Sicurezza di Microsoft Teams Rooms

• Si applica a:

  Microsoft Teams

Questo articolo fornisce indicazioni sulla sicurezza per i dispositivi Microsoft Teams Rooms su dispositivi Windows e Android. Queste linee guida includono informazioni su hardware, software, rete e sicurezza dell'account.

Selezionare la scheda Teams Rooms in Windows o Teams Rooms per Android per altre informazioni sulla sicurezza di Teams Room nel dispositivo.

Teams Rooms su Windows

Microsoft collabora con i propri partner per offrire una soluzione sicura e non richiede azioni aggiuntive per proteggere Microsoft Teams Rooms su Windows. Questa sezione descrive molte delle funzionalità di sicurezza disponibili in Teams Rooms in Windows.

Per informazioni sulla sicurezza in Teams Rooms su dispositivi Android, selezionare la scheda Teams Rooms su Android .

Nota

Microsoft Teams Rooms non deve essere considerato come una workstation tipica per l'utente finale. Non solo i casi d'uso sono molto diversi, ma anche i profili di sicurezza predefiniti sono molto diversi, ti consigliamo di trattarli come accessori. L'installazione di software aggiuntivo nei dispositivi Teams Rooms non è supportata da Microsoft. Questo articolo si applica ai dispositivi Microsoft Teams Rooms in esecuzione su Windows.

I dati limitati degli utenti finali vengono archiviati in Teams Rooms. I dati degli utenti finali possono essere archiviati nei file di log solo per la risoluzione dei problemi e il supporto. Nessun partecipante a una riunione con Teams Rooms può copiare file nel disco rigido o accedere come se stessi. Nessun dato dell'utente finale viene trasferito o accessibile dal dispositivo Microsoft Teams Rooms.

Anche se gli utenti finali non possono inserire file in un disco rigido di Teams Rooms, Microsoft Defender è ancora abilitato. Le prestazioni di Teams Rooms sono testate con Microsoft Defender, inclusa la registrazione al portale di Defender per Endpoint. La disabilitazione o l'aggiunta di software per la sicurezza degli endpoint può causare risultati imprevedibili e una potenziale riduzione delle prestazioni del sistema.

Sicurezza hardware

In un ambiente Teams Rooms, esiste un modulo di calcolo centrale che esegue Windows 10 o 11 IoT Enterprise Edition. Ogni modulo di calcolo certificato deve avere una soluzione di montaggio sicura, uno slot per il blocco di sicurezza (ad esempio Kensington Lock) e misure di sicurezza per l'accesso alla porta I/O per impedire la connessione di dispositivi non autorizzati. È anche possibile disabilitare porte specifiche tramite la configurazione UEFI (Unified Extensible Firmware Interface).

Ogni modulo di calcolo certificato deve essere fornito con una tecnologia conforme a Trusted Platform Module (TPM) 2.0 abilitata per impostazione predefinita. Il TPM viene usato per crittografare le informazioni di accesso per l'account della risorsa Teams Rooms.

L'avvio protetto è abilitato per impostazione predefinita. Avvio protetto è uno standard di sicurezza sviluppato dai membri del settore dei PC per garantire che un dispositivo venga avviato usando solo software attendibile dall'OEM (Original Equipment Manufacturer). All'avvio del PC, il firmware controlla la firma di ogni componente del software di avvio, inclusi i driver del firmware UEFI (noti anche come ROM di opzione), le applicazioni EFI e il sistema operativo. Se le firme sono valide, il PC viene avviato e il firmware consente di controllare il sistema operativo. Per altre informazioni, vedi Avvio protetto.

L'accesso alle impostazioni UEFI è possibile solo collegando una tastiera fisica e un mouse, che impedisce di accedere alla UEFI tramite la console abilitata per il tocco di Teams Rooms o qualsiasi altro display abilitato per il tocco collegato a Teams Rooms.

Protezione DMA (Kernel Direct Memory Access) è un'impostazione di Windows abilitata in Teams Rooms. Con questa funzionalità, il sistema operativo e il firmware di sistema proteggono il sistema da attacchi DMA dannosi e indesiderati per tutti i dispositivi che supporta DMA:With this feature, the OS and the system firmware protect the system against malicious and inintended DMA attacks for all DMA-capable devices:

• Durante il processo di avvio.

