Безопасность и Microsoft TeamsSecurity and Microsoft Teams

Важно!

Чтобы улучшить взаимодействие с пользователями, в модель службы Teams могут вноситься изменения.The Teams service model is subject to change in order to improve customer experiences. Например, чтобы повысить устойчивость производительности и проверки подлинности для пользователей, использующих Teams, изменения могут коснуться доступа по умолчанию или обновления срока действия маркера.For example, the default access or refresh token expiration times may be subject to modification in order to improve performance and authentication resiliency for those using Teams. Любые изменения такого рода направлены на безопасность и обеспечиваемую дизайном защищенность Teams.Any such changes would be made with the goal of keeping Teams secure and Trustworthy by Design.

Microsoft Teams — это часть служб Microsoft 365 и Office 365, в которой соблюдаются все рекомендации и процедуры по обеспечению безопасности, такие как безопасность на уровне службы за счет всесторонней системы защиты, пользовательские инструменты управления в службе, укрепление безопасности и внедрение передового опыта работы.Microsoft Teams, as part of the Microsoft 365 and Office 365 services, follows all the security best practices and procedures such as service-level security through defense-in-depth, customer controls within the service, security hardening and operational best practices. Подробные сведения см. в Центре управления безопасностью (Майкрософт).For full details, please see the Microsoft Trust Center.

Защищенность, обеспечиваемая дизайномTrustworthy by Design

Приложение Teams предназначено и разработано в соответствии с жизненным циклом разработки защищенных информационных систем Майкрософт (SDL), описанным в разделе Жизненный цикл разработки защищенных приложений (Майкрософт).Teams is designed and developed in compliance with the Microsoft Trustworthy Computing Security Development Lifecycle (SDL), which is described at Microsoft Security Development Lifecycle (SDL). Первым этапом создания более безопасной системы объединенных коммуникаций была разработка моделей угроз и тестирование каждого компонента по мере проектирования.The first step in creating a more secure unified communications system was to design threat models and test each feature as it was designed. Различные улучшения, связанные с обеспечением безопасности, были включены в технологический процесс разработки исходного кода.Multiple security-related improvements were built into the coding process and practices. Переполнения буфера и другие угрозы безопасности обнаруживаются средствами разработки на этапе сборки, прежде чем код будет внесен в окончательную версию продукта.Build-time tools detect buffer overruns and other potential security threats before the code is checked in to the final product. Конечно, невозможно спроектировать защиту от всех неизвестных угроз безопасности.Of course, it is impossible to design against all unknown security threats. Ни одна система не может гарантировать полную безопасность.No system can guarantee complete security. Но поскольку в процесс разработки продуктов изначально заложены принципы безопасного проектирования, принятые в отрасли стандарты безопасности являются основополагающим компонентом архитектуры Teams.However, because product development embraced secure design principles from the start, Teams incorporates industry standard security technologies as a fundamental part of its architecture.

Защищенность по умолчаниюTrustworthy by Default

Сетевая связь в Teams зашифровывается по умолчанию.Network communications in Teams are encrypted by default. Благодаря требованию для всех серверов по использованию сертификатов и применению OAUTH, TLS, SRTP все данные Teams в сети защищены.By requiring all servers to use certificates and by using OAUTH, TLS, Secure Real-Time Transport Protocol (SRTP), all Teams data is protected on the network.

Как Teams обрабатывает общие угрозы безопасностиHow Teams Handles Common Security Threats

В этом разделе описываются распространенные угрозы безопасности службы Teams и как Майкрософт уменьшает риски каждой угрозы.This section identifies the more common threats to the security of the Teams Service and how Microsoft mitigates each threat.

Атака с использованием скомпрометированного ключаCompromised-Key Attack

Teams использует функции инфраструктуры открытых ключей операционной системы Windows Server для защиты ключей, применяемых при шифровании данных, передаваемых по подключениям TLS.Teams uses the PKI features in the Windows Server operating system to protect the key data used for encryption for the Transport Layer Security (TLS) connections. Ключи, используемые для шифрования, передаются по подключениям TLS.The keys used for media encryptions are exchanged over TLS connections.

Атака на сеть типа "отказ в обслуживании"Network Denial-of-Service Attack

Атака типа "отказ в обслуживании" осуществляются, когда злоумышленник препятствует нормальной работе сети и ее использованию проверенными пользователями.The denial-of-service attack occurs when the attacker prevents normal network use and function by valid users. С помощью атаки типа "отказ в обслуживании" злоумышленник может выполнять следующее:By using a denial-of-service attack, the attacker can:

  • Отправка недействительных данных приложениям и службам, работающим в атакуемой сети, для нарушения их нормальной работы.Send invalid data to applications and services running in the attacked network to disrupt their normal function.
  • Отправка больших объемов трафика, перегружающего систему, пока она не прекратит реагировать на нормальные запросы либо время реакции не замедлится.Send a large amount of traffic, overloading the system until it stops responding or responds slowly to legitimate requests.
  • Сокрытие следов атаки.Hide the evidence of the attacks.
  • Нарушение доступа пользователей к ресурсам сети.Prevent users from accessing network resources. Teams уменьшает риски этих атак, запуская защиту сети Azure DDOS и регулируя запросы клиентов с одних и тех же конечных точек, подсетей и федеративных объектов.Teams mitigates against these attacks by running Azure DDOS network protection and by throttling client requests from the same endpoints, subnets, and federated entities.

ПрослушиваниеEavesdropping

Прослушивание осуществляется, когда злоумышленнику удается получить доступ к каналам передачи данных в сети с возможностью контролировать и просматривать трафик. Такой тип атаки также называется сканированием или слежением. Если трафик передается в виде обычного текста, злоумышленник может прочитать его, получив доступ к каналу обмена данными. Примером такой атаки является контроль маршрутизатора в составе такого канала.Eavesdropping can occur when an attacker gains access to the data path in a network and has the ability to monitor and read the traffic. This is also called sniffing or snooping. If the traffic is in plain text, the attacker can read the traffic when the attacker gains access to the path. An example is an attack performed by controlling a router on the data path.

