Microsoft Teams-Räume Sicherheit

• Gilt für::

  Microsoft Teams

Dieser Artikel enthält Sicherheitsleitfäden für Microsoft Teams-Räume-Geräte auf Windows- und Android-Geräten. Dieser Leitfaden enthält Informationen zur Hardware-, Software-, Netzwerk- und Kontosicherheit.

Wählen Sie die Registerkarte Teams-Räume unter Windows oder Teams-Räume für Android aus, um weitere Informationen zur Sicherheit des Teams-Raums auf Ihrem Gerät zu finden.

Teams-Räume unter Windows

Microsoft arbeitet mit unseren Partnern zusammen, um eine Lösung bereitzustellen, die sicher ist und keine zusätzlichen Aktionen erfordert, um Microsoft Teams-Räume unter Windows zu schützen. In diesem Abschnitt werden viele der Sicherheitsfeatures in Teams-Räume unter Windows erläutert.

Um Informationen zur Sicherheit auf Teams-Räume auf Android-Geräten zu erfahren, wählen Sie die Registerkarte Teams-Räume auf Android aus.

Hinweis

Microsoft Teams-Räume sollte nicht wie eine typische Endbenutzerarbeitsstation behandelt werden. Die Anwendungsfälle unterscheiden sich nicht nur erheblich, sondern auch die Standardsicherheitsprofile unterscheiden sich erheblich. Es wird empfohlen, sie als Appliances zu behandeln. Die Installation zusätzlicher Software auf Ihren Teams-Räume Geräten wird von Microsoft nicht unterstützt. Dieser Artikel bezieht sich auf Microsoft Teams-Räume-Geräte, die unter Windows ausgeführt werden.

Eingeschränkte Endbenutzerdaten werden auf Teams-Räume gespeichert. Endbenutzerdaten können nur zur Problembehandlung und zur Unterstützung in den Protokolldateien gespeichert werden. Keine Teilnehmer einer Besprechung, die Teams-Räume verwenden, können Dateien auf die Festplatte kopieren oder sich als sich selbst anmelden. Es werden keine Endbenutzerdaten an das Microsoft Teams-Räume Gerät übertragen oder darauf zugreifen können.

Obwohl Endbenutzer keine Dateien auf einer Teams-Räume Festplatte ablegen können, ist Microsoft Defender trotzdem standardmäßig aktiviert. Teams-Räume Leistung wird mit Microsoft Defender getestet, einschließlich der Registrierung beim Defender für Endpunkt-Portal. Das Deaktivieren dieser Oder das Hinzufügen von Endpunktsicherheitssoftware kann zu unvorhersehbaren Ergebnissen und potenziellen Systembeeinträchtigungen führen.

Hardwaresicherheit

In einer Teams-Räume-Umgebung gibt es ein zentrales Computemodul, das Windows 10 oder 11 IoT Enterprise Edition ausführt. Jedes zertifizierte Computemodul muss über eine sichere Bereitstellungslösung, einen Sicherheitsschlossslot (z. B. Eine Kensington-Sperre) und Sicherheitsmaßnahmen für den Zugriff auf E/A-Ports verfügen, um die Verbindung nicht autorisierter Geräte zu verhindern. Sie können auch bestimmte Ports über die UEFI-Konfiguration (Unified Extensible Firmware Interface) deaktivieren.

Jedes zertifizierte Computemodul muss standardmäßig mit TPM 2.0-konformer Technologie (Trusted Platform Module) ausgeliefert werden. TPM wird verwendet, um die Anmeldeinformationen für das Teams-Räume-Ressourcenkonto zu verschlüsseln.

Der sichere Start ist standardmäßig aktiviert. Sicherer Start ist ein Sicherheitsstandard, der von Mitgliedern der PC-Branche entwickelt wurde, um sicherzustellen, dass ein Gerät nur mit Software gestartet wird, der vom Originalgerätehersteller (Original Equipment Manufacturer, OEM) als vertrauenswürdig eingestuft wird. Wenn der PC gestartet wird, überprüft die Firmware die Signatur der einzelnen Startsoftware, einschließlich UEFI-Firmwaretreiber (auch als Option ROMs bezeichnet), EFI-Anwendungen und das Betriebssystem. Wenn die Signaturen gültig sind, wird der PC gestartet, und die Firmware gibt dem Betriebssystem die Kontrolle. Weitere Informationen finden Sie unter Sicherer Start.

