Sécurité et Microsoft Teams
Important
Le modèle de service Teams est susceptible d’être modifié pour améliorer les expériences des clients. Par exemple, il est possible que les heures d’expiration des jetons d’actualisation ou d’accès par défaut soient sujettes à des modifications pour améliorer les performances et la résilience de l’authentification pour les personnes qui utilisent Teams. Ces modifications sont apportées dans le but de maintenir la sécurité de Teams et la confiance en conception.
Microsoft Teams, dans le cadre des services Microsoft 365 et Office 365, suit toutes les meilleures pratiques et procédures en matière de sécurité, telles que la sécurité au niveau du service via la défense en profondeur, les contrôles client au sein du service, la sécurité renforcée et les meilleures pratiques opérationnelles. Pour plus d’informations, consultez le Centre de gestion de la confidentialité Microsoft.
Fiable par nature
Teams a été conçu et développé conformément au cycle de développement Microsoft Trustworthy Computing Security Development Lifecycle (SDL), décrit Microsoft Security Development Lifecycle (SDL). Pour créer un système de communications unifiées plus sûr, la première étape a consisté à concevoir des modèles de menace, puis à tester chaque nouvelle fonctionnalité durant sa conception. Plusieurs améliorations liées à la sécurité ont été intégrées au processus et aux pratiques de codage. Au moment de la création, des outils détectent les dépassements de mémoire tampon et d’autres risques de sécurité potentiels avant l’archivage du code dans le produit final. Il est impossible de concevoir contre toutes les menaces de sécurité inconnues. Aucun système ne peut garantir une sécurité totale. Toutefois, dans la mesure où le développement du produit utilise des règles de conception prenant en compte la sécurité dès le départ, les technologies de sécurité standard font partie intégrante de l’architecture de Teams.
Fiable par défaut
Par défaut, les communications réseau dans Teams sont chiffrées. En exigeant que tous les serveurs utilisent des certificats et à l’aide d’OAUTH, du TLS (Transport Layer Security) et du protocole SRTP (Secure Real-Time Transport Protocol), toutes les données Teams sont protégées sur le réseau.
Comment Teams gère les menaces de sécurité courantes
Cette section identifie les menaces les plus courantes à la sécurité du service SfBO et la manière dont Microsoft fait face à chaque menace.
Attaque par touche compromise
Teams utilise les fonctionnalités PKI du système d’exploitation Windows Server pour protéger les données clés utilisées pour le chiffrement des connexions TLS. Les clés utilisées pour le chiffrement multimédia sont échangées via des connexions TLS.
Attaque par déni de service réseau
Une attaque par déni de service distribué (DDOS) se produit lorsqu’une malveillante empêche l’utilisation et le fonctionnement normale du réseau par des utilisateurs valides. À l’aide d’une attaque par déni de service, l’agresseur peut :
- envoyer des données non valides à des applications et des services exécutés sur le réseau faisant l’objet de l’attaque, afin de perturber leur exécution normale ;
- envoyer un volume de trafic important, de manière à surcharger le système jusqu’à ce que celui-ci cesse de fonctionner ou nécessite beaucoup de temps pour répondre aux demandes légitimes ;
- masquer les signes d’attaque ;
- empêcher les utilisateurs d’accéder aux ressources réseau.
Teams atténue ces attaques en exécutant la protection réseau Azure DDOS et en limitant la bande passante des demandes des clients provenant des mêmes nœuds finaux, sous-réseaux et entités fédérées.
Protection contre l’écoute
L’écoute clandestine se produit quand une personne malveillante accède au chemin d’accès des données dans un réseau et peut surveiller et lire le trafic. L’écoute clandestine est également appelée « sniffing » ou « snooping ». Si le trafic consiste en du texte simple, l’intrus peut lire le trafic lorsqu’il accède au chemin d’accès des données. Par exemple, une attaque peut être lancée en contrôlant un routeur sur le chemin de données.
