Teilen über


Sicherheit und Microsoft Teams

Wichtig

Das Teams-Dienstmodell kann geändert werden, um die Kundenzufriedenheit zu verbessern. So können beispielsweise die standardmäßigen Ablaufzeiten des Zugriffs- oder Aktualisierungstokens geändert werden, um die Leistung und die Authentifizierungssicherheit für Benutzer von Teams zu verbessern. Solche Änderungen würden vorgenommen, um die Sicherheit und Vertrauenswürdigkeit von Teams zu gewährleisten.

Microsoft Teams folgt als Teil der Microsoft 365- und Office 365-Dienste allen bewährten Methoden und Verfahren für die Sicherheit, wie z. B. Sicherheit auf Dienstebene durch mehrschichtige Abwehrmaßnahmen, Kundenkontrollfunktionen innerhalb des Dienstes, Sicherheitshärtung und betriebliche Best Practices. Ausführliche Informationen finden Sie im Microsoft Trust Center.

Vertrauenswürdigkeit als Konzept

Teams Online wurde in Übereinstimmung mit dem Microsoft Trustworthy Computing Security Development Lifecycle (SDL) entwickelt, der unter Microsoft Security Development Lifecycle (SDL) beschrieben wird. Der erste Schritt beim Erstellen eines sicheren Unified Communications-Systems bestand in der Entwicklung von Gefahrenmodellen und im Testen jedes einzelnen Features während seines Entwurfs. Mehrere sicherheitsbezogene Verbesserungen wurden in Codierungsprozess und -methoden integriert. Mit Buildzeittools werden Pufferüberläufe und andere potenzielle Sicherheitsbedrohungen erkannt, bevor der Code in das Endprodukt übernommen wird. Es ist unmöglich, bereits beim Entwurf alle unbekannten Sicherheitsbedrohungen zu berücksichtigen. Kein System kann 100-prozentige Sicherheit garantieren. Da bei der Produktentwicklung jedoch von Anfang an sichere Entwurfsprinzipien angewendet wurden, umfasst Teams die branchenüblichen Standardsicherheitstechnologien als grundlegenden Bestandteil seiner Architektur.

Vertrauenswürdigkeit als Standard

Die Netzwerkkommunikation in Teams ist standardmäßig verschlüsselt. Da alle Server Zertifikate verwenden müssen und durch die Verwendung von OAUTH-, TLS (Transport Layer Security)- oder SRTP (Secure Real-Time Transport Protocol)-Protokollen sind alle Microsoft Teams-Daten im Netzwerk geschützt.

So wird in Microsoft Teams mit allgemeinen Sicherheitsbedrohungen umgegangen

Dieser Abschnitt beschreibt die häufigsten Bedrohungen für die Sicherheit des Teams-Dienstes und wie Microsoft jede Bedrohung entschärft.

Angriff mit kompromittiertem Schlüssel

Microsoft Teams nutzt die PKI-Funktionen des Windows Server-Betriebssystems, um die für die Verschlüsselung für TLS-Verbindungen verwendeten Schlüsseldaten zu schützen. Die für die Medienverschlüsselungen verwendeten Schlüssel werden über TLS-Verbindungen ausgetauscht.

Denial-of-Service-Angriff auf Netzwerke

Bei einem verteilten Denial-of-Service-Angriff (DDOS) verhindert ein Angreifer die normale Netzwerknutzung und -funktion durch legitime Nutzer. Durch einen Denial-of-Service-Angriff eröffnen sich den Angreifern folgende Möglichkeiten:

  • Er kann ungültige Daten an Anwendungen und Dienste senden, die in dem angegriffenen Netzwerk ausgeführt werden, um ihre Funktionsweise zu beeinträchtigen.
  • Er kann große Datenmengen senden, um das System zu überlasten, bis es nicht mehr oder nur noch verzögert auf legitime Anforderungen reagiert.
  • Er kann die Spuren seines Angriffs vertuschen.
  • Er kann Benutzer vom Zugriff auf die Netzwerkressourcen abhalten.

Teams mildert diese Angriffe, indem es den Azure DDOS-Netzwerkschutz ausführt und Client-Anforderungen von denselben Endpunkten, Subnetzen und Verbundentitäten einschränkt.

Abhörschutz

Lauschangriffe erfolgen, wenn ein Angreifer Zugriff auf den Datenpfad in einem Netzwerk erhält und die Möglichkeit hat, den Datenverkehr zu überwachen und auszulesen. Lauschangriffe werden auch als "Sniffing" oder "Snooping" bezeichnet. Wenn der Datenverkehr aus reinem Text besteht, können Angreifer ihn lesen, sobald sie Zugriff auf den Pfad haben. Ein Beispiel wäre ein Angriff, bei dem ein Router auf dem Datenpfad kontrolliert wird.

Microsoft Teams verwendet Mutual TLS (MTLS) und Server-zu-Server (S2S)-OAuth (neben anderen Protokollen) für die Serverkommunikation innerhalb von Microsoft 365 und Office 365 sowie TLS von Clients zum Dienst. Der gesamte Datenverkehr im Netzwerk wird verschlüsselt.

Diese Kommunikationsmethoden machen das Mithören innerhalb des Zeitraums einer einzelnen Unterhaltung schwierig oder unmöglich. TLS authentifiziert alle Parteien und verschlüsselt den gesamten Datenverkehr. Obwohl TLS Lauschangriffe nicht verhindert, kann der Angreifer den Datenverkehr nur auslesen, wenn die Verschlüsselung aufgehoben wird.

Das TURN-Protokoll ( Traversal Using Relays around NAT ) wird für Echtzeitmedien verwendet. Das TURN-Protokoll schreibt keine Verschlüsselung des Datenverkehrs vor, und die von ihm gesendeten Informationen sind durch die Nachrichtenintegrität geschützt. Obwohl es für Lauschangriffe offen ist, können die von ihm gesendeten Informationen (d. h. IP-Adressen und Port) direkt extrahiert werden, indem man einfach die Quell- und Zieladressen der Pakete betrachtet. Der Teams-Service stellt sicher, dass die Daten gültig sind, indem er die Nachrichtenntegrität der Nachricht anhand des Schlüssels überprüft, der aus einigen wenigen Elementen einschließlich eines TURN-Kennworts abgeleitet wurde, das niemals im Klartext gesendet wird. SRTP wird für den Medienverkehr verwendet und ist ebenfalls verschlüsselt.

Identitätsspoofing (Spoofing von IP-Adressen)

Spoofing liegt vor, wenn Angreifer unbefugt die IP-Adresse eines Netzwerks, Computers oder einer Netzwerkkomponente ermitteln und dann verwenden. Bei einem erfolgreichen Angriff kann der Angreifer sich so verhalten, als sei er der normalerweise durch die IP-Adresse identifizierte Benutzer.

TLS authentifiziert alle Parteien und verschlüsselt den gesamten Datenverkehr. Die Verwendung von TLS hindert einen Angreifer daran, das Spoofing der IP-Adresse für eine bestimmte Verbindung auszuführen (z. B. Mutual TLS-Verbindungen). Ein Angreifer könnte jedoch die Adresse des DNS-Servers (Domain Name System) durch Spoofing ermitteln. Da die Authentifizierung in Teams jedoch mit Zertifikaten durchgeführt wird, verfügt ein Angreifer nicht über gültige Informationen, die zum Spoofen einer der Parteien in der Kommunikation erforderlich sind.

Man-in-the-Middle-Angriff

Von einem "Man-in-the-Middle-Angriff" spricht man, wenn Angreifer die Kommunikation zwischen zwei Nutzern ohne deren Wissen über ihren eigenen Computer leiten. Die Angreifer können die übertragenen Daten überwachen und lesen, ehe sie an den eigentlichen Empfänger weitergeleitet werden. Beide Kommunikationspartner senden unwissentlich Daten an die Angreifer und empfangen von ihnen Daten, sind aber dabei in dem Glauben, ausschließlich mit der beabsichtigten Person zu kommunizieren. Dieses Szenario kann vorkommen, wenn es Angreifern gelingt, die Active Directory-Domänendienste so zu ändern, dass ihr Server als vertrauenswürdiger Server hinzugefügt wird, oder wenn sie die DNS-Konfiguration ändern oder andere Mittel verwenden, damit Clients auf dem Weg zum Server über den Computer der Angreifer geleitet werden.

Man-in-the-Middle-Attacken gegen den Mediendatenverkehr zwischen zwei Endpunkten, die an Teams Audio-, Video- und der Anwendungsfreigabe teilnehmen, werden durch die Verwendung von Secure Real-Time Transport-Protokoll (SRTP) zum Verschlüsseln des Mediendatenstroms verhindert. Kryptografieschlüssel werden zwischen den beiden Endpunkten über ein proprietäres Signalprotokoll (Teams Call Signaling Protocol) ausgehandelt, das einen mit TLS 1.2 und AES-256 (im GCM-Modus) verschlüsselten UDP- oder TCP-Kanal nutzt.

RTP-Replay-Angriff (Real-Time Transport-Protokoll)

Ein Replay-Angriff liegt vor, wenn eine gültige Medienübertragung zwischen zwei Parteien abgefangen und für böswillige Zwecke erneut übertragen wird. Microsoft Teams verwendet SRTP mit einem sicheren Signalübermittlungsprotokoll, das die Übertragungen vor Angriffen mit Aufzeichnungswiederholung schützt. Mit SRTP können Empfänger einen Index der bereits empfangenen RTP-Pakete erstellen und jedes neue Paket mit den bereits enthaltenen abgleichen.

Spim

Bei Spim handelt es sich um unerwünschte Werbenachrichten per Chat oder Präsenz-Abonnement-Anforderungen, wie Spam, jedoch in Form von Chatnachrichten. Das an sich ist zwar keine Kompromittierung des Netzwerks, aber es ist dennoch mindestens ärgerlich, kann Ressourcenverfügbarkeit und Produktion verringern und möglicherweise zu einer Beeinträchtigung des Netzwerks führen. Ein Beispiel dafür sind Angreifer, die sich gegenseitig durch das Senden von Anforderungen überbieten. Benutzer können sich zwar gegenseitig blockieren, um Spimming zu verhindern, aber in einem Partnerverbund kann dies schwierig sein, wenn ein koordinierter Spim-Angriff erfolgt, es sei denn, Sie deaktivieren den Verbund für den Partner.

Viren und Würmer

Ein Virus ist eine Codeeinheit, deren Zweck die Reproduktion weiterer, ähnlicher Codeeinheiten ist. Ein Virus benötigt, um zu funktionieren, einen Host, z. B. eine Datei, eine E-Mail oder ein Programm. Ähnlich wie ein Virus ist ein Wurm eine Codeeinheit, die weitere, ähnliche Codeeinheiten reproduziert, aber im Gegensatz zu einem Virus keinen Wirt benötigt. Viren und Würmer treten vor allem bei Dateiübertragungen zwischen Clients oder beim Versenden von URLs von anderen Benutzern auf. Wenn sich ein Virus auf Ihrem Computer befindet, kann er beispielsweise Ihre Identität verwenden und Sofortnachrichten in Ihrem Namen versenden. Standardmäßige bewährte Methoden für die Client-Sicherheit, wie z. B. die regelmäßige Überprüfung auf Viren, können dieses Problem entschärfen.

Phishingversuche

Phishingangriffe in Teams sind monetar und zur Sicherheit kostspielig. Diese Angriffe führen dazu, dass Benutzer informationen wie Kennwörter, Codes, Guthaben Karte Zahlen und andere wichtige Informationen über gefälschte Websitelinks und Anlagen preisgeben, die unschädlich erscheinen, aber gefährliche Software beim Klicken herunterladen können. Da viele dieser Angriffe auf Benutzer abzielen und sogar hochwertige Ziele mit viel Zugriff haben, können sie weit verbreitet sein. Es gibt jedoch Anti-Phishing-Strategien sowohl für Teams-Administratoren als auch für Benutzer.

Sicherheitsframework für Teams

Teams unterstützt Sicherheitsideen wie Zero Trust und die Prinzipien des geringstprivilegierten Zugriffs. Dieser Abschnitt enthält eine Übersicht über grundlegende Elemente, die ein Sicherheitsframework für Microsoft Teams bilden.

Die wichtigsten Elemente sind:

  • Microsoft Entra-ID, die ein einzelnes vertrauenswürdiges Back-End-Repository für Benutzerkonten bereitstellt. Benutzerprofilinformationen werden über die Aktionen von Microsoft Graph in Microsoft Entra-ID gespeichert.
    • Möglicherweise wurden mehrere Token ausgegeben, die bei Verfolgung des Netzwerkdatenverkehrs ggf. angezeigt werden. Dazu gehören Skype-Token, die beim Betrachten des Chats und Audiodatenverkehr möglicherweise in Ablaufverfolgungen angezeigt werden.
  • Transport Layer Security (TLS) verschlüsselt den Kanal in Bewegung. Die Authentifizierung erfolgt entweder mit gegenseitigem TLS (MTLS), basierend auf Zertifikaten, oder mithilfe der Dienst-zu-Dienst-Authentifizierung basierend auf Microsoft Entra ID.
  • Punkt-zu-Punkt-Audio-, Video- und Anwendungsfreigabestreams werden verschlüsselt und die Integrität mithilfe des Secure Real-Time Transport Protocol (SRTP) überprüft.
  • In Ihrer Spur wird OAuth-Datenverkehr angezeigt, insbesondere beim Tokenaustausch und dem Aushandeln von Berechtigungen beim Wechseln zwischen Registerkarten in Teams, z. B. um von Posts zu Dateien zu wechseln. Ein Beispiel für den OAuth-Ablauf für Registerkarten finden Sie in diesem Dokument.
  • Teams verwenden nach Möglichkeit branchenübliche Protokolle für die Nutzerauthentifizierung.

In den nächsten Abschnitten werden einige dieser Kerntechnologien erläutert.

Microsoft Entra-ID

Microsoft Entra ID fungiert als Verzeichnisdienst für Microsoft 365 und Office 365. Es speichert alle Nutzer- und Anwendungsverzeichnisinformationen und Richtlinienzuweisungen.

Datenverkehrsverschlüsselung in Teams

Diese Tabelle zeigt die wichtigsten Datenverkehrstypen und das Protokoll, das für die Verschlüsselung verwendet wird.

Datenverkehrstyp Verschlüsselt durch
Server-zu-Server TLS (mit MTLS oder Dienst-zu-Dienst-OAuth)
Client-zu-Server, z. B. Chat und Anwesenheit TLS
Medienflüsse, z. B. die Audio- und Videofreigabe von Medien TLS
Audio- und Videofreigaben von Medien SRTP/TLS
Signalisierung TLS
Erweiterte Client-zu-Client-Verschlüsselung (z. B. End-to-End-Verschlüsselungsaufrufe) SRTP/DTLS

Verteilungspunkte für Zertifikatsperrlisten (Certificate Revocation List, CRL)

Microsoft 365- und Office 365-Verkehr findet über TLS/HTTPS-verschlüsselte Kanäle statt, was bedeutet, dass Zertifikate zur Verschlüsselung des gesamten Verkehrs verwendet werden. In Microsoft Teams müssen alle Serverzertifikate einen oder mehrere CRL-Verteilungspunkte enthalten. CRL-Verteilungspunkte sind Speicherorte, von denen Zertifikatsperrlisten heruntergeladen werden können, um zu prüfen, ob das Zertifikat seit seiner Ausstellung gesperrt wurde und es sich noch im Gültigkeitszeitraum befindet. Ein CRL-Verteilungspunkt wird in den Eigenschaften des Zertifikats als URL angegeben und ist sicheres HTTP. Der Teams-Service überprüft die CRL bei jeder Zertifikatauthentifizierung.

Erweiterte Schlüsselverwendung

Für alle Komponenten des Microsoft Teams-Dienstes sind alle Serverzertifikate erforderlich, um die Erweiterte Schlüsselverwendung (EKU, Enhanced Key Usage) für die Serverauthentifizierung zu unterstützen. Die Konfiguration des EKU-Felds für die Serverauthentifizierung bedeutet, dass das Zertifikat für den Zweck der Serverauthentifizierung gültig ist. Diese EKU ist wesentlich für MTLS.

TLS für Teams

Teams-Daten werden während der Übertragung und im Ruhezustand in Microsoft-Dienste, zwischen Diensten sowie zwischen Clients und Diensten verschlüsselt. Microsoft verwendet dazu Branchenstandardtechnologien wie TLS und SRTP, um alle Daten während der Übertragung zu verschlüsseln. Zu den übertragenen Daten gehören Nachrichten, Dateien, Besprechungen und andere Inhalte. Ruhende Unternehmensdaten in Microsoft-Dienste werden ebenfalls so verschlüsselt, dass Organisationen Inhalte bei Bedarf entschlüsseln können, um ihre Sicherheits- und Complianceanforderungen zu erfüllen, z. B. mit eDiscovery. Weitere Informationen zur Verschlüsselung in Microsoft 365 finden Sie unter Verschlüsselung in Microsoft 365.

TCP-Datenflüsse werden mithilfe von TLS verschlüsselt, und MTLS- und Dienst-zu-Dienst-OAuth-Protokolle bieten endpunktauthentifizierte Kommunikationen zwischen Diensten, Systemen und Clients. Microsoft Teams verwendet diese Protokolle, um ein Netzwerk vertrauenswürdiger Systeme zu erstellen und sicherzustellen, dass die gesamte Kommunikation über dieses Netzwerk verschlüsselt ist.

Bei einer TLS-Verbindung fordert der Client vom Server ein gültiges Zertifikat an. Um gültig zu sein, muss das Zertifikat von einer Zertifizierungsstelle ausgestellt worden sein, der auch vom Client vertraut wird, und der DNS-Name des Servers muss mit dem DNS-Namen auf dem Zertifikat übereinstimmen. Wenn das Zertifikat gültig ist, verwendet der Client den öffentlichen Schlüssel im Zertifikat, um die symmetrischen Verschlüsselungsschlüssel, die für die Kommunikation verwendet werden, zu verschlüsseln, sodass nur der ursprüngliche Eigentümer des Zertifikats seinen privaten Schlüssel für die Entschlüsselung der Inhalte der Kommunikation verwenden kann. Die daraus resultierende Verbindung ist vertrauenswürdig und wird von diesem Punkt an nicht von anderen vertrauenswürdigen Servern oder Clients angezweifelt.

Die Verwendung von TLS trägt dazu bei, sowohl Lauschangriffe als auch Man-in-the-Middle-Angriffe zu verhindern. Ein Man-in-the-Middle-Angriff leitet die Kommunikation zwischen zwei Netzwerkeinheiten ohne Wissen einer der beiden Parteien über den Computer des Angreifers um. Die TLS- und Teams-Spezifikation vertrauenswürdiger Server entschärft das Risiko eines Man-in-the-Middle-Angriffs auf Anwendungsebene teilweise durch die Verwendung von Verschlüsselung, die mit der Kryptografie mit öffentlichem Schlüssel zwischen den beiden Endpunkten koordiniert wird. Ein Angreifer müsste über ein gültiges und vertrauenswürdiges Zertifikat mit dem entsprechenden privaten Schlüssel verfügen, das auf den Namen des Dienstes ausgestellt ist, mit dem der Client kommuniziert, um die Kommunikation zu entschlüsseln.

Verschlüsselung in Teams und Microsoft 365

Es gibt mehrere Verschlüsselungsebenen innerhalb Microsoft 365. Die Verschlüsselung in Microsoft Teams wirkt mit der restlichen Microsoft 365-Verschlüsselung zusammen, um die Inhalte Ihrer Organisation zu schützen. In diesem Artikel werden für Microsoft Teams spezifische Verschlüsselungstechnologien beschrieben. Eine Übersicht über die Verschlüsselung in Microsoft 365 finden Sie unter Verschlüsselung in Microsoft 365.

Medienverschlüsselung

Anrufflüsse in Teams basieren auf dem Angebots- und Antwortmodell Session Description Protocol (SDP) RFC 8866 über HTTPS. Sobald der Angerufene einen eingehenden Anruf annimmt, stimmen Anrufer und Angerufener den Sitzungsparametern zu.

Mediendatenverkehr zwischen Anrufer und Angerufenem wird über Secure RTP (SRTP) verschlüsselt, ein Profil von RTP (Real-Time Transport-Protokoll), das Vertraulichkeit, Authentifizierung und Schutz vor Replay-Angriffen für RTP-Datenverkehr bietet. SRTP verwendet einen Sitzungsschlüssel, der von einem sicheren Zufallszahlengenerator generiert und über den signalisierenden TLS-Kanal ausgetauscht wird. Der Client-zu-Client-Mediendatenverkehr wird meistens über Client-zu-Server-Verbindungssignale verhandelt, und bei direktem Client-zu-Client mit SRTP verschlüsselt.

Bei normalen Anrufflüssen erfolgt die Aushandlung des Verschlüsselungsschlüssels über den Anrufsignalkanal. Bei einem End-to-End-verschlüsselten Anruf ist der Signalisierungsfluss derselbe wie bei einem normalen 1:1-Microsoft Teams-Anruf. Allerdings wird in Microsoft Teams mittels DTLS ein Verschlüsselungsschlüssel basierend auf Zertifikaten pro Anruf abgeleitet, die auf beiden Clientendpunkten generiert werden. Da DTLS den Schlüssel basierend auf den Clientzertifikaten ableitet, ist der Schlüssel für Microsoft undurchsichtig. Sobald sich beide Clients mit dem Schlüssel einverstanden erklären, beginnt der Medienfluss mit diesem mit DTLS ausgehandelten Verschlüsselungsschlüssel über SRTP.

Zum Schutz vor einem Man-in-the-Middle-Angriff zwischen dem Anrufer und dem Aufgerufenen leitet Microsoft Teams einen 20-stelligen Sicherheitscode aus den SHA-256-Fingerabdrücken der Endpunktanrufzertifikate von Anrufer und Angerufenem ab. Der Aufrufer und der Angerufene können die 20-stelligen Sicherheitscodes überprüfen, indem sie sich gegenseitig vorlesen, um festzustellen, ob sie übereinstimmen. Wenn die Codes nicht übereinstimmen, wurde die Verbindung zwischen dem Aufrufer und dem Angerufenen im Rahmen eines Man-in-the-Middle-Angriffs abgefangen. Wenn der Anruf kompromittiert wurde, können die Benutzer den Anruf manuell beenden.

Teams verwendet ein auf Anmeldeinformationen basierendes Token für den sicheren Zugriff auf Medienrelays über TURN. Medienrelays tauschen das Token über einen TLS-gesicherten Kanal aus.

Federal Information Processing Standard (FIPS)

Microsoft Teams verwendet FIPS-konforme Algorithmen für den Austausch von Verschlüsselungsschlüsseln. Weitere Informationen zur Implementierung von FIPS finden Sie unter FIPS (Federal Information Processing Standard) Publication 140-2.

Nutzer- und Clientauthentifizierung

Ein vertrauenswürdiger Benutzer ist ein Benutzer, dessen Anmeldeinformationen durch Microsoft Entra ID in Microsoft 365 oder Office 365 authentifiziert wurden.

Authentifizierung bedeutet die Bereitstellung von Benutzeranmeldeinformationen für einen vertrauenswürdigen Server oder Dienst. Teams verwendet abhängig vom Status und Standort des Benutzers die folgenden Authentifizierungsprotokolle.

  • Moderne Authentifizierung (MA) ist die Microsoft-Implementierung von OAUTH 2.0 für die Client-Server-Kommunikation. Sie ermöglicht Sicherheitsfunktionen wie mehrstufige Authentifizierung (MA) und bedingten Zugriff. Für die Nutzung von MA müssen sowohl der Onlinemandant als auch die Clients für MA aktiviert sein. Alle Microsoft Teams-Clients über PC und Mobilgeräte hinweg sowie der Webclient unterstützen die mehrstufige Authentifizierung.

Hinweis

Wenn Sie weitere Informationen zu Microsoft Entra Authentifizierungs- und Autorisierungsmethoden benötigen, sind die Abschnitte Einführung und "Authentifizierungsgrundlagen in Microsoft Entra ID" hilfreich.

Die Teams-Authentifizierung erfolgt über Microsoft Entra-ID und OAuth. Der Authentifizierungsprozess kann vereinfacht werden:

  • Die Ausstellung des Benutzeranmeldungstokens > für > die nächste Anforderung verwendet ausgestelltes Token.

Anforderungen vom Client an den Server werden durch Microsoft Entra ID unter Verwendung von OAuth authentifiziert und autorisiert. Nutzer mit gültigen Anmeldeinformationen, die von einem Verbundpartner ausgestellt wurden, sind vertrauenswürdig und durchlaufen denselben Prozess wie native Benutzer. Weitere Einschränkungen können jedoch von Administratoren eingeführt werden.

Für die Medienauthentifizierung verwenden die ICE- und TURN-Protokolle auch die Digest-Challenge, wie im IETF TURN RFC beschrieben.

Windows PowerShell- und Team-Verwaltungstools

In Teams können IT-Administratoren ihren Service über das Microsoft 365 Admin Center oder mithilfe von Tenant Remote PowerShell (TRPS) verwalten. Mandantenadministratoren verwenden die moderne Authentifizierung, um sich bei TRPS zu authentifizieren.

Konfigurieren des Zugriffs auf Microsoft Teams an Ihrer Internetgrenze

Damit Microsoft Teams ordnungsgemäß funktioniert (damit Nutzer an Besprechungen teilnehmen können usw.), müssen Kunden ihren Internetzugang so konfigurieren, dass ausgehender UDP- und TCP-Verkehr zu Diensten in der Microsoft Teams-Cloud zulässig ist. Weitere Informationen finden Sie unter Office 365-URLs und -IP-Adressbereiche.

UDP 3478-3481 und TCP 443

Die Ports UDP 3478-3481 und TCP 443 werden von Clients verwendet, um einen Dienst für audiovisuelle Medien anzufordern. Ein Client verwendet diese beiden Ports, um UDP- bzw. TCP-Ports zuzuweisen und diese Medienflüsse zu aktivieren. Die Medienflüsse an diesen Ports sind mit einem Schlüssel geschützt, der über einen TLS-geschützten Signalisierungskanal ausgetauscht wird.

Verbundsschutz für Microsoft Teams

Verbund bietet Ihrer Organisation die Möglichkeit, mit anderen Organisationen zu kommunizieren, um einen Chat und Präsenz zu teilen. In Teams ist der Verband standardmäßig aktiviert. Mandantenadministratoren können dies jedoch über das Microsoft 365 Admin Center steuern.

Umgang mit Bedrohungen für Microsoft Teams-Besprechungen

Unternehmensbenutzer können Echtzeitbesprechungen erstellen und daran teilnehmen und externe Benutzer ohne Microsoft Entra-ID, Microsoft 365 oder Office 365 Konto zur Teilnahme an diesen Besprechungen einladen.