Der Zugriff auf die UEFI-Einstellungen ist nur möglich, indem Sie eine physische Tastatur und Maus anbringen, wodurch verhindert wird, dass über die Teams-Räume Touch-fähige Konsole oder andere touchfähige Bildschirme, die an Teams-Räume angeschlossen sind, auf UEFI zugreifen können.

Der Kernel-DMA-Schutz (Direct Memory Access) ist eine Windows-Einstellung, die auf Teams-Räume aktiviert ist. Mit diesem Feature schützen das Betriebssystem und die Systemfirmware das System vor böswilligen und unbeabsichtigten DMA-Angriffen für alle DMA-fähigen Geräte:

• Während des Startvorgangs.

• Vor schädlichem DMA durch Geräte, die an leicht zugängliche interne/externe DMA-fähige Ports wie M.2-PCIe-Steckplätze und Thunderbolt 3 angeschlossen sind, während der Betriebssystemlaufzeit.

Teams-Räume ermöglicht auch hypervisorgeschützte Codeintegrität (HVCI). Eines der von HVCI bereitgestellten Features ist Credential Guard. Credential Guard bietet die folgenden Vorteile:

• Hardwaresicherheit NTLM, Kerberos und Credential Manager nutzen Plattformsicherheitsfeatures wie sicherer Start und Virtualisierung, um Anmeldeinformationen zu schützen.

• Virtualisierungsbasierte Sicherheit Von Windows NTLM und Kerberos abgeleitete Anmeldeinformationen und andere Geheimnisse werden in einer geschützten Umgebung ausgeführt, die vom ausgeführten Betriebssystem isoliert ist.

• Besserer Schutz vor erweiterten persistenten Bedrohungen Wenn von Credential Manager-Domänenanmeldeinformationen, NTLM und Kerberos abgeleitete Anmeldeinformationen durch virtualisierungsbasierte Sicherheit geschützt werden, werden die Angriffstechniken für den Diebstahl von Anmeldeinformationen und tools blockiert, die bei vielen gezielten Angriffen verwendet werden. Schadsoftware, die im Betriebssystem mit Administratorrechten ausgeführt wird, kann keine Geheimnisse extrahieren, die durch virtualisierungsbasierte Sicherheit geschützt sind.

Softwaresicherheit

Nach dem Starten von Microsoft Windows melden sich Teams-Räume automatisch bei einem lokalen Windows-Benutzerkonto namens Skype an. Das Skype-Konto verfügt über kein Kennwort. Um die Skype-Kontositzung zu schützen, werden die folgenden Schritte ausgeführt.

Wichtig

Ändern Sie weder das Kennwort noch das lokale Skype-Benutzerkonto. Dadurch kann verhindert werden, dass sich Teams-Räume automatisch anmelden.

Die Microsoft Teams-Räume-App wird mit dem Feature "Zugewiesener Zugriff" in Windows 10 1903 und höher ausgeführt. Der zugewiesene Zugriff ist ein Feature in Windows, das die für den Benutzer verfügbaren Anwendungseinstiegspunkte einschränkt und den Kioskmodus für einzelne Apps aktiviert. Mithilfe des Shell-Startprogramms wird Teams-Räume als Kioskgerät konfiguriert, auf dem eine Windows-Desktopanwendung als Benutzeroberfläche ausgeführt wird. Die Microsoft Teams-Räume-App ersetzt die Standardshell (explorer.exe), die normalerweise ausgeführt wird, wenn sich ein Benutzer anmeldet. Mit anderen Worten, die herkömmliche Explorer Shell wird überhaupt nicht gestartet, wodurch die Microsoft Teams-Räume Sicherheitsrisikooberfläche in Windows erheblich reduziert wird. Weitere Informationen finden Sie unter Konfigurieren von Kiosks und digitalen Zeichen in Windows-Desktopeditionen.

