Sécurité des appareils Salles Microsoft Teams sur Windows et Teams Android

Cet article fournit des conseils de sécurité pour les appareils Salles Microsoft Teams sous Windows et Android ainsi que pour les panneaux Teams, Téléphone Teams et Affichages Teams. Ces conseils incluent des informations sur la sécurité du matériel, des logiciels, du réseau et des comptes.

Sélectionnez l’onglet Salles Teams sous Windows ou appareils Teams Android pour plus d’informations sur la sécurité de votre appareil.

Salles Teams sur Windows

Microsoft collabore avec ses partenaires pour fournir une solution sécurisée qui ne nécessite aucune action supplémentaire pour sécuriser les Salles Microsoft Teams sous Windows. Cette section présente de nombreuses fonctionnalités de sécurité disponibles dans les Salles Teams sous Windows.

Pour plus d’informations sur la sécurité des Salles Teams sur les appareils Android, sélectionnez l’onglet Salles Teams sous Android.

Remarque

Les Salles Microsoft Teams ne doivent pas être considérées comme des postes de travail classiques pour utilisateurs finaux. Non seulement les cas d’utilisation sont très différents, mais les profils de sécurité par défaut le sont aussi ; nous recommandons de les traiter comme des appliances. L’installation de logiciels supplémentaires sur vos appareils Salles Teams n’est pas prise en charge par Microsoft. Cet article s’applique aux appareils Salles Microsoft Teams fonctionnant sous Windows.

Peu de données des utilisateurs finaux sont stockées sur les Salles Teams. Les données des utilisateurs finaux peuvent être stockées dans les fichiers journaux uniquement à des fins de dépannage et de support. Aucun participant à une réunion utilisant les Salles Teams ne peut copier des fichiers sur le disque dur ni se connecter avec son propre compte. Aucune donnée utilisateur finale n’est transférée vers, ni accessible par, l’appareil Salles Microsoft Teams.

Même si les utilisateurs finaux ne peuvent pas stocker de fichiers sur le disque dur des Salles Teams, Microsoft Defender est activé par défaut. Les performances des Salles Teams sont testées avec Microsoft Defender, y compris l’inscription au portail Defender pour point de terminaison. Désactiver cette fonction ou ajouter un logiciel de sécurité pour point de terminaison peut entraîner des résultats imprévisibles et une dégradation potentielle du système.

Sécurité matérielle

Dans un environnement Salles Teams, un module de calcul central exécute Windows 10 ou 11 édition IoT Enterprise. Chaque module de calcul certifié doit disposer d’une solution de montage sécurisée, d’un emplacement pour verrou de sécurité (par exemple, verrou Kensington) et de mesures de sécurité pour l’accès aux ports d’E/S afin d’empêcher la connexion d’appareils non autorisés. Vous pouvez également désactiver certains ports via la configuration UEFI (Unified Extensible Firmware Interface).

Chaque module de calcul certifié doit être livré avec la technologie compatible TPM (Trusted Platform Module) 2.0 activée par défaut. Le TPM est utilisé pour chiffrer les informations de connexion du compte de ressource des Salles Teams.

Le démarrage sécurisé est activé par défaut. Le démarrage sécurisé est une norme de sécurité développée par les membres du secteur des PC pour s’assurer qu’un appareil démarre uniquement à l’aide de logiciels approuvés par le fabricant d’ordinateurs (OEM). Au démarrage du PC, le microprogramme vérifie la signature de chaque composant du logiciel de démarrage, y compris les pilotes UEFI (également appelés Option ROMs), les applications EFI et le système d’exploitation. Si les signatures sont valides, le PC démarre et le microprogramme transmet le contrôle au système d’exploitation. Pour plus d’informations, consultez Démarrage sécurisé.

L’accès aux paramètres UEFI est possible uniquement en connectant un clavier et une souris physiques, ce qui empêche d’y accéder via la console tactile des Salles Teams ou tout autre écran tactile connecté aux Salles Teams.

