Microsoft Teams 會議室 安全性

• 適用於:

  Microsoft Teams

本文提供 Windows 和 Android 裝置上 Microsoft Teams 會議室 裝置的安全性指導方針。 此指導方針包含有關硬體、軟體、網路和帳戶安全性的資訊。

選取 Windows 或 Android 版 Teams 會議室 上的 [Teams 會議室] 索引卷標，以取得有關您裝置上 Teams 會議室安全性的資訊。

在 Windows 上 Teams 會議室

Microsoft 與我們的合作夥伴合作，提供安全且不需要額外動作來保護 Windows 上 Microsoft Teams 會議室 的解決方案。 本節討論 Windows Teams 會議室 中找到的許多安全性功能。

如需 Android 裝置上 Teams 會議室 安全性的相關信息，請選取 [Android] 索引標籤上的 [Teams 會議室]。

注意事項

Microsoft Teams 會議室 不應該被視為一般的使用者工作站。 不僅使用案例有很大的不同，預設的安全性配置檔也有很大的不同，建議您將它們視為設備。 Microsoft 不支援在您的 Teams 會議室 裝置上安裝其他軟體。 本文適用於在 Windows 上執行 Microsoft Teams 會議室 裝置。

有限的用戶數據會儲存在 Teams 會議室 上。 用戶數據可能儲存在記錄檔中，僅供疑難解答和支援。 使用 Teams 會議室 會議的出席者無法將檔案複製到硬碟或自行登入。 系統不會將用戶數據傳輸至 Microsoft Teams 會議室 裝置，或無法存取該裝置。

雖然使用者無法將檔案放在 Teams 會議室 硬碟上，Microsoft Defender 仍會隨即啟用。 Teams 會議室 效能會使用 Microsoft Defender 測試，包括註冊端點入口網站的Defender。 停用此功能或新增端點安全性軟體可能會導致無法預期的結果和潛在的系統降級。

硬體安全性

在 Teams 會議室 環境中，有一個執行 Windows 10 或 11 IoT 企業版的中央計算模組。 每個通過認證的計算模組都必須有安全安裝解決方案、安全性鎖定插槽 (例如，對通通鎖定) ，以及 I/O 埠存取安全性措施，以防止未經授權的裝置連線。 您也可以透過整合可擴展韌體介面 (UEFI) 設定停用特定埠。

每個認證的計算模組都必須隨附信賴平臺模組 (TPM) 預設啟用 2.0 相容技術。 TPM 是用來加密 Teams 會議室 資源帳戶的登入資訊。

默認會啟用安全開機。 安全開機是計算機產業成員所開發的安全性標準，可協助確保裝置僅使用原始設備製造商 (OEM) 信任的軟體來啟動裝置。 計算機啟動時，韌體會檢查每一個開機軟體的簽章，包括 UEFI 韌體驅動程式 (也稱為 Option ROM) 、EFI 應用程式和作業系統。 如果簽章有效，計算機就會啟動，而韌體則會對操作系統進行控制。 如需詳細資訊，請參閱 安全開機。

只有連接實體鍵盤和滑鼠，才能存取 UEFI 設定，這可防止您透過 Teams 會議室 觸控式主機或連接到 Teams 會議室 的任何其他觸控式顯示器存取 UEFI。

內核直接記憶體存取 (DMA) 保護是已在 Teams 會議室 啟用的 Windows 設定。 使用此功能，作業系統和系統韌體可保護系統，避免所有支援 DMA 功能的裝置遭受惡意和非預期的 DMA 攻擊：

• 在開機程序期間。

• 在操作系統運行時間期間，透過連接到可輕鬆存取內部/外部 DMA 埠的裝置來抵禦惡意 DMA，例如 M.2 PCIe 插槽和 Thunderbolt 3。

Teams 會議室 也啟用受 Hypervisor 保護的程式代碼完整性 (HVCI) 。 HVCI 提供的其中一項功能是 Credential Guard。 Credential Guard 提供下列優點：

• 硬體安全性 NTLM、Kerberos 和認證管理員利用平臺安全性功能，包括安全開機和虛擬化，以保護認證。

• 虛擬化型安全性 Windows NTLM 和 Kerberos 衍生認證和其他機密會在與執行中操作系統隔離的受保護環境中執行。

• 針對進階持續性威脅提供更佳的保護 當認證管理員網域認證、NTLM 和 Kerberos 衍生認證使用虛擬化型安全性受到保護時，會封鎖認證竊取攻擊技術和許多目標攻擊中使用的工具。 在操作系統中以系統管理許可權執行的惡意代碼無法擷取受到虛擬化型安全性保護的機密。

軟體安全性

Microsoft Windows 啟動之後，Teams 會議室 自動登入名為 Skype 的本機 Windows 用戶帳戶。 Skype 帳戶沒有密碼。 若要確保 Skype 帳戶會話的安全，請執行下列步驟。

重要

請勿變更密碼或編輯本機 Skype 用戶帳戶。 這麼做可以防止 Teams 會議室 自動登入。

Microsoft Teams 會議室 應用程式會使用 Windows 10 1903 和更新版本中的 [指派存取] 功能執行。 指派的 Access 是 Windows 中的一項功能，可限制向使用者公開的應用程式進入點，並啟用單一應用程式 kiosk 模式。 使用 Shell Launcher，Teams 會議室 設定為 kiosk 裝置，以執行 Windows 桌面應用程式做為使用者介面。 Microsoft Teams 會議室 應用程式會取代使用者登入時通常會執行的預設殼層 (explorer.exe) 。 換句話說，傳統的檔案總管殼層完全不會啟動，這會大幅降低 Windows 內 Microsoft Teams 會議室 弱點。 如需詳細資訊，請參閱在 Windows 桌面版上設定 kiosk 和數位符號。

如果您決定執行安全性掃描或因特網安全性中心 (CIS) Teams 會議室 基準，掃描只能在本機系統管理員帳戶的內容下執行，因為Skype用戶帳戶不支援 Teams 會議室 應用程式以外的執行應用程式。 許多套用至 Skype 使用者內容的安全性功能不適用於其他本機使用者，因此這些安全性掃描不會顯示套用至 Skype 帳戶的完整安全性鎖定。 因此，我們不建議在 Teams 會議室 上執行本機掃描。 不過，如有需要，您可以執行外部測試。 因此，建議您對 Teams 會議室 裝置執行外部測驗，而不是執行本機掃描。

此外，鎖定原則會套用以限制非系統管理功能的使用。 已啟用鍵盤篩選器來截距並封鎖可能不安全的鍵盤組合，但指派的存取原則未涵蓋這些組合。 只有具有本機或網域系統管理許可權的使用者才有權登入 Windows 以管理 Teams 會議室。 在 Microsoft Teams 會議室 裝置上套用至 Windows 的這些原則及其他原則會在產品生命週期期間持續受到評估和測試。

Microsoft Defender 隨即啟用，Teams 會議室專業版 授權也包含Defender for Endpoint，可讓客戶將他們的 Teams 會議室 註冊為Defender for Endpoint，讓安全性團隊從Defender入口網站，讓安全性團隊能夠看到 Windows 裝置上 Teams Room 的安全性狀態。 您可以依照 Windows 裝置的步驟註冊 Windows 上的 Teams 會議室。 我們不建議使用保護規則修改 Teams 會議室， (或其他變更設定) 的Defender原則，因為這些原則可能會影響Teams 會議室功能;但是支援在入口網站中報告功能。

帳戶安全性

Teams 會議室 裝置包含一個名為「管理員」的系統管理帳戶，並具有默認密碼。 我們強烈建議您在完成設定后儘快變更默認密碼。

Teams 會議室 裝置不需要 管理員 帳戶，也可以重新命名或甚至刪除。 不過，在刪除 管理員 帳戶之前，請務必先設定替代的本機系統管理員帳戶，再移除隨附於 Teams 會議室 裝置的帳戶。 如需如何使用內建 Windows 工具或 PowerShell 變更本機 Windows 帳戶密碼的詳細資訊，請參閱下列內容：