Wenn Sie sich für die Durchführung einer Sicherheitsüberprüfung oder eines CIS-Benchmarks (Center for Internet Security) auf Teams-Räume entscheiden, kann die Überprüfung nur im Kontext eines lokalen Administratorkontos ausgeführt werden, da das Skype-Benutzerkonto die Ausführung anderer Anwendungen als der Teams-Räume-App nicht unterstützt. Viele der Sicherheitsfeatures, die auf den Skype-Benutzerkontext angewendet werden, gelten nicht für andere lokale Benutzer, sodass diese Sicherheitsüberprüfungen nicht die vollständige Sicherheitssperre für das Skype-Konto anzeigen. Daher wird davon abgeraten, eine lokale Überprüfung auf Teams-Räume auszuführen. Sie können jedoch bei Bedarf externe Penetrationstests ausführen. Daher wird empfohlen, externe Penetrationstests für Teams-Räume Geräte auszuführen, anstatt lokale Überprüfungen auszuführen.

Darüber hinaus werden Sperrrichtlinien angewendet, um die Verwendung nicht administrativer Features zu beschränken. Ein Tastaturfilter ist aktiviert, um potenziell unsichere Tastaturkombinationen abzufangen und zu blockieren, die nicht durch Richtlinien für den zugewiesenen Zugriff abgedeckt werden. Nur Benutzer mit lokalen oder Domänenadministratorrechten dürfen sich bei Windows anmelden, um Teams-Räume zu verwalten. Diese und andere Richtlinien, die auf Windows auf Microsoft Teams-Räume Geräten angewendet werden, werden während des Produktlebenszyklus kontinuierlich bewertet und getestet.

Microsoft Defender standardmäßig aktiviert ist, enthält die Teams-Räume Pro-Lizenz auch Defender für Endpunkt, mit dem Kunden ihre Teams-Räume bei Defender für Endpunkt registrieren können, um Sicherheitsteams einblick in den Sicherheitsstatus von Teams Room auf Windows-Geräten über das Defender-Portal zu ermöglichen. Teams-Räume unter Windows können anhand der Schritte für Windows-Geräte registriert werden. Es wird nicht empfohlen, Teams-Räume mithilfe von Schutzregeln (oder anderen Defender-Richtlinien, die Konfigurationsänderungen vornehmen) zu ändern, da sich diese Richtlinien auf Teams-Räume Funktionalität auswirken können. Die Berichtsfunktionen im Portal werden jedoch unterstützt.

Kontosicherheit

Teams-Räume Geräte enthalten ein Administratorkonto namens "Admin" mit einem Standardkennwort. Es wird dringend empfohlen, das Standardkennwort so bald wie möglich nach Abschluss des Setups zu ändern.

Das Admin-Konto ist für den ordnungsgemäßen Betrieb von Teams-Räume Geräten nicht erforderlich und kann umbenannt oder sogar gelöscht werden. Bevor Sie jedoch das Admin-Konto löschen, stellen Sie sicher, dass Sie ein alternatives lokales Administratorkonto einrichten, das konfiguriert ist, bevor Sie das konto entfernen, das mit Teams-Räume Geräten geliefert wird. Weitere Informationen zum Ändern eines Kennworts für ein lokales Windows-Konto mithilfe integrierter Windows-Tools oder PowerShell finden Sie in den folgenden Artikeln:

• Konfigurieren von LAPS unter Teams-Räume unter Windows
• Ändern oder Zurücksetzen Ihres Windows-Kennworts
• Set-LocalUser

Sie können Domänenkonten auch mithilfe von Intune in die lokale Windows-Administratorgruppe importieren. Weitere Informationen finden Sie unter Richtlinien-CSP – RestrictedGroups.

Hinweis

Wenn Sie eine Crestron-Teams-Räume mit einer mit dem Netzwerk verbundenen Konsole verwenden, stellen Sie sicher, dass Sie die Anleitung von Crestron befolgen, um das windows-Konto zu konfigurieren, das für die Kopplung verwendet wird.

