонков в Teams. Обе стороны должны включить этот параметр, чтобы включить шифрование. Шифрование в Microsoft 365 защищает чат, обмен файлами, присутствие и другое содержимое во время звонка.

Если не включать шифрование, Teams обеспечивает защиту звонка или собрания с использованием шифрования на основе отраслевых стандартов. Обмен данными во время звонков всегда безопасен во время передачи и хранения. Дополнительные сведения см. в разделе Шифрование медиа в Teams.

Во время звонка со сквозным шифрованием Teams защищает следующие функции:

  • Звук

  • Видео

  • Демонстрация экрана

Во время звонка с использованием E2EE недоступны следующие расширенные функции:

  • автоматические субтитры и расшифровка;

  • передача вызовов;

  • слияние вызовов;

  • Парковка вызовов

  • консультация с перенаправлением;

  • звонок компаньону и перенаправление на другое устройство;

  • добавление участника;

  • Запись

Кроме того, если в вашей организации используется запись соответствия требованиям, сквозное шифрование не будет доступно. Дополнительные сведения о том, как Teams поддерживает запись соответствия требованиям, см. в статье Введение в запись на основе политики Teams для звонков и собраний.

Настройка сквозного шифрования для Microsoft Teams

Выполните эти задачи, чтобы пользователи могли совершать полностью зашифрованные звонки.

  • Включите сквозное шифрование для организации, создав одну или несколько политик, определяющих, кто может использовать шифрование. Перед началом работы убедитесь, что вашей рабочей или учебной учетной записи назначена роль администратора Teams или глобального администратора. Дополнительные сведения см. в статье Управление Microsoft Teams с помощью ролей администраторов. Когда вы будете готовы настроить E2EE, вы можете использовать Центр администрирования Teams или Microsoft PowerShell.

  • Включите вызовы со сквозным шифрованием в параметрах Teams на своем устройстве. Каждый пользователь должен это сделать, но только на одном устройстве. Teams синхронизирует этот параметр на поддерживаемых конечных точках для каждого пользователя. Инструкции см. в статье Использование сквозного шифрования для вызовов в Teams.

Настройка сквозного шифрования через Центр администрирования Teams

Глобальная политика по умолчанию для всей организации определяет, что сквозное шифрование отключено. Пользователи вашей организации автоматически получают глобальную политику, если вы не создали и не назначили настраиваемую политику. Чтобы включить стандартное шифрование, создайте политику шифрования или измените глобальную политику по умолчанию. Чтобы включить сквозное шифрование с помощью Teams администрирования, выполните указанные здесь действия.

  1. Используя рабочую или учебную учетную запись, которой назначена роль администратора Teams или глобального администратора, войдите в Центр администрирования Teams.

  2. Перейдите в Другие параметры > Расширенные политики шифрования.

  3. Выберите политику по умолчанию или выберите Добавить, чтобы добавить новую политику, и укажите ее имя.

  4. Чтобы включить сквозное шифрование для пользователей, для пункта Сквозное шифрование вызовов выберите Пользователи могут включить его, а затем выберите Сохранить.

    Чтобы отключить стандартное шифрование, выберите Отключить его для всех пользователей.

Завершив настройку политики, назначьте ее пользователям, группам или всему клиенту так же, как вы при назначении других политик Teams. Сведения об использовании политик в Teams см. в статьеУправление политиками Teams.

Настройка сквозного шифрования с помощью Microsoft PowerShell

Вы можете управлять политиками сквозного шифрования с помощью Microsoft PowerShell и Центра администрирования Teams. Несколько командлетов шифрования включены в модуль Teams PowerShell и задокументированы в справочнике по командлетам Microsoft Teams. В этой статье перечислены командлеты, которые вы можете использовать, и простые примеры конфигураций. В этих конфигурациях используется стандартная глобальная политика. Для организации может потребоваться более сложная конфигурация политики. Полные сведения об этих командлетах приведены в справочнике.

Командлеты сквозного шифрования PowerShell:

  • Get-CsTeamsEnhancedEncryptionPolicy возвращает сведения о политиках расширенного шифрования Teams в вашей организации.

  • Grant-CsTeamsEnhancedEncryptionPolicy назначает пользователю существующие расширенные политики шифрования и отменяет назначение. Используйте $NULL для отмены назначения всех политик пользователя.

  • New-CsTeamsEnhancedEncryptionPolicy создает новую политику расширенного шифрования Teams.

  • Remove-CsTeamsEnhancedEncryptionPolicy удаляет расширенную политику шифрования из вашей организации. Глобальную политику по умолчанию удалить нельзя.

  • Set-CsTeamsEnhancedEncryptionPolicy обновляет значения в существующей политике расширенного шифрования Teams.

Для настройки сквозного шифрования для вашей рабочей или учебной учетной записи требуется роль глобального администратора или администратора Teams.

Чтобы включить сквозное шифрование для всего клиента с помощью глобальной политики

По умолчанию сквозное шифрование отключено. Чтобы включить сквозное шифрование для всего клиента, настроив глобальную политику по умолчанию, выполните командлет Set-CsTeamsEnhancedEncryptionPolicy следующим образом.

Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride

Где:

  • Global означает, что вы устанавливаете эту конфигурацию в глобальной политике по умолчанию для всей организации.

  • DisabledUserOverrideозначает, что по умолчанию E2EE в Teams отключено, но пользователи могут переопределить его и включить E2EE в параметрах Teams.

Отключение сквозного шифрования для всего клиента с помощью глобальной политики

По умолчанию сквозное шифрование отключено. Если вы внесли изменения в глобальную политику, можно вернуть этот параметр, выполнив командлет Grant-CsTeamsEnhancedEncryptionPolicy. следующим образом.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType Disabled

Где:

  • Global означает, что вы устанавливаете эту конфигурацию в глобальной политике по умолчанию для всей организации.

  • Disabled означает, что вы отключаете E2EE для всех и пользователи не могут включить его в параметрах Teams.

Чтобы включить сквозное шифрование для одного пользователя

Чтобы включить для пользователя сквозное шифрование, выполните командлет Grant-CsTeamsEnhancedEncryptionPolicy. следующим образом.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "username" -PolicyName "policyname"

Где:

  • username — имя пользователя.

  • policyname — имя, которое вы хотите использовать для политики. Имена политик не могут содержать пробелы, например ContosoE2EEUserPolicy.

Пользователям по-прежнему необходимо включить сквозное шифрование вызовов в параметрах Teams, прежде чем они смогут совершить зашифрованный звонок. Инструкции см. в статье Использование сквозного шифрования для вызовов в Teams.

Например:

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName "ContosoE2EEUserPolicy"

Чтобы отменить политику шифрования для одного пользователя

За один раз пользователям может быть назначена только одна политика шифрования. После того как вы отмените политику для пользователя, пользователю будет назначена глобальная политика по умолчанию для всей организации. Политику по умолчанию нельзя отменить. Чтобы отменить политику шифрования для пользователя, выполните командлет Grant-CsTeamsEnhancedEncryptionPolicy. следующим образом.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName $NULL

Включение сквозного шифрования на устройстве

Инструкции см. в статье Использование сквозного шифрования для вызовов в Teams.

Основные 12 задач для отделов обеспечения безопасности при поддержке работы из дома

Управление параметрами собраний в Microsoft Teams