• 在 Windows 上的 Teams 會議室 上設定 LAPS
• 變更或重設 Windows 密碼
• Set-LocalUser

您也可以使用 Intune 將網域帳戶匯入本機 Windows 系統管理員群組。 如需詳細資訊，請參閱 原則雲端解決方案提供者 – RestrictedGroups.。

注意事項

如果您將 Cresctor Teams 會議室 與網路連線主機搭配使用，請確定您遵循 Cresctor 的指引，瞭解如何設定用於配對的 Windows 帳戶。

謹慎

如果您先刪除或停用 管理員 帳戶，再將本機系統管理員許可權授與另一個本機或網域帳戶，您可能會失去管理 Teams 會議室 裝置的能力。 如果發生這種情況，您將需要將裝置重設回其原始設定，然後再次完成設定程式。

請勿將本機系統管理員許可權授與 Skype 用戶帳戶。

Windows 設定 Designer 可用於建立 Windows 布建套件。 除了變更本機 管理員 密碼，您也可以執行變更計算機名稱和註冊 Microsoft Entra ID 等動作。 如需建立 Windows 設定 Designer 布建套件的詳細資訊，請參閱布建 Windows 10 套件。

您必須為每個 Teams 會議室 裝置建立資源帳戶，讓它可以登入Teams。 您無法在此帳戶中使用使用者互動式雙因素或多重要素驗證。 要求第二個因素會導致帳戶無法在重新啟動後自動登入 Teams 會議室 應用程式。 此外，Microsoft Entra 可部署條件式存取原則和 Intune 合規性原則以保護資源帳戶。 如需詳細資訊，請參閱 Microsoft Teams 會議室 和條件式存取及 Microsoft Teams 會議室 Intune 合規性的支持條件式存取和 Intune 裝置合規性原則。

建議您在 Microsoft Entra ID 中建立資源帳戶，如果可能的話，請建立為雲端專用帳戶。 雖然同步處理的帳戶可以在混合式部署中與 Teams 會議室 搭配使用，但這些同步處理的帳戶通常很難登入 Teams 會議室，而且可能難以進行疑難解答。 如果您選擇使用第三方同盟服務驗證資源帳戶的認證，請確定第三方 IDP 會在屬性設為urn:oasis:names:tc:SAML:1.0:assertion時回應wsTrustResponse。 如果貴組織不想要使用 WS 信任，請改用雲端專用帳戶。

網路安全性

一般而言，Teams 會議室的網路需求與任何 Microsoft Teams 用戶端相同。 透過防火牆和其他安全性裝置存取的 Teams 會議室 與任何其他 Microsoft Teams 用戶端相同。 針對 Teams 會議室，Teams 列為「必要」的類別必須在您的防火牆上開啟。 如果您使用 Microsoft Intune 來管理裝置) ，Teams 會議室 也需要存取 Windows Update、Microsoft Store 和 Microsoft Intune (。 如需 Microsoft Teams 會議室 所需的IP和URL完整清單，請參閱：

• Microsoft Teams、Exchange Online、SharePoint Online、Microsoft 365 Common 和 Office OnlineOffice 365 URL 和 IP 位址範圍
• Windows UpdateConfigure WSUS
• 適用於 商務用 Microsoft Store和教育的 Microsoft Store 必要條件
• Microsoft Intune適用於 Microsoft Intune 的Network 端點

如果您使用的是 Microsoft Teams 會議室專業版 的 Microsoft Teams 會議室 受管理服務元件，您也需要確認 Teams 會議室 可以存取下列 URL：

• agent.rooms.microsoft.com
• global.azure-devices-provisioning.net
• gj3ftstorage.blob.core.windows.net
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net

