seguridad Salas de Microsoft Teams
Este artículo proporciona instrucciones de seguridad para Salas de Microsoft Teams dispositivos, tanto en Windows como en dispositivos Android. Esta guía incluye información sobre seguridad de hardware, software, red y cuenta.
Seleccione la Salas de Teams en Windows o Salas de Teams en la pestaña Android para obtener más información sobre la seguridad de salas de Teams en su dispositivo.
Microsoft trabaja con nuestros asociados para ofrecer una solución que sea segura y no requiera acciones adicionales para proteger Salas de Microsoft Teams en Windows. En esta sección se describen muchas de las características de seguridad que se encuentran en Salas de Teams en Windows.
Para obtener información sobre la seguridad en Salas de Teams en dispositivos Android, selecciona la Salas de Teams en la pestaña Android.
Nota
Salas de Microsoft Teams no debe tratarse como una estación de trabajo típica de usuario final. No solo los casos de uso son muy diferentes, sino que los perfiles de seguridad predeterminados también son muy diferentes, recomendamos tratarlos como electrodomésticos. Microsoft no admite la instalación de software adicional en sus dispositivos Salas de Teams. Este artículo se aplica a Salas de Microsoft Teams dispositivos que se ejecutan en Windows.
Los datos limitados de los usuarios finales se almacenan en Salas de Teams. Los datos del usuario final pueden almacenarse en los archivos de registro solo para solucionar problemas y soporte técnico. Ningún asistente a una reunión con Salas de Teams puede copiar archivos en el disco duro o iniciar sesión como ellos mismos. No se transfieren datos del usuario final al dispositivo Salas de Microsoft Teams ni se puede acceder a ellos.
Aunque los usuarios finales no pueden colocar archivos en una Salas de Teams unidad de disco duro, Microsoft Defender sigue estando habilitado de forma automática. Salas de Teams rendimiento se prueba con Microsoft Defender, incluida la inscripción en el portal de Defender para punto de conexión. Deshabilitar este software o agregar software de seguridad de extremo puede provocar resultados impredecibles y una posible degradación del sistema.
Seguridad de hardware
En un entorno Salas de Teams, hay un módulo de proceso central que ejecuta Windows 10 o 11 IoT Enterprise Edition. Cada módulo de computación certificado debe tener una solución de montaje seguro, una ranura de bloqueo de seguridad (por ejemplo, Bloqueo Kensington) y medidas de seguridad de acceso al puerto de E/S para evitar la conexión de dispositivos no autorizados. También puedes deshabilitar puertos específicos a través de la configuración de Unified Extensible Firmware Interface (UEFI).
Cada módulo de proceso certificado debe incluirse con la tecnología compatible con Trusted Platform Module (TPM) 2.0 habilitada de forma predeterminada. TPM se usa para cifrar la información de inicio de sesión de la cuenta de recursos de Salas de Teams.
El arranque seguro está habilitado de manera predeterminada. El arranque seguro es un estándar de seguridad desarrollado por miembros del sector de equipos para ayudar a garantizar que un dispositivo arranque usando solo software de confianza del fabricante de equipos originales (OEM). Cuando se inicia el equipo, el firmware comprueba la firma de cada fragmento de software de arranque, incluidos los controladores de firmware UEFI (también conocidos como ROM de opción), las aplicaciones EFI y el sistema operativo. Si las firmas son válidas, el equipo arranca y el firmware da control al sistema operativo. Para obtener más información, consulta Arranque seguro.
Solo es posible acceder a la configuración de la UEFI conectando un teclado y un mouse físicos, lo que impide acceder a la UEFI a través del Salas de Teams consola táctil o cualquier otra pantalla táctil conectada a Salas de Teams.
La protección de acceso directo a memoria (DMA) del kernel es una configuración de Windows que está habilitada en Salas de Teams. Con esta característica, el sistema operativo y el firmware del sistema protegen el sistema contra ataques DMA malintencionados e no deseados para todos los dispositivos compatibles con DMA: durante el proceso de arranque y contra DMA malintencionado por parte de dispositivos conectados a puertos compatibles con DMA internos o externos fácilmente accesibles, como ranuras M.2 PCIe y Thunderbolt 3, durante el tiempo de ejecución del sistema operativo.
Salas de Teams habilitar también la integridad del código protegido por hipervisor (HVCI). Una de las características proporcionadas por HVCI es Credential Guard. Credential Guard ofrece las siguientes ventajas:
Seguridad de hardware NTLM, Kerberos y Credential Manager aprovechan las características de seguridad de la plataforma, como el arranque seguro y la virtualización, para proteger las credenciales.
Seguridad basada en virtualización Las credenciales derivadas de Windows NTLM y Kerberos y otros secretos se ejecutan en un entorno protegido que está aislado del sistema operativo en ejecución.
Mejor protección contra amenazas persistentes avanzadas Cuando las credenciales de dominio del Administrador de credenciales, NTLM y Kerberos se protegen mediante la seguridad basada en virtualización, se bloquean las técnicas de ataque de robo de credenciales y las herramientas usadas en muchos ataques dirigidos. El malware que se ejecuta en el sistema operativo con privilegios administrativos no puede extraer secretos protegidos por la seguridad basada en virtualización.
Seguridad del software
Una vez arrancado Microsoft Windows, Salas de Teams inicia sesión automáticamente en una cuenta de usuario local de Windows denominada Skype. La cuenta de Skype no tiene contraseña. Para proteger la sesión de la cuenta de Skype, se realizan los siguientes pasos.
Importante
No cambies la contraseña ni edites la cuenta de usuario local de Skype. Si lo hace, puede impedir que Salas de Teams inicien sesión automáticamente.
La aplicación Salas de Microsoft Teams se ejecuta con la característica acceso asignado que se encuentra en Windows 10 1903 y posteriores. Acceso asignado es una característica de Windows que limita los puntos de entrada de la aplicación expuestos al usuario y habilita el modo de pantalla completa de una sola aplicación. Con el iniciador de shell, Salas de Teams está configurado como un dispositivo de quiosco que ejecuta una aplicación de escritorio de Windows como la interfaz de usuario. La aplicación Salas de Microsoft Teams reemplaza el shell predeterminado (explorer.exe) que normalmente se ejecuta cuando un usuario inicia sesión. En otras palabras, el shell del Explorador tradicional no se inicia en absoluto, lo que reduce considerablemente la superficie de vulnerabilidad Salas de Microsoft Teams dentro de Windows. Para obtener más información, consulta Configurar quioscos y signos digitales en ediciones de escritorio de Windows.
Si decide ejecutar un análisis de seguridad o un punto de referencia del Centro de seguridad de Internet (CIS) en Salas de Teams, este solo puede ejecutarse en el contexto de una cuenta de administrador local, ya que la cuenta de usuario de Skype no admite la ejecución de aplicaciones que no sean la aplicación Salas de Teams. Muchas de las características de seguridad aplicadas al contexto de usuario de Skype no se aplican a otros usuarios locales y, como resultado, estos exámenes de seguridad no exponen el bloqueo de seguridad completo aplicado a la cuenta de Skype. Por lo tanto, no se recomienda ejecutar un examen local en Salas de Teams. Sin embargo, puede ejecutar pruebas de penetración externa si así lo desea. Debido a esta configuración, le recomendamos que ejecute pruebas de penetración externa en dispositivos Salas de Teams en lugar de ejecutar análisis locales.
Además, se aplican directivas de bloqueo para evitar que se usen características noadministrativas. Un filtro de teclado está habilitado para interceptar y bloquear combinaciones de teclado potencialmente inseguras que no están cubiertas por las directivas de acceso asignado. Solo los usuarios con derechos administrativos locales o de dominio pueden iniciar sesión en Windows para administrar Salas de Teams. Estas y otras directivas aplicadas a Windows en dispositivos Salas de Microsoft Teams se evalúan y prueban continuamente durante el ciclo de vida del producto.
Microsoft Defender está habilitado de forma rápida. La licencia de Salas de Teams Pro también incluye Defender para punto de conexión, que permite a los clientes inscribir sus Salas de Teams en Defender para punto de conexión. Esta inscripción puede proporcionar visibilidad a los equipos de seguridad sobre la postura de seguridad de la sala de Teams en dispositivos Windows desde el portal de Defender. Salas de Teams en Windows se pueden inscribir siguiendo los pasos para dispositivos Windows. No recomendamos modificar Salas de Teams usar reglas de protección (u otras directivas de Defender que realicen cambios en la configuración), ya que estas directivas pueden afectar Salas de Teams funcionalidad; sin embargo, se admite la funcionalidad de informes en el portal.