La protection d’accès direct à la mémoire du noyau (DMA) est un paramètre Windows activé sur les Salles Teams. Avec cette fonctionnalité, le système d’exploitation et le microprogramme protègent le système contre les attaques DMA malveillantes et involontaires pour tous les appareils compatibles DMA : pendant le processus de démarrage et contre les attaques DMA malveillantes provenant d’appareils connectés à des ports DMA internes ou externes facilement accessibles, tels que les emplacements PCIe M.2 et Thunderbolt 3, pendant l’exécution du système d’exploitation.

Les Salles Teams activent également l’intégrité du code protégée par l’hyperviseur (HVCI). L’une des fonctionnalités fournies par HVCI est Credential Guard. Credential Guard offre les avantages suivants :

• Sécurité matérielle NTLM, Kerberos et Credential Manager tirent parti des fonctionnalités de sécurité de la plateforme, notamment le démarrage sécurisé et la virtualisation, pour protéger les informations d’identification.

• Sécurité basée sur la virtualisation Les informations d’identification dérivées de Windows NTLM et Kerberos ainsi que d’autres secrets s’exécutent dans un environnement protégé isolé du système d’exploitation en cours d’exécution.

• Meilleure protection contre les menaces persistantes avancées Lorsque les informations d’identification de domaine Credential Manager, ainsi que les informations d’identification dérivées de NTLM et Kerberos, sont protégées grâce à la sécurité basée sur la virtualisation, les techniques et outils d’attaque par vol d’informations d’identification utilisés dans de nombreuses attaques ciblées sont bloqués. Les logiciels malveillants s’exécutant dans le système d’exploitation avec des privilèges d’administration ne peuvent pas extraire les secrets protégés par la sécurité basée sur la virtualisation.

Sécurité logicielle

Après le démarrage de Microsoft Windows, les Salles Teams se connectent automatiquement à un compte utilisateur Windows local nommé Skype. Le compte Skype n’a pas de mot de passe. Pour sécuriser la session de compte Skype, procédez comme suit.

Important

Ne modifiez pas le mot de passe ni le compte utilisateur Skype local. Cela pourrait empêcher les Salles Teams de se connecter automatiquement.

L’application Salles Microsoft Teams s’exécute grâce à la fonctionnalité Accès affecté disponible dans Windows 10 version 1903 et ultérieures. L’accès affecté est une fonctionnalité de Windows qui limite les points d’entrée des applications accessibles à l’utilisateur et active le mode kiosque à application unique. À l’aide du lanceur d’interpréteur de commandes, les Salles Teams sont configurées en tant qu’appareil kiosque qui exécute une application de bureau Windows comme interface utilisateur. L’application Salles Microsoft Teams remplace l’interpréteur de commandes par défaut (explorer.exe) qui s’exécute habituellement lors de l’ouverture de session d’un utilisateur. En d’autres termes, l’interpréteur de commandes Explorer traditionnel n’est pas lancé, ce qui réduit considérablement la surface de vulnérabilité des Salles Microsoft Teams dans Windows. Pour plus d’informations, consultez Configurer les kiosques et les panneaux numériques sur les éditions de bureau de Windows.

Si vous décidez d’exécuter une analyse de sécurité ou un benchmark Center for Internet Security (CIS) sur les Salles Teams, l’analyse ne peut s’exécuter que dans le contexte d’un compte d’administrateur local, car le compte utilisateur Skype ne prend pas en charge l’exécution d’applications autres que l’application Salles Teams. La plupart des fonctionnalités de sécurité appliquées au contexte utilisateur Skype ne s’appliquent pas aux autres utilisateurs locaux et, par conséquent, ces analyses de sécurité ne reflètent pas le verrouillage complet appliqué au compte Skype. Par conséquent, nous vous déconseillons d’exécuter une analyse locale sur les Salles Teams. Cependant, vous pouvez effectuer des tests d’intrusion externes si vous le souhaitez. En raison de cette configuration, nous vous recommandons d’effectuer des tests d’intrusion externes sur les appareils Salles Teams plutôt que des analyses locales.