GCC 客戶也需要啟用下列 URL：

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

Teams 會議室 設定為自動讓自己保持修補最新的 Windows 更新，包括安全性更新。 Teams 會議室 使用預設的本機原則，每天從早上 2：00 開始安裝任何擱置中的更新。 您不需要使用其他工具來部署和套用 Windows 匯報。 使用其他工具來部署和套用更新可能會延遲安裝 Windows 修補程式，因此導致部署較不安全。 Teams 會議室 應用程式是使用 Microsoft Store 來部署。

Teams 會議室 裝置可搭配大部分的 802.1X 或其他網路安全性通訊協定使用。 不過，我們無法針對所有可能的網路安全性設定測試 Teams 會議室。 因此，如果出現可追蹤到網路效能問題的效能問題，您可能需要停用這些通訊協定。

為了獲得即時媒體的最佳效能，我們強烈建議您將Teams媒體流量設定為略過 Proxy 伺服器及其他網路安全性裝置。 實時媒體非常延遲，Proxy 伺服器和網路安全性裝置可能會大幅降低用戶的視訊和音訊品質。 此外，由於 Teams 媒體已加密，因此透過 Proxy 伺服器傳遞流量沒有任何明顯的優點。 如需詳細資訊，請參閱將 (連線到雲端) —一位架構設計師的架構，其中討論網路建議，以改善 Microsoft Teams 和 Microsoft Teams 會議室 媒體效能。

重要

Teams 會議室 不支援已驗證的 Proxy 伺服器。

Teams 會議室 裝置不需要連線到內部 LAN。 考慮將 Teams 會議室 放在具有直接因特網存取的安全隔離網路區段中。 如果您的內部 LAN 遭到入侵，則會降低向 Teams 會議室 的攻擊向量機會。

我們強烈建議您將 Teams 會議室 裝置連線到有線網路。 使用無線網路需要審慎規劃和評估，才能獲得最佳體驗。 如需詳細資訊，請參閱 無線網路考慮。

鄰近連接及其他 Teams 會議室 功能仰賴藍牙。 不過，Teams 會議室 裝置上的藍牙實作不允許外部裝置連線至 Teams 會議室 裝置。 Teams 會議室 裝置上的藍牙技術目前僅限於廣告指標和提示的近似連線。 PDU ADV_NONCONN_INT) 類型 (通訊協定數據單位會用於廣告指標中。 此 PDU 類型適用於聆聽裝置上無法連線的裝置廣告資訊。 這些功能中沒有藍牙裝置配對。 您可以在 藍牙 SIG 網站上找到藍牙通訊協定的其他詳細數據。

在Android上 Teams 會議室

本文不涵蓋 Microsoft Endpoint Manager 為專用裝置模式設定的 Android 裝置。 Teams Android 裝置在 Kiosk 模式中執行的設計。 如需 Android Kiosk 的相關信息，請參閱 Android 企業版專用裝置註冊。

Microsoft 與我們的 OEM 合作夥伴合作，以提供符合客戶需求之安全且可自定義的解決方案。 本文探討 Teams Android 裝置中找到的許多安全性功能，以及我們的做法。 它分為四個主要區段，可讓您輕鬆流覽。

注意事項

Microsoft Teams Android 裝置不應該被視為一般的 Android 裝置。 Teams Android 裝置是專為搭配 Teams 使用及其個別使用案例所設計的專用設備。 本文僅適用於執行 Android 操作系統的經過認證和專用的 Microsoft Teams 裝置。 Teams 認證裝置只能向經過認證的 OEM 廠商購買。 如需 Microsoft Teams 認證 Android 裝置的相關信息，請參閱 Teams 會議室 認證系統和周邊裝置。

如需 Windows 裝置上 Teams 會議室 安全性的相關信息，請選取 [Windows] 索引標籤上的 [Teams 會議室]。

軟體安全性

Android kiosk模式

Teams Android 裝置在 Android Kiosk 模式下執行裝置，鎖定以僅執行核准的應用程式。 Kiosk 模式會停用任何啟動器功能的存取權，並協助保護裝置安全，讓授權應用程式在裝置上啟動。

應用程式名稱	應用程式描述
Microsoft Teams Android 應用程式	Microsoft Teams 裝置應用程式
Microsoft Teams 管理員 專員	Teams 系統管理中心遠端管理
Intune 公司入口網站	裝置註冊、註冊 & 登入
OEM 合作夥伴專員	OEM 合作夥伴專員 & 裝置設定應用程式

根據設計，Microsoft Teams Android 應用程式會在 Android Kiosk 模式的啟動時啟動，並且不會提供使用者在指定 Teams 用戶體驗之外對操作系統或元件的任何存取權。

應用程式代碼簽署

所有 Microsoft 和 OEM 應用程式都會簽署程式代碼。 代碼簽署可協助驗證在裝置上執行的軟體是否正版，來自 Microsoft 和我們的硬體合作夥伴。 代碼簽署也會嘗試驗證在裝置上執行之軟體的完整性，如此一來，只有正版軟體才能啟動並執行。

第三方應用程式

Teams 認證裝置沒有依設計安裝的 Google Play 商店、Amazon App Store 或 Google Play 服務。 這有助於確保無法從 Microsoft Store 將第三方應用程式安裝到裝置上。

Android偵錯網橋

在執行發行軟體的所有 Teams Android 裝置上， (ADB) 設計停用 Android 偵錯網橋。 ADB 是一種命令行工具，可讓系統管理員在 Android 裝置上執行功能，並可安裝應用程式、存取裝置殼層及其他系統管理員功能。

檔案系統加密

Teams Android 裝置必須支援 Android 型加密，而且可以使用 Microsoft Endpoint Manager 合規性原則強制執行。 如需端點管理員合規性原則的相關信息，請使用 Endpoint Manager 合規性原則來為您使用 Intune 管理的裝置設定規則。

Android OS 版本

Teams Android 裝置執行支援的 Android 版本。 Android 作業系統是由 OEM 合作夥伴管理、合併到 Teams 認證韌體，然後從 Teams 系統管理中心推送到裝置。 如需 Teams Android 裝置上執行哪些 Android 版本的相關信息，請參閱 [Microsoft Teams 認證的 Android 裝置] (android-app-firmware.md) 。

Android 安全性更新

OEM 廠商會在韌體更新程式中加入適當的 Android 安全性更新比較基準，以協助確保基本操作系統的安全。 確保裝置上執行適當的 Android 安全性更新，請務必定期更新您的裝置。 如需詳細資訊，請參閱您的裝置製造商。

帳戶安全性

Teams Android 裝置是以兩種帳戶類型為內建，可讓裝置順利運作。

• 本機裝置系統管理員帳戶

• 用戶或資源帳戶

Teams Android 裝置也相容於某些條件式存取原則，可用來做為裝置登入的更多安全性層級。 如需最佳做法和支持的條件式存取原則，請參閱 支援的條件式存取合規性原則。

本機裝置系統管理員帳戶

Teams Android 裝置包含可存取裝置設定的系統管理帳戶、安裝裝置時的本機網頁伺服器，以及任何 OEM 特定設定。

您可以向裝置製造商取得初始裝置設定和設定專案，例如此帳戶的預設使用者名稱和密碼。

謹慎

請務必儘快變更本機裝置系統管理員密碼。

提示

Teams 系統管理中心可用來套用組態配置檔來變更已登入 Teams Android 裝置的本機裝置系統管理員密碼。 建議您在初始裝置登入之後使用此方法，以保護 Android 裝置提升的功能。 提高許可權的功能可以包含裝置設定和 Web 系統管理入口網站，如果有支持的話。

