Leggere in inglese

Condividi tramite


sicurezza Microsoft Teams Rooms

Questo articolo fornisce indicazioni sulla sicurezza per i dispositivi Microsoft Teams Rooms su dispositivi Windows e Android. Queste linee guida includono informazioni su hardware, software, rete e sicurezza dell'account.

Selezionare la scheda Teams Rooms in Windows o Teams Rooms per Android per altre informazioni sulla sicurezza di Teams Room nel dispositivo.

Microsoft collabora con i propri partner per offrire una soluzione sicura e non richiede azioni aggiuntive per proteggere Microsoft Teams Rooms in Windows. Questa sezione descrive molte delle funzionalità di sicurezza disponibili in Teams Rooms in Windows.

Per informazioni sulla sicurezza nei Teams Rooms nei dispositivi Android, seleziona il Teams Rooms nella scheda Android.

Nota

Microsoft Teams Rooms non devono essere trattate come una tipica workstation per l'utente finale. Non solo i casi d'uso sono molto diversi, ma anche i profili di sicurezza predefiniti sono molto diversi, ti consigliamo di trattarli come accessori. L'installazione di software aggiuntivo nei dispositivi Teams Rooms non è supportata da Microsoft. Questo articolo si applica ai dispositivi Microsoft Teams Rooms in esecuzione in Windows.

I dati limitati degli utenti finali vengono archiviati in Teams Rooms. I dati degli utenti finali possono essere archiviati nei file di log solo per la risoluzione dei problemi e il supporto. Nessun partecipante a una riunione con Teams Rooms può copiare file nel disco rigido o accedere come se stessi. Nessun dato dell'utente finale viene trasferito o accessibile dal dispositivo Microsoft Teams Rooms.

Anche se gli utenti finali non possono inserire file in un'unità disco rigido Teams Rooms, Microsoft Defender è ancora abilitato. Teams Rooms le prestazioni vengono testate con Microsoft Defender, inclusa la registrazione al portale di Defender per Endpoint. La disabilitazione o l'aggiunta di software per la sicurezza degli endpoint può causare risultati imprevedibili e una potenziale riduzione delle prestazioni del sistema.

Sicurezza hardware

In un ambiente Teams Rooms esiste un modulo di calcolo centrale che viene eseguito Windows 10 o 11 IoT Enterprise Edition. Ogni modulo di calcolo certificato deve avere una soluzione di montaggio sicura, uno slot per il blocco di sicurezza (ad esempio Kensington Lock) e misure di sicurezza per l'accesso alla porta I/O per impedire la connessione di dispositivi non autorizzati. È anche possibile disabilitare porte specifiche tramite la configurazione UEFI (Unified Extensible Firmware Interface).

Ogni modulo di calcolo certificato deve essere fornito con una tecnologia conforme a Trusted Platform Module (TPM) 2.0 abilitata per impostazione predefinita. TPM viene usato per crittografare le informazioni di accesso per l'account della risorsa Teams Rooms.

L'avvio protetto è abilitato per impostazione predefinita. Avvio protetto è uno standard di sicurezza sviluppato dai membri del settore dei PC per garantire che un dispositivo venga avviato usando solo software attendibile dall'OEM (Original Equipment Manufacturer). All'avvio del PC, il firmware controlla la firma di ogni componente del software di avvio, inclusi i driver del firmware UEFI (noti anche come ROM di opzione), le applicazioni EFI e il sistema operativo. Se le firme sono valide, il PC viene avviato e il firmware consente di controllare il sistema operativo. Per altre informazioni, vedi Avvio protetto.

L'accesso alle impostazioni UEFI è possibile solo collegando una tastiera fisica e un mouse che impediscono l'accesso alla UEFI tramite la console abilitata per il tocco Teams Rooms o qualsiasi altro display abilitato per il tocco collegato a Teams Rooms.

Protezione DMA (Kernel Direct Memory Access) è un'impostazione di Windows abilitata in Teams Rooms. Con questa funzionalità, il sistema operativo e il firmware di sistema proteggono il sistema da attacchi DMA dannosi e indesiderati per tutti i dispositivi compatibili con DMA: durante il processo di avvio e contro DMA dannosi da dispositivi connessi a porte interne/esterne facilmente accessibili, come gli slot M.2 PCIe e Thunderbolt 3, durante il runtime del sistema operativo.