Vorsicht

Wenn Sie das Admin-Konto löschen oder deaktivieren, bevor Sie einem anderen lokalen Oder Domänenkonto lokale Administratorberechtigungen erteilen, verlieren Sie möglicherweise die Möglichkeit, das Teams-Räume Gerät zu verwalten. In diesem Fall müssen Sie das Gerät auf seine ursprünglichen Einstellungen zurücksetzen und den Setupvorgang erneut abschließen.

Erteilen Sie dem Skype-Benutzerkonto keine lokalen Administratorberechtigungen.

Windows Configuration Designer kann zum Erstellen von Windows-Bereitstellungspaketen verwendet werden. Neben dem Ändern des lokalen Admin Kennworts können Sie auch Vorgänge wie das Ändern des Computernamens und die Registrierung bei Microsoft Entra ID ausführen. Weitere Informationen zum Erstellen eines Windows Configuration Designer-Bereitstellungspakets finden Sie unter Bereitstellen von Paketen für Windows 10.

Sie müssen für jedes Teams-Räume Gerät ein Ressourcenkonto erstellen, damit es sich bei Teams anmelden kann. Sie können die interaktive zweistufige oder mehrstufige Authentifizierung von Benutzern mit diesem Konto nicht verwenden. Die Anforderung eines zweiten Faktors würde verhindern, dass sich das Konto nach einem Neustart automatisch bei der Teams-Räume-App anmelden kann. Darüber hinaus können Microsoft Entra Richtlinien für bedingten Zugriff und Intune Konformitätsrichtlinien bereitgestellt werden, um das Ressourcenkonto zu schützen. Weitere Informationen finden Sie unter Unterstützter bedingter Zugriff und Intune Gerätekonformitätsrichtlinien für Microsoft Teams-Räume und bedingten Zugriff und Intune Compliance für Microsoft Teams-Räume.

Es wird empfohlen, das Ressourcenkonto in Microsoft Entra ID zu erstellen, wenn möglich als reines Cloudkonto. Während ein synchronisiertes Konto mit Teams-Räume in Hybridbereitstellungen funktionieren kann, haben diese synchronisierten Konten häufig Schwierigkeiten, sich bei Teams-Räume anzumelden, und die Problembehandlung kann schwierig sein. Wenn Sie einen Verbunddienst eines Drittanbieters verwenden möchten, um die Anmeldeinformationen für das Ressourcenkonto zu authentifizieren, stellen Sie sicher, dass der IdP des Drittanbieters mit dem wsTrustResponse auf urn:oasis:names:tc:SAML:1.0:assertionfestgelegten Attribut antwortet. Wenn Ihr organization WS-Trust nicht verwenden möchte, verwenden Sie stattdessen reine Cloudkonten.

Netzwerksicherheit

Im Allgemeinen hat Teams-Räume die gleichen Netzwerkanforderungen wie jeder Microsoft Teams-Client. Der Zugriff über Firewalls und andere Sicherheitsgeräte ist für Teams-Räume identisch mit jedem anderen Microsoft Teams-Client. Spezifisch für Teams-Räume müssen die Kategorien, die für Teams als "erforderlich" aufgeführt sind, in Ihrer Firewall geöffnet sein. Teams-Räume benötigt auch Zugriff auf Windows Update, Microsoft Store und Microsoft Intune (wenn Sie Microsoft Intune zum Verwalten Ihrer Geräte verwenden). Eine vollständige Liste der ip-Adressen und URLs, die für Microsoft Teams-Räume erforderlich sind, finden Sie unter:

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common und Office OnlineOffice 365 URLs und IP-Adressbereiche
• Windows UpdateKonfigurieren von WSUS
• MicrosoftStore-Voraussetzungen für Microsoft Store für Unternehmen und Bildungseinrichtungen
• Microsoft IntuneNetzwerkendpunkte für Microsoft Intune

Wenn Sie die Komponente Microsoft Teams-Räume verwaltete Dienste von Microsoft Teams-Räume Pro verwenden, müssen Sie auch sicherstellen, dass Teams-Räume auf die folgenden URLs zugreifen können:

• agent.rooms.microsoft.com
• global.azure-devices-provisioning.net
• gj3ftstorage.blob.core.windows.net
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net

GCC-Kunden müssen auch die folgenden URLs aktivieren:

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

Teams-Räume ist so konfiguriert, dass er automatisch mit den neuesten Windows-Updates, einschließlich Sicherheitsupdates, gepatcht wird. Teams-Räume installiert alle ausstehenden Updates jeden Tag ab 2:00 Uhr mithilfe einer voreingestellten lokalen Richtlinie. Es ist nicht erforderlich, andere Tools zum Bereitstellen und Anwenden von Windows Updates zu verwenden. Die Verwendung anderer Tools zum Bereitstellen und Anwenden von Updates kann die Installation von Windows-Patches verzögern und somit zu einer weniger sicheren Bereitstellung führen. Die Teams-Räume-App wird über den Microsoft Store bereitgestellt.

Teams-Räume Geräte funktionieren mit den meisten 802.1X- oder anderen netzwerkbasierten Sicherheitsprotokollen. Es ist jedoch nicht möglich, Teams-Räume mit allen möglichen Netzwerksicherheitskonfigurationen zu testen. Wenn daher Leistungsprobleme auftreten, die auf Netzwerkleistungsprobleme zurückverfolgt werden können, müssen Sie diese Protokolle möglicherweise deaktivieren.

Für eine optimale Leistung von Echtzeitmedien wird dringend empfohlen, den Teams-Mediendatenverkehr so zu konfigurieren, dass Proxyserver und andere Netzwerksicherheitsgeräte umgangen werden. Echtzeitmedien sind sehr latenzempfindlich, und Proxyserver und Netzwerksicherheitsgeräte können die Video- und Audioqualität der Benutzer erheblich beeinträchtigen. Da Teams-Medien bereits verschlüsselt sind, bietet die Weiterleitung des Datenverkehrs über einen Proxyserver keinen konkreten Vorteil. Weitere Informationen finden Sie unter Networking up (to the Cloud) – Der Standpunkt eines Architekten, in dem Netzwerkempfehlungen zur Verbesserung der Leistung von Medien mit Microsoft Teams und Microsoft Teams-Räume erläutert werden.

Wichtig

Teams-Räume unterstützt keine authentifizierten Proxyserver.

Teams-Räume Geräte müssen keine Verbindung mit einem internen LAN herstellen. Erwägen Sie, Teams-Räume in einem sicheren isolierten Netzwerksegment mit direktem Internetzugriff zu platzieren. Wenn Ihr internes LAN kompromittiert wird, werden die Angriffsvektormöglichkeiten in Richtung Teams-Räume reduziert.

Es wird dringend empfohlen, Dass Sie Ihre Teams-Räume Geräte mit einem kabelgebundenen Netzwerk verbinden. Die Verwendung von Drahtlosnetzwerken erfordert eine sorgfältige Planung und Bewertung, um die beste Erfahrung zu erzielen. Weitere Informationen finden Sie unter Überlegungen zu Drahtlosnetzwerken.

Näherungsjoin und andere Teams-Räume Features basieren auf Bluetooth. Die Bluetooth-Implementierung auf Teams-Räume Geräten lässt jedoch keine externe Geräteverbindung mit einem Teams-Räume Gerät zu. Die Verwendung der Bluetooth-Technologie auf Teams-Räume Geräten ist derzeit auf Werbe-Beacons und prompte proximale Verbindungen beschränkt. Der ADV_NONCONN_INT PDU-Typ (Protocol Data Unit) wird im Werbe-Beacon verwendet. Dieser PDU-Typ ist für nicht verbundene Geräte vorgesehen, die Dem lauschenden Gerät Informationen anzeigen. Es gibt keine Bluetooth-Gerätekopplung im Rahmen dieser Features. Weitere Informationen zu Bluetooth-Protokollen finden Sie auf der Bluetooth SIG-Website.

Teams-Räume unter Android

In diesem Artikel werden keine Android-Geräte behandelt, die von Microsoft Endpoint Manager für den dedizierten Gerätemodus konfiguriert wurden. Teams Android-Geräte werden standardmäßig im Kioskmodus ausgeführt. Informationen zu Android Kiosk finden Sie unter Registrierung für dedizierte Android Enterprise-Geräte.