De plus, des stratégies de verrouillage sont appliquées pour limiter l’utilisation des fonctionnalités non administratives. Un filtre clavier est activé pour intercepter et bloquer les combinaisons de touches potentiellement non sécurisées qui ne sont pas couvertes par les stratégies d’accès affecté. Seuls les utilisateurs disposant de droits d’administrateur locaux ou de domaine sont autorisés à se connecter à Windows pour gérer les Salles Teams. Ces stratégies, ainsi que d’autres appliquées à Windows sur les appareils Salles Microsoft Teams, sont continuellement évaluées et testées tout au long du cycle de vie du produit.

Microsoft Defender est activé par défaut. La licence Salles Teams Pro inclut également Defender pour point de terminaison, ce qui permet aux clients d’inscrire leurs Salles Teams dans Defender pour point de terminaison. Cette inscription permet aux équipes de sécurité d’avoir une visibilité sur l’état de la sécurité des Salles Teams sur les appareils Windows depuis le portail Defender. Les Salles Teams sur Windows peuvent être inscrites en suivant les étapes pour les appareils Windows. Nous vous déconseillons de modifier les Salles Teams à l’aide de règles de protection (ou d’autres stratégies Defender qui modifient la configuration), car ces stratégies peuvent affecter les fonctionnalités des Salles Teams. Cependant, la fonctionnalité de création de rapports dans le portail est prise en charge.

Microsoft Bitlocker n’est pas activé par défaut, mais peut être activé via une stratégie si vous le souhaitez. Vérifiez que Bitlocker est activé sans authentification avant démarrage, sinon la Salle Teams ne démarrera pas sur un appareil fonctionnel sans saisie manuelle d’un code PIN, ce qui affectera l’utilisation du système de salle.

Sécurité du compte

Les appareils Salles Teams incluent un compte d’administration nommé « Admin » avec un mot de passe par défaut. Nous vous recommandons vivement de modifier le mot de passe par défaut dès que possible après la fin de l’installation.

Le compte Administrateur n’est pas nécessaire au bon fonctionnement des appareils Salles Teams et peut être renommé ou même supprimé. Cependant, avant de supprimer le compte Admin, vérifiez que vous avez configuré un autre compte d’administrateur local avant de supprimer celui fourni avec les appareils Salles Teams. Pour plus d’informations sur la modification d’un mot de passe pour un compte Windows local à l’aide des outils intégrés de Windows ou de PowerShell, consultez ces guides :

• Configuration de LAPS sur les Salles Teams sur Windows
• Modifier ou réinitialiser votre mot de passe Windows
• Set-LocalUser

Vous pouvez également importer des comptes de domaine dans le groupe Administrateurs Windows local à l’aide d’Intune. Pour plus d’informations, consultez Csp Policy – RestrictedGroups.

Remarque

Si vous utilisez une Salle Teams Crestron avec une console connectée au réseau, veillez à suivre les instructions de Crestron pour configurer le compte Windows utilisé pour le jumelage.

Attention

Si vous supprimez ou désactivez le compte Admin avant d’accorder des autorisations d’administrateur local à un autre compte local ou de domaine, vous risquez de perdre la possibilité d’administrer l’appareil Salle Teams. Si cela se produit, vous devrez réinitialiser l’appareil à ses paramètres d’origine et terminer à nouveau le processus d’installation.

N’accordez pas d’autorisations d’administrateur local au compte utilisateur Skype.

Windows Configuration Designer peut être utilisé pour créer des packages d’approvisionnement Windows. En plus de modifier le mot de passe Admin local, vous pouvez également effectuer des opérations telles que modifier le nom de la machine et l’inscrire dans Microsoft Entra ID. Pour plus d’informations sur la création d’un package d’approvisionnement avec Windows Configuration Designer, consultez Packages de configuration pour Windows 10.

Vous devez créer un compte de ressource pour chaque appareil Salle Teams afin qu’il puisse se connecter à Teams. Vous ne pouvez pas utiliser l’authentification interactive à deux facteurs ou multifacteur avec ce compte. Exiger un second facteur interactif empêcherait le compte de se connecter automatiquement à l’application Salle Teams après un redémarrage. De plus, les stratégies d’accès conditionnel Microsoft Entra et les stratégies de conformité Intune peuvent être déployées pour sécuriser le compte de ressource et obtenir l’authentification multifacteur par d’autres moyens. Pour plus d’informations, consultez Stratégies de conformité des appareils Intune et accès conditionnel pris en charge pour Salles Microsoft Teams et Conformité de l’accès conditionnel et Intune pour Salles Microsoft Teams.

Nous vous recommandons de créer le compte de ressource dans Microsoft Entra ID, si possible en tant que compte cloud uniquement. Bien qu’un compte synchronisé puisse fonctionner avec les Salles Teams dans les déploiements hybrides, ces comptes synchronisés rencontrent souvent des difficultés à se connecter aux Salles Teams et peuvent être difficiles à dépanner. Si vous choisissez d’utiliser un service de fédération tiers pour authentifier les informations d’identification du compte de ressource, vérifiez que le fournisseur d’identité tiers répond avec l’attribut wsTrustResponse défini sur urn:oasis:names:tc:SAML:1.0:assertion. Si votre entreprise ne souhaite pas utiliser WS-Trust, utilisez plutôt des comptes cloud uniquement.

Sécurité réseau

En règle générale, les Salles Teams ont les mêmes exigences réseau que n’importe quel client Microsoft Teams. L’accès via des pare-feu et d’autres dispositifs de sécurité est le même pour les Salles Teams que pour tout autre client Microsoft Teams. Spécifiquement pour les Salles Teams, les catégories listées comme « obligatoires » pour Teams doivent être ouvertes sur votre pare-feu. Les Salles Teams ont également besoin d’accéder à Windows Update, au Microsoft Store et à Microsoft Intune (si vous utilisez Microsoft Intune pour gérer vos appareils). Pour la liste complète des adresses IP et URL requises pour les Salles Microsoft Teams, consultez :

• Microsoft Teams, Exchange Online, SharePoint, Microsoft 365 Common et Office OnlineURL et plages d’adresses IP Office 365
• Windows UpdateConfigurer WSUS
• Microsoft StorePoints de terminaison du Microsoft Store
• Microsoft IntunePoints de terminaison réseau pour Microsoft Intune
• Point de terminaison de client de télémétrie : vortex.data.microsoft.com
• Point de terminaison des paramètres de télémétrie : settings.data.microsoft.com

Pour le portail de gestion Salles Microsoft Teams Pro, vous devez également vous assurer que les Salles Teams peuvent accéder aux URL suivantes :

• agent.rooms.microsoft.com
• mmrstgnoamiot.azure-devices.net
• mmrprodapaciot.azure-devices.net
• mmrprodemeaiot.azure-devices.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoampubsub.webpubsub.azure.com
• mmrprodemeapubsub.webpubsub.azure.com
• mmrprodapacpubsub.webpubsub.azure.com

Les clients GCC devront également activer l’URL suivante :

• mmrprodgcciot.azure-devices.net

Les clients GCC-High devront également activer l’URL suivante :

• mmrgcchiot.azure-devices.us

Les clients DoD devront également activer l’URL ci-dessous :

• mmrdodiot.azure-devices.us

Les Salles Teams sont configurées pour se maintenir automatiquement à jour avec les dernières mises à jour Windows, y compris les mises à jour de sécurité. Les Salles Teams installent toutes les mises à jour en attente chaque jour entre 2 h 00 et 3 h 00, heure locale de l’appareil, selon une stratégie locale prédéfinie. Il n’est pas nécessaire d’utiliser d’autres outils pour déployer et appliquer les mises à jour Windows. L’utilisation d’autres outils pour déployer et appliquer des mises à jour peut retarder l’installation des correctifs Windows et entraîner un déploiement moins sécurisé. L’application Salles Teams est déployée via le Microsoft Store.