Teams Rooms anche abilitare l'integrità del codice (HVCI) protetta da Hypervisor. Una delle funzionalità fornite da HVCI è Credential Guard. Credential Guard offre i seguenti vantaggi:

  • Sicurezza hardware NTLM, Kerberos e Gestione credenziali sfruttano le funzionalità di sicurezza della piattaforma, tra cui avvio protetto e virtualizzazione, per proteggere le credenziali.

  • Sicurezza basata sulla virtualizzazione Le credenziali derivate di Windows NTLM e Kerberos e altri segreti vengono eseguiti in un ambiente protetto isolato dal sistema operativo in esecuzione.

  • Migliore protezione dalle minacce persistenti avanzate Quando le credenziali di dominio di Gestione credenziali, NTLM e Kerberos sono protette tramite la sicurezza basata sulla virtualizzazione, vengono bloccate le tecniche di attacco contro il furto di credenziali e gli strumenti usati in molti attacchi mirati. Il malware in esecuzione nel sistema operativo con privilegi amministrativi non può estrarre segreti protetti dalla sicurezza basata sulla virtualizzazione.

Sicurezza software

Dopo l'avvio di Microsoft Windows, Teams Rooms accede automaticamente a un account utente windows locale denominato Skype. L'account Skype non ha una password. Per rendere sicura la sessione dell'account Skype, vengono eseguiti i passaggi seguenti.

Importante

Non cambiare la password o modificare l'account utente Skype locale. In questo modo è possibile impedire Teams Rooms di eseguire automaticamente l'accesso.

L'app Microsoft Teams Rooms viene eseguita con la caratteristica Accesso assegnato disponibile nel Windows 10 1903 e versioni successive. Accesso assegnato è una funzionalità di Windows che limita i punti di ingresso dell'applicazione esposti all'utente e abilita la modalità chiosco singola app. Con Shell Launcher, Teams Rooms è configurato come dispositivo chiosco multimediale che esegue un'applicazione desktop Windows come interfaccia utente. L'app Microsoft Teams Rooms sostituisce la shell predefinita (explorer.exe) che in genere viene eseguita quando un utente accede. In altre parole, la shell di Explorer tradizionale non viene avviata, il che riduce notevolmente la vulnerabilità Microsoft Teams Rooms surface all'interno di Windows. Per altre informazioni, vedi Configurare chioschi multimediali e segnali digitali nelle edizioni desktop di Windows.

Se decidi di eseguire un'analisi della sicurezza o un benchmark del Centro per la sicurezza internet (CIS) su Teams Rooms, l'analisi può essere eseguita solo nel contesto di un account amministratore locale perché l'account utente Skype non supporta l'esecuzione di applicazioni diverse dall'app Teams Rooms. Molte delle funzionalità di sicurezza applicate al contesto utente Skype non si applicano ad altri utenti locali e, di conseguenza, queste analisi di sicurezza non presentano il blocco di sicurezza completo applicato all'account Skype. Pertanto, non è consigliabile eseguire un'analisi locale su Teams Rooms. Tuttavia, è possibile eseguire test di penetrazione esterna, se lo si desidera. Per questa configurazione, è consigliabile eseguire test di penetrazione esterni su dispositivi Teams Rooms invece di eseguire scansioni locali.

Inoltre, i criteri di blocco vengono applicati per limitare l'uso delle caratteristiche non amministrative. Un filtro della tastiera è abilitato per intercettare e bloccare le combinazioni di tastiera potenzialmente non sicure che non sono coperte dai criteri di accesso assegnato. Solo gli utenti con diritti amministrativi locali o di dominio possono accedere a Windows per gestire Teams Rooms. Questi e altri criteri applicati a Windows nei dispositivi Microsoft Teams Rooms vengono continuamente valutati e testati durante il ciclo di vita del prodotto.

Microsoft Defender è abilitato. La licenza di Teams Rooms Pro include anche Defender per Endpoint, che consente ai clienti di registrare i loro Teams Rooms in Defender for Endpoint. Questa registrazione può fornire ai team di sicurezza la visibilità sulla postura di sicurezza di Teams Room nei dispositivi Windows dal portale di Defender. Teams Rooms in Windows possono essere registrati seguendo la procedura per i dispositivi Windows. Non è consigliabile modificare Teams Rooms usando regole di protezione (o altri criteri di Defender che apportano modifiche alla configurazione) perché questi criteri possono influire sulla funzionalità di Teams Rooms, ma è supportata la funzionalità di creazione di report nel portale.

Sicurezza dell'account

Teams Rooms dispositivi includono un account amministrativo denominato "Amministrazione" con una password predefinita. È consigliabile cambiare la password predefinita non appena possibile al termine della configurazione.

L'account Amministrazione non è necessario per il corretto funzionamento di Teams Rooms dispositivi e può essere rinominato o anche eliminato. Tuttavia, prima di eliminare l'account Amministrazione, assicurarsi di configurare un account di amministratore locale alternativo configurato prima di rimuovere quello fornito con Teams Rooms dispositivi. Per altre informazioni su come cambiare una password per un account Windows locale usando gli strumenti di Windows predefiniti o PowerShell, vedi queste guide:

È anche possibile importare account di dominio nel gruppo amministratore di Windows locale usando Intune. Per altre informazioni, vedere Criteri CSP - RestrictedGroups.

Nota

Se usi un Teams Rooms Crestron con una console connessa alla rete, assicurati di seguire le indicazioni di Crestron per configurare l'account Windows usato per l'associazione.

Attenzione

Se si elimina o disabilita l'account Amministrazione prima di concedere autorizzazioni di amministratore locale a un altro account locale o di dominio, si potrebbe perdere la possibilità di amministrare il dispositivo Teams Rooms. In questo caso, dovrai ripristinare le impostazioni originali del dispositivo e completare nuovamente il processo di configurazione.

Non concedere autorizzazioni di amministratore locale all'account utente Skype.

È possibile usare Designer di configurazione di Windows per creare pacchetti di provisioning di Windows. Oltre a modificare la password Amministrazione locale, è anche possibile eseguire operazioni come la modifica del nome del computer e la registrazione a Microsoft Entra ID. Per altre informazioni sulla creazione di un pacchetto di provisioning Designer configurazione di Windows, vedi Provisioning di pacchetti per Windows 10.

È necessario creare un account di risorsa per ogni dispositivo Teams Rooms in modo che possa accedere a Teams. Con questo account non è possibile usare l'autenticazione a due fattori o a più fattori interattiva dall'utente. La richiesta di un secondo fattore interattivo per l'utente impedirebbe all'account di accedere automaticamente all'app Teams Rooms dopo un riavvio. Inoltre, Microsoft Entra criteri di accesso condizionale e Intune criteri di conformità possono essere distribuiti per proteggere l'account della risorsa e ottenere l'autenticazione a più fattori con altri mezzi. Per altre informazioni, vedere Accesso condizionale supportato e criteri di conformità dei dispositivi Intune per Microsoft Teams Rooms e accesso condizionale e conformità Intune per Microsoft Teams Rooms.

È consigliabile creare l'account delle risorse in Microsoft Entra ID, se possibile come account solo cloud. Anche se un account sincronizzato può funzionare con Teams Rooms nelle distribuzioni ibride, questi account sincronizzati spesso hanno difficoltà ad accedere a Teams Rooms e possono essere difficili da risolvere. Se si sceglie di usare un servizio federativo di terze parti per autenticare le credenziali per l'account della risorsa, assicurarsi che l'IDP di terze parti risponda con l'attributo impostato su .If you choose to use a third-party federation service to authenticate the credentials for the resource account, ensure the third-party IDP responds with the wsTrustResponse attribute set to urn:oasis:names:tc:SAML:1.0:assertion. Se l'organizzazione non vuole usare WS-Trust, usa invece account solo cloud.

Sicurezza di rete

In generale, Teams Rooms ha gli stessi requisiti di rete di qualsiasi client di Microsoft Teams. L'accesso tramite firewall e altri dispositivi di sicurezza è lo stesso per Teams Rooms di qualsiasi altro client di Microsoft Teams. Specifiche per Teams Rooms, le categorie elencate come "obbligatorie" per Teams devono essere aperte nel firewall. Teams Rooms inoltre necessario accedere a Windows Update, Microsoft Store e Microsoft Intune (se usi Microsoft Intune per gestire i tuoi dispositivi). Per l'elenco completo di INDIRIZZI IP e URL necessari per Microsoft Teams Rooms, vedere:

Per Microsoft Teams Rooms Pro Portale di gestione, è anche necessario verificare che Teams Rooms possa accedere agli URL seguenti:

  • agent.rooms.microsoft.com
  • global.azure-devices-provisioning.net
  • gj3ftstorage.blob.core.windows.net
  • mmrstgnoamiot.azure-devices.net
  • mmrstgnoamstor.blob.core.windows.net
  • mmrprodapaciot.azure-devices.net
  • mmrprodapacstor.blob.core.windows.net
  • mmrprodemeaiot.azure-devices.net
  • mmrprodemeastor.blob.core.windows.net
  • mmrprodnoamiot.azure-devices.net
  • mmrprodnoamstor.blob.core.windows.net
  • mmrprodnoampubsub.webpubsub.azure.com
  • mmrprodemeapubsub.webpubsub.azure.com
  • mmrprodapacpubsub.webpubsub.azure.com

I clienti GCC dovranno anche abilitare gli URL seguenti:

  • mmrprodgcciot.azure-devices.net
  • mmrprodgccstor.blob.core.windows.net

Teams Rooms è configurato per mantenere automaticamente le patch con gli ultimi aggiornamenti di Windows, inclusi gli aggiornamenti della sicurezza. Teams Rooms installa tutti gli aggiornamenti in sospeso ogni giorno a partire da 2:00 - 3:00 ora del dispositivo locale utilizzando un criterio locale preimpostato. Non è necessario usare altri strumenti per distribuire e applicare Windows Aggiornamenti. L'uso di altri strumenti per distribuire e applicare gli aggiornamenti può ritardare l'installazione delle patch di Windows e quindi portare a una distribuzione meno sicura. L'app Teams Rooms viene distribuita tramite Microsoft Store.

Teams Rooms i dispositivi funzionano con la maggior parte dei protocolli di sicurezza 802.1X o basati su rete. Tuttavia, non è possibile testare Teams Rooms con tutte le possibili configurazioni di sicurezza di rete. Pertanto, se si verificano problemi di prestazioni che possono essere rilevati da problemi di prestazioni di rete, potrebbe essere necessario disabilitare questi protocolli.

Per ottenere prestazioni ottimali dai supporti in tempo reale, è consigliabile configurare il traffico multimediale di Teams in modo da ignorare i server proxy e altri dispositivi di sicurezza di rete. I supporti in tempo reale sono sensibili alla latenza e i server proxy e i dispositivi di sicurezza di rete possono ridurre significativamente la qualità audio e video degli utenti. Inoltre, poiché i contenuti multimediali di Teams sono già crittografati, non c'è alcun vantaggio tangibile nel passaggio del traffico attraverso un server proxy. Per altre informazioni, vedere Creazione di reti (nel cloud) - Punto di vista di un architetto, che descrive i consigli di rete per migliorare le prestazioni dei supporti con Microsoft Teams e Microsoft Teams Rooms. Se l'organizzazione usa restrizioni di tenant, è supportata per Teams Rooms nei dispositivi Windows seguendo le istruzioni di configurazione disponibili nel documento Preparare l'ambiente.

Teams Rooms dispositivi non devono connettersi a una LAN interna. Valutare l'inserimento di Teams Rooms in un segmento di rete isolato sicuro con accesso diretto a Internet. Se la LAN interna viene compromessa, le opportunità del vettore di attacco verso Teams Rooms si riducono.

Ti consigliamo vivamente di connettere i dispositivi Teams Rooms a una rete cablata. L'uso di reti wireless richiede un'attenta pianificazione e valutazione per un'esperienza ottimale. Per ulteriori informazioni, vedi Considerazioni sulla rete wireless.

L'aggiunta per prossimità e altre funzionalità di Teams Rooms si basano sul Bluetooth. Tuttavia, l'implementazione Bluetooth nei dispositivi Teams Rooms non consente la connessione di un dispositivo esterno a un dispositivo Teams Rooms. L'uso della tecnologia Bluetooth nei dispositivi Teams Rooms è attualmente limitato agli annunci beacon e alle connessioni proximal. Il ADV_NONCONN_INT tipo di unità di dati del protocollo (PDU) viene utilizzato nel advertising beacon. Questo tipo di PDU è per le informazioni pubblicitarie sui dispositivi non collegabili al dispositivo di ascolto. Non esiste alcuna associazione di dispositivi Bluetooth nell'ambito di queste funzionalità. Ulteriori dettagli sui protocolli Bluetooth sono disponibili sul sito Web Bluetooth SIG.