Microsoft arbeitet mit unseren OEM-Partnern zusammen, um eine Lösung bereitzustellen, die entwurfsbedingt sicher und an die Kundenanforderungen angepasst werden kann. In diesem Artikel werden viele der Sicherheitsfeatures von Teams Android-Geräten und unser Ansatz erläutert. Es ist in vier Wichtige Abschnitte unterteilt, um die Navigation zu erleichtern.

Hinweis

Microsoft Teams Android-Geräte sollten nicht als typisches Android-Gerät behandelt werden. Teams Android-Geräte sind speziell entwickelte Appliances, die für die Verwendung mit Teams und den jeweiligen Anwendungsfällen entwickelt wurden. Dieser Artikel gilt nur für zertifizierte und dedizierte Microsoft Teams-Geräte, auf denen das Android-Betriebssystem ausgeführt wird. Teams-zertifizierte Geräte können nur von zertifizierten OEM-Anbietern erworben werden. Informationen zu von Microsoft Teams zertifizierten Android-Geräten finden Sie unter Teams-Räume zertifizierten Systemen und Peripheriegeräten.

Um Informationen zur Sicherheit auf Teams-Räume auf Windows-Geräten zu erfahren, wählen Sie die Registerkarte Teams-Räume unter Windows aus.

Softwaresicherheit

Android-Kioskmodus

Teams Android-Geräte sind gesperrt, um nur genehmigte Anwendungen auszuführen, indem das Gerät im Android Kiosk-Modus ausgeführt wird. Der Kioskmodus deaktiviert den Zugriff auf alle Startprogrammfunktionen und trägt dazu bei, das Gerät zu schützen, sodass autorisierte Anwendungen auf dem Gerät gestartet werden.

Application Name	Anwendungsbeschreibung
Microsoft Teams Android-App	Microsoft Teams-Geräteanwendung
Microsoft Teams Admin Agent	Teams Admin Center-Remoteverwaltung
Intune-Unternehmensportal	Geräteregistrierung, Registrierung & Anmeldung
OEM-Partner-Agent	OEM Partner Agent & Device Settings App

Standardmäßig wird die Microsoft Teams Android-App beim Start im Android Kiosk-Modus gestartet und bietet dem Benutzer keinen Zugriff auf das Betriebssystem oder Zugriff auf Komponenten außerhalb der festgelegten Teams-Benutzeroberfläche.

Signierung von Anwendungscode

Alle Microsoft- und OEM-Anwendungen sind mit Code signiert. Die Codesignierung hilft dabei, zu überprüfen, ob die auf einem Gerät ausgeführte Software original von Microsoft und unseren Hardwarepartnern ist. Bei der Codesignatur wird auch versucht, die Integrität der auf dem Gerät ausgeführten Software zu überprüfen, sodass nur Originalsoftware gestartet und ausgeführt werden kann.

Anwendungen von Drittanbietern

Auf teams-zertifizierten Geräten ist der Google Play Store, Amazon App Store oder Google Play Services nicht standardmäßig installiert. Dadurch wird sichergestellt, dass keine Drittanbieteranwendungen aus dem Store auf einem Gerät installiert werden können.

Android-Debugbrücke

Android Debug Bridge (ADB) ist auf allen Teams Android-Geräten, auf denen Releasesoftware ausgeführt wird, standardmäßig deaktiviert. ADB ist ein Befehlszeilentool, mit dem Administratoren Funktionen auf Android-basierten Geräten ausführen und die Installation von Apps, den Zugriff auf die Geräteshell und andere Administratorfunktionen ermöglicht.

Dateisystemverschlüsselung

Teams Android-Geräte müssen die Android-basierte Verschlüsselung unterstützen und können mithilfe von Microsoft Endpoint Manager-Konformitätsrichtlinien erzwungen werden. Informationen zu Endpoint Manager-Konformitätsrichtlinien Verwenden Sie Endpoint Manager-Konformitätsrichtlinien, um Regeln für Geräte festzulegen, die Sie mit Intune verwalten.