Les appareils Salles Teams fonctionnent avec la plupart des protocoles de sécurité réseau 802.1X ou autres. Cependant, nous ne sommes pas en mesure de tester les Salles Teams avec toutes les configurations possibles de sécurité réseau. Par conséquent, si des problèmes de performances liés au réseau surviennent, vous devrez peut-être désactiver ces protocoles. Pour plus d’informations, consultez Implémentation de l’authentification 802.1x

Pour des performances optimales des médias en temps réel, nous recommandons vivement de configurer le trafic média Teams pour qu’il contourne les serveurs proxy et autres dispositifs de sécurité réseau. Les médias en temps réel sont très sensibles à la latence, et les serveurs proxy ainsi que les dispositifs de sécurité réseau peuvent dégrader considérablement la qualité vidéo et audio des utilisateurs. De plus, comme les médias Teams sont déjà chiffrés, il n’y a aucun avantage tangible à faire transiter le trafic par un serveur proxy. Pour plus d’informations, consultez Mise en réseau (vers le cloud) : point de vue d’un architecte, qui présente les recommandations réseau pour améliorer les performances des médias avec Microsoft Teams et Salles Microsoft Teams. Si votre organisation utilise des restrictions de locataire, elle est prise en charge pour les Salles Teams sur les appareils Windows en suivant les instructions de configuration du document de préparation de votre environnement.

Les appareils Salles Teams n’ont pas besoin de se connecter à un réseau local interne. Envisagez de placer les Salles Teams dans un segment de réseau isolé et sécurisé avec un accès direct à Internet. Si votre réseau LAN interne est compromis, les vecteurs d’attaque potentiels vers les Salles Teams sont réduits.

Nous recommandons vivement de connecter vos appareils Salles Teams à un réseau câblé. L’utilisation de réseaux sans fil nécessite une planification et une évaluation rigoureuses pour garantir une expérience optimale. Pour plus d’informations, consultez Considérations relatives au réseau sans fil.

La participation de proximité et d’autres fonctionnalités des Salles Teams reposent sur Bluetooth. Cependant, l’implémentation Bluetooth sur les appareils Salles Teams n’autorise pas la connexion d’un appareil externe à un appareil Salles Teams. L’utilisation de la technologie Bluetooth sur les appareils Salles Teams est actuellement limitée aux balises publicitaires et aux connexions proximales déclenchées. Le type d’unité de données de protocole (PDU) ADV_NONCONN_INT est utilisé dans la balise publicitaire. Ce type PDU est destiné aux appareils non connectés qui publient des informations sur l’appareil à l’écoute. Aucun jumelage d’appareils Bluetooth n’est nécessaire dans le cadre de ces fonctionnalités. Pour plus d’informations sur les protocoles Bluetooth, consultez le site web Bluetooth SIG.

Teams sur appareils Android

Cet article est spécifique aux appareils Android Teams (Salles Teams sur Android, panneaux Teams, Teams Phone et affichages Teams). Cet article ne couvre pas les appareils Android configurés en mode appareil dédié par Microsoft Intune.

Microsoft collabore avec ses partenaires OEM pour fournir une solution sécurisée par conception et personnalisable afin de répondre aux besoins des clients. Cet article décrit de nombreuses fonctionnalités de sécurité présentes dans les appareils Android Teams ainsi que notre approche.

Remarque

Les appareils Android Microsoft Teams ne doivent pas être traités comme des appareils Android classiques. Les appareils Android Teams sont des appliances conçues spécifiquement pour exécuter une version modifiée d’AOSP (Android Open Source Project) destinée à une utilisation avec Teams et leurs cas d’utilisation respectifs. Cet article s’applique uniquement aux appareils Microsoft Teams certifiés et dédiés fonctionnant sous le système d’exploitation Android. Les appareils certifiés Teams ne peuvent être achetés que chez des fournisseurs OEM certifiés. Pour plus d’informations sur les appareils Android certifiés Microsoft Teams, consultez Systèmes et périphériques certifiés Salles Teams.

