Auf Englisch lesen

Freigeben über


Microsoft Teams-Räume Sicherheit

Dieser Artikel enthält Sicherheitsleitfäden für Microsoft Teams-Räume-Geräte auf Windows- und Android-Geräten. Dieser Leitfaden enthält Informationen zur Hardware-, Software-, Netzwerk- und Kontosicherheit.

Wählen Sie die Registerkarte Teams-Räume unter Windows oder Teams-Räume für Android aus, um weitere Informationen zur Sicherheit des Teams-Raums auf Ihrem Gerät zu finden.

Microsoft arbeitet mit unseren Partnern zusammen, um eine Lösung bereitzustellen, die sicher ist und keine zusätzlichen Aktionen erfordert, um Microsoft Teams-Räume unter Windows zu schützen. In diesem Abschnitt werden viele der Sicherheitsfeatures in Teams-Räume unter Windows erläutert.

Um Informationen zur Sicherheit auf Teams-Räume auf Android-Geräten zu erfahren, wählen Sie die Registerkarte Teams-Räume auf Android aus.

Hinweis

Microsoft Teams-Räume sollte nicht wie eine typische Endbenutzerarbeitsstation behandelt werden. Die Anwendungsfälle unterscheiden sich nicht nur erheblich, sondern auch die Standardsicherheitsprofile unterscheiden sich erheblich. Es wird empfohlen, sie als Appliances zu behandeln. Die Installation zusätzlicher Software auf Ihren Teams-Räume Geräten wird von Microsoft nicht unterstützt. Dieser Artikel bezieht sich auf Microsoft Teams-Räume-Geräte, die unter Windows ausgeführt werden.

Eingeschränkte Endbenutzerdaten werden auf Teams-Räume gespeichert. Endbenutzerdaten können nur zur Problembehandlung und zur Unterstützung in den Protokolldateien gespeichert werden. Keine Teilnehmer einer Besprechung, die Teams-Räume verwenden, können Dateien auf die Festplatte kopieren oder sich als sich selbst anmelden. Es werden keine Endbenutzerdaten an das Microsoft Teams-Räume Gerät übertragen oder darauf zugreifen können.

Obwohl Endbenutzer keine Dateien auf einer Teams-Räume Festplatte ablegen können, ist Microsoft Defender trotzdem standardmäßig aktiviert. Teams-Räume Leistung wird mit Microsoft Defender getestet, einschließlich der Registrierung beim Defender für Endpunkt-Portal. Das Deaktivieren dieser Oder das Hinzufügen von Endpunktsicherheitssoftware kann zu unvorhersehbaren Ergebnissen und potenziellen Systembeeinträchtigungen führen.

Hardwaresicherheit

In einer Teams-Räume-Umgebung gibt es ein zentrales Computemodul, das Windows 10 oder 11 IoT Enterprise Edition ausführt. Jedes zertifizierte Computemodul muss über eine sichere Bereitstellungslösung, einen Sicherheitsschlossslot (z. B. Eine Kensington-Sperre) und Sicherheitsmaßnahmen für den Zugriff auf E/A-Ports verfügen, um die Verbindung nicht autorisierter Geräte zu verhindern. Sie können auch bestimmte Ports über die UEFI-Konfiguration (Unified Extensible Firmware Interface) deaktivieren.

Jedes zertifizierte Computemodul muss standardmäßig mit TPM 2.0-konformer Technologie (Trusted Platform Module) ausgeliefert werden. TPM wird verwendet, um die Anmeldeinformationen für das Teams-Räume-Ressourcenkonto zu verschlüsseln.

Der sichere Start ist standardmäßig aktiviert. Sicherer Start ist ein Sicherheitsstandard, der von Mitgliedern der PC-Branche entwickelt wurde, um sicherzustellen, dass ein Gerät nur mit Software gestartet wird, der vom Originalgerätehersteller (Original Equipment Manufacturer, OEM) als vertrauenswürdig eingestuft wird. Wenn der PC gestartet wird, überprüft die Firmware die Signatur der einzelnen Startsoftware, einschließlich UEFI-Firmwaretreiber (auch als Option ROMs bezeichnet), EFI-Anwendungen und das Betriebssystem. Wenn die Signaturen gültig sind, wird der PC gestartet, und die Firmware gibt dem Betriebssystem die Kontrolle. Weitere Informationen finden Sie unter Sicherer Start.

Der Zugriff auf die UEFI-Einstellungen ist nur möglich, indem Sie eine physische Tastatur und Maus anbringen, wodurch verhindert wird, dass über die Teams-Räume Touch-fähige Konsole oder andere touchfähige Bildschirme, die an Teams-Räume angeschlossen sind, auf UEFI zugreifen können.

Der Kernel-DMA-Schutz (Direct Memory Access) ist eine Windows-Einstellung, die auf Teams-Räume aktiviert ist. Mit diesem Feature schützen das Betriebssystem und die Systemfirmware das System vor böswilligen und unbeabsichtigten DMA-Angriffen für alle DMA-fähigen Geräte: während des Startvorgangs und vor schädlichem DMA durch Geräte, die an leicht zugängliche interne/externe DMA-fähige Ports wie M.2 PCIe-Slots und Thunderbolt 3 angeschlossen sind, während der Betriebssystemlaufzeit.

Teams-Räume auch hypervisorgeschützte Codeintegrität (HVCI) aktivieren. Eines der von HVCI bereitgestellten Features ist Credential Guard. Credential Guard bietet die folgenden Vorteile:

  • Hardwaresicherheit NTLM, Kerberos und Credential Manager nutzen Plattformsicherheitsfeatures wie sicherer Start und Virtualisierung, um Anmeldeinformationen zu schützen.

  • Virtualisierungsbasierte Sicherheit Von Windows NTLM und Kerberos abgeleitete Anmeldeinformationen und andere Geheimnisse werden in einer geschützten Umgebung ausgeführt, die vom ausgeführten Betriebssystem isoliert ist.

  • Besserer Schutz vor erweiterten persistenten Bedrohungen Wenn Credential Manager-Domänenanmeldeinformationen, NTLM- und Kerberos-abgeleitete Anmeldeinformationen mithilfe der virtualisierungsbasierten Sicherheit geschützt werden, werden die Techniken zum Diebstahl von Anmeldeinformationen und tools blockiert, die bei vielen gezielten Angriffen verwendet werden. Schadsoftware, die im Betriebssystem mit Administratorrechten ausgeführt wird, kann keine Geheimnisse extrahieren, die durch virtualisierungsbasierte Sicherheit geschützt sind.

Softwaresicherheit

Nach dem Starten von Microsoft Windows melden sich Teams-Räume automatisch bei einem lokalen Windows-Benutzerkonto namens Skype an. Das Skype-Konto verfügt über kein Kennwort. Um die Skype-Kontositzung zu schützen, werden die folgenden Schritte ausgeführt.

Wichtig

Ändern Sie weder das Kennwort noch das lokale Skype-Benutzerkonto. Dadurch kann verhindert werden, dass sich Teams-Räume automatisch anmelden.

Die Microsoft Teams-Räume-App wird mit dem Feature "Zugewiesener Zugriff" in Windows 10 1903 und höher ausgeführt. Der zugewiesene Zugriff ist ein Feature in Windows, das die für den Benutzer verfügbaren Anwendungseinstiegspunkte einschränkt und den Kioskmodus für einzelne Apps aktiviert. Mithilfe des Shell-Startprogramms wird Teams-Räume als Kioskgerät konfiguriert, auf dem eine Windows-Desktopanwendung als Benutzeroberfläche ausgeführt wird. Die Microsoft Teams-Räume-App ersetzt die Standardshell (explorer.exe), die normalerweise ausgeführt wird, wenn sich ein Benutzer anmeldet. Mit anderen Worten, die herkömmliche Explorer Shell wird überhaupt nicht gestartet, wodurch die Microsoft Teams-Räume Sicherheitsrisikooberfläche in Windows erheblich reduziert wird. Weitere Informationen finden Sie unter Konfigurieren von Kiosks und digitalen Zeichen in Windows-Desktopeditionen.