Teams utilise TLS mutuel (MTLS) et OAuth de serveur à serveur (S2S) (entre autres protocoles) pour les communications de serveur au sein de Microsoft 365 et d'Office 365, et utilise également TLS des clients vers le service. Tout le trafic sur le réseau est chiffré.
Ces méthodes de communication rendent l'écoute difficile, voire impossible, pendant la durée d'une seule conversation. TLS authentifie toutes les parties et chiffre tout le trafic. Bien que le système TLS n’empêche pas l’écoute clandestine, la personne malveillante ne peut pas lire le trafic si le chiffrement est rompu.
Le protocole TRAVERS (Traversal Using Relays around NAT ) est utilisé à des fins multimédias en temps réel. Le protocole TURN n’exige pas le chiffrement du trafic et les informations qu’il envoie sont protégées par l’intégrité du message. Bien qu’il soit ouvert à l’écoute clandestine, les informations qu’il envoie, c’est-à-dire les adresses IP et le port, peuvent être extraites directement en regardant les adresses source et de destination des paquets. Le service Teams s’assure que les données sont valides par la vérification de l’intégrité du message en utilisant la clé dérivée de quelques éléments comprenant un mot de passe TURN, qui n'est jamais envoyé en clair. SRTP est utilisé pour le trafic multimédia et est également chiffré.
Usurpation d’identité (usurpation d’adresse IP)
L’usurpation d’adresse se produit lorsque l’utilisateur malveillant identifie, puis utilise l’adresse IP d’un composant réseau, d’un ordinateur ou d’un composant réseau sans être autorisé à le faire. Une attaque réussie permet à l’agresseur de fonctionner comme si l’utilisateur malveillant était l’entité identifiée normalement par l’adresse IP.
TLS authentifie toutes les parties et chiffre tout le trafic. L’utilisation de TLS empêche les agresseurs d’effectuer l’usurpation d’adresse IP sur une connexion spécifique (par exemple, des connexions Mutual TLS). Une personne malveillante peut toujours usurper l’adresse du serveur DNS (Domain Name System). Toutefois, étant donné que l’authentification dans Teams est effectuée avec des certificats, un attaquant ne disposerait pas d’informations valides requises pour usurper l’une des parties à la communication.
Attaque par intercepteur
Une attaque de l’intercepteur se produit lorsqu’une personne malveillante redirige les communications entre deux utilisateurs via son propre ordinateur, à l’insu des deux participants. L’intrus peut surveiller et lire le trafic avant de l’acheminer vers le destinataire concerné. Chacun des utilisateurs envoie et reçoit du trafic vers/de l’intrus, alors qu’il pense communiquer avec l’utilisateur concerné uniquement. Ce scénario peut se produire si un utilisateur malveillant peut modifier Active Directory Domain Services pour ajouter son serveur en tant que serveur approuvé ou modifier la configuration DNS ou utiliser d’autres moyens pour que les clients se connectent via la personne malveillante lorsqu’elle arrive sur le serveur.
Les attaques d’homme-intermédiaire sur le trafic multimédia entre deux points de terminaison qui participent dans l’audio, la vidéo et le partage d’applications dans Teams sont évitées en utilisant Secure Real-Time Transport Protocol(SRTP) pour chiffrer le flux de données multimédia. Les clés cryptographiques sont négociées entre les deux points de terminaison sur un protocole de signalisation propriétaire (Team Calling Protocol) qui utilise TLS 1.2 et AES-256 (en mode GCM) canal UDP/TCP chiffré.
Attaque par relecture en temps réel du protocole RTP
Une attaque par relecture se produit lorsqu’une transmission multimédia valide entre deux correspondants est interceptée, puis retransmise à des fins malveillantes. Teams utilise le protocole SRTP avec un protocole de signalisation sécurisé qui protège les transmissions contre les attaques par relecture en permettant au destinataire de conserver un index des paquets RTP déjà reçus et de comparer chaque nouveau paquet avec les paquets déjà répertoriés dans l’index.
SPIM
Il s’agit de messages instantanés commerciaux non sollicités ou de demandes d’abonnement de présence, tels que le courrier indésirable, mais sous forme de message instantané. Bien qu’il ne soit pas de lui-même une compromission du réseau, il est pour le moins gênant, peut réduire la disponibilité et la production des ressources et peut conduire à une compromission du réseau. Par exemple, les utilisateurs s'envoyant des messages instantanés indésirables lors de l’envoi de demandes. Les utilisateurs peuvent se bloquer pour empêcher l’attaque par l’envoi de messages instantanés indésirables, mais avec la fédération, si un acteur malveillant établit une attaque par message instantanée indésirable coordonnée, elle peut être difficile à surmonter sauf si vous désactivez la fédération du partenaire.
Virus et vers
Un virus est une unité de code dont l’objectif est de reproduire d’autres unités de code similaires. Pour fonctionner, un virus a besoin d’un hôte, par exemple un fichier, un e-mail ou un programme. Tel qu’un virus, un vers est une unité de code qui reproduit d’autres unités de code similaires, mais qui à la différence d’un virus n’a pas besoin d’hôte. Les virus et les vers apparaissent principalement lors des transferts de fichiers entre clients ou lorsque des URL sont envoyées par d’autres utilisateurs. Si vous avez un virus sur votre ordinateur, il peut, par exemple, utiliser votre identité et envoyer des messages instantanés en votre nom. Les meilleures pratiques standard de sécurité client, telles que la recherche périodique de virus, peuvent atténuer ce problème.
Infrastructure de sécurité pour Teams
Teams approuve les idées de sécurité telles que Zero Trust et les principes de l’accès au Privilège minimum. Cette section fournit une vue d’ensemble des éléments fondamentaux qui constituent une infrastructure de sécurité pour Microsoft Teams.
Les principaux éléments sont les suivants :
- Azure Active Directory (Azure AD) fournit un unique référentiel back-end fiable pour les comptes d’utilisateurs. Les informations de profil utilisateur sont stockées dans Azure AD via les actions de Microsoft Graph.
- Plusieurs jetons peuvent être émis que vous pouvez voir si vous suivez votre trafic réseau. Y compris les jetons Skype que vous pouvez voir dans les traces tout en consultant le trafic audio et les conversations.
- Transport Layer Security (TLS) chiffre le canal en mouvement. L’authentification a lieu à l’aide de TLS mutuel (MTLS), basé sur des certificats, ou à l’aide de l’authentification de service à service basée sur Azure AD.
- Les flux de données audio, vidéo et de partage d’applications point à point sont chiffrés et l’intégrité est vérifiée à l’aide du protocole SRTP (Secure Real-Time Transport Protocol).
- Vous pouvez également voir le trafic OAuth dans votre trace, en particulier autour des autorisations de négociation, lorsque vous basculez entre les onglets dans Teams, par exemple, pour passer d’une publication à un fichier. Pour obtenir un exemple de flux OAuth pour les onglets, consultez ce document.
- Les équipes utilisent des protocoles standard pour l’authentification des utilisateurs, autant que possible.
Les sections suivantes décrivent certaines de ces technologies de base.
Azure Active Directory
Azure Active Directory sert de service d’annuaire pour Microsoft 365 et Office 365. Il stocke toutes les informations de l'annuaire des utilisateurs et des applications, ainsi que les affectations de stratégie.
Chiffrement du trafic dans Teams
Ce tableau présente les principaux types de trafic et le protocole utilisé pour le chiffrement.
Type de trafic | Encrypté par |
---|---|
Serveur à serveur | TLS (avec MTLS ou OAuth de service à service) |
Client au serveur, par exemple, la messagerie instantanée et la présence | TLS |
Flux multimédias, par exemple, le partage audio et vidéo de médias | TLS |
Partage de fichiers audio et vidéo | SRTP/TLS |
Signalisation | TLS |
Chiffrement amélioré client à client (par exemple, les appels de chiffrement de bout en bout) | SRTP/DTLS |
Points de distribution de liste de révocation de certificats (CRL)
Le trafic Microsoft 365 et Office 365 a lieu sur les canaux chiffrés TLS/HTTPs, ce qui signifie que les certificats sont utilisés pour le chiffrement de tout le trafic. Teams exige que tous les certificats de serveur contiennent un ou plusieurs points de distribution de CRL. Les points de distribution de CRL sont des emplacements à partir desquels les listes de révocation de certificats peuvent être téléchargés afin de vérifier que le certificat n’a pas été révoqué depuis l’émission du certificat et qu’il est toujours dans la période de validité. Un point de distribution CRL est indiqué dans les propriétés du certificat sous forme d’URL et il s’agit d’une adresse HTTP sécurisée. Le service Teams vérifie la liste de révocation de certificats avec chaque authentification de certificat.
Utilisation avancée de la clé :
Tous les composants du service Teams requièrent que tous les certificats de serveur prennent en charge l’Utilisation améliorée de la clé améliorée (EKU) pour l’authentification du serveur. La configuration du champ de l’EKU pour l’authentification du serveur signifie que le certificat est valide pour l’authentification des serveurs. Cette EKU est essentielle pour MTLS.
TLS pour Teams
Les données Teams sont chiffrées en transit et au repos dans services Microsoft, entre les services et entre les clients et les services. Microsoft utilise les technologies standard du secteur telles que TLS et SRTP pour chiffrer toutes les données en transit. Les données en transit incluent les messages, les fichiers, les réunions et d’autres contenus. Les données d’entreprise sont également chiffrées au repos dans les centres de données Microsoft de sorte que les organisations peuvent déchiffrer le contenu si nécessaire afin de respecter leurs obligations en matière de sécurité et de conformité via des méthodes telles que eDiscovery. Pour plus d’informations sur le chiffrement dans Microsoft 365, voir Chiffrement dans Microsoft 365
Les flux de données TCP sont chiffrés à l’aide de TLS, et les protocoles OAuth MTLS et service à service fournissent des communications authentifiées de point de terminaison entre les services, les systèmes et les clients. Teams utilise ces deux protocoles pour créer le réseau des serveurs approuvés et vérifier que toutes les communications sont chiffrées sur ce réseau.
Sur une connexion TLS, le client demande un certificat valide au serveur. Pour être valide, le certificat doit avoir été émis par une autorité de certification qui est également approuvée par le client et le nom DNS du serveur doit correspondre au nom DNS dans le certificat. Si le certificat est valide, le client utilise la clé publique du certificat pour chiffrer les clés de chiffrement symétriques à utiliser pour la communication, de sorte que seul le propriétaire d’origine du certificat peut utiliser sa clé privée pour déchiffrer le contenu de la communication. La connexion résultante est approuvée et à partir de ce point n’est pas contestée par d’autres serveurs ou clients approuvés.
L’utilisation de TLS permet d’éviter les écoutes clandestines et les attaques de l’intercepteur. Dans le cas d’une attaque d’intercepteur, l’attaquant réachemine les communications entre deux entités de réseau via l’ordinateur de l’attaquant sans que l’autre partie n’en ait connaissance. La spécification des serveurs approuvés de TLS et de Teams atténue les risques d’attaque de l’intercepteur sur la couche d’application en utilisant le chiffrement qui est coordonné à l’aide du chiffrement à clé publique entre les deux points de terminaison. Un attaquant doit avoir un certificat valide et approuvé avec la clé privée correspondante et émis au nom du service vers lequel le client communique pour déchiffrer la communication.
Chiffrement dans Teams et Microsoft 365
Il existe plusieurs couches de chiffrement au travail au sein de Microsoft 365. Le chiffrement dans Teams fonctionne avec le reste du chiffrement Microsoft 365 pour protéger le contenu de votre organisation. Cet article décrit les technologies de chiffrement spécifiques à Teams. Pour une vue d’ensemble du chiffrement dans Microsoft 365, voir Chiffrement dans Microsoft 365.