Pour plus d’informations sur la sécurité des Salles Teams sur les appareils Windows, sélectionnez l’onglet Salles Teams sous Windows.

Sécurité logicielle

Mode plein écran Android

Les appareils Android Teams sont verrouillés pour n’exécuter que les applications approuvées en fonctionnant en mode plein écran Android. Le mode plein écran désactive l’accès à toutes les fonctionnalités du lanceur et permet de sécuriser l’appareil afin que les applications autorisées se lancent sur l’appareil.

Nom de l’application	Description de l’application
Application Microsoft Teams pour Android	Application d’appareil Microsoft Teams
Assistant d’administration Microsoft Teams	Gestion à distance du Centre d’administration Teams
Application Authenticator	Inscription et connexion
Application DM AOSP	Inscription d’appareils
Agent partenaire OEM	Agent partenaire OEM et application paramètres de l’appareil

Remarque

Les appareils non encore migrés vers la gestion des appareils AOSP auront l’application Portail d’entreprise Intune installée à la place des applications Authenticator et DM AOSP.

Par conception, l’application Android Microsoft Teams se lance au démarrage en mode plein écran Android et ne donne à l’utilisateur aucun accès au système d’exploitation ni aux composants en dehors de l’expérience utilisateur Teams désignée.

Signature du code d’application

Toutes les applications Microsoft et OEM sont signées par du code. La signature de code permet de valider que le logiciel en cours d’exécution sur un appareil est authentique auprès de Microsoft et de nos partenaires matériels. La signature de code tente également de valider l’intégrité du logiciel exécuté sur l’appareil, de sorte que seuls les logiciels authentiques peuvent être lancés et exécutés.

Applications tierces

Pour garantir qu’aucune application tierce ne puisse être installée, les appareils certifiés Teams n’ont pas le Google Play Store, Amazon Appstore ni Google Play Services installés par conception.

Android Debug Bridge

Android Debug Bridge (ADB) est désactivé sur tous les appareils Android Teams exécutant le logiciel de mise en production. ADB est un outil en ligne de commande qui permet aux administrateurs d’effectuer des fonctions sur des appareils Android, notamment l’installation d’applications, l’accès au shell de l’appareil et d’autres fonctions d’administration.

Chiffrement du système de fichiers

Les appareils Android Teams doivent prendre en charge le chiffrement basé sur Android, qui peut être appliqué via les stratégies de conformité Microsoft Endpoint Manager. Pour plus d’informations sur les stratégies de conformité Endpoint Manager, consultez Utiliser les stratégies de conformité Endpoint Manager pour définir des règles pour les appareils que vous gérez avec Intune.

Version du système d’exploitation Android

Les appareils Android Teams exécutent des versions prises en charge d’Android. Le système d’exploitation Android est géré par les partenaires OEM, intégré dans le microprogramme certifié Teams, puis déployé sur les appareils depuis le centre d’administration Teams. Pour plus d’informations sur les versions d’Android utilisées sur les appareils Android Teams, consultez [Appareils Android certifiés Microsoft Teams](android-app-firmware.md).

Mises à jour de sécurité Android

Les fournisseurs OEM intègrent, dans le cadre du processus de mise à jour du microprogramme, les bases de référence des mises à jour de sécurité Android appropriées afin de garantir la sécurité du système d’exploitation de base. Il est important de mettre régulièrement vos appareils à jour pour garantir que les mises à jour de sécurité Android appropriées sont bien appliquées. Pour plus d’informations, veuillez vous référer au fabricant de votre appareil.

Sécurité du compte

Les appareils Android Teams reposent sur deux types de comptes qui permettent leur bon fonctionnement.