Wenn Sie sich für die Durchführung einer Sicherheitsüberprüfung oder eines CIS-Benchmarks (Center for Internet Security) auf Teams-Räume entscheiden, kann die Überprüfung nur im Kontext eines lokalen Administratorkontos ausgeführt werden, da das Skype-Benutzerkonto die Ausführung anderer Anwendungen als der Teams-Räume-App nicht unterstützt. Viele der Sicherheitsfeatures, die auf den Skype-Benutzerkontext angewendet werden, gelten nicht für andere lokale Benutzer, sodass diese Sicherheitsüberprüfungen nicht die vollständige Sicherheitssperre für das Skype-Konto anzeigen. Daher wird davon abgeraten, eine lokale Überprüfung auf Teams-Räume auszuführen. Sie können jedoch bei Bedarf externe Penetrationstests ausführen. Aufgrund dieser Konfiguration wird empfohlen, externe Penetrationstests für Teams-Räume-Geräte durchzuführen, anstatt lokale Überprüfungen auszuführen.

Darüber hinaus werden Sperrrichtlinien angewendet, um die Verwendung nicht administrativer Features zu beschränken. Ein Tastaturfilter ist aktiviert, um potenziell unsichere Tastaturkombinationen abzufangen und zu blockieren, die nicht durch Richtlinien für den zugewiesenen Zugriff abgedeckt werden. Nur Benutzer mit lokalen oder Domänenadministratorrechten dürfen sich bei Windows anmelden, um Teams-Räume zu verwalten. Diese und andere Richtlinien, die auf Windows auf Microsoft Teams-Räume Geräten angewendet werden, werden während des Produktlebenszyklus kontinuierlich bewertet und getestet.

Microsoft Defender ist sofort aktiviert. Die Teams-Räume Pro-Lizenz enthält auch Defender für Endpunkt, mit dem Kunden ihre Teams-Räume bei Defender für Endpunkt registrieren können. Diese Registrierung kann Sicherheitsteams einblick in den Sicherheitsstatus von Teams Room auf Windows-Geräten über das Defender-Portal bieten. Teams-Räume unter Windows können anhand der Schritte für Windows-Geräte registriert werden. Es wird nicht empfohlen, Teams-Räume mithilfe von Schutzregeln (oder anderen Defender-Richtlinien, die Konfigurationsänderungen vornehmen) zu ändern, da sich diese Richtlinien auf Teams-Räume Funktionalität auswirken können. Die Berichtsfunktionen im Portal werden jedoch unterstützt.

Kontosicherheit

Teams-Räume Geräte enthalten ein Administratorkonto namens "Admin" mit einem Standardkennwort. Es wird dringend empfohlen, das Standardkennwort so bald wie möglich nach Abschluss des Setups zu ändern.

Das Admin-Konto ist für den ordnungsgemäßen Betrieb von Teams-Räume Geräten nicht erforderlich und kann umbenannt oder sogar gelöscht werden. Bevor Sie jedoch das Admin-Konto löschen, stellen Sie sicher, dass Sie ein alternatives lokales Administratorkonto einrichten, das konfiguriert ist, bevor Sie das konto entfernen, das mit Teams-Räume Geräten geliefert wird. Weitere Informationen zum Ändern eines Kennworts für ein lokales Windows-Konto mit integrierten Windows-Tools oder PowerShell finden Sie in diesen Leitfäden:

Sie können Domänenkonten auch mithilfe von Intune in die lokale Windows-Administratorgruppe importieren. Weitere Informationen finden Sie unter Richtlinien-CSP – RestrictedGroups.

Hinweis

Wenn Sie eine Crestron-Teams-Räume mit einer mit dem Netzwerk verbundenen Konsole verwenden, stellen Sie sicher, dass Sie die Anleitung von Crestron befolgen, um das windows-Konto zu konfigurieren, das für die Kopplung verwendet wird.

Achtung

Wenn Sie das Admin-Konto löschen oder deaktivieren, bevor Sie einem anderen lokalen Oder Domänenkonto lokale Administratorberechtigungen erteilen, verlieren Sie möglicherweise die Möglichkeit, das Teams-Räume Gerät zu verwalten. In diesem Fall müssen Sie das Gerät auf seine ursprünglichen Einstellungen zurücksetzen und den Setupvorgang erneut abschließen.