Seguridad de la cuenta
Salas de Teams dispositivos incluyen una cuenta administrativa denominada "Administración" con una contraseña predeterminada. Le recomendamos que cambie la contraseña predeterminada tan pronto como sea posible después de completar la configuración.
La cuenta de Administración no es necesaria para el correcto funcionamiento de Salas de Teams dispositivos y se puede cambiar el nombre o incluso eliminarse. Sin embargo, antes de eliminar la cuenta de Administración, asegúrate de configurar una cuenta de administrador local alternativa configurada antes de quitar la que viene con dispositivos Salas de Teams. Para obtener más información sobre cómo cambiar una contraseña para una cuenta local de Windows mediante las herramientas integradas de Windows o PowerShell, vea estas guías:
- Configuración de LAPS en Salas de Teams en Windows
- Cambiar o restablecer la contraseña de Windows
- Set-LocalUser
También puede importar cuentas de dominio al grupo de administradores de Windows local mediante Intune. Para obtener más información, consulta Csp de directivas: Grupos restringidos.
Nota
Si usas un Salas de Teams Crestron con una consola conectada a la red, asegúrate de seguir las instrucciones de Crestron sobre cómo configurar la cuenta de Windows que se usa para emparejar.
Cautela
Si eliminas o deshabilitas la cuenta de Administración antes de conceder permisos de administrador local a otra cuenta local o de dominio, puedes perder la capacidad de administrar el dispositivo Salas de Teams. Si esto sucede, tendrás que restablecer el dispositivo a su configuración original y completar el proceso de configuración de nuevo.
No conceda permisos de administrador local a la cuenta de usuario de Skype.
Los Designer de configuración de Windows se pueden usar para crear paquetes de aprovisionamiento de Windows. Además de cambiar la contraseña de Administración local, también puede hacer cosas como cambiar el nombre del equipo e inscribirse en Microsoft Entra ID. Para obtener más información sobre cómo crear un paquete de aprovisionamiento de Designer de configuración de Windows, consulta Aprovisionamiento de paquetes para Windows 10.
Debe crear una cuenta de recursos para cada dispositivo Salas de Teams para que pueda iniciar sesión en Teams. No puede usar la autenticación multifactor o de dos factores interactiva del usuario con esta cuenta. Requerir un segundo factor interactivo del usuario impediría que la cuenta pudiera iniciar sesión automáticamente en la aplicación Salas de Teams después de reiniciar. Además, Microsoft Entra directivas de acceso condicional y directivas de cumplimiento de Intune se pueden implementar para proteger la cuenta de recursos y lograr la autenticación multifactor a través de otros medios. Para obtener más información, vea Acceso condicional compatible y directivas de cumplimiento de dispositivos Intune para Salas de Microsoft Teams y Acceso condicional y cumplimiento de Intune para Salas de Microsoft Teams.
Le recomendamos que cree la cuenta de recursos en Microsoft Entra ID, si es posible, como una cuenta de solo en la nube. Aunque una cuenta sincronizada puede funcionar con Salas de Teams en implementaciones híbridas, estas cuentas sincronizadas suelen tener dificultades para iniciar sesión en Salas de Teams y pueden ser difíciles de solucionar. Si elige usar un servicio de federación de terceros para autenticar las credenciales de la cuenta de recursos, asegúrese de que el IDP de terceros responde con el wsTrustResponse
atributo establecido en urn:oasis:names:tc:SAML:1.0:assertion
. Si su organización no desea usar WS-Trust, use en su lugar cuentas solo en la nube.