用戶或資源帳戶

Teams Android 裝置需要使用使用者或專用資源帳戶來登入 Microsoft 365。 我們會嘗試以特定方式保護這些帳戶，視其為個人裝置的使用者帳戶或共用裝置的資源帳戶而定。 如需詳細資訊，請參閱 建立及設定會議室和共用裝置的資源帳戶。

裝置更新

Teams Android 裝置設定為從 Teams 系統管理中心下載 Microsoft 認證的更新。 系統管理員可以自動推入或手動叫用這些更新。 我們 OEM 合作夥伴的第三方工具也可在必要時執行此函數。 Teams Android 裝置可以在數小時后安裝更新，以避免對使用者造成影響。 您可以在 Teams 系統管理中心或使用 OEM 合作夥伴的第三方工具，設定數小時後的排程。

重要

Microsoft 建議您透過 Teams 系統管理中心完成所有 Teams Android 裝置的韌體管理。

網路安全性

Teams Android 裝置的網路需求與任何 Microsoft Teams 用戶端相同，包括透過防火牆和其他安全性裝置存取。 具體來說，Teams 所需的 類別必須與其他支持服務一起在您的防火牆上開啟，如下所列。 如需 Teams Android 裝置所需的 IP 和 URL 完整清單，請參閱：

• Microsoft Teams、Exchange Online、SharePoint Online、Microsoft 365 Common 和 Office Online Office 365 URL 和 IP 位址範圍

• Microsoft Intune Microsoft Intune的網路端點

Teams Android 裝置可搭配大部分的 802.1X 和其他網路安全性通訊協定使用。 不過，我們無法針對所有網路安全性設定測試 Teams Android 裝置。 因此，如果出現可追蹤到網路效能問題的效能問題，如果您在組織中設定這些通訊協定，您可能需要停用這些通訊協定，或連絡您的 OEM 合作夥伴以尋求協助。

為了獲得即時媒體的最佳效能，我們強烈建議您將Teams媒體流量設定為略過 Proxy 伺服器及其他網路安全性裝置。 實時媒體會對網路延遲敏感，這可能是 Proxy 伺服器及其他網路安全性裝置所造成。 網路延遲可能會大幅降低用戶的視訊和音訊品質。 如需詳細資訊，請參閱將 (網路連線 到雲端) — 一位架構設計師的架構，討論透過 Microsoft Teams 改善媒體效能的網路建議。

Teams Android 裝置在因特網上使用加密的通訊和端點驗證。 Teams Android 裝置使用 TLS 1.2+。

重要

Teams Android 裝置不支援已驗證的 Proxy 伺服器或租使用者限制。 如需 Proxy 支援資訊，請連絡您的 OEM 合作夥伴。

Teams Android 裝置不需要連線到內部 LAN。 考慮將 Teams Android 裝置置於具有直接因特網存取的安全網路區段中。 例如，Teams Phone 可以部署在語音 VLAN 上。 如果您的內部 LAN 遭到入侵，實作此網路隔離會降低對 Teams Android 裝置的攻擊向量機會。

我們強烈建議您將 Teams 會議室 裝置連線到有線網路。 使用無線網路需要審慎規劃和評估，才能獲得最佳體驗。 如需詳細資訊，請參閱 無線網路考慮。

鄰近連接、共同作業更好、Teams 投射和 Teams 面板配對都仰賴藍牙。 在 Android 裝置上 Teams 會議室 使用的藍牙技術目前僅限於廣告指標和提示的近似連線。 PDU ADV_NONCONN_INT) 類型 (通訊協定數據單位會用於廣告指標中。 此 PDU 類型適用於聆聽裝置上無法連線的裝置廣告資訊。 這些功能中沒有藍牙裝置配對。 如需藍牙通訊協議的詳細資訊，請參閱藍牙 SIG 網站。

Teams 手機和顯示器提供藍牙配對功能，可使用藍牙 Hands-Free 配置檔來配對耳機。

如需有關 Microsoft Teams 中安全性的資訊，請參閱 安全性與 Microsoft Teams。