Android-Betriebssystemversion

Teams Android-Geräte führen unterstützte Versionen von Android aus. Das Android-Betriebssystem wird von OEM-Partnern verwaltet, mit teams-zertifizierter Firmware zusammengeführt und dann über das Teams Admin Center per Push auf Geräte übertragen. Informationen dazu, welche Android-Versionen auf Teams Android-Geräten ausgeführt werden, finden Sie unter [Microsoft Teams-zertifizierte Android-Geräte](android-app-firmware.md).

Android-Sicherheitsupdates

OEM-Anbieter integrieren im Rahmen des Firmwareupdateprozesses die entsprechenden Android-Sicherheitsupdatebaselines, um die Sicherheit des Basisbetriebssystems zu gewährleisten. Ihre Geräte regelmäßig auf dem neuesten Stand zu halten, ist wichtig, um sicherzustellen, dass die entsprechenden Android-Sicherheitsupdates auf Ihren Geräten ausgeführt werden. Weitere Informationen finden Sie bei Ihrem Gerätehersteller.

Kontosicherheit

Teams Android-Geräte basieren auf zwei Arten von Konten, die das erfolgreiche Funktionieren eines Geräts ermöglichen.

• Administratorkonto für lokales Gerät

• Benutzer- oder Ressourcenkonto

Teams Android-Geräte sind auch mit einigen Richtlinien für bedingten Zugriff kompatibel, die als mehr Sicherheitsebenen für die Geräteanmeldung verwendet werden können. Bewährte Methoden und unterstützte Richtlinien für bedingten Zugriff finden Sie unter Unterstützte Konformitätsrichtlinien für bedingten Zugriff.

Administratorkonto für lokales Gerät

Teams Android-Geräte enthalten ein Administratorkonto für den Zugriff auf Geräteeinstellungen, den lokalen Webserver(sofern installiert) und OEM-spezifische Einstellungen.

Anfängliche Geräteeinrichtungs- und Konfigurationselemente, z. B. der Standardbenutzername und das Kennwort für dieses Konto, können vom Gerätehersteller abgerufen werden.

Vorsicht

Achten Sie darauf, das Lokale Geräteadministratorkennwort so schnell wie möglich zu ändern.

Tipp

Das Teams Admin Center kann verwendet werden, um das lokale Geräteadministratorkennwort eines angemeldeten Teams Android-Geräts zu ändern, indem ein Konfigurationsprofil angewendet wird. Wir empfehlen diesen Ansatz nach der ersten Geräteanmeldung, um erhöhte Features eines Android-Geräts zu schützen. Features mit erhöhten Rechten können Geräteeinstellungen und Webverwaltungsportale umfassen, sofern diese unterstützt werden.

Benutzer- oder Ressourcenkonto

Teams Android-Geräte erfordern die Verwendung eines Benutzerkontos oder eines dedizierten Ressourcenkontos, um sich bei Microsoft 365 anzumelden. Wir versuchen, diese Konten auf bestimmte Weise zu schützen, je nachdem, ob es sich um ein Benutzerkonto für ein persönliches Gerät oder ein Ressourcenkonto für ein freigegebenes Gerät handelt. Weitere Informationen finden Sie unter Erstellen und Konfigurieren von Ressourcenkonten für Räume und gemeinsam genutzte Geräte.

Geräteupdates

Teams Android-Geräte sind so konfiguriert, dass sie microsoft-zertifizierte Updates aus dem Teams Admin Center herunterladen, sobald sie verfügbar sind. Diese Updates können automatisch oder manuell von einem Administrator aufgerufen werden. Drittanbietertools unserer OEM-Partner sind ebenfalls verfügbar, um diese Funktion bei Bedarf auszuführen. Teams Android-Geräte können Updates nach Stunden installieren, um Auswirkungen auf Benutzer zu vermeiden. Zeitpläne nach Feierabend können im Teams Admin Center oder mithilfe von Drittanbietertools von OEM-Partnern konfiguriert werden.

Wichtig

Microsoft empfiehlt, dass die Verwaltung der Firmware für alle Teams Android-Geräte über das Teams Admin Center erfolgt.