Teams использует протокол TLS (MTLS) для серверной связи в пределах Microsoft 365 и Office 365, а также использует TLS от клиентов к службе, что делает осуществление этой атаки практически невозможным в период времени, в течение которого данное взаимодействие может быть атаковано.Teams uses mutual TLS (MTLS) for server communications within Microsoft 365 and Office 365, and also uses TLS from clients to the service, rendering this attack very difficult or impossible to achieve within the time period in which a given conversation could be attacked. TLS проверяет подлинность всех участников и шифрует весь трафик.TLS authenticates all parties and encrypts all traffic. Это не защищает от прослушивания, однако злоумышленнику не удастся прочитать передаваемые данные, если только он не взломает систему шифрования.This does not prevent eavesdropping, but the attacker cannot read the traffic unless the encryption is broken.

Протокол TURN используется для целей мультимедиа в реальном времени.The TURN protocol is used for real time media purposes. Протокол TURN не требует шифрования трафика, и отправляемая с его использованием информация защищается посредством контроля целостности сообщений.The TURN protocol does not mandate the traffic to be encrypted and the information that it is sending is protected by message integrity. Хотя этот протокол открыт для прослушивания, передаваемые по нему данные (IP-адреса и порт) можно получить непосредственно путем простого анализа исходного и конечного адресов пакета.Although it is open to eavesdropping, the information it is sending (that is, IP addresses and port) can be extracted directly by simply looking at the source and destination addresses of the packets. Служба Teams проверяет действительность информации посредством контроля целостности сообщений с помощью ключа, основанного на нескольких элементах, включая пароль TURN, который никогда не передается в виде простого текста.The Teams service ensures that the data is valid by checking the Message Integrity of the message using the key derived from a few items including a TURN password, which is never sent in clear text. SRTP используется для медиа-трафика и также зашифрован.SRTP is used for media traffic and is also encrypted.

Подделка удостоверения (спуфинг IP-адреса)Identity Spoofing (IP Address Spoofing)

Спуфинг происходит, когда злоумышленнику удается несанкционированно определить IP-адрес сети, компьютера или элемента сети.Spoofing occurs when the attacker determines and uses an IP address of a network, computer, or network component without being authorized to do so. Успешная атака позволяет злоумышленнику действовать от имени обычного участника, определенного по IP-адресу.A successful attack allows the attacker to operate as if the attacker is the entity normally identified by the IP address.

TLS проверяет подлинность всех участников и шифрует весь трафик.TLS authenticates all parties and encrypts all traffic. Использование протокола TLS не позволяет злоумышленнику выполнить спуфинг IP-адреса в определенных подключениях (например, в подключениях Mutual TLS).Using TLS prevents an attacker from performing IP address spoofing on a specific connection (for example, mutual TLS connections). Злоумышленник все же может подделать адрес DNS-сервера.An attacker could still spoof the address of the DNS server. Но поскольку проверка подлинности в Teams основана на сертификатах, у злоумышленника не будет действительного сертификата, необходимого для спуфинга одного из участников обмена данными.However, because authentication in Teams is performed with certificates, an attacker would not have a valid certificate required to spoof one of the parties in the communication.

Атака типа "злоумышленник в середине"Man-in-the-Middle Attack

Атака типа "злоумышленник в середине" происходит, когда злоумышленнику удается перенаправить данные, которыми обмениваются два пользователя, через свой компьютер без ведома этих пользователей.A man-in-the-middle attack occurs when an attacker reroutes communication between two users through the attacker's computer without the knowledge of the two communicating users. В результате злоумышленник получает возможность контролировать и просматривать трафик перед его отправкой предполагаемому получателю.The attacker can monitor and read the traffic before sending it on to the intended recipient. Каждый из участников обмена данными на самом деле обменивается трафиком со злоумышленником, думая при этом, что информация передается второму пользователю.Each user in the communication unknowingly sends traffic to and receives traffic from the attacker, all while thinking they are communicating only with the intended user. Такая ситуация может возникнуть, если злоумышленнику удается внести изменения в доменные службы Active Directory и добавить свой сервер в качестве доверенного либо изменить систему доменных имен (DNS) таким образом, чтобы клиенты подключались к серверу через компьютер злоумышленника.This can happen if an attacker can modify Active Directory Domain Services to add his or her server as a trusted server or modify Domain Name System (DNS) to get clients to connect through the attacker on their way to the server.

Атаки «посередине» по трафику мультимедиа между двумя конечными точками, участвующими в обмене аудио, видео и приложениями Teams, предотвращаются с помощью SRTP для шифрования медиапотока.Man-in-the-middle attacks on media traffic between two endpoints participating in Teams audio, video, and application sharing, is prevented by using SRTP to encrypt the media stream. Криптографические ключи согласовываются между двумя конечными точками по собственному протоколу сигнализации (протокол сигнализации вызовов Teams), который использует зашифрованный канал UDP / TCP TLS 1.2 и AES-256 (в режиме GCM).Cryptographic keys are negotiated between the two endpoints over a proprietary signaling protocol (Teams Call Signaling protocol) which leverages TLS 1.2 and AES-256 (in GCM mode) encrypted UDP / TCP channel.

Атака с повторением RTPRTP Replay Attack

Атака с повторением осуществляется, когда действительная передача мультимедиа между двумя участниками перехватывается и повторно передается со злонамеренными целями.A replay attack occurs when a valid media transmission between two parties is intercepted and retransmitted for malicious purposes. Teams использует протокол SRTP в сочетании с протоколом безопасного обмена сигналами, защищающим передаваемые данные от атак с повторением, позволяя получателю вести учет уже полученных пакетов RTP и сравнивать каждый новый пакет с уже имеющимися в списке.Teams uses SRTP in conjunction with a secure signaling protocol that protects transmissions from replay attacks by enabling the receiver to maintain an index of already received RTP packets and compare each new packet with those already listed in the index.

