Sécurisation du trafic multimédia Teams pour le tunneling fractionné VPN

  • Article

Remarque

Cet article fait partie d’un ensemble d’articles qui traitent de l’optimisation de Microsoft 365 pour les utilisateurs distants.

Certains administrateurs Microsoft Teams peuvent avoir besoin d’informations détaillées sur le fonctionnement des flux d’appels dans Teams à l’aide d’un modèle de tunneling fractionné et sur la façon dont les connexions sont sécurisées.

Configuration

Pour les appels et les réunions, tant que les sous-réseaux d’optimisation IP requis pour les médias Teams sont correctement en place dans la table de routage, lorsque Teams appelle la fonction GetBestRoute pour déterminer quelle interface locale correspond à l’itinéraire qu’elle doit utiliser pour une destination particulière, l’interface locale est retournée pour les destinations Microsoft dans les blocs IP Microsoft répertoriés ci-dessus.

Certains logiciels clients VPN autorisent la manipulation des itinéraires sur la base de l’URL. Cependant, le trafic médiatique de Teams n'est pas associé à une URL, le contrôle du routage de ce trafic doit donc être effectué à l'aide de sous-réseaux IP.

Dans certains scénarios, souvent non liés à la configuration du client Teams, le trafic multimédia traverse également le tunnel VPN, même lorsque les itinéraires corrects sont en place. Si vous rencontrez ce scénario, l’utilisation d’une règle de pare-feu pour empêcher les sous-réseaux IP ou ports Teams d’utiliser le VPN devrait suffire.

Importante

Pour vous assurer que le trafic multimédia Teams est routé via la méthode souhaitée dans tous les scénarios VPN, vérifiez que les utilisateurs exécutent le client Microsoft Teams version 1.3.00.13565 ou ultérieure. Cette version inclut des améliorations dans la façon dont le client détecte les chemins d’accès réseau disponibles.

Le trafic de signalisation est effectué via HTTPS et n’est pas aussi sensible à la latence que le trafic multimédia. Il est marqué comme Autoriser dans les données URL/IP et peut donc être acheminé en toute sécurité via le client VPN si vous le souhaitez.

Remarque

Microsoft Edge 96 et versions ultérieures prend également en charge le tunneling fractionné VPN pour le trafic d’égal à égal. Cela signifie que les clients peuvent bénéficier du tunneling fractionné VPN pour les clients web Teams sur Edge, pour instance. Les clients qui souhaitent le configurer pour les sites web s’exécutant sur Edge peuvent y parvenir en effectuant l’étape supplémentaire de désactivation de la stratégie Edge WebRtcRespectOsRoutingTableEnabled .

Sécurité

L’un des arguments courants pour éviter les tunnels partagés est qu’il est moins sécurisé, c’est-à-dire que tout trafic qui ne passe pas par le tunnel VPN ne bénéficie pas du schéma de chiffrement appliqué au tunnel VPN et est donc moins sécurisé.

L’argument de compteur principal permet de faire en sorte que le trafic multimédia soit déjà chiffré via SRTP (Protocole de transport sécurisé en temps réel), un profil de protocole RTP (Protocole de transport en temps réel) qui assure la confidentialité, l’authentification et la protection contre les attaques contre le trafic RTP. SRTP lui-même utilise une clé de session générée de façon aléatoire, qui est échangée via le canal de signalement sécurisé TLS. Celui-ci sont décrites en détail dans Ce guide de sécurité, mais la section principale est consacrée au chiffrement de médias.

Le trafic multimédia est chiffré à l’aide de SRTP, qui utilise une clé de session générée par un générateur de nombres aléatoires sécurisés et échangées à l’aide du canal TLS de signalisation. De plus, le flux de contenu entrant dans les deux directions entre le serveur de médiation et son saut interne suivant est également chiffré à l’aide de SRTP.

Skype Entreprise Online génère les noms d’utilisateur et les mots de passe pour sécuriser l’accès aux relais de contenu par le biais de Traverser à l’aide de relais autour de NAT (TURN). Les relais de média échangent le nom d’utilisateur/mot de passe sur un canal SIP sécurisé par TLS. Il est important de noter que même si un tunnel VPN peut être utilisé pour connecter le client au réseau d’entreprise, le trafic doit toujours circuler sous sa forme SRTP lorsqu’il quitte le réseau d’entreprise pour atteindre le service.

Vous trouverez des informations sur la façon dont Teams atténue les problèmes de sécurité courants tels que la voix ou les utilitaires de traversée de session pour les attaques d’amplification NAT (STUN) dans considérations de sécurité 5.1 pour les implémenteurs.

Vous pouvez également consulter des informations sur les contrôles de sécurité modernes dans les scénarios de travail à distance sur Autres méthodes pour les professionnels de la sécurité et l’informatique pour optimiser les contrôles de sécurité modernes dans les scénarios de travail à distance uniques d’aujourd’hui (blog de l’équipe de sécurité Microsoft).

Tests

Une fois la stratégie en place, vous devez vérifier qu’elle fonctionne comme prévu. Plusieurs méthodes s’offrent à vous pour tester que le chemin d’accès est correctement configuré pour utiliser la connexion Internet locale :

  • Exécutez le test de connectivité Microsoft 365 qui exécutera des tests de connectivité pour vous, y compris les itinéraires de trace comme ci-dessus. Nous ajoutons également à ces outils des tests VPN qui doivent également fournir des insights supplémentaires.

  • Un simple suivi vers un point de terminaison dans l’étendue du tunnel fractionné doit afficher le chemin d’accès pris, par exemple :

    tracert worldaz.tr.teams.microsoft.com

    Vous devez alors voir un chemin d’accès via le fai local vers ce point de terminaison qui doit être résolu en adresse IP dans les plages Teams que nous avons configurées pour le tunneling fractionné.

  • Prenez une capture réseau à l’aide d’un outil tel que Wireshark. Filtrez sur le protocole UDP pendant un appel et le trafic s'acheminera vers une adresse IP dans la plage Optimiser Teams. Si le tunnel VPN est utilisé pour ce trafic, le trafic multimédia n’est pas visible dans la trace.

Journaux de support supplémentaires

Si vous avez besoin de données supplémentaires pour résoudre les problèmes, ou si vous demandez l’aide du support technique Microsoft, vous pouvez obtenir les informations suivantes afin de vous permettre d’accélérer la recherche d’une solution. L’ensemble d’outils TSS Windows CMD universel Du support Microsoft peut vous aider à collecter les journaux pertinents de manière simple. L’outil et les instructions d’utilisation se trouvent à l’adresse https://aka.ms/TssTools.

Vue d’ensemble : tunneling fractionné VPN pour Microsoft 365

Implémentation du tunneling fractionné VPN pour Microsoft 365

Scénarios courants de tunneling vpn fractionné pour Microsoft 365

Considérations spéciales pour les événements stream et en direct dans les environnements VPN

Optimisation des performances de Microsoft 365 pour les utilisateurs chinois

Principes de connectivité réseau Microsoft 365

Évaluation de la connectivité réseau Microsoft 365

Optimisation des performances et du réseau Microsoft 365

D'autres méthodes pour les professionnels de la sécurité et de l’informatique pour optimiser les contrôles de sécurité modernes dans les scénarios de travail à distance d’aujourd’hui (blog de l'équipe de sécurité Microsoft)

Améliorer les performances de VPN chez Microsoft : utiliser les profils VPN Windows 10 pour autoriser les connexions automatiques

Fonctionnement sur VPN : comment Microsoft maintient les employés travaillant à distance connectés

Réseau global Microsoft