Salles Microsoft Teams sécurité

• S’applique à:

  Microsoft Teams

Cet article fournit des conseils de sécurité pour les appareils Salles Microsoft Teams sur les appareils Windows et Android. Ces conseils incluent des informations sur la sécurité du matériel, des logiciels, du réseau et des comptes.

Sélectionnez l’onglet salles Teams sur Windows ou salles Teams pour Android pour plus d’informations sur la sécurité des salles Teams sur votre appareil.

salles Teams sur Windows

Microsoft collabore avec nos partenaires pour fournir une solution sécurisée qui ne nécessite pas d’actions supplémentaires pour sécuriser Salles Microsoft Teams sur Windows. Cette section décrit la plupart des fonctionnalités de sécurité disponibles dans salles Teams sur Windows.

Pour plus d’informations sur la sécurité sur salles Teams sur les appareils Android, sélectionnez l’onglet salles Teams sur Android.

Remarque

Salles Microsoft Teams ne doivent pas être traités comme une station de travail d’utilisateur final classique. Non seulement les cas d’usage sont très différents, mais les profils de sécurité par défaut sont également très différents, mais nous vous recommandons de les traiter comme des appliances. L’installation de logiciels supplémentaires sur vos appareils salles Teams n’est pas prise en charge par Microsoft. Cet article s’applique aux appareils Salles Microsoft Teams s’exécutant sur Windows.

Les données des utilisateurs finaux limitées sont stockées sur salles Teams. Les données de l’utilisateur final peuvent être stockées dans les fichiers journaux à des fins de dépannage et de support uniquement. Aucun participant à une réunion utilisant salles Teams ne peut copier des fichiers sur le disque dur ou se connecter en tant qu’eux-mêmes. Aucune donnée de l’utilisateur final n’est transférée ou accessible par l’appareil Salles Microsoft Teams.

Même si les utilisateurs finaux ne peuvent pas placer de fichiers sur un disque dur salles Teams, Microsoft Defender est toujours activé prête à l’emploi. salles Teams performances sont testées avec Microsoft Defender, notamment l’inscription dans le portail Defender pour point de terminaison. La désactivation ou l’ajout d’un logiciel de sécurité de point de terminaison peut entraîner des résultats imprévisibles et une dégradation potentielle du système.

Sécurité matérielle

Dans un environnement salles Teams, il existe un module de calcul central qui s’exécute Windows 10 ou 11 éditions IoT Enterprise. Chaque module de calcul certifié doit disposer d’une solution de montage sécurisée, d’un emplacement de verrouillage de sécurité (par exemple, verrou Kensington) et de mesures de sécurité d’accès aux ports d’E/S pour empêcher la connexion d’appareils non autorisés. Vous pouvez également désactiver des ports spécifiques via la configuration UEFI (Unified Extensible Firmware Interface).

Chaque module de calcul certifié doit être livré avec la technologie compatible TPM (Trusted Platform Module) 2.0 activée par défaut. TPM est utilisé pour chiffrer les informations de connexion pour le compte de ressource salles Teams.

Le démarrage sécurisé est activé par défaut. Le démarrage sécurisé est une norme de sécurité développée par les membres de l’industrie des PC pour s’assurer qu’un appareil démarre uniquement à l’aide de logiciels approuvés par le fabricant d’équipement d’origine (OEM). Au démarrage du PC, le microprogramme vérifie la signature de chaque élément du logiciel de démarrage, y compris les pilotes de microprogramme UEFI (également appelés RoMs Option), les applications EFI et le système d’exploitation. Si les signatures sont valides, le PC démarre et le microprogramme donne le contrôle au système d’exploitation. Pour plus d’informations, consultez Démarrage sécurisé.

L’accès aux paramètres UEFI n’est possible qu’en attachant un clavier physique et une souris, ce qui empêche d’accéder à UEFI via la console tactile salles Teams ou tout autre écran tactile attaché à salles Teams.

La protection d’accès direct à la mémoire du noyau (DMA) est un paramètre Windows activé sur salles Teams. Avec cette fonctionnalité, le système d’exploitation et le microprogramme du système protègent le système contre les attaques DMA malveillantes et involontaires pour tous les appareils compatibles DMA :

• Pendant le processus de démarrage.

• Contre les DMA malveillants par des appareils connectés à des ports compatibles DMA internes/externes facilement accessibles, tels que les emplacements PCIe M.2 et Thunderbolt 3, pendant l’exécution du système d’exploitation.

salles Teams active également l’intégrité du code protégé par l’hyperviseur (HVCI). L’une des fonctionnalités fournies par HVCI est Credential Guard. Credential Guard offre les avantages suivants :

• Sécurité matérielle NTLM, Kerberos et Credential Manager tirent parti des fonctionnalités de sécurité de la plateforme, notamment le démarrage sécurisé et la virtualisation, pour protéger les informations d’identification.

• Sécurité basée sur la virtualisation Les informations d’identification dérivées de Windows NTLM et Kerberos et d’autres secrets s’exécutent dans un environnement protégé isolé du système d’exploitation en cours d’exécution.

• Meilleure protection contre les menaces persistantes avancées Lorsque les informations d’identification du domaine Du gestionnaire d’informations d’identification, les informations d’identification dérivées de NTLM et Kerberos sont protégées à l’aide d’une sécurité basée sur la virtualisation, les techniques d’attaque par vol d’informations d’identification et les outils utilisés dans de nombreuses attaques ciblées sont bloqués. Les programmes malveillants s’exécutant dans le système d’exploitation avec des privilèges d’administration ne peuvent pas extraire les secrets protégés par la sécurité basée sur la virtualisation.

Sécurité logicielle

Après le démarrage de Microsoft Windows, salles Teams se connecte automatiquement à un compte d’utilisateur Windows local nommé Skype. Le compte Skype n’a pas de mot de passe. Pour sécuriser la session de compte Skype, les étapes suivantes sont effectuées.

Important

Ne modifiez pas le mot de passe et ne modifiez pas le compte d’utilisateur Skype local. Cela peut empêcher salles Teams de se connecter automatiquement.

L’application Salles Microsoft Teams s’exécute à l’aide de la fonctionnalité Accès affecté disponible dans Windows 10 1903 et versions ultérieures. L’accès affecté est une fonctionnalité de Windows qui limite les points d’entrée d’application exposés à l’utilisateur et active le mode kiosque à application unique. À l’aide du lanceur d’interpréteur de commandes, salles Teams est configuré en tant qu’appareil kiosque qui exécute une application de bureau Windows en tant qu’interface utilisateur. L’application Salles Microsoft Teams remplace l’interpréteur de commandes par défaut (explorer.exe) qui s’exécute généralement lorsqu’un utilisateur ouvre une session. En d’autres termes, l’interpréteur de commandes Explorer traditionnel n’est pas lancé du tout, ce qui réduit considérablement la surface de vulnérabilité Salles Microsoft Teams dans Windows. Pour plus d’informations, consultez Configurer des bornes et des connexions numériques sur les éditions de bureau Windows.

Si vous décidez d’exécuter une analyse de sécurité ou un benchmark CIS (Center for Internet Security) sur salles Teams, l’analyse ne peut s’exécuter que dans le contexte d’un compte d’administrateur local, car le compte d’utilisateur Skype ne prend pas en charge l’exécution d’applications autres que l’application salles Teams. La plupart des fonctionnalités de sécurité appliquées au contexte utilisateur Skype ne s’appliquent pas aux autres utilisateurs locaux et, par conséquent, ces analyses de sécurité ne font pas apparaître le verrouillage de sécurité complet appliqué au compte Skype. Par conséquent, nous vous déconseillons d’exécuter une analyse locale sur salles Teams. Toutefois, vous pouvez exécuter des tests d’intrusion externes si vous le souhaitez. Pour cette raison, nous vous recommandons d’exécuter des tests d’intrusion externes sur salles Teams appareils au lieu d’exécuter des analyses locales.

En outre, des stratégies de verrouillage sont appliquées pour limiter l’utilisation des fonctionnalités non administrateur. Un filtre de clavier est activé pour intercepter et bloquer les combinaisons de clavier potentiellement non sécurisées qui ne sont pas couvertes par les stratégies d’accès affecté. Seuls les utilisateurs disposant de droits d’administration locaux ou de domaine sont autorisés à se connecter à Windows pour gérer salles Teams. Ces stratégies et d’autres stratégies appliquées à Windows sur Salles Microsoft Teams appareils sont continuellement évaluées et testées pendant le cycle de vie du produit.

Microsoft Defender est activée prête à l’emploi, la licence Salles Teams Pro inclut également Defender pour point de terminaison, qui permet aux clients d’inscrire leurs salles Teams dans Defender pour point de terminaison afin de fournir aux équipes de sécurité une visibilité sur la posture de sécurité de Salle Teams sur les appareils Windows à partir du portail Defender. salles Teams sur Windows peuvent être inscrits en suivant les étapes pour les appareils Windows. Nous vous déconseillons de modifier salles Teams à l’aide de règles de protection (ou d’autres stratégies Defender qui modifient la configuration), car ces stratégies peuvent avoir un impact sur salles Teams fonctionnalités. Toutefois, la fonctionnalité de création de rapports dans le portail est prise en charge.

Sécurité du compte

salles Teams appareils incluent un compte d’administration nommé « Administration » avec un mot de passe par défaut. Nous vous recommandons vivement de modifier le mot de passe par défaut dès que possible après la fin de l’installation.

Le compte Administration n’est pas requis pour le bon fonctionnement des appareils salles Teams et peut être renommé ou même supprimé. Toutefois, avant de supprimer le compte Administration, veillez à configurer un autre compte d’administrateur local configuré avant de supprimer celui fourni avec salles Teams appareils. Pour plus d’informations sur la modification d’un mot de passe pour un compte Windows local à l’aide des outils Windows intégrés ou de PowerShell, consultez les rubriques suivantes :

• Configuration de LAPS sur salles Teams sur Windows
• Modifier ou réinitialiser votre mot de passe Windows
• Set-LocalUser

Vous pouvez également importer des comptes de domaine dans le groupe Administrateur Windows local à l’aide de Intune. Pour plus d’informations, consultez Fournisseur de services de configuration de stratégie – RestrictedGroups.

Remarque

Si vous utilisez un salles Teams Crestron avec une console connectée au réseau, veillez à suivre les instructions de Crestron pour configurer le compte Windows utilisé pour le jumelage.

Attention

Si vous supprimez ou désactivez le compte Administration avant d’accorder des autorisations d’administrateur local à un autre compte local ou de domaine, vous risquez de perdre la possibilité d’administrer l’appareil salles Teams. Si cela se produit, vous devez réinitialiser l’appareil à ses paramètres d’origine et terminer à nouveau le processus d’installation.

N’accordez pas d’autorisations d’administrateur local au compte d’utilisateur Skype.

Les Designer de configuration Windows peuvent être utilisés pour créer des packages d’approvisionnement Windows. En plus de modifier le mot de passe Administration local, vous pouvez également effectuer des opérations telles que la modification du nom de la machine et l’inscription dans Microsoft Entra ID. Pour plus d’informations sur la création d’un package de configuration Windows Designer d’approvisionnement, consultez Mise en service de packages pour Windows 10.

Vous devez créer un compte de ressource pour chaque appareil salles Teams afin qu’il puisse se connecter à Teams. Vous ne pouvez pas utiliser l’authentification à deux facteurs ou multifacteur interactive de l’utilisateur avec ce compte. L’exigence d’un deuxième facteur empêcherait le compte de se connecter automatiquement à l’application salles Teams après un redémarrage. En outre, les stratégies d’accès conditionnel Microsoft Entra et les stratégies de conformité Intune peuvent être déployées pour sécuriser le compte de ressource. Pour plus d’informations, consultez Stratégies de conformité des appareils Intune et accès conditionnel pris en charge pour Salles Microsoft Teams et Conformité de l’accès conditionnel et Intune pour Salles Microsoft Teams.

Nous vous recommandons de créer le compte de ressource dans Microsoft Entra ID, si possible en tant que compte cloud uniquement. Bien qu’un compte synchronisé puisse fonctionner avec salles Teams dans les déploiements hybrides, ces comptes synchronisés ont souvent des difficultés à se connecter à salles Teams et peuvent être difficiles à résoudre. Si vous choisissez d’utiliser un service de fédération tiers pour authentifier les informations d’identification du compte de ressource, vérifiez que le fournisseur d’identité tiers répond avec l’attribut wsTrustResponse défini sur urn:oasis:names:tc:SAML:1.0:assertion. Si votre organization ne souhaite pas utiliser WS-Trust, utilisez plutôt des comptes cloud uniquement.

Sécurité réseau

En règle générale, salles Teams a les mêmes exigences réseau que n’importe quel client Microsoft Teams. L’accès via des pare-feu et d’autres appareils de sécurité est le même pour salles Teams que pour tout autre client Microsoft Teams. Spécifique à salles Teams, les catégories répertoriées comme « obligatoires » pour Teams doivent être ouvertes sur votre pare-feu. salles Teams avez également besoin d’accéder à Windows Update, microsoft Store et Microsoft Intune (si vous utilisez Microsoft Intune pour gérer vos appareils). Pour obtenir la liste complète des adresses IP et url requises pour Salles Microsoft Teams, consultez :

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common et Office OnlineOffice 365 URL et plages d’adresses IP
• Windows UpdateConfigurer WSUS
• Conditions préalables du Microsoft Store pour l’Microsoft Store pour Entreprises et l’éducation
• points de terminaison Microsoft Intune réseau pour Microsoft Intune

Si vous utilisez le composant Salles Microsoft Teams services managés de Salles Microsoft Teams Pro, vous devez également vous assurer que salles Teams pouvez accéder aux URL suivantes :

• agent.rooms.microsoft.com
• global.azure-devices-provisioning.net
• gj3ftstorage.blob.core.windows.net
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net

Les clients GCC devront également activer les URL suivantes :

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

salles Teams est configuré pour conserver automatiquement les correctifs avec les dernières mises à jour Windows, y compris les mises à jour de sécurité. salles Teams installe les mises à jour en attente tous les jours à partir de 02h00 à l’aide d’une stratégie locale prédéfinie. Il n’est pas nécessaire d’utiliser d’autres outils pour déployer et appliquer des Mises à jour Windows. L’utilisation d’autres outils pour déployer et appliquer des mises à jour peut retarder l’installation des correctifs Windows et donc entraîner un déploiement moins sécurisé. L’application salles Teams est déployée à l’aide du Microsoft Store.

salles Teams appareils fonctionnent avec la plupart des protocoles de sécurité 802.1X ou d’autres protocoles de sécurité réseau. Toutefois, nous ne sommes pas en mesure de tester salles Teams par rapport à toutes les configurations de sécurité réseau possibles. Par conséquent, si des problèmes de performances pouvant être suivis de problèmes de performances réseau surviennent, vous devrez peut-être désactiver ces protocoles.

Pour optimiser les performances des médias en temps réel, nous vous recommandons vivement de configurer le trafic multimédia Teams pour contourner les serveurs proxy et autres appareils de sécurité réseau. Les médias en temps réel sont très sensibles à la latence et les serveurs proxy et les appareils de sécurité réseau peuvent dégrader considérablement la qualité vidéo et audio des utilisateurs. En outre, étant donné que les médias Teams sont déjà chiffrés, il n’y a aucun avantage tangible à transmettre le trafic via un serveur proxy. Pour plus d’informations, consultez Mise en réseau (vers le cloud) : point de vue d’un architecte, qui présente les recommandations relatives au réseau pour améliorer les performances des médias avec Microsoft Teams et Salles Microsoft Teams.

Important

salles Teams ne prend pas en charge les serveurs proxy authentifiés.

salles Teams appareils n’ont pas besoin de se connecter à un réseau lan interne. Envisagez de placer salles Teams dans un segment de réseau isolé sécurisé avec un accès Direct à Internet. Si votre réseau lan interne est compromis, les opportunités de vecteur d’attaque vers salles Teams sont réduites.

Nous vous recommandons vivement de connecter vos appareils salles Teams à un réseau câblé. L’utilisation des réseaux sans fil nécessite une planification et une évaluation minutieuses pour une expérience optimale. Pour plus d’informations, consultez Considérations relatives au réseau sans fil.

La jonction de proximité et d’autres fonctionnalités salles Teams s’appuient sur Bluetooth. Toutefois, l’implémentation Bluetooth sur salles Teams appareils n’autorise pas une connexion d’appareil externe à un appareil salles Teams. L’utilisation de la technologie Bluetooth sur les appareils salles Teams est actuellement limitée aux balises publicitaires et aux connexions proximales déclenchées. Le ADV_NONCONN_INT type d’unité de données de protocole (PDU) est utilisé dans la balise publicitaire. Ce type DDU est destiné aux appareils non connectables qui publient des informations sur l’appareil d’écoute. Il n’existe aucun appairage d’appareils Bluetooth dans le cadre de ces fonctionnalités. Pour plus d’informations sur les protocoles Bluetooth, consultez le site web bluetooth SIG.

salles Teams sur Android

Cet article ne couvre pas les appareils Android configurés pour le mode appareil dédié par Microsoft Endpoint Manager. Les appareils Android Teams s’exécutent en mode plein écran par conception. Pour plus d’informations sur Android Kiosk, consultez Inscription d’appareils dédiés Android Enterprise.

Microsoft collabore avec nos partenaires OEM pour fournir une solution sécurisée par conception et personnalisable pour répondre aux besoins des clients. Cet article décrit la plupart des fonctionnalités de sécurité disponibles dans les appareils Android Teams et notre approche. Il est divisé en quatre sections clés pour faciliter la navigation.

Remarque

Les appareils Android Microsoft Teams ne doivent pas être traités comme un appareil Android classique. Les appareils Android Teams sont des appliances spécialement conçues pour être utilisées avec Teams et leurs cas d’usage respectifs. Cet article s’applique aux appareils Microsoft Teams certifiés et dédiés exécutant le système d’exploitation Android uniquement. Les appareils certifiés Teams peuvent uniquement être achetés auprès de fournisseurs OEM certifiés. Pour plus d’informations sur les appareils Android certifiés Microsoft Teams, consultez salles Teams systèmes et périphériques certifiés.

Pour plus d’informations sur la sécurité sur salles Teams sur les appareils Windows, sélectionnez l’onglet salles Teams sur Windows.

Sécurité logicielle

Mode plein écran Android

Les appareils Android Teams sont verrouillés pour exécuter uniquement les applications approuvées en exécutant l’appareil en mode Plein écran Android. Le mode plein écran désactive l’accès aux fonctionnalités du lanceur et permet de sécuriser l’appareil afin que les applications autorisées soient lancées sur l’appareil.

Nom de l’application	Description de l’application
Application Android Microsoft Teams	Application d’appareil Microsoft Teams
Microsoft Teams Administration Agent	Gestion à distance du Centre d’administration Teams
Portail d'entreprise Intune	Inscription de l’appareil, inscription & connexion
Agent partenaire OEM	Application Paramètres de l’appareil & de l’agent partenaire OEM

Par conception, l’application Android Microsoft Teams démarre au démarrage en mode Plein écran Android et ne fournit à l’utilisateur aucun accès au système d’exploitation ou à des composants en dehors de l’expérience utilisateur Teams désignée.

Signature du code d’application

Toutes les applications Microsoft et OEM sont signées par code. La signature de code permet de valider que le logiciel exécuté sur un appareil est authentique de Microsoft et de nos partenaires matériels. La signature de code tente également de valider l’intégrité du logiciel en cours d’exécution sur l’appareil, de sorte que seuls les logiciels authentiques peuvent être lancés et exécutés.

Applications tierces

Les appareils certifiés Teams n’ont pas le Google Play Store, Amazon App Store ou Google Play Services, installés par conception. Cela permet de garantir qu’aucune application tierce ne peut être installée à partir du magasin sur un appareil.

Pont de débogage Android

Le pont de débogage Android (ADB) est désactivé par défaut sur tous les appareils Android Teams exécutant un logiciel de mise en production. ADB est un outil en ligne de commande qui permet aux administrateurs d’effectuer des fonctions sur des appareils Android et d’installer des applications, d’accéder à l’interpréteur de commandes de l’appareil et à d’autres fonctions d’administration.

Chiffrement du système de fichiers

Les appareils Android Teams doivent prendre en charge le chiffrement basé sur Android et peuvent être appliqués à l’aide de stratégies de conformité Microsoft Endpoint Manager. Pour plus d’informations sur les stratégies de conformité Endpoint Manager, utilisez des stratégies de conformité Endpoint Manager pour définir des règles pour les appareils que vous gérez avec Intune.

Version du système d’exploitation Android

Les appareils Android Teams exécutent des versions prises en charge d’Android. Le système d’exploitation Android est géré par les partenaires OEM, fusionné dans le microprogramme certifié Teams, puis envoyé aux appareils à partir du centre d’administration Teams. Pour plus d’informations sur les versions d’Android qui s’exécutent sur les appareils Android Teams, consultez [Appareils Android certifiés Microsoft Teams](android-app-firmware.md).

Mises à jour de sécurité Android

Les fournisseurs OEM, dans le cadre du processus de mise à jour du microprogramme, intègrent les bases de référence de mise à jour de sécurité Android appropriées pour garantir la sécurité du système d’exploitation de base. La mise à jour régulière de vos appareils est importante pour vous assurer que les mises à jour de sécurité Android appropriées sont en cours d’exécution sur vos appareils. Pour plus d’informations, reportez-vous au fabricant de votre appareil.

Sécurité du compte

Les appareils Android Teams sont construits autour de deux types de comptes qui permettent le bon fonctionnement d’un appareil.

• Compte d’administrateur d’appareil local

• Compte d’utilisateur ou de ressource

Les appareils Android Teams sont également compatibles avec certaines stratégies d’accès conditionnel, qui peuvent être utilisées comme couches de sécurité supplémentaires pour la connexion aux appareils. Pour connaître les meilleures pratiques et les stratégies d’accès conditionnel prises en charge, consultez Stratégies de conformité de l’accès conditionnel prises en charge.

Compte d’administrateur d’appareil local

Les appareils Android Teams incluent un compte d’administration pour accéder aux paramètres de l’appareil, au serveur web local s’il est installé et aux paramètres spécifiques à l’OEM.

Les éléments de configuration et de configuration initiaux de l’appareil, tels que le nom d’utilisateur et le mot de passe par défaut pour ce compte, peuvent être obtenus auprès du fabricant de l’appareil.

Attention

Veillez à modifier le mot de passe de l’administrateur d’appareil local dès que possible.

Pointe

Le centre d’administration Teams peut être utilisé pour modifier le mot de passe de l’administrateur d’appareil local d’un appareil Android Teams connecté en appliquant un profil de configuration. Nous vous recommandons cette approche après la connexion initiale de l’appareil pour protéger les fonctionnalités élevées d’un appareil Android. Les fonctionnalités avec élévation de privilèges peuvent inclure des paramètres d’appareil et des portails d’administration web s’ils sont pris en charge.

Compte d’utilisateur ou de ressource

Les appareils Android Teams nécessitent l’utilisation d’un utilisateur ou d’un compte de ressource dédié pour se connecter à Microsoft 365. Nous essayons de sécuriser ces comptes de manière spécifique, selon qu’il s’agit d’un compte d’utilisateur pour un appareil personnel ou d’un compte de ressources pour un appareil partagé. Pour plus d’informations, consultez Créer et configurer des comptes de ressources pour les salles et les appareils partagés.

Mises à jour de l’appareil

Les appareils Android Teams sont configurés pour télécharger les mises à jour certifiées Microsoft à partir du Centre d’administration Teams lorsqu’elles sont disponibles. Ces mises à jour peuvent être envoyées (push) automatiquement ou manuellement appelées par un administrateur. Des outils tiers de nos partenaires OEM sont également disponibles pour effectuer cette fonction si nécessaire. Les appareils Android Teams peuvent installer des mises à jour après les heures d’ouverture pour éviter tout impact sur les utilisateurs. Les planifications hors heures peuvent être configurées dans le Centre d’administration Teams ou à l’aide d’outils tiers de partenaires OEM.

Important

Microsoft recommande que la gestion du microprogramme pour tous les appareils Android Teams s’effectue via le centre d’administration Teams.

Sécurité réseau

Les appareils Android Teams ont les mêmes exigences réseau que n’importe quel client Microsoft Teams, y compris l’accès via des pare-feu et d’autres appareils de sécurité. Plus précisément, les catégories répertoriées comme requises pour Teams doivent être ouvertes sur votre pare-feu, ainsi que d’autres services de prise en charge, comme indiqué ci-dessous. Pour obtenir la liste complète des adresses IP et url requises pour les appareils Android Teams, consultez :

• Url et plage d’adresses IP microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common et Office Online Office 365

• points de terminaison réseau Microsoft Intune pour Microsoft Intune

Les appareils Android Teams fonctionnent avec la plupart des protocoles de sécurité 802.1X et d’autres protocoles de sécurité réseau. Toutefois, nous ne pouvons pas tester les appareils Android Teams par rapport à toutes les configurations de sécurité réseau. Par conséquent, si des problèmes de performances peuvent être suivis de problèmes de performances réseau, vous devrez peut-être désactiver ces protocoles s’ils sont configurés dans votre organization, ou contacter votre partenaire OEM pour obtenir de l’aide.

Pour optimiser les performances des médias en temps réel, nous vous recommandons vivement de configurer le trafic multimédia Teams pour contourner les serveurs proxy et autres appareils de sécurité réseau. Les médias en temps réel sont sensibles à la latence du réseau, qui peut être causée par des serveurs proxy et d’autres appareils de sécurité réseau. La latence du réseau peut considérablement dégrader la qualité audio et vidéo des utilisateurs. Pour plus d’informations, consultez Mise en réseau (vers le cloud) : point de vue d’un architecte, qui présente les recommandations réseau pour améliorer les performances des médias avec Microsoft Teams.

Les appareils Android Teams utilisent des communications chiffrées et l’authentification de point de terminaison sur Internet. Les appareils Android Teams utilisent TLS 1.2+.

Important

Les appareils Android Teams ne prennent pas en charge les serveurs proxy authentifiés ou les restrictions de locataire. Contactez votre partenaire OEM pour obtenir des informations de support de proxy.

Les appareils Android Teams n’ont pas besoin de se connecter à un réseau lan interne. Envisagez de placer des appareils Android Teams dans un segment réseau sécurisé avec un accès Direct à Internet. Par exemple, les téléphones Teams peuvent être déployés sur un VLAN vocal. Si votre réseau local interne est compromis, les opportunités de vecteur d’attaque vers les appareils Android Teams sont réduites en implémentant cette séparation réseau.

Nous vous recommandons vivement de connecter vos appareils salles Teams à un réseau câblé. L’utilisation des réseaux sans fil nécessite une planification et une évaluation minutieuses pour une expérience optimale. Pour plus d’informations, consultez Considérations relatives au réseau sans fil.

Jonction de proximité, Better Together, Cast Teams et jumelage de panneaux Teams s’appuient sur Bluetooth. L’utilisation de la technologie Bluetooth sur salles Teams sur les appareils Android est actuellement limitée aux balises publicitaires et aux connexions proximales déclenchées. Le ADV_NONCONN_INT type d’unité de données de protocole (PDU) est utilisé dans la balise publicitaire. Ce type DDU est destiné aux appareils non connectables qui publient des informations sur l’appareil d’écoute. Il n’existe aucun appairage d’appareils Bluetooth dans le cadre de ces fonctionnalités. Pour plus d’informations sur les protocoles Bluetooth, consultez le site web Bluetooth SIG.

Les téléphones et les écrans Teams offrent la fonctionnalité de couplage Bluetooth avec des casques à l’aide du profil de Hands-Free Bluetooth.

Pour plus d’informations sur la sécurité dans Microsoft Teams, consultez Sécurité et Microsoft Teams.