Chiffrement multimédia
Les flux d’appels dans Teams sont basés sur l’offre Protocole SDP RFC 8866 et le modèle de réponse sur HTTPS. Une fois que l’appelant accepte un appel entrant, l’appelant et l’appelé conviennent des paramètres de la session.
Le trafic de médias est chiffré par et circule entre l’appelant et l’appelé à l’aide du protocole Secure RTP (SRTP), un profil du protocole RTP (Real-time Transport Protocol) qui fournit une confidentialité, une authentification et une protection contre les attaques par relecture vers le trafic RTP. Le SRTP utilise une clé de session générée par un générateur de nombres aléatoires sécurisé et échangé à l’aide du canal TLS de signalisation. Dans la plupart des cas, le trafic multimédia client à client est négocié via la signalisation de la connexion client au serveur et chiffré à l’aide du SRTP lorsque vous passez directement d’un client à un autre.
Dans les flux d’appels normaux, la négociation de la clé de chiffrement intervient sur le canal de signalisation d’appel. Dans un appel chiffré de bout en bout, le flux de signalisation est identique à un appel Teams individuel. Toutefois, Teams utilise DTLS pour dériver une clé de chiffrement basée sur des certificats générés sur les deux points de terminaison du client. Étant donné que DTLS dérive la clé en fonction des certificats client, la clé est opaque pour Microsoft. Une fois que les deux clients s’accordent sur la clé, les médias commencent à circuler à l’aide de cette clé de chiffrement négociée par DTLS sur le SRTP.
Pour vous protéger contre une attaque par intercepteur entre l’appelant et l’appelé, Teams dérive un code de sécurité à 20 chiffres des empreintes numériques SHA-256 des certificats d’appel du point de terminaison de l’appelant et de l’appelé. L’appelant et l’appelé peuvent valider les codes de sécurité à 20 chiffres en les lisant entre eux pour voir s’ils correspondent. Si les codes ne correspondent pas, la connexion entre l’appelant et l’appelé a été interceptée par une attaque par intercepteur. Si l’appel a été compromis, les utilisateurs peuvent mettre fin à l’appel manuellement.
Teams utilise un jeton basé sur les informations d’identification pour sécuriser l’accès aux relais multimédias à la main. Les relais de contenu échangent le jeton via un canal sécurisé TLS.
Norme FIPS (Federal Information Processing Standard)
Teams utilise des algorithmes compatibles FIPS pour les échanges de clés de chiffrement. Pour plus d’informations sur l’implémentation de la norme FIPS, consultez la Publication 140-2 de la norme FIPS (Federal Information Processing Standard).
Authentification utilisateur et client
Un utilisateur approuvé est un utilisateur dont les informations d’identification ont été authentifiées par Azure AD dans Microsoft 365 et Office 365.
L’authentification consiste à fournir des informations d’identification d’utilisateur à un serveur approuvé ou service. Teams utilise les protocoles d’authentification suivants, en fonction du statut et de l’emplacement de l’utilisateur.
- L’authentification moderne (AM) est l’implémentation Microsoft d’OAUTH 2.0 pour la communication client à serveur. Elle active les fonctionnalités de sécurité telles que l’authentification multifacteur et l’accès conditionnel. Pour utiliser l’authentification moderne, le client en ligne et les clients doivent avoir l’autorisation pour celle-ci. Les clients Teams sur PC et appareils mobiles, ainsi que le client web prennent tous en charge l’authentification moderne.
Remarque
Pour plus d’informations sur l’authentification Azure AD et les méthodes d’autorisation, les sections Introduction et « Principes de base de l’authentification dans Azure AD » de cet article vous seront utiles.
L’authentification des équipes est effectuée via Azure AD et OAuth. Le processus d’authentification peut être simplifié pour :
- La prochaine demande d’émission de > jeton de connexion > utilisateur utilise le jeton émis.
Les demandes du client au serveur sont authentifiées et autorisées par Azure AD en utilisant OAuth. Les utilisateurs disposant d’informations d’identification valides émises par un partenaire fédéré sont approuvés et passent par le même processus que les utilisateurs natifs. Toutefois, des restrictions complémentaires peuvent être mises en place par les administrateurs.
Pour l’authentification multimédias, les protocoles de glace et de tournage utilisent également la stimulation Digest, comme décrit dans l’IETF TURN RFC.
Windows PowerShell et outils de gestion Teams
Dans Teams, les administrateurs informatiques peuvent gérer leur service via le centre d’administration Microsoft 365 ou à l’aide de client Remote PowerShell (TRPS). Les administrateurs de client utilisent l’authentification moderne pour s’authentifier auprès de TRPS.
Configuration de l’accès Teams dans les limites de votre Internet
Pour que Teams fonctionne correctement, par exemple, pour que les utilisateurs puissent participer à des réunions, les clients doivent configurer leur accès Internet de sorte que le trafic UDP et TCP sortant vers les services dans le cloud Teams soit autorisé. Pour plus d’informations, consultez URL et plages d’adresses IP Office 365.
UDP 3478-3481 et TCP 443
Les ports UDP 3478-3481 et TCP 443 sont utilisés par les clients pour demander un service pour les visuels audio. Un client utilise ces deux ports pour allouer les ports UDP et TCP respectivement pour activer ces flux multimédias. Les flux de médias sur ces ports sont protégés par une clé qui est échangée via un canal de signalisation sécurisé TLS.
Protections de la fédération pour Teams
La Fédération offre à votre organisation la possibilité de communiquer avec d’autres organisations afin de partager la messagerie instantanée et la présence. La Fédération de Teams est activée par défaut. Toutefois, les administrateurs des locataires ont la possibilité de contrôler la fédération via le Centre d'administration Microsoft 365.
Répondre aux menaces pour les réunions Teams
Deux options s’offrent à vous pour contrôler les personnes qui ont atteint les réunions Teams et qui auront accès aux informations que vous présentez.
Vous pouvez contrôler les personnes qui joignent vos réunions via les paramètres de la lobby.
Options de paramètre « Qui peut éviter la salle d’attente ? » disponibles sur la page d’options Meeting Types d’utilisateurs participant directement à la réunion Types d’utilisateurs passant par la salle d’attente Membres de mon organisation - In-tenant - Invité de locataire - Fédéré - Anonyme - Connexion RTC Membres de mon organisation et organisations approuvées - In-tenant - Invité de locataire - Fédéré - Anonyme - Connexion RTC Tout le monde - In-tenant - Invité de locataire - Federated Anonymous - Connexion RTC La deuxième méthode consiste à passer par les réunions structurées (où les Présentateurs peuvent faire quelque chose à faire, et les participants ont une expérience contrôlée). Une fois que vous avez rejoint une réunion structurée, les présentateurs contrôlent ce que les participants peuvent faire pendant la réunion.
Actions Présentateurs Participants Parlez et partagez leur vidéo O v Participer à une conversation de réunion O O Modifier les paramètres dans les options de réunion v N Désactiver le son des participants v N Supprimer les autres participants v N Partager le contenu v N Admettre d’autres participants de la salle d’attente v N Rendre les présentateurs ou participants d’autres participants v N Démarrer ou arrêter l’enregistrement v N Prise de contrôle lorsqu’un autre participant partage un PowerPoint v N
Teams offre aux utilisateurs d’entreprise la possibilité de créer et de participer à des réunions en temps réel. Les utilisateurs d’entreprise peuvent également inviter des utilisateurs externes n’ayant pas de compte Azure AD, Microsoft 365 ou Office 365 à participer à ces réunions. Les utilisateurs qui sont employés par des partenaires externes avec une identité sécurisée et authentifiée peuvent également participer à des réunions et, s’ils sont promus, ils peuvent agir en tant que présentateurs. Les utilisateurs anonymes ne peuvent pas créer ou participer à une réunion en tant que présentateur, mais ils peuvent être promus présentateurs après leur participation.
Pour que les utilisateurs anonymes puissent participer aux réunions Teams, le paramètre réunions des participants dans le centre d’administration teams doit être activé.
Remarque
Le terme utilisateurs anonymes indique que les utilisateurs qui ne sont pas authentifiés auprès du locataire des organisations. Dans ce contexte, tous les utilisateurs externes sont considérés comme anonymes. Les utilisateurs authentifiés incluent les utilisateurs clients et les utilisateurs invités du locataire.
L’activation des utilisateurs externes pour la participation à des réunions Teams peut être utile, mais implique quelques risques pour la sécurité. Pour prendre en compte ces risques, Teams utilise les protections suivantes :
Les rôles de participants déterminent les privilèges de contrôle de réunion.
Les types de participants vous permettent de limiter l’accès à des réunions spécifiques.
La planification de réunions est réservée aux utilisateurs qui ont un compte AAD et une licence Teams.
Les utilisateurs anonymes, qui ne sont pas authentifiés, ont besoin de participer à une conférence rendez-vous en utilisant un numéro de conférence. Si le paramètre « toujours autoriser les appelants à contourner le lobby » est activé, il doit également patienter jusqu’à ce qu’un présentateur ou utilisateur authentifié se connecte à la réunion.
Attention
Si vous ne souhaitez pas que les utilisateurs anonymes (usagers que vous n'invitez pas explicitement) participent à une réunion, vous devez vous assurer que Les utilisateurs anonymes peuvent participer à une réunion sont définis sur Désactivée pour la section réunion des Participants.
Il est également possible pour un organisateur de configurer les paramètres de façon à ce que les appelants entrants soient la première personne participant à une réunion. Ce paramètre est configuré dans les paramètres de conférence audio pour les utilisateurs et s’applique à toutes les réunions planifiées par l’utilisateur.
Remarque
Pour plus d’informations sur l’accès invité et externe dans Teams, voir cet article . Il couvre les fonctionnalités que les utilisateurs invités ou externes peuvent espérer voir et utiliser lorsqu’ils se connectent à Teams.
Si vous enregistrez des réunions et souhaitez voir une matrice d’autorisations concernant l’accès au contenu, veuillez consulter cet article et sa matrice.
Rôles des participants
Les participants à la réunion se répartissent en trois groupes, chacun ayant ses propres privilèges et restrictions :
- Organisateur L’utilisateur qui crée une réunion, qu’elle soit impromptue ou programmée. Un organisateur doit être un utilisateur de client authentifié et contrôler tous les aspects d’un utilisateur final d’une réunion.
- Présentateur Un utilisateur autorisé à présenter des informations lors d’une réunion, quel que soit le média pris en charge. Un organisateur de réunion est par définition également un présentateur et détermine qui d’autre peut être un présentateur. Il peut effectuer cette détermination lorsqu’une réunion est planifiée ou pendant son déroulement.
- Participant Un utilisateur qui a été invité à participer à une réunion, mais qui n’est pas autorisé à agir en tant que présentateur.
Un présentateur peut également promouvoir un participant au rôle de présentateur pendant la réunion.
Types de participants
Les participants à la réunion sont également classés par localisation et informations d’identification. Vous pouvez utiliser ces deux caractéristiques pour préciser les utilisateurs pouvant avoir accès à des réunions spécifiques. Les utilisateurs peuvent être répartis dans les catégories suivantes :
Utilisateurs qui appartiennent au client. Ces utilisateurs ont des informations d’identification dans Azure Active Directory pour le client.
Membres de mon organisation : ces utilisateurs ont une information d’identification dans Azure Active Directory pour le client. Membres de mon organisation inclut les comptes invités invités.
Utilisateurs distants : ces utilisateurs se rejoignent en dehors du réseau de l’entreprise. Ce sont, par exemple, des employés qui travaillent à domicile ou en déplacement, ou d’autres personnes, comme les employés de fournisseurs de confiance, qui ont reçu des informations d’identification d’entreprise pour leurs conditions d’utilisation du service. Les utilisateurs distants peuvent créer et participer à des réunions et se comporter comme présentateurs.
Utilisateurs qui n’appartiennent pas au client. Ces utilisateurs n’ont pas d’informations d’identification dans Azure AD pour le client.
Les utilisateurs fédérés les utilisateurs fédérés ont des informations d’identification valides avec les partenaires fédérés et sont donc traités comme authentifiés par Teams, mais restent externe pour le client organisateur de la réunion. Les utilisateurs fédérés peuvent participer à des réunions et être promus aux présentateurs une fois qu’ils ont rejoint la réunion, mais ils ne peuvent pas créer de réunions dans les entreprises avec lesquelles ils sont fédérés.
Les utilisateurs anonymes-les utilisateurs anonymes n’ont pas d’identité Active Directory et ne sont pas fédérés avec le client.
De nombreuses réunions impliquent des utilisateurs externes. Ces mêmes clients veulent également être rassurés en ce qui concerne l’identité des utilisateurs externes avant de permettre à ces utilisateurs de participer à une réunion. La section suivante décrit comment les équipes limitent l’accès aux types d’utilisateurs qui ont été explicitement autorisés et nécessite que tous les types d’utilisateur présentent les informations d’identification lors de la saisie d’une réunion.
Admission des participants
Attention
Si vous ne souhaitez pas que les utilisateurs anonymes (utilisateurs que vous n’invitez pas explicitement) participent à une réunion, vous devez vous assurer que les Utilisateurs anonymes peuvent participer à une réunion est définie sur Activé pour la section de réunion du Participant.
Dans Teams, les utilisateurs anonymes peuvent être transférés vers une zone d’attente appelée salle d’attente. Les présentateurs peuvent ensuite admettre ces utilisateurs à la réunion ou les rejeter. Lorsque ces utilisateurs sont transférés vers la salle d’attente, le présentateur et les participants reçoivent une notification et les utilisateurs anonymes doivent patienter jusqu’à ce qu’ils soient acceptés ou rejetés, ou que leur connexion arrive à expiration.
Par défaut, les participants qui accèdent à partir du RTC accèdent directement à la réunion une fois qu’un utilisateur authentifié rejoint la réunion, mais cette option peut être modifiée pour forcer les participants à appeler la salle d’attente.
Les organisateurs de la réunion contrôlent si les participants peuvent rejoindre une réunion sans attendre dans la salle d’attente. Chaque réunion peut être configurée pour autoriser l’accès à l’aide de l’une des méthodes suivantes :
Les valeurs par défaut sont les suivantes :
- Les membres de mon organisation – toutes les personnes extérieures à l’organisation attendent dans la salle d’attente jusqu’à leur admission.
- Personnes de mon organisation, organisations de confiance et invités - Les utilisateurs authentifiés de l'organisation, y compris les utilisateurs invités et les utilisateurs des organisations de confiance, rejoignent directement la réunion sans attendre dans le hall. Les utilisateurs anonymes attendent dans la salle d’attente.
- Tout le monde – tous les participants à la réunion ignorent la salle d’attente une fois qu’un utilisateur authentifié a rejoint la réunion.
Fonctionnalités du présentateur
Les organisateurs de la réunion contrôlent si les participants peuvent présenter lors d’une réunion. Chaque réunion peut être définie de façon à limiter les présentateurs à l’une des options suivantes :
- Les membres de mon organisation-tous les utilisateurs clients, y compris les invités, peuvent présenter
- Membres de mon organisation et organisations de confiance : tous les utilisateurs clients, y compris les invités, peuvent présenter et les utilisateurs externes de domaines Teams et Skype Entreprise inclus dans la liste verte d’accès externe peuvent présenter.
- Tout le monde – tous les participants à la réunion sont des présentateurs.
Modification pendant le déroulement d’une réunion
Vous pouvez modifier les options de réunion pendant qu’une réunion est en cours. La modification, une fois enregistrée, est visible en quelques secondes lors de la tenue de la réunion. Elle affecte également toutes les occurrences futures de la réunion.
Voir aussi
12 premières tâches pour les équipes de sécurité qui prennent en charge le travail à domicile
Centre de gestion de la confidentialité Microsoft