Нежелательные мгновенные сообщенияSpim

Нежелательные мгновенные сообщения — это нежелательные рекламные сообщения или запросы подписки на сведения присутствии, такие как спам, но в форме мгновенных сообщений.Spim is unsolicited commercial instant messages or presence subscription requests, like spam, but in instant message form. Хотя такие сообщения сами по себе не нарушают безопасность сети, они как минимум раздражают пользователей, ухудшают их доступность и производительность и в перспективе могут привести к нарушению сетевой безопасности.While not by itself a compromise of the network, it is annoying in the least, can reduce resource availability and production, and can possibly lead to a compromise of the network. Примером является отправка пользователями нежелательных запросов друг другу.An example of this is users spimming each other by sending requests. Чтобы избавиться от таких запросов, пользователи могут блокировать друг друга, однако защититься от скоординированной атаки нежелательными мгновенными сообщениями в федеративной среде сложно без отключения федерации партнера.Users can block each other to prevent this, but with federation, if a coordinated spim attack is established, this can be difficult to overcome unless you disable federation for the partner.

Вирусы и червиViruses and Worms

Вирус — это часть кода, предназначенная для воспроизведения дополнительных похожих фрагментов кода.A virus is a unit of code whose purpose is to reproduce additional, similar code units. Для работы вирусу требуется носитель, например файл, электронная почта или программа.To work, a virus needs a host, such as a file, email, or program. Подобно вирусу, вирус-червь представляет собой единицу кода, которая кодируется для воспроизведения дополнительных похожих единиц кода, но в отличие от вируса не требуется основного приложения.Like a virus, a worm is a unit of code that is coded to reproduce additional, similar code units, but that unlike a virus does not need a host. Вирусы и черви в основном появляются при обмене файлами между клиентами, а также при получении URL-адресов от других пользователей.Viruses and worms primarily show up during file transfers between clients or when URLs are sent from other users. Если вирус находится на компьютере, он может, например, использовать идентификационные данные хозяина для отправки мгновенных сообщений от его имени.If a virus is on your computer, it can, for example, use your identity and send instant messages on your behalf. Стандартные рекомендации по безопасности клиентов, такие как периодическое сканирование вирусов, могут уменьшить эту проблему.Standard client security best practices such as periodically scanning for viruses can mitigate this issue.

Платформа безопасности для TeamsSecurity Framework for Teams

В этом разделе представлен обзор основных элементов, формирующих платформу безопасности для Microsoft Teams.This section gives an overview of fundamental elements that form a security framework for Microsoft Teams.

Основные элементы:Core elements are:

  • Служба Azure Active Directory (Azure AD), предоставляющая единый надежный серверный репозиторий для пользовательских учетных записей.Azure Active Directory (Azure AD), which provides a single trusted back-end repository for user accounts. Сведения о профиле пользователя сохраняются в Azure AD с помощью действий Microsoft Graph.User profile information is stored in Azure AD through the actions of Microsoft Graph.
    • Учитывайте, что может быть выпущено несколько маркеров, которые можно увидеть при трассировке сетевого трафика.Be advised that there may be multiple tokens issued which you may see if tracing your network traffic. К ним относятся маркеры Skype, которые можно увидеть в трассировках при просмотре трафика чатов и голосовой связи.This includes Skype tokens you might see in traces while looking at chat and audio traffic.
  • Протоколы TLS и Mutual TLS (MTLS), шифрующие трафик обмена мгновенными сообщениями и поддерживающие проверку подлинности конечной точки.Transport Layer Security (TLS), and mutual TLS (MTLS) which encrypt instant message traffic and enable endpoint authentication. Потоки одноранговых сеансов обмена аудио- и видеоданными и общего доступа к приложениям шифруются и проверяются на целостность с использованием протокола SRTP.Point-to-point audio, video, and application sharing streams are encrypted and integrity checked using Secure Real-Time Transport Protocol (SRTP). Кроме того, вы можете увидеть трафик OAuth в своей трассировке, в частности, связанный с согласованием разрешений при переключении между вкладками в Teams, например для перемещения из вкладки "Публикации" в "Файлы".You may also see OAuth traffic in your trace, particularly around negotiating permissions while switching between tabs in Teams, for example to move from Posts to Files. Пример потока OAuth для вкладок см. в этом документе.For an example of the OAuth flow for tabs, please see this document.
  • Teams по возможности использует отраслевые протоколы для проверки подлинности пользователей.Teams uses industry-standard protocols for user authentication, wherever possible.

В следующих разделах описаны некоторые из этих основных технологий.The next sections discuss some of these core technologies.

Azure Active DirectoryAzure Active Directory

Azure Active Directory функционирует как служба каталогов для Microsoft 365 и Office 365.Azure Active Directory functions as the directory service for Microsoft 365 and Office 365. В ней хранятся все сведения каталога пользователей и назначения политик.It stores all user directory information and policy assignments.

Точки распространения CRLCRL Distribution Points

Трафик Microsoft 365 и Office 365 передается через каналы, зашифрованные с помощью протоколов TLS/HTTPS. Это означает, что сертификаты используются для шифрования всего трафика.Microsoft 365 and Office 365 traffic takes place over TLS/HTTPS encrypted channels, meaning that certificates are used for encryption of all traffic. Для Teams требуется, чтобы все сертификаты серверов содержали одну или несколько точек распространения списка отзыва сертификатов (CRL).Teams requires all server certificates to contain one or more Certificate Revocation List (CRL) distribution points. Точки распространения списка отзыва сертификатов (CDP) представляют собой местоположения, из которых можно загрузить CRL для проверки того, что сертификат не был отозван с момента выдачи и его срок действия не истек.CRL distribution points (CDPs) are locations from which CRLs can be downloaded for purposes of verifying that the certificate has not been revoked since the time it was issued and the certificate is still within the validity period. Точка распространения списка отзыва сертификатов CRL указывается в свойствах сертификата в виде URL-адреса и является безопасным протоколом HTTP.A CRL distribution point is noted in the properties of the certificate as a URL and is secure HTTP. Служба Teams проверяет CRL с каждой проверкой подлинности сервера сертификата.The Teams service checks CRL with every certificate authentication.

Расширенное использование ключаEnhanced Key Usage

Все компоненты службы Teams требуют, чтобы все сертификаты сервера поддерживали расширенное использование ключа (EKU) для проверки подлинности сервера.All components of the Teams service require all server certificates to support Enhanced Key Usage (EKU) for the purpose of server authentication. Настройка поля EKU для проверки подлинности сервера означает, что сертификат действителен для проверки подлинности сервера.Configuring the EKU field for server authentication means that the certificate is valid for the purpose of authenticating servers. Использование EKU важно для MTLS.This EKU is essential for MTLS.

TLS и MTLS для TeamsTLS and MTLS for Teams

Протоколы TLS и MTLS обеспечивают зашифрованный обмен данными и проверку подлинности конечной точки в Интернете.TLS and MTLS protocols provide encrypted communications and endpoint authentication on the Internet. Teams использует эти два протокола для создания сети доверенных серверов и обеспечения шифрования всех сеансов обмена данными в сети.Teams uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Весь обмен данными между серверами происходит по протоколу MTLS.All communications between servers occur over MTLS. Любые оставшиеся или устаревшие обмены данными SIP от клиента к серверу выполняются по протоколу TLS.Any remaining or legacy SIP communications from client to server occur over TLS.

Протокол TLS позволяет пользователям посредством их клиентского ПО выполнять проверку подлинности серверов Teams, к которым они подключаются.TLS enables users, through their client software, to authenticate the Teams servers to which they connect. При подключении по протоколу TLS клиент запрашивает действительный сертификат у сервера.On a TLS connection, the client requests a valid certificate from the server. Чтобы сертификат был действительным, он должен быть выдан центром сертификации (ЦС), который также является доверенным объектом клиента, а имя DNS сервера должно соответствовать имени DNS сертификата.To be valid, the certificate must have been issued by a Certificate Authority (CA) that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Если сертификат действительный, клиент использует открытый ключ в сертификате для шифрования симметричных ключей шифрования, которые будут использоваться для обмена данными, поэтому только исходный владелец сертификата может использовать закрытый ключ для шифрования содержимого сеанса обмена данными.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. Результатом является доверенное подключение, которое после этого уже не проверяется другими доверенными серверами или клиентами.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients.

Соединения между серверами основаны на протоколе Mutual TLS (MTLS) для взаимной проверки подлинности.Server-to-server connections rely on mutual TLS (MTLS) for mutual authentication. В подключениях по протоколу MTLS создавший сообщение сервер и сервер, который получает его, обмениваются сертификатами из ЦС со взаимным доверием.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. Сертификаты подтверждают идентичность каждого из серверов с другим.The certificates prove the identity of each server to the other. В службе Teams выполняется следующая процедура.In the Teams service, this procedure is followed.

TLS и MTLS помогают предотвратить прослушивание и атаки типа "злоумышленник в середине".TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. В атаке "злоумышленник в середине" злоумышленник перенаправляет связь между двумя сетевыми объектами через свой компьютер без ведома любой из сторон.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. Спецификация доверенных серверов TLS и Teams снижает риск атаки злоумышленника частично на прикладном уровне с помощью шифрования, которое координируется с использованием криптографии с открытым ключом между двумя конечными точками.TLS and Teams' specification of trusted servers mitigate the risk of a man-in-the middle attack partially on the application layer by using encryption that is coordinated using the Public Key cryptography between the two endpoints. Злоумышленник должен иметь действительный и доверенный сертификат с соответствующим закрытым ключом и выданный на имя службы, с которой клиент связывается для расшифровки связи.An attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication.

Примечание

Данные Teams шифруются при передаче и хранении в центрах обработки данных Майкрософт.Teams data is encrypted in transit and at rest in Microsoft datacenters. Корпорация Майкрософт использует такие стандартные отраслевые технологии, как TLS и SRTP, для шифрования всех данных в пути между устройствами пользователей и центрами обработки данных Майкрософт, а также между центрами обработки данных Майкрософт.Microsoft uses industry standard technologies such as TLS and SRTP to encrypt all data in transit between users' devices and Microsoft datacenters, and between Microsoft datacenters. Сюда входят сообщения, файлы, собрания и другой контент.This includes messages, files, meetings, and other content. Данные предприятия также шифруются при хранении в центрах обработки данных корпорации Майкрософт, при этом организации могут в случае необходимости расшифровать контент, чтобы исполнять свои обязательства в отношении безопасности и соответствия, такие как eDiscovery.Enterprise data is also encrypted at rest in Microsoft datacenters, in a way that allows organizations to decrypt content if needed, to meet their security and compliance obligations, such as eDiscovery.

Шифрование для TeamsEncryption for Teams

Teams использует TLS и MTLS для шифрования мгновенных сообщений.Teams uses TLS and MTLS to encrypt instant messages. Весь межсерверный трафик требует использования MTLS независимо от того, ограничен ли трафик внутренней сетью или пересекает периметр внутренней сети.All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network perimeter.

В этой таблице перечислены протоколы, используемые в Teams.This table summarizes the protocols used by Teams.

*Шифрование трафика _*Traffic Encryption _

_ Тип трафика*_ Traffic type* Способ шифрованияEncrypted by
Сервер-серверServer-to-server MTLSMTLS
Клиент-сервер (например,Client-to-server (ex. мгновенные сообщения и присутствие)instant messaging and presence) TLSTLS
Потоки мультимедиа (например,Media flows (ex. общий доступ к аудио и видео файлов мультимедиа)audio and video sharing of media) TLSTLS
Общий доступ к аудио и видео файлов мультимедиаAudio and video sharing of media SRTP/TLSSRTP/TLS
Передача сигналовSignaling TLSTLS

Шифрование мультимедиаMedia Encryption

Трафик мультимедиа шифруется по протоколу SRTP, профилю протокола RTP, который обеспечивает конфиденциальность, проверку подлинности и защиту от атак с повторением пакетов для трафика RTP.Media traffic is encrypted using Secure RTP (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. SRTP использует ключ сеанса, сгенерированный с использованием защищенного генератора случайных чисел и обмениваемый с использованием канала TLS сигнализации.SRTP uses a session key generated by using a secure random number generator and exchanged using the signaling TLS channel. Трафик мультимедиа между клиентами согласовывается с помощью сигнала о подключении клиента к серверу, но шифруется по протоколу SRTP при прохождении непосредственно между клиентами.Client to Client media traffic is negotiated through a Client to Server connection signaling, but is encrypted using SRTP when going direct Client to Client.

Teams использует маркер на основе учетных данных для безопасного доступа к ретрансляторам мультимедиа по протоколу TURN.Teams uses a credentials-based token for secure access to media relays over TURN. Ретрансляторы обмениваются маркером по каналу, защищенному протоколом TLS.Media relays exchange the token over a TLS-secured channel.

FIPSFIPS

Teams использует алгоритмы FIPS (Federal Information Processing Standard) для обмена ключами шифрования.Teams uses FIPS (Federal Information Processing Standard) compliant algorithms for encryption key exchanges. Дополнительные сведения о реализации FIPS см. в Публикации 140-2 Федерального стандарта обработки безопасности (FIPS) .For more information on the implementation of FIPS, please see Federal Information Processing Standard (FIPS) Publication 140-2.

Проверка подлинности пользователей и клиентовUser and Client Authentication

Доверенным пользователем является лицо, чьи учетные данные были проверены на подлинность службой Azure AD в Microsoft 365 или Office 365.A trusted user is one whose credentials have been authenticated by Azure AD in Microsoft 365 or Office 365.

Проверка подлинности представляет собой предоставление учетных данных пользователя доверенному серверу или службе.Authentication is the provision of user credentials to a trusted server or service. Teams использует следующие протоколы проверки подлинности в зависимости от состояния и местоположения пользователя.Teams uses the following authentication protocols, depending on the status and location of the user.

  • Современная проверка подлинности (MA) является реализацией Майкрософт протокола OAUTH 2.0 для взаимодействия клиента с сервером.Modern Authentication (MA) is the Microsoft implementation of OAUTH 2.0 for client to server communication. Она включает функции безопасности, такие как многофакторная проверка подлинности и условный доступ.It enables security features such as Multi-Factor Authentication and Conditional Access. Чтобы использовать MA, сетевой клиент и клиенты должны поддерживать MA.In order to use MA, both the online tenant and the clients need to be enabled for MA. Клиенты Teams на компьютерах и мобильных устройствах, а также веб-клиент поддерживают MA.The Teams clients across PC and mobile, as well as the web client, all support MA.

Примечание

Если вам нужно освежить знания о методах проверки подлинности и авторизации Azure AD, вам помогут разделы введения и "Основы проверки подлинности в Azure AD" этой статьи.If you need to brush up on Azure AD authentication and authorization methods, this article's Introduction and 'Authentication basics in Azure AD' sections will help.

Проверка подлинности Teams выполняется с помощью Azure AD и OAuth.Teams authentication is accomplished through Azure AD and OAuth. Упрощенное представление процесса проверки подлинности:The process of authentication can be simplified to:

  • Вход пользователя > выпуск маркера > последующий запрос с использованием выпущенного маркера.User Login > Token issuance > subsequent request use issued token.

Запросы от клиента к серверу проверяются на подлинность и авторизуются в Azure AD с помощью OAuth.Requests from client to server are authenticated and authorized via Azure AD with the use of OAuth. Пользователи с действительными учетными данными, предоставленными федеративным партнером, являются доверенными и подвергаются тому же процессу, что и собственные пользователи.Users with valid credentials issued by a federated partner are trusted and pass through the same process as native users. Однако администраторы могут ввести дополнительные ограничения.However, further restrictions can be put into place by administrators.

Для проверки подлинности файлов мультимедиа протоколы ICE и TURN также используют требование Digest, описанное в документе IETF TURN RFC.For media authentication, the ICE and TURN protocols also use the Digest challenge as described in the IETF TURN RFC.

Средства управления Windows PowerShell и TeamsWindows PowerShell and Team Management Tools

В Teams ИТ-администраторы могут управлять службой с помощью Центра администрирования Microsoft 365 или с помощью Tenant Remote PowerShell (TRPS).In Teams, IT Admins can manage their service via the Microsoft 365 admin center or by using Tenant Remote PowerShell (TRPS). Для проверки подлинности в TRPS администраторы клиента используют современную проверку подлинности.Tenant admins use Modern Authentication to authenticate to TRPS.

Настройка доступа к Teams на границе с ИнтернетомConfiguring Access to Teams at your Internet Boundary

Для правильной работы Teams (чтобы пользователи могли присоединяться к собраниям и т. д.) клиентам необходимо настроить доступ к Интернету таким образом, чтобы был разрешен исходящий трафик UDP и TCP к службам в облаке Teams.For Teams to function properly (for users to be able to join meetings etc.), customers need to configure their internet access such that outbound UDP and TCP traffic to services in the Teams cloud is allowed. Дополнительные сведения см. в статье URL-адреса и диапазоны IP-адресов Office 365.For more details, see here: Office 365 URLs and IP address ranges.

UDP 3478-3481 и TCP 443UDP 3478-3481 and TCP 443

Порты UDP 3478-3481 и TCP 443 используются клиентами для запроса службы для аудиовизуальных материалов.The UDP 3478-3481 and TCP 443 ports are used by clients to request service for audio visuals. Клиент использует эти два порта для распределения портов UDP и TCP соответственно для разрешения этих потоков мультимедиа.A client uses these two ports to allocate UDP and TCP ports respectively to enable these media flows. Потоки мультимедиа в этих портах защищены с помощью ключа, который передается по каналу передачи сигнала, защищенному протоколом TLS.The media flows on these ports are protected with a key that is exchanged over a TLS protected signaling channel.

Федеративные меры защиты для TeamsFederation Safeguards for Teams

Федерация предоставляет для вашей организации возможность взаимодействовать с другими организациями, чтобы обмениваться мгновенными сообщениями и присутствием.Federation provides your organization with the ability to communicate with other organizations to share IM and presence. В Teams федерация включена по умолчанию.In Teams federation is on by default. Однако администраторы клиента могут управлять этим параметром с помощью Центра администрирования Microsoft 365.However, tenant admins have the ability to control this via the Microsoft 365 admin center.

Устранение угроз для собраний TeamsAddressing Threats to Teams Meetings

Существует два способа управления теми, кто присоединяется к собраниям Teams и кому предоставляется доступ к демонстрируемым сведениям.There are two options to control who arrives in Teams meetings and who will have access to the information you present.

  1. Вы можете управлять теми, кто присоединяется к собраниям с помощью параметров зала ожидания.You can control who joins your meetings through settings for the lobby.

    Параметры настройки «Кто может обойти лобби» доступны на странице «Параметры собрания»"Who can bypass the lobby" setting options available in Meeting options page Типы пользователей, присоединяющиеся к собранию напрямуюUser types joining the meeting directly Типы пользователей, идущие в лоббиUser types going to the lobby
    Люди в моей организацииPeople in my organization -В клиентах- In-tenant
    — Гость клиента- Guest of tenant
    - Федеративный- Federated
    - Аноним- Anonymous
    - коммутируемый PSTN- PSTN dial-in
    Люди в моей организации и доверенные организацииPeople in my organization and trusted organizations -В клиентах- In-tenant
    — Гость клиента- Guest of tenant
    - Федеративный- Federated
    - Аноним- Anonymous
    - коммутируемый PSTN- PSTN dial-in
    ВсеEveryone -В клиентах- In-tenant
    — Гость клиента- Guest of tenant
    — Федеративная анонимная- Federated Anonymous
    - коммутируемый PSTN- PSTN dial-in
  2. Второй способ заключается в использовании структурированных собраний (в которых докладчики могут выполнять практически любые нужные действия, а участникам доступен управляемый интерфейс).The second way is through structured meetings (where Presenters can do about anything that should be done, and attendees have a controlled experience). После присоединения к структурированному собранию докладчики управляют возможностями участников в собрании.After joining a structured meeting, presenters control what attendees can do in the meeting.

    ДействияActions ДокладчикиPresenters УчастникиAttendees
    Возможность говорить и демонстрация своего видеоSpeak and share their video ДаY ДаY
    Участие в чате собранияParticipate in meeting chat ДаY ДаY
    Изменение настроек в параметрах собранияChange settings in meeting options ДаY НетN
    Отключение звука других участниковMute other participants ДаY НетN
    Удаление других участниковRemove other participants ДаY НетN
    Демонстрация контентаShare content ДаY НетN
    Допуск других участников из зала ожиданияAdmit other participants from the lobby ДаY НетN
    Назначение другим пользователям ролей докладчика или участникаMake other participants presenters or attendees ДаY НетN
    Начало и остановка записиStart or stop recording ДаY НетN
    Управление при демонстрации другим участником документа PowerPointTake control when another participant shares a PowerPoint ДаY НетN

Teams предоставляет возможность корпоративным пользователям создавать собрания и присоединяться к ним в режиме реального времени.Teams provides the capability for enterprise users to create and join real-time meetings. Корпоративные пользователи могут также приглашать внешних пользователей, у которых нет учетной записи Azure AD, Microsoft 365 или Office 365, для участия в этих собраниях.Enterprise users can also invite external users who do not have an Azure AD, Microsoft 365, or Office 365 account to participate in these meetings. Пользователи, являющиеся сотрудниками внешних партнеров с надежным и прошедшим проверку подлинности удостоверением, также могут участвовать в собраниях и выступать в качестве докладчиков (при присвоении им этой роли).Users who are employed by external partners with a secure and authenticated identity can also join meetings and, if promoted to do so, can act as presenters. Анонимные пользователи не могут создавать собрания или присоединяться к ним в качестве докладчиков, но им можно присвоить роль докладчика после присоединения.Anonymous users cannot create or join a meeting as a presenter, but they can be promoted to presenter after they join.

Чтобы анонимные пользователи смогли присоединяться к собраниям Teams, в Центре администрирования Teams должен быть включен параметр участников собраний.For Anonymous users to be able to join Teams meetings, the Participants meetings setting in the Teams Admin Center must be toggled on.

Примечание

Термин анонимные пользователи относится к пользователям, не прошедшим проверку подлинности в клиенте организации.The term anonymous users means users that are not authenticated to the organizations tenant. В этом контексте все внешние пользователи считаются анонимными.In this context all external users are considered anonymous. К пользователям, прошедшим проверку подлинности, относятся пользователи клиента и гостевые пользователи клиента.Authenticated users include tenant users and Guest users of the tenant.

Разрешение внешним пользователям участвовать в собраниях Teams может быть очень удобным, но этому сопутствуют некоторые риски безопасности.Enabling external users to participate in Teams meetings can be very useful, but entails some security risks. Чтобы устранить эти риски, Teams использует следующие дополнительные меры защиты:To address these risks, Teams uses the following additional safeguards:

  • Роли участников определяют права на управление собранием.Participant roles determine meeting control privileges.

  • Типы участников позволяют ограничить доступ к определенным собраниям.Participant types allow you to limit access to specific meetings.

  • Планирование собраний ограничено только пользователями, у которых есть учетная запись AAD и лицензия на Teams.Scheduling meetings is restricted to users who have an AAD account and a Teams license.

  • Анонимные (т. е. не прошедшие проверку подлинности) пользователи, желающие присоединиться к конференции с телефонным подключением, набирают один из номеров доступа к конференции.Anonymous, that is, unauthenticated, users who want to join a dial-in conference, dial one of the conference access numbers. Если параметр "Всегда разрешать звонящим обходить зал ожидания" установлен в положение Вкл, тогда им также потребуется подождать, пока докладчик или пользователь, прошедший проверку подлинности, присоединиться к собранию.If the "Always allow callers to bypass the lobby" setting is turned On then they also need to wait until a presenter or authenticated user joins the meeting.

    Внимание!

    Если вы не хотите, чтобы анонимные пользователи (пользователи без явного приглашения) присоединялись к собранию, убедитесь, что для параметра К собранию могут присоединяться анонимные пользователи установлено значение Выкл в разделе параметров собраний Участники.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

Организатор также может настроить параметры, чтобы разрешить звонящим с телефонным подключением стать первым пользователем собрания.It's also possible for an organizer to configure settings to let Dial-in callers be the first person in a meeting. Этот параметр настраивается в параметрах аудиоконференций для пользователей и применяется ко всем собраниям, запланированным пользователем.This setting is configured in the Audio Conferencing settings for users and would apply to all meetings scheduled by the user.

Примечание

Дополнительные сведения о гостевом и внешнем доступе в Teams см. в этой статье.For more information on Guest and External Access in Teams, see this article. В ней описано, какие функции могут ожидать и использовать гости или внешние пользователи при входе в Teams.It covers what features guest or external users can expect to see and use when they login to Teams.

Если вы записываете собрания и хотите просмотреть таблицу разрешений, связанную с доступом к содержимому, ознакомьтесь с этой статьей и ее таблицей.If you're recording meetings and want to see a permissions matrix around accessing the content, consult this article and its matrix.

Роли участниковParticipant Roles

Участники собраний разделяются на три группы с собственными правами и ограничениями:Meeting participants fall into three groups, each with its own privileges and restrictions:

  • Организатор. Пользователь, создающий собрание (незапланированное или запланированное).Organizer The user who creates a meeting, whether impromptu or by scheduling. Организатор должен быть пользователем клиента, прошедшим проверку подлинности. Он может управлять всеми пользовательскими аспектами собрания.An organizer must be an authenticated in-tenant user and has control over all end-user aspects of a meeting.
  • Докладчик. Пользователь, которому разрешено демонстрировать информацию на собрании с помощью любых поддерживаемых файлов мультимедиа.Presenter A user who is authorized to present information at a meeting, using whatever media is supported. Организатор собрания по определению также является докладчиком и определяет, кто еще может быть докладчиком.A meeting organizer is by definition also a presenter and determines who else can be a presenter. Организатор может принимать это решении при планировании собрания или при его проведении.An organizer can make this determination when a meeting is scheduled or while the meeting is under way.
  • Участник. Пользователь, приглашенный к участию в собрании, но обладающий правами докладчика.Attendee A user who has been invited to attend a meeting but who is not authorized to act as a presenter.

Докладчик также может перевести участника в роль докладчика во время собрания.A presenter can also promote an attendee to the role of presenter during the meeting.

Типы участниковParticipant Types

Участники собрания также классифицируются по местоположению и учетным данным.Meeting participants are also categorized by location and credentials. Вы можете использовать обе эти характеристики, чтобы выбрать, какие пользователи могут иметь доступ к конкретным собраниям.You can use both of these characteristics to decide which users can have access to specific meetings. Пользователей в общем смысле можно разделить на несколько категорий:Users can be divided broadly into the following categories:

  1. Пользователи, относящиеся к клиенту. Эти пользователи имеют учетные данные в Azure Active Directory для клиента.Users that belong to the tenant These users have a credential in Azure Active Directory for the tenant. а)a. Люди из моей организации. Эти пользователи имеют учетные данные в Azure Active Directory для клиента.People in my organization – These users have a credential in Azure Active Directory for the tenant. Люди из моей организации включают приглашенные гостевые учетные записи.People in my organization includes invited Guest accounts. б)b. Удаленные пользователи. Эти пользователи присоединяются из-за пределов корпоративной сети.Remote users – These users are joining from outside the corporate network. К ним относятся сотрудники, которые работают дома или в дороге, и другие, например, сотрудники доверенных поставщиков, которым были предоставлены полномочия предприятия на их условиях обслуживания.They can include employees who are working at home or on the road, and others, such as employees of trusted vendors, who have been granted enterprise credentials for their terms of service. Удаленные пользователи могут создавать собрания и присоединяться к ним и выступать в качестве докладчиков.Remote users can create and join meetings and act as presenters. ..
  2. Пользователи, не относящиеся к клиенту. Эти пользователи не имеют учетные данные в Azure AD для клиента.Users that do not belong to the tenant These users do not have credentials in Azure AD for the tenant. а)a. Федеративные пользователи. Федеративные пользователи имеют действительные учетные данные у федеративных партнеров, поэтому они считаются прошедшими проверку подлинности в Teams, но по-прежнему являются анонимными для клиента организатора собрания.Federated Users - Federated users have valid credentials with federated partners and are therefore treated as authenticated by Teams, but are still Anonymous to the meeting organizer tenant. Федеративные пользователи могут присоединяться к собраниям, и им может быть присвоена роль докладчика после присоединения к собранию. Но они не могут создавать собрания в организациях, с которыми они объединены в федерацию.Federated users can join meetings and be promoted to presenters after they have joined the meeting, but they can't create meetings in enterprises with which they are federated. б)b. Анонимные пользователи. У анонимных пользователей нет удостоверения Active Directory, и они не объединены в федерацию с клиентом.Anonymous Users - Anonymous users do not have an Active Directory identity and are not federated with the tenant.