Netzwerksicherheit

Teams Android-Geräte haben die gleichen Netzwerkanforderungen wie jeder Microsoft Teams-Client, einschließlich des Zugriffs über Firewalls und andere Sicherheitsgeräte. Insbesondere müssen die Kategorien, die für Teams erforderlich sind, zusammen mit anderen unterstützenden Diensten wie unten aufgeführt in Ihrer Firewall geöffnet sein. Die vollständige Liste der IP-Adressen und URLs, die für Teams Android-Geräte erforderlich sind, finden Sie unter:

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common und Office Online Office 365 URLs und IP-Adressbereich

• Microsoft Intune Netzwerkendpunkte für Microsoft Intune

Teams Android-Geräte funktionieren mit den meisten 802.1X- und anderen netzwerkbasierten Sicherheitsprotokollen. Teams Android-Geräte können jedoch nicht mit allen Netzwerksicherheitskonfigurationen getestet werden. Wenn Daher Leistungsprobleme auftreten, die auf Netzwerkleistungsprobleme zurückverfolgt werden können, müssen Sie diese Protokolle möglicherweise deaktivieren, wenn sie in Ihrem organization konfiguriert sind, oder wenden Sie sich an Ihren OEM-Partner, um Unterstützung zu erhalten.

Für eine optimale Leistung von Echtzeitmedien wird dringend empfohlen, den Teams-Mediendatenverkehr so zu konfigurieren, dass Proxyserver und andere Netzwerksicherheitsgeräte umgangen werden. Echtzeitmedien sind empfindlich auf Netzwerklatenz, die von Proxyservern und anderen Netzwerksicherheitsgeräten verursacht werden kann. Die Netzwerklatenz kann die Video- und Audioqualität der Benutzer erheblich beeinträchtigen. Weitere Informationen finden Sie unter Netzwerk bis (in die Cloud) – Ansicht eines Architekten, in dem Netzwerkempfehlungen zur Verbesserung der Leistung von Medien mit Microsoft Teams erläutert werden.

Teams Android-Geräte verwenden verschlüsselte Kommunikation und Endpunktauthentifizierung im Internet. Teams Android-Geräte verwenden TLS 1.2 und höher.

Wichtig

Teams Android-Geräte unterstützen keine authentifizierten Proxyserver oder Mandanteneinschränkungen. Wenden Sie sich an Ihren OEM-Partner, um Informationen zur Proxyunterstützung zu erfahren.

Teams Android-Geräte müssen keine Verbindung mit einem internen LAN herstellen. Erwägen Sie, Teams Android-Geräte in einem sicheren Netzwerksegment mit direktem Internetzugriff zu platzieren. Beispielsweise könnten Teams-Telefone auf einem VoIP-VLAN bereitgestellt werden. Wenn Ihr internes LAN kompromittiert wird, wird der Angriffsvektor auf Teams Android-Geräte reduziert, indem diese Netzwerktrennung implementiert wird.

Es wird dringend empfohlen, Dass Sie Ihre Teams-Räume Geräte mit einem kabelgebundenen Netzwerk verbinden. Die Verwendung von Drahtlosnetzwerken erfordert eine sorgfältige Planung und Bewertung, um die beste Erfahrung zu erzielen. Weitere Informationen finden Sie unter Überlegungen zu Drahtlosnetzwerken.

Näherungsjoin, Better Together, Teams Cast und Kopplung von Teams-Bereichen basieren auf Bluetooth. Die Verwendung der Bluetooth-Technologie auf Teams-Räume auf Android-Geräten ist derzeit auf Werbe-Beacons und prompte proximale Verbindungen beschränkt. Der ADV_NONCONN_INT PDU-Typ (Protocol Data Unit) wird im Werbe-Beacon verwendet. Dieser PDU-Typ ist für nicht verbundene Geräte vorgesehen, die Dem lauschenden Gerät Informationen anzeigen. Es gibt keine Bluetooth-Gerätekopplung im Rahmen dieser Features. Weitere Informationen zu Bluetooth-Protokollen finden Sie auf der Bluetooth SIG-Website.

Teams Phones and Displays bietet eine Bluetooth-Kopplungsfunktion zum Koppeln mit Headsets über das Bluetooth-Hands-Free-Profil.

Weitere Informationen zur Sicherheit in Microsoft Teams finden Sie unter Sicherheit und Microsoft Teams.