Die Teilnahme externer Benutzer an Teams-Besprechungen kann nützlich sein, birgt aber auch sicherheitsrelevante Risiken. Um diese Risiken zu beheben, verwendet Teams die folgenden Sicherheitsvorkehrungen:

Vor der Besprechung:

  1. Entscheiden Sie, welche externen Teilnehmertypen an Ihren Besprechungen teilnehmen dürfen:

    • Anonymer Zugriff ermöglicht die Teilnahme an Einer Besprechung von (1) nicht authentifizierten Benutzern, die nicht im Team angemeldet sind (normalerweise über den Besprechungslink im Browser teilnehmen) und (2) authentifizierten Benutzern von externen Mandanten, die keinen externen Zugriff mit dem Organisator und Ihrer Organisation eingerichtet haben.

    • Über den externen Zugriff können Sie entscheiden, welche authentifizierten externen Benutzer und Organisationen mit mehr Berechtigungen an Ihren Besprechungen teilnehmen können. Diese Benutzer werden als vertrauenswürdige Organisationen betrachtet.

    • Mit dem Gastzugriff können Sie Gastkonten für Personen außerhalb Ihrer Organisation erstellen, um Zugriff auf Teams, Dokumente in Kanälen, Ressourcen, Chats und Anwendungen zu haben und gleichzeitig die Kontrolle über Ihre Unternehmensdaten zu behalten.

Hinweis

Benutzer und Organisationen, die keinen externen Zugriff auf Ihre Organisation haben, werden als anonym betrachtet. Wenn Sie die anonyme Teilnahme blockiert haben, können sie nicht an Ihren Besprechungen teilnehmen.

Der externe Zugriff muss bidirektional aktiviert werden, beide Organisationen müssen gegenseitigen externen Zugriff zulassen.

Hinweis

Weitere Informationen zum Gast- und externen Zugriff in Teams finden Sie in diesem Artikel. Es wird erläutert, welche Funktionen Gast- oder externe Nutzer erwarten können, wenn sie sich bei Teams anmelden.

  1. Entscheiden Sie, wer direkt an der Besprechung teilnehmen kann und wer im Wartebereich warten muss, um vom Organisator, Mitorganisator oder authentifizierten Benutzern mit der Rolle "Referent" der Besprechung zugelassen zu werden:

  2. Entscheiden Sie, ob anonyme Benutzer und Einwahlanrufer eine Besprechung starten können, bevor Benutzer aus Ihrer Organisation, Benutzer von vertrauenswürdigen Organisationen und Benutzer mit Gastzugriff an dem Anruf teilnehmen.

Hinweis

Das Planen von Besprechungen ist auf authentifizierte Benutzer aus Ihrer Organisation oder Benutzer mit Gastzugriff auf Ihre Organisation beschränkt.

Während der Besprechung:

  1. Weisen Sie bestimmte Teilnehmerbesprechungsrollen zu, um Die Berechtigungen für die Besprechungssteuerung zu bestimmen. Besprechungsteilnehmer fallen in Gruppen, die jeweils über eigene Berechtigungen und Einschränkungen verfügen, die hier beschrieben sind.

Hinweis

Wenn Sie Besprechungen aufzeichnen und eine Berechtigungsmatrix für den Zugriff auf die Inhalte anzeigen möchten, lesen Sie diesen Artikel und dessen Matrix.

Ändern Sie, während die Besprechung ausgeführt wird:

  • Sie können die Besprechungsoptionen ändern , während eine Besprechung ausgeführt wird. Die Änderung, wenn sie gespeichert wird, ist innerhalb von Sekunden in der laufenden Besprechung spürbar. Dies wirkt sich auch auf alle zukünftigen Vorkommen der Besprechung aus. Ausführliche Informationen zum Zuweisen dieser Rollen finden Sie in diesem Artikel.

Hinweis

Änderungen in den Teams-Administratoreinstellungen können bis zu 24 Stunden dauern.

Die wichtigsten 12 Aufgaben für Sicherheitsteams zur Unterstützung der Arbeit von zu Hause aus

Microsoft Trust Center

Optimieren der Microsoft 365- oder Office 365-Konnektivität für Remotebenutzer mithilfe des geteilten VPN-Tunnels