Erteilen Sie dem Skype-Benutzerkonto keine lokalen Administratorberechtigungen.

Windows Configuration Designer kann zum Erstellen von Windows-Bereitstellungspaketen verwendet werden. Neben dem Ändern des lokalen Admin Kennworts können Sie auch Vorgänge wie das Ändern des Computernamens und die Registrierung bei Microsoft Entra ID ausführen. Weitere Informationen zum Erstellen eines Windows Configuration Designer-Bereitstellungspakets finden Sie unter Bereitstellen von Paketen für Windows 10.

Sie müssen für jedes Teams-Räume Gerät ein Ressourcenkonto erstellen, damit es sich bei Teams anmelden kann. Sie können die interaktive zweistufige oder mehrstufige Authentifizierung des Benutzers mit diesem Konto nicht verwenden. Die Anforderung eines interaktiven zweiten Faktors des Benutzers würde verhindern, dass sich das Konto nach einem Neustart automatisch bei der Teams-Räume-App anmelden kann. Darüber hinaus können Microsoft Entra Richtlinien für bedingten Zugriff und Intune Kompatibilitätsrichtlinien bereitgestellt werden, um das Ressourcenkonto zu schützen und die mehrstufige Authentifizierung auf andere Weise zu erreichen. Weitere Informationen finden Sie unter Unterstützter bedingter Zugriff und Intune Gerätekonformitätsrichtlinien für Microsoft Teams-Räume und bedingten Zugriff und Intune Compliance für Microsoft Teams-Räume.

Es wird empfohlen, das Ressourcenkonto in Microsoft Entra ID zu erstellen, wenn möglich als reines Cloudkonto. Während ein synchronisiertes Konto mit Teams-Räume in Hybridbereitstellungen funktionieren kann, haben diese synchronisierten Konten häufig Schwierigkeiten, sich bei Teams-Räume anzumelden, und die Problembehandlung kann schwierig sein. Wenn Sie einen Verbunddienst eines Drittanbieters verwenden möchten, um die Anmeldeinformationen für das Ressourcenkonto zu authentifizieren, stellen Sie sicher, dass der IdP des Drittanbieters mit dem wsTrustResponse auf urn:oasis:names:tc:SAML:1.0:assertionfestgelegten Attribut antwortet. Wenn Ihr organization WS-Trust nicht verwenden möchte, verwenden Sie stattdessen reine Cloudkonten.

Netzwerksicherheit

Im Allgemeinen hat Teams-Räume die gleichen Netzwerkanforderungen wie jeder Microsoft Teams-Client. Der Zugriff über Firewalls und andere Sicherheitsgeräte ist für Teams-Räume identisch mit jedem anderen Microsoft Teams-Client. Spezifisch für Teams-Räume müssen die Kategorien, die für Teams als "erforderlich" aufgeführt sind, in Ihrer Firewall geöffnet sein. Teams-Räume benötigen auch Zugriff auf Windows Update, Microsoft Store und Microsoft Intune (wenn Sie Microsoft Intune zum Verwalten Ihrer Geräte verwenden). Eine vollständige Liste der ip-Adressen und URLs, die für Microsoft Teams-Räume erforderlich sind, finden Sie unter:

Für Microsoft Teams-Räume Pro-Verwaltungsportal müssen Sie außerdem sicherstellen, dass Teams-Räume auf die folgenden URLs zugreifen können:

  • agent.rooms.microsoft.com
  • global.azure-devices-provisioning.net
  • gj3ftstorage.blob.core.windows.net
  • mmrstgnoamiot.azure-devices.net
  • mmrstgnoamstor.blob.core.windows.net
  • mmrprodapaciot.azure-devices.net
  • mmrprodapacstor.blob.core.windows.net
  • mmrprodemeaiot.azure-devices.net
  • mmrprodemeastor.blob.core.windows.net
  • mmrprodnoamiot.azure-devices.net
  • mmrprodnoamstor.blob.core.windows.net
  • mmrprodnoampubsub.webpubsub.azure.com
  • mmrprodemeapubsub.webpubsub.azure.com
  • mmrprodapacpubsub.webpubsub.azure.com

GCC-Kunden müssen auch die folgenden URLs aktivieren:

  • mmrprodgcciot.azure-devices.net
  • mmrprodgccstor.blob.core.windows.net

Teams-Räume ist so konfiguriert, dass er automatisch mit den neuesten Windows-Updates, einschließlich Sicherheitsupdates, gepatcht wird. Teams-Räume installiert alle ausstehenden Updates jeden Tag zwischen 2:00 und 3:00 Uhr Ortszeit unter Verwendung einer voreingestellten lokalen Richtlinie. Es ist nicht erforderlich, andere Tools zum Bereitstellen und Anwenden von Windows Updates zu verwenden. Die Verwendung anderer Tools zum Bereitstellen und Anwenden von Updates kann die Installation von Windows-Patches verzögern und somit zu einer weniger sicheren Bereitstellung führen. Die Teams-Räume-App wird über den Microsoft Store bereitgestellt.

Teams-Räume Geräte funktionieren mit den meisten 802.1X- oder anderen netzwerkbasierten Sicherheitsprotokollen. Es ist jedoch nicht möglich, Teams-Räume mit allen möglichen Netzwerksicherheitskonfigurationen zu testen. Wenn daher Leistungsprobleme auftreten, die auf Netzwerkleistungsprobleme zurückverfolgt werden können, müssen Sie diese Protokolle möglicherweise deaktivieren.

Für eine optimale Leistung von Echtzeitmedien wird dringend empfohlen, den Teams-Mediendatenverkehr so zu konfigurieren, dass Proxyserver und andere Netzwerksicherheitsgeräte umgangen werden. Echtzeitmedien sind sehr latenzempfindlich, und Proxyserver und Netzwerksicherheitsgeräte können die Video- und Audioqualität der Benutzer erheblich beeinträchtigen. Da Teams-Medien bereits verschlüsselt sind, bietet die Weiterleitung des Datenverkehrs über einen Proxyserver keinen konkreten Vorteil. Weitere Informationen finden Sie unter Networking up (to the Cloud) – Der Standpunkt eines Architekten, in dem Netzwerkempfehlungen zur Verbesserung der Leistung von Medien mit Microsoft Teams und Microsoft Teams-Räume erläutert werden. Wenn Ihr organization Mandanteneinschränkungen nutzt, wird dies für Teams-Räume auf Windows-Geräten gemäß den Konfigurationsanleitungen im Dokument zum Vorbereiten Ihrer Umgebung unterstützt.

Teams-Räume Geräte müssen keine Verbindung mit einem internen LAN herstellen. Erwägen Sie, Teams-Räume in einem sicheren isolierten Netzwerksegment mit direktem Internetzugriff zu platzieren. Wenn Ihr internes LAN kompromittiert wird, werden die Angriffsvektormöglichkeiten in Richtung Teams-Räume reduziert.

Es wird dringend empfohlen, Dass Sie Ihre Teams-Räume Geräte mit einem kabelgebundenen Netzwerk verbinden. Die Verwendung von Drahtlosnetzwerken erfordert eine sorgfältige Planung und Bewertung, um die beste Erfahrung zu erzielen. Weitere Informationen finden Sie unter Überlegungen zu Drahtlosnetzwerken.

Näherungsjoin und andere Teams-Räume Features basieren auf Bluetooth. Die Bluetooth-Implementierung auf Teams-Räume Geräten lässt jedoch keine externe Geräteverbindung mit einem Teams-Räume Gerät zu. Die Verwendung der Bluetooth-Technologie auf Teams-Räume Geräten ist derzeit auf Werbe-Beacons und prompte proximale Verbindungen beschränkt. Der ADV_NONCONN_INT PDU-Typ (Protocol Data Unit) wird im Werbe-Beacon verwendet. Dieser PDU-Typ ist für nicht verbundene Geräte vorgesehen, die Dem lauschenden Gerät Informationen anzeigen. Es gibt keine Bluetooth-Gerätekopplung im Rahmen dieser Features. Weitere Informationen zu Bluetooth-Protokollen finden Sie auf der Bluetooth SIG-Website.