Многие собрания включают внешних пользователей.Many meetings involve external users. Те же клиенты также хотят получить подтверждение об удостоверении внешних пользователей, прежде чем позволить им присоединиться к собранию.Those same customers also want reassurance about the identity of external users before allowing those users to join a meeting. В следующем разделе описано, как Teams ограничивает доступ тем типам пользователей, которые были явно разрешены, и требует, чтобы все типы пользователей представляли соответствующие учетные данные при входе в собрание.The next section describes how Teams limits meeting access to those user types that have been explicitly allowed, and requires all user types to present appropriate credentials when entering a meeting.

Допуск участникаParticipant Admittance

Внимание!

Если вы не хотите, чтобы анонимные пользователи (пользователи без явного приглашения) присоединялись к собранию, убедитесь, что для параметра К собранию могут присоединяться анонимные пользователи установлено значение Выкл в разделе параметров собраний Участники.If you do not wish for Anonymous users (users you don't explicitly invite) to join a meeting, you need to ensure the Anonymous users can join a meeting is set to Off for the Participant meeting section.

В Teams анонимные пользователи могут переноситься в зону ожидания, называемую "зал ожидания".In Teams, anonymous users can be transferred to a waiting area called the lobby. Затем докладчики могут либо допустить этих пользователей в собрание, либо отклонить их.Presenters can then either admit these users into the meeting or reject them. Когда эти пользователи переводятся в "зал ожидания", докладчик и участники получают уведомления, и анонимные пользователи должны подождать, пока они не будут приняты или отклонены, или до истечения времени их подключения.When these users are transferred to the lobby, the presenter and attendees are notified, and the anonymous users must then wait until they are either accepted or rejected, or their connection times out.

По умолчанию участники, подключающиеся по номеру ТСОП, направляются прямо в собрание, когда прошедший проверку пользователь присоединяется к собранию, но этот параметр можно изменить, чтобы заставить участников с телефонным подключением перейти в "зал ожидания".By default, participants dialing in from the PSTN go directly to the meeting once an authenticated user joins the meeting, but this option can be changed to force dial-in participants to go to the lobby.

Организаторы собраний контролируют, могут ли участники присоединиться к собранию, не отправляясь в "зал ожидания".Meeting organizers control whether participants can join a meeting without waiting in the lobby. Каждое собрание может быть настроено на обеспечение доступа с использованием любого из следующих способов:Each meeting can be set up to enable access using any one of the following methods:

Параметры по умолчанию:The defaults are:

  • Люди из моей организации. Все внешние для организации пользователи будут ждать допуска в "зале ожидания".People in my Organization - Everyone external to the organization will wait in the lobby until admitted.
  • Люди из моей организации и надежных организаций. Прошедшие проверку подлинности пользователи и внешние пользователи из доменов Teams и Skype для бизнеса из списка разрешений внешнего доступа могут обходить "зал ожидания".People from my organization and trusted organizations - Authenticated users and external users from Teams and Skype for Business domains that are in the external access allow list can bypass the lobby. Все остальные пользователи будут ждать допуска в "зале ожидания".All other users will wait in the lobby until admitted.
  • Все. Все участники собрания обходят "зал ожидания", после того как пользователь, прошедший проверку подлинности, присоединяется к собранию.Everyone - All meeting participants bypass the lobby once an authenticated user has joined the meeting.

Возможности докладчикаPresenter Capabilities

Организаторы собраний контролируют, могут ли участники демонстрировать сведения во время собрания.Meeting organizers control whether participants can present during a meeting. Каждое собрание может быть настроено на ограничение докладчиков одним из следующих способов:Each meeting can be set up to limit presenters to any one of the following:

  • Люди из моей организации. Все пользователи клиента, включая гостей, могут демонстрировать сведенияPeople in my organization - All in tenant users, including guests, can present
  • Люди из моей организации и надежных организаций. Все пользователи клиента, включая гостей могут демонстрировать сведения. Внешние пользователи из доменов Teams и Skype для бизнеса из списка разрешений внешнего доступа также могут демонстрировать сведения.People in my organization and trusted organizations - All in tenant users, including guests, can present and external users from Teams and Skype for Business domains that are in the external access allow list can present.
  • Все. Все участники собрания являются докладчиками.Everyone - All meeting participants are presenters.

Изменение во время собранияModify While Meeting is Running

Параметры собрания можно изменить во время проведения собрания.It's possible to modify the meeting options while a meeting is on-going. Изменение, которое сохраняется, влияет на проводимое собрание через несколько секунд.The change, when saved, will impact the running meeting within seconds. Кроме того, оно влияет на все будущие проводимые собрания.It also effects any future occurrences of the meeting.

Основные 12 задач для отделов обеспечения безопасности при поддержке работы из домаTop 12 tasks for security teams to support working from home

Центр управления безопасностью (Майкрософт)Microsoft Trust Center

Управление параметрами собраний в Microsoft TeamsManage meeting settings in Microsoft Teams

Оптимизация подключения Microsoft 365 или Office 365 для удаленных пользователей с использованием раздельного VPN-туннелированияOptimize Microsoft 365 or Office 365 connectivity for remote users using VPN split tunneling

Записи собраний в Teams, место хранения записей и кто имеет к ним доступMeeting recordings in Teams, where recordings are stored, and who can access them