Seguridad de red
Por lo general, Salas de Teams tiene los mismos requisitos de red que cualquier cliente de Microsoft Teams. El acceso a través de firewalls y otros dispositivos de seguridad es el mismo para Salas de Teams que para cualquier otro cliente de Microsoft Teams. Específica para Salas de Teams, las categorías enumeradas como "necesarias" para Teams deben estar abiertas en el firewall. Salas de Teams también necesita acceso a Windows Update, Microsoft Store y Microsoft Intune (si usas Microsoft Intune para administrar los dispositivos). Para obtener la lista completa de direcciones IP y URL necesarias para Salas de Microsoft Teams, consulte:
- Microsoft Teams, Exchange Online, SharePoint, Microsoft 365 Common y Office OnlineOffice 365 direcciones URL e intervalos de direcciones IP
- Windows UpdateConfigurar WSUS
- Puntos de conexión de Microsoft Store de Microsoft Store
- puntos de conexión de Microsoft IntuneNetwork para Microsoft Intune
- Extremo del cliente de telemetría: vortex.data.microsoft.com
- Punto final de configuración de telemetría: settings.data.microsoft.com
Para Salas de Microsoft Teams Pro Portal de administración, también debe asegurarse de que Salas de Teams puede acceder a las siguientes direcciones URL:
- agent.rooms.microsoft.com
- global.azure-devices-provisioning.net
- gj3ftstorage.blob.core.windows.net
- mmrstgnoamiot.azure-devices.net
- mmrstgnoamstor.blob.core.windows.net
- mmrprodapaciot.azure-devices.net
- mmrprodapacstor.blob.core.windows.net
- mmrprodemeaiot.azure-devices.net
- mmrprodemeastor.blob.core.windows.net
- mmrprodnoamiot.azure-devices.net
- mmrprodnoamstor.blob.core.windows.net
- mmrprodnoampubsub.webpubsub.azure.com
- mmrprodemeapubsub.webpubsub.azure.com
- mmrprodapacpubsub.webpubsub.azure.com
Los clientes de GCC también tendrán que habilitar las siguientes direcciones URL:
- mmrprodgcciot.azure-devices.net
- mmrprodgccstor.blob.core.windows.net
Salas de Teams está configurado para mantenerse automáticamente parcheado con las últimas actualizaciones de Windows, incluidas las actualizaciones de seguridad. Salas de Teams instala todas las actualizaciones pendientes cada día entre las 2:00 y las 3:00 a.m. hora del dispositivo local mediante una directiva local predefinida. No es necesario usar otras herramientas para implementar y aplicar Windows Novedades. El uso de otras herramientas para implementar y aplicar actualizaciones puede retrasar la instalación de revisiones de Windows y, por tanto, llevar a una implementación menos segura. La aplicación Salas de Teams se implementa con Microsoft Store.
Salas de Teams dispositivos funcionan con la mayoría de los protocolos de seguridad 802.1X u otros protocolos de seguridad basados en red. Sin embargo, no podemos probar Salas de Teams con todas las configuraciones de seguridad de red posibles. Por lo tanto, si surgen problemas de rendimiento que pueden rastrearse a problemas de rendimiento de la red, es posible que deba deshabilitar estos protocolos.
Para obtener un rendimiento óptimo de los medios en tiempo real, le recomendamos que configure el tráfico multimedia de Teams para omitir los servidores proxy y otros dispositivos de seguridad de red. Los medios en tiempo real son muy sensibles a la latencia y los servidores proxy y los dispositivos de seguridad de red pueden degradar significativamente la calidad de audio y vídeo de los usuarios. Además, como los elementos multimedia de Teams ya están cifrados, no hay ningún beneficio tangible de pasar el tráfico a través de un servidor proxy. Para obtener más información, consulte Redes (en la nube): punto de vista de un arquitecto, en el que se describen las recomendaciones de red para mejorar el rendimiento de los medios con Microsoft Teams y Salas de Microsoft Teams. Si su organización usa restricciones de inquilino, se admite para Salas de Teams en dispositivos Windows siguiendo las instrucciones de configuración del documento de preparación del entorno.
Salas de Teams dispositivos no necesitan conectarse a una LAN interna. Considere la posibilidad de colocar Salas de Teams en un segmento de red aislado seguro con acceso directo a Internet. Si su LAN interna se ve comprometida, las oportunidades de vectores de ataque hacia Salas de Teams se reducen.
Te recomendamos encarecidamente que conectes tus dispositivos Salas de Teams a una red cableada. El uso de redes inalámbricas requiere una cuidadosa planificación y evaluación para obtener la mejor experiencia. Para obtener más información, consulta Consideraciones de la red inalámbrica.
Proximity Join y otras características de Salas de Teams dependen de Bluetooth. Sin embargo, la implementación de Bluetooth en dispositivos Salas de Teams no permite una conexión de dispositivo externo a un dispositivo Salas de Teams. El uso de tecnología Bluetooth en dispositivos Salas de Teams está limitado actualmente a balizas publicitarias y conexiones próximas. El ADV_NONCONN_INT
tipo de unidad de datos de protocolo (PDU) se usa en la baliza de publicidad. Este tipo de PDU es para dispositivos no conectados que anuncian información al dispositivo de escucha. No hay emparejamiento de dispositivos Bluetooth como parte de estas características. Puedes encontrar más detalles sobre los protocolos Bluetooth en el sitio web de Bluetooth SIG.