Salles Microsoft Teams sécurité
Cet article fournit des conseils de sécurité pour les appareils Salles Microsoft Teams sur les appareils Windows et Android. Ces conseils incluent des informations sur la sécurité du matériel, des logiciels, du réseau et des comptes.
Sélectionnez l’onglet salles Teams sur Windows ou salles Teams pour Android pour plus d’informations sur la sécurité des salles Teams sur votre appareil.
Microsoft collabore avec nos partenaires pour fournir une solution sécurisée qui ne nécessite pas d’actions supplémentaires pour sécuriser Salles Microsoft Teams sur Windows. Cette section décrit la plupart des fonctionnalités de sécurité disponibles dans salles Teams sur Windows.
Pour plus d’informations sur la sécurité sur salles Teams sur les appareils Android, sélectionnez l’onglet salles Teams sur Android.
Notes
Salles Microsoft Teams ne doivent pas être traités comme une station de travail d’utilisateur final classique. Non seulement les cas d’usage sont très différents, mais les profils de sécurité par défaut sont également très différents, mais nous vous recommandons de les traiter comme des appliances. L’installation de logiciels supplémentaires sur vos appareils salles Teams n’est pas prise en charge par Microsoft. Cet article s’applique aux appareils Salles Microsoft Teams s’exécutant sur Windows.
Les données des utilisateurs finaux limitées sont stockées sur salles Teams. Les données de l’utilisateur final peuvent être stockées dans les fichiers journaux à des fins de dépannage et de support uniquement. Aucun participant à une réunion utilisant salles Teams ne peut copier des fichiers sur le disque dur ou se connecter en tant qu’eux-mêmes. Aucune donnée de l’utilisateur final n’est transférée ou accessible par l’appareil Salles Microsoft Teams.
Même si les utilisateurs finaux ne peuvent pas placer de fichiers sur un disque dur salles Teams, Microsoft Defender est toujours activé prête à l’emploi. salles Teams performances sont testées avec Microsoft Defender, notamment l’inscription dans le portail Defender pour point de terminaison. La désactivation ou l’ajout d’un logiciel de sécurité de point de terminaison peut entraîner des résultats imprévisibles et une dégradation potentielle du système.
Dans un environnement salles Teams, il existe un module de calcul central qui s’exécute Windows 10 ou 11 éditions IoT Enterprise. Chaque module de calcul certifié doit disposer d’une solution de montage sécurisée, d’un emplacement de verrouillage de sécurité (par exemple, verrou Kensington) et de mesures de sécurité d’accès aux ports d’E/S pour empêcher la connexion d’appareils non autorisés. Vous pouvez également désactiver des ports spécifiques via la configuration UEFI (Unified Extensible Firmware Interface).
Chaque module de calcul certifié doit être livré avec la technologie compatible TPM (Trusted Platform Module) 2.0 activée par défaut. TPM est utilisé pour chiffrer les informations de connexion pour le compte de ressource salles Teams.
Le démarrage sécurisé est activé par défaut. Le démarrage sécurisé est une norme de sécurité développée par les membres de l’industrie des PC pour s’assurer qu’un appareil démarre uniquement à l’aide de logiciels approuvés par le fabricant d’équipement d’origine (OEM). Au démarrage du PC, le microprogramme vérifie la signature de chaque élément du logiciel de démarrage, y compris les pilotes de microprogramme UEFI (également appelés RoMs Option), les applications EFI et le système d’exploitation. Si les signatures sont valides, le PC démarre et le microprogramme donne le contrôle au système d’exploitation. Pour plus d’informations, consultez Démarrage sécurisé.
L’accès aux paramètres UEFI n’est possible qu’en attachant un clavier physique et une souris, ce qui empêche d’accéder à UEFI via la console tactile salles Teams ou tout autre écran tactile attaché à salles Teams.
La protection d’accès direct à la mémoire du noyau (DMA) est un paramètre Windows activé sur salles Teams. Avec cette fonctionnalité, le système d’exploitation et le microprogramme du système protègent le système contre les attaques DMA malveillantes et involontaires pour tous les appareils compatibles DMA : pendant le processus de démarrage et contre les DMA malveillants par des appareils connectés à des ports compatibles DMA internes/externes facilement accessibles, tels que les emplacements PCIe M.2 et Thunderbolt 3, pendant l’exécution du système d’exploitation.
salles Teams également activer l’intégrité du code protégé par l’hyperviseur (HVCI). L’une des fonctionnalités fournies par HVCI est Credential Guard. Credential Guard offre les avantages suivants :
Sécurité matérielle NTLM, Kerberos et Credential Manager tirent parti des fonctionnalités de sécurité de la plateforme, notamment le démarrage sécurisé et la virtualisation, pour protéger les informations d’identification.
Sécurité basée sur la virtualisation Les informations d’identification dérivées de Windows NTLM et Kerberos et d’autres secrets s’exécutent dans un environnement protégé isolé du système d’exploitation en cours d’exécution.
Meilleure protection contre les menaces persistantes avancées Lorsque les informations d’identification du domaine Credential Manager, les informations d’identification dérivées de NTLM et Kerberos sont protégées à l’aide de la sécurité basée sur la virtualisation, les techniques d’attaque de vol d’informations d’identification et les outils utilisés dans de nombreuses attaques ciblées sont bloqués. Les programmes malveillants s’exécutant dans le système d’exploitation avec des privilèges d’administration ne peuvent pas extraire les secrets protégés par la sécurité basée sur la virtualisation.
Après le démarrage de Microsoft Windows, salles Teams se connecte automatiquement à un compte d’utilisateur Windows local nommé Skype. Le compte Skype n’a pas de mot de passe. Pour sécuriser la session de compte Skype, les étapes suivantes sont effectuées.
Important
Ne modifiez pas le mot de passe et ne modifiez pas le compte d’utilisateur Skype local. Cela peut empêcher salles Teams de se connecter automatiquement.
L’application Salles Microsoft Teams s’exécute à l’aide de la fonctionnalité Accès affecté disponible dans Windows 10 1903 et versions ultérieures. L’accès affecté est une fonctionnalité de Windows qui limite les points d’entrée d’application exposés à l’utilisateur et active le mode kiosque à application unique. À l’aide du lanceur d’interpréteur de commandes, salles Teams est configuré en tant qu’appareil kiosque qui exécute une application de bureau Windows en tant qu’interface utilisateur. L’application Salles Microsoft Teams remplace l’interpréteur de commandes par défaut (explorer.exe) qui s’exécute généralement lorsqu’un utilisateur ouvre une session. En d’autres termes, l’interpréteur de commandes Explorer traditionnel n’est pas lancé du tout, ce qui réduit considérablement la surface de vulnérabilité Salles Microsoft Teams dans Windows. Pour plus d’informations, consultez Configurer des bornes et des connexions numériques sur les éditions de bureau Windows.
Si vous décidez d’exécuter une analyse de sécurité ou un benchmark CIS (Center for Internet Security) sur salles Teams, l’analyse ne peut s’exécuter que dans le contexte d’un compte d’administrateur local, car le compte d’utilisateur Skype ne prend pas en charge l’exécution d’applications autres que l’application salles Teams. La plupart des fonctionnalités de sécurité appliquées au contexte utilisateur Skype ne s’appliquent pas aux autres utilisateurs locaux et, par conséquent, ces analyses de sécurité ne font pas apparaître le verrouillage de sécurité complet appliqué au compte Skype. Par conséquent, nous vous déconseillons d’exécuter une analyse locale sur salles Teams. Toutefois, vous pouvez exécuter des tests d’intrusion externes si vous le souhaitez. En raison de cette configuration, nous vous recommandons d’exécuter des tests d’intrusion externes sur des appareils salles Teams au lieu d’exécuter des analyses locales.
En outre, des stratégies de verrouillage sont appliquées pour limiter l’utilisation des fonctionnalités non administrateur. Un filtre de clavier est activé pour intercepter et bloquer les combinaisons de clavier potentiellement non sécurisées qui ne sont pas couvertes par les stratégies d’accès affecté. Seuls les utilisateurs disposant de droits d’administration locaux ou de domaine sont autorisés à se connecter à Windows pour gérer salles Teams. Ces stratégies et d’autres stratégies appliquées à Windows sur Salles Microsoft Teams appareils sont continuellement évaluées et testées pendant le cycle de vie du produit.
Microsoft Defender est activé prête à l’emploi. La licence Salles Teams Pro inclut également Defender pour point de terminaison, qui permet aux clients d’inscrire leurs salles Teams dans Defender pour point de terminaison. Cette inscription peut fournir aux équipes de sécurité une visibilité sur la posture de sécurité de Salle Teams sur les appareils Windows à partir du portail Defender. salles Teams sur Windows peuvent être inscrits en suivant les étapes pour les appareils Windows. Nous vous déconseillons de modifier salles Teams à l’aide de règles de protection (ou d’autres stratégies Defender qui modifient la configuration), car ces stratégies peuvent avoir un impact sur salles Teams fonctionnalités. Toutefois, la fonctionnalité de création de rapports dans le portail est prise en charge.
salles Teams appareils incluent un compte d’administration nommé « Administration » avec un mot de passe par défaut. Nous vous recommandons vivement de modifier le mot de passe par défaut dès que possible après la fin de l’installation.
Le compte Administration n’est pas requis pour le bon fonctionnement des appareils salles Teams et peut être renommé ou même supprimé. Toutefois, avant de supprimer le compte Administration, veillez à configurer un autre compte d’administrateur local configuré avant de supprimer celui fourni avec salles Teams appareils. Pour plus d’informations sur la modification d’un mot de passe pour un compte Windows local à l’aide des outils Windows intégrés ou de PowerShell, consultez les guides suivants :
- Configuration de LAPS sur salles Teams sur Windows
- Modifier ou réinitialiser votre mot de passe Windows
- Set-LocalUser
Vous pouvez également importer des comptes de domaine dans le groupe Administrateur Windows local à l’aide de Intune. Pour plus d’informations, consultez Fournisseur de services de configuration de stratégie – RestrictedGroups.
Notes
Si vous utilisez un salles Teams Crestron avec une console connectée au réseau, veillez à suivre les instructions de Crestron pour configurer le compte Windows utilisé pour le jumelage.
Attention
Si vous supprimez ou désactivez le compte Administration avant d’accorder des autorisations d’administrateur local à un autre compte local ou de domaine, vous risquez de perdre la possibilité d’administrer l’appareil salles Teams. Si cela se produit, vous devez réinitialiser l’appareil à ses paramètres d’origine et terminer à nouveau le processus d’installation.
N’accordez pas d’autorisations d’administrateur local au compte d’utilisateur Skype.
Les Designer de configuration Windows peuvent être utilisés pour créer des packages d’approvisionnement Windows. En plus de modifier le mot de passe Administration local, vous pouvez également effectuer des opérations telles que la modification du nom de la machine et l’inscription dans Microsoft Entra ID. Pour plus d’informations sur la création d’un package de configuration Windows Designer d’approvisionnement, consultez Mise en service de packages pour Windows 10.
Vous devez créer un compte de ressource pour chaque appareil salles Teams afin qu’il puisse se connecter à Teams. Vous ne pouvez pas utiliser l’authentification à deux facteurs ou multifacteur interactive de l’utilisateur avec ce compte. L’exigence d’un deuxième facteur interactif par l’utilisateur empêcherait le compte de se connecter automatiquement à l’application salles Teams après un redémarrage. En outre, les stratégies d’accès conditionnel Microsoft Entra et les stratégies de conformité Intune peuvent être déployées pour sécuriser le compte de ressource et obtenir l’authentification multifacteur par d’autres moyens. Pour plus d’informations, consultez Stratégies de conformité des appareils Intune et accès conditionnel pris en charge pour Salles Microsoft Teams et Conformité de l’accès conditionnel et Intune pour Salles Microsoft Teams.
Nous vous recommandons de créer le compte de ressource dans Microsoft Entra ID, si possible en tant que compte cloud uniquement. Bien qu’un compte synchronisé puisse fonctionner avec salles Teams dans les déploiements hybrides, ces comptes synchronisés ont souvent des difficultés à se connecter à salles Teams et peuvent être difficiles à résoudre. Si vous choisissez d’utiliser un service de fédération tiers pour authentifier les informations d’identification du compte de ressource, vérifiez que le fournisseur d’identité tiers répond avec l’attribut wsTrustResponse
défini sur urn:oasis:names:tc:SAML:1.0:assertion
. Si votre organization ne souhaite pas utiliser WS-Trust, utilisez plutôt des comptes cloud uniquement.
En règle générale, salles Teams a les mêmes exigences réseau que n’importe quel client Microsoft Teams. L’accès via des pare-feu et d’autres appareils de sécurité est le même pour salles Teams que pour tout autre client Microsoft Teams. Spécifique à salles Teams, les catégories répertoriées comme « obligatoires » pour Teams doivent être ouvertes sur votre pare-feu. salles Teams avez également besoin d’accéder à Windows Update, au Microsoft Store et à Microsoft Intune (si vous utilisez Microsoft Intune pour gérer vos appareils). Pour obtenir la liste complète des adresses IP et url requises pour Salles Microsoft Teams, consultez :
- Microsoft Teams, Exchange Online, SharePoint, Microsoft 365 Common et Office OnlineOffice 365 URL et plages d’adresses IP
- Windows UpdateConfigurer WSUS
- Points determinaison du Microsoft Store
- points de terminaison Microsoft Intune réseau pour Microsoft Intune
- Point de terminaison du client de télémétrie : vortex.data.microsoft.com
- Point de terminaison des paramètres de télémétrie : settings.data.microsoft.com
Pour Salles Microsoft Teams Pro Portail de gestion, vous devez également vous assurer que salles Teams pouvez accéder aux URL suivantes :
- agent.rooms.microsoft.com
- global.azure-devices-provisioning.net
- gj3ftstorage.blob.core.windows.net
- mmrstgnoamiot.azure-devices.net
- mmrstgnoamstor.blob.core.windows.net
- mmrprodapaciot.azure-devices.net
- mmrprodapacstor.blob.core.windows.net
- mmrprodemeaiot.azure-devices.net
- mmrprodemeastor.blob.core.windows.net
- mmrprodnoamiot.azure-devices.net
- mmrprodnoamstor.blob.core.windows.net
- mmrprodnoampubsub.webpubsub.azure.com
- mmrprodemeapubsub.webpubsub.azure.com
- mmrprodapacpubsub.webpubsub.azure.com
Les clients GCC devront également activer les URL suivantes :
- mmrprodgcciot.azure-devices.net
- mmrprodgccstor.blob.core.windows.net
salles Teams est configuré pour conserver automatiquement les correctifs avec les dernières mises à jour Windows, y compris les mises à jour de sécurité. salles Teams installe toutes les mises à jour en attente tous les jours à partir de 2h00 à 3h00 heure locale de l’appareil à l’aide d’une stratégie locale prédéfinie. Il n’est pas nécessaire d’utiliser d’autres outils pour déployer et appliquer des Mises à jour Windows. L’utilisation d’autres outils pour déployer et appliquer des mises à jour peut retarder l’installation des correctifs Windows et donc entraîner un déploiement moins sécurisé. L’application salles Teams est déployée à l’aide du Microsoft Store.
salles Teams appareils fonctionnent avec la plupart des protocoles de sécurité 802.1X ou d’autres protocoles de sécurité réseau. Toutefois, nous ne sommes pas en mesure de tester salles Teams par rapport à toutes les configurations de sécurité réseau possibles. Par conséquent, si des problèmes de performances pouvant être suivis de problèmes de performances réseau surviennent, vous devrez peut-être désactiver ces protocoles.
Pour optimiser les performances des médias en temps réel, nous vous recommandons vivement de configurer le trafic multimédia Teams pour contourner les serveurs proxy et autres appareils de sécurité réseau. Les médias en temps réel sont très sensibles à la latence et les serveurs proxy et les appareils de sécurité réseau peuvent dégrader considérablement la qualité vidéo et audio des utilisateurs. En outre, étant donné que les médias Teams sont déjà chiffrés, il n’y a aucun avantage tangible à transmettre le trafic via un serveur proxy. Pour plus d’informations, consultez Mise en réseau (vers le cloud) : point de vue d’un architecte, qui présente les recommandations relatives au réseau pour améliorer les performances des médias avec Microsoft Teams et Salles Microsoft Teams. Si votre organization utilise des restrictions de locataire, elle est prise en charge pour salles Teams sur les appareils Windows en suivant les instructions de configuration dans le document préparer votre environnement.
salles Teams appareils n’ont pas besoin de se connecter à un réseau lan interne. Envisagez de placer salles Teams dans un segment de réseau isolé sécurisé avec un accès Direct à Internet. Si votre réseau lan interne est compromis, les opportunités de vecteur d’attaque vers salles Teams sont réduites.
Nous vous recommandons vivement de connecter vos appareils salles Teams à un réseau câblé. L’utilisation des réseaux sans fil nécessite une planification et une évaluation minutieuses pour une expérience optimale. Pour plus d’informations, consultez Considérations relatives au réseau sans fil.
La jonction de proximité et d’autres fonctionnalités salles Teams s’appuient sur Bluetooth. Toutefois, l’implémentation Bluetooth sur salles Teams appareils n’autorise pas une connexion d’appareil externe à un appareil salles Teams. L’utilisation de la technologie Bluetooth sur les appareils salles Teams est actuellement limitée aux balises publicitaires et aux connexions proximales déclenchées. Le ADV_NONCONN_INT
type d’unité de données de protocole (PDU) est utilisé dans la balise publicitaire. Ce type DDU est destiné aux appareils non connectables qui publient des informations sur l’appareil d’écoute. Il n’existe aucun appairage d’appareils Bluetooth dans le cadre de ces fonctionnalités. Pour plus d’informations sur les protocoles Bluetooth, consultez le site web Bluetooth SIG.