• Compte d’administrateur d’appareil local

• Compte d’utilisateur ou de ressource

Les appareils Android Teams sont également compatibles avec certaines stratégies d’accès conditionnel, qui peuvent être utilisées comme couches de sécurité supplémentaires pour la connexion aux appareils. Pour connaître les bonnes pratiques et les stratégies d’accès conditionnel prises en charge, consultez Stratégies de conformité de l’accès conditionnel prises en charge.

Compte d’administrateur d’appareil local

Les appareils Android Teams incluent un compte d’administration permettant d’accéder aux paramètres de l’appareil, au serveur web local (s’il est installé) et à tous les paramètres spécifiques à l’OEM.

Les éléments de configuration initiaux de l’appareil, tels que le nom d’utilisateur et le mot de passe par défaut pour ce compte, peuvent être obtenus auprès du fabricant de l’appareil.

Attention

Veillez à changer le mot de passe administrateur local de l’appareil dès que possible.

Conseil

Le centre d’administration Teams peut être utilisé pour modifier le mot de passe de l’administrateur local d’un appareil Android Teams connecté en appliquant un profil de configuration. Nous recommandons cette approche après la première connexion de l’appareil pour protéger les fonctionnalités avancées d’un appareil Android. Les fonctionnalités avancées peuvent inclure les paramètres de l’appareil et les portails d’administration web, si ceux-ci sont pris en charge.

Compte d’utilisateur ou de ressource

Les appareils Android Teams nécessitent l’utilisation d’un utilisateur ou d’un compte de ressource dédié pour se connecter à Microsoft 365. Nous tentons de sécuriser ces comptes de manière spécifique, selon qu’il s’agit d’un compte utilisateur pour un appareil personnel ou d’un compte de ressource pour un appareil partagé. Pour plus d’informations, consultez Créer et configurer des comptes de ressources pour les salles et les appareils partagés.

Mises à jour de l’appareil

Les appareils Android Teams sont configurés pour télécharger les mises à jour certifiées Microsoft depuis le centre d’administration Teams dès qu’elles sont disponibles. Ces mises à jour peuvent être déployées automatiquement ou lancées manuellement par un administrateur. Des outils tiers fournis par nos partenaires OEM sont également disponibles pour effectuer cette fonction si nécessaire. Les appareils Android Teams peuvent installer les mises à jour en dehors des heures d’utilisation afin de ne pas impacter les collaborateurs. Les planifications en dehors des heures d’ouverture peuvent être configurées dans le centre d’administration Teams ou à l’aide d’outils tiers de partenaires OEM.

Important

Microsoft recommande la gestion du microprogramme pour tous les appareils Android Teams via le centre d’administration Teams.

Sécurité du réseau

Les appareils Android Teams ont les mêmes exigences réseau que tout client Microsoft Teams, y compris l’accès via des pare-feu et autres dispositifs de sécurité. Plus précisément, les catégories listées comme requises pour Teams doivent être ouvertes sur votre pare-feu, ainsi que les autres services de support indiqués ci-dessous. Pour la liste complète des adresses IP et URL requises pour les appareils Android Teams, consultez :

• Microsoft Teams, Exchange Online, SharePoint, Microsoft 365 Common et Office Online URL et plages d’adresses IP Office 365

• Microsoft Intune Points de terminaison réseau pour Microsoft Intune

• Pour Salles Microsoft Teams Portail de gestion Pro, vous devez également vous assurer que les appareils Android Teams peuvent accéder aux URL suivantes :

Cloud/Emplacement	Type de périphérique	URL
NOAM (Amérique du Nord)	salles Teams sur Android (MTR-A)	mmrprodnoamcbiot.azure-devices.net
	Consoles tactiles	mmrprodnoamtciot.azure-devices.net
	Téléphones Teams	mmrprodnoamphonesiot.azure-devices.net
	Panneaux Teams	mmrprodnoampanelsiot.azure-devices.net
EMEA (Europe, Moyen-Orient, Afrique)	salles Teams sur Android (MTR-A)	mmrprodemeacbiot.azure-devices.net
	Consoles tactiles	mmrprodemeatciot.azure-devices.net
	Téléphones Teams	mmrprodemeaphonesiot.azure-devices.net
	Panneaux Teams	mmrprodemeapanelsiot.azure-devices.net
APAC (Asie-Pacifique)	salles Teams sur Android (MTR-A)	mmrprodapaccbiot.azure-devices.net
	Consoles tactiles	mmrprodapactciot.azure-devices.net
	Téléphones Teams	mmrprodapacphonesiot.azure-devices.net
	Panneaux Teams	mmrprodapacpanelsiot.azure-devices.net
GCC	Tous les appareils Android	mmrprodgcciot.azure-devices.net
GCCH	Tous les appareils Android	mmrgcchiot.azure-devices.us
Dod	Tous les appareils Android	mmrdodiot.azure-devices.us

Les appareils Android Teams fonctionnent avec la plupart des protocoles de sécurité 802.1X et d’autres protocoles de sécurité réseau. Cependant, nous ne pouvons pas tester les appareils Android Teams avec toutes les configurations de sécurité réseau. Par conséquent, si des problèmes de performances liés au réseau surviennent, vous devrez peut-être désactiver ces protocoles ou contacter votre partenaire OEM pour obtenir de l’aide.

Pour des performances optimales des médias en temps réel, nous recommandons vivement de configurer le trafic média Teams pour qu’il contourne les serveurs proxy et autres dispositifs de sécurité réseau. Les médias en temps réel sont sensibles à la latence réseau, qui peut être causée par les serveurs proxy et autres dispositifs de sécurité réseau. La latence réseau peut dégrader significativement la qualité audio et vidéo des collaborateurs. Pour plus d’informations, consultez Mise en réseau (vers le cloud) : point de vue d’un architecte, qui présente les recommandations réseau pour améliorer les performances des médias avec Microsoft Teams.

Les appareils Android Teams utilisent des communications chiffrées et l’authentification de point de terminaison sur Internet. Les appareils Android Teams utilisent TLS 1.2+.

Important

Les appareils Android Teams ne prennent pas en charge les serveurs proxy authentifiés ni les restrictions de locataire. Contactez votre partenaire OEM pour obtenir des informations sur la prise en charge des serveurs proxy.

Les appareils Android Teams n’ont pas besoin de se connecter à un réseau local interne. Envisagez de placer les appareils Android Teams dans un segment réseau sécurisé avec un accès direct à Internet. Par exemple, les instances Teams Phone peuvent être déployées sur un réseau local virtuel vocal. Si votre réseau local interne est compromis, la mise en œuvre de cette séparation réseau réduit les vecteurs d’attaque possibles vers les appareils Android Teams.

Nous recommandons vivement de connecter vos appareils Salles Teams à un réseau câblé. L’utilisation de réseaux sans fil nécessite une planification et une évaluation rigoureuses pour garantir une expérience optimale. Pour plus d’informations, consultez Considérations relatives au réseau sans fil.

La Participation de proximité, Better Together, Teams Cast et le jumelage des panneaux Teams reposent sur Bluetooth. L’utilisation de la technologie Bluetooth dans les Salles Teams sur les appareils Android est actuellement limitée aux balises publicitaires et aux connexions proximales déclenchées. Le type d’unité de données de protocole (PDU) ADV_NONCONN_INT est utilisé dans la balise publicitaire. Ce type PDU est destiné aux appareils non connectés qui publient des informations sur l’appareil à l’écoute. Aucun jumelage d’appareils Bluetooth n’est nécessaire dans le cadre de ces fonctionnalités. Pour plus d’informations sur les protocoles Bluetooth, consultez le site web Bluetooth SIG.

Les téléphones et affichages Teams offrent la possibilité de jumelage Bluetooth avec des casques utilisant le profil mains libres Bluetooth.

Pour plus d’informations sur la sécurité dans Microsoft Teams, consultez Sécurité et Microsoft Teams.