• Contro DMA dannosi da dispositivi connessi a porte interne/esterne facilmente accessibili, come gli slot M.2 PCIe e Thunderbolt 3, durante il runtime del sistema operativo.

Teams Rooms consente anche l'integrità del codice protetto da Hypervisor (HVCI). Una delle funzionalità fornite da HVCI è Credential Guard. Credential Guard offre i seguenti vantaggi:

• Sicurezza hardware NTLM, Kerberos e Gestione credenziali sfruttano le funzionalità di sicurezza della piattaforma, tra cui avvio protetto e virtualizzazione, per proteggere le credenziali.

• Sicurezza basata sulla virtualizzazione Le credenziali derivate di Windows NTLM e Kerberos e altri segreti vengono eseguiti in un ambiente protetto isolato dal sistema operativo in esecuzione.

• Migliore protezione dalle minacce persistenti avanzate Quando le credenziali di dominio di Gestione credenziali, NTLM e Kerberos sono protette tramite la sicurezza basata sulla virtualizzazione, vengono bloccate le tecniche di attacco contro il furto di credenziali e gli strumenti usati in molti attacchi mirati. Il malware in esecuzione nel sistema operativo con privilegi amministrativi non può estrarre segreti protetti dalla sicurezza basata sulla virtualizzazione.

Sicurezza software

Dopo l'avvio di Microsoft Windows, Teams Rooms esegue automaticamente l'accesso a un account utente windows locale denominato Skype. L'account Skype non ha una password. Per rendere sicura la sessione dell'account Skype, vengono eseguiti i passaggi seguenti.

Importante

Non cambiare la password o modificare l'account utente Skype locale. In questo modo è possibile impedire l'accesso automatico a Teams Rooms.

L'app Microsoft Teams Rooms viene eseguita con la funzionalità Accesso assegnato disponibile in Windows 10 1903 e versioni successive. Accesso assegnato è una funzionalità di Windows che limita i punti di ingresso dell'applicazione esposti all'utente e abilita la modalità chiosco singola app. Utilizzando Shell Launcher, Teams Rooms è configurato come dispositivo chiosco multimediale che esegue un'applicazione desktop di Windows come interfaccia utente. L'app Microsoft Teams Rooms sostituisce la shell predefinita (explorer.exe) che in genere viene eseguita quando un utente accede. In altre parole, la shell di Explorer tradizionale non viene avviata, il che riduce notevolmente la vulnerabilità di Microsoft Teams Rooms in Windows. Per altre informazioni, vedi Configurare chioschi multimediali e segnali digitali nelle edizioni desktop di Windows.

Se decidi di eseguire un'analisi di sicurezza o un benchmark di Center for Internet Security (CIS) su Teams Rooms, l'analisi può essere eseguita solo nel contesto di un account amministratore locale, perché l'account utente Skype non supporta l'esecuzione di applicazioni diverse dall'app Teams Rooms. Molte delle funzionalità di sicurezza applicate al contesto utente Skype non si applicano ad altri utenti locali e, di conseguenza, queste analisi di sicurezza non presentano il blocco di sicurezza completo applicato all'account Skype. Pertanto, non è consigliabile eseguire un'analisi locale in Teams Rooms. Tuttavia, è possibile eseguire test di penetrazione esterna, se lo si desidera. Per questo motivo, è consigliabile eseguire test di penetrazione esterni su dispositivi Teams Rooms invece di eseguire scansioni locali.

Inoltre, i criteri di blocco vengono applicati per limitare l'uso delle caratteristiche non amministrative. Un filtro della tastiera è abilitato per intercettare e bloccare le combinazioni di tastiera potenzialmente non sicure che non sono coperte dai criteri di accesso assegnato. Solo gli utenti con diritti amministrativi locali o di dominio sono autorizzati ad accedere a Windows per gestire Teams Rooms. Questi e altri criteri applicati a Windows nei dispositivi Microsoft Teams Rooms vengono continuamente valutati e testati durante il ciclo di vita del prodotto.

Microsoft Defender è abilitato all'uso, la licenza Teams Rooms Pro include anche Defender for Endpoint, che consente ai clienti di registrare Teams Rooms in Defender per Endpoint per fornire ai team di sicurezza visibilità sulla postura di sicurezza di Teams Room nei dispositivi Windows dal portale di Defender. Teams Rooms in Windows può essere registrato seguendo la procedura per i dispositivi Windows. Non è consigliabile modificare Teams Rooms usando regole di protezione (o altri criteri di Defender che apportano modifiche alla configurazione) in quanto questi criteri possono influire sulla funzionalità Di Teams Rooms; tuttavia, la funzionalità di creazione di report nel portale è supportata.

Sicurezza dell'account

I dispositivi Teams Rooms includono un account amministrativo denominato "Amministratore" con una password predefinita. È consigliabile cambiare la password predefinita non appena possibile al termine della configurazione.

L'account Admin non è necessario per il corretto funzionamento dei dispositivi Teams Rooms e può essere rinominato o anche eliminato. Tuttavia, prima di eliminare l'account Amministratore, assicurarsi di configurare un account amministratore locale alternativo configurato prima di rimuovere quello fornito con i dispositivi Teams Rooms. Per altre informazioni su come cambiare una password per un account Windows locale usando gli strumenti predefiniti di Windows o PowerShell, vedi:

• Configurazione dei GIRI in Teams Rooms in Windows
• Cambiare o reimpostare la password di Windows
• Set-LocalUser

È anche possibile importare account di dominio nel gruppo amministratore di Windows locale usando Intune. Per altre informazioni, vedere Criteri CSP - RestrictedGroups.

Nota

Se utilizzi Crestron Teams Rooms con una console connessa alla rete, assicurati di seguire le indicazioni di Crestron su come configurare l'account Windows usato per l'associazione.

Cautela

Se elimini o disabiliti l'account Amministratore prima di concedere autorizzazioni di amministratore locale a un altro account locale o di dominio, potresti perdere la possibilità di amministrare il dispositivo Teams Rooms. In questo caso, dovrai ripristinare le impostazioni originali del dispositivo e completare nuovamente il processo di configurazione.

Non concedere autorizzazioni di amministratore locale all'account utente Skype.

Progettazione configurazione di Windows può essere usato per creare pacchetti di provisioning di Windows. Oltre a modificare la password dell'amministratore locale, puoi anche eseguire operazioni come la modifica del nome del computer e la registrazione all'ID Microsoft Entra. Per altre informazioni sulla creazione di un pacchetto di provisioning di Progettazione configurazione di Windows, vedi Pacchetti di provisioning per Windows 10.

È necessario creare un account di risorsa per ogni dispositivo Teams Rooms in modo che possa accedere a Teams. Con questo account non è possibile usare l'autenticazione a due fattori o a più fattori interattiva dall'utente. Richiedere un secondo fattore impedirebbe all'account di accedere automaticamente all'app Teams Rooms dopo un riavvio. Inoltre, i criteri di accesso condizionale Di Microsoft Entra e i criteri di conformità di Intune possono essere distribuiti per proteggere l'account della risorsa. Per altre informazioni, vedere Criteri di conformità dei dispositivi supportati per l'accesso condizionale e Intune per Microsoft Teams Rooms e l'accesso condizionale e la conformità di Intune per Microsoft Teams Rooms.

È consigliabile creare l'account delle risorse in MICROSOFT Entra ID, se possibile come account solo cloud. Anche se un account sincronizzato può funzionare con Teams Rooms nelle distribuzioni ibride, questi account sincronizzati spesso hanno difficoltà ad accedere a Teams Rooms e possono essere difficili da risolvere. Se si sceglie di usare un servizio federativo di terze parti per autenticare le credenziali per l'account della risorsa, assicurarsi che l'IDP di terze parti risponda con l'attributo impostato su .If you choose to use a third-party federation service to authenticate the credentials for the resource account, ensure the third-party IDP responds with the wsTrustResponse attribute set to urn:oasis:names:tc:SAML:1.0:assertion. Se l'organizzazione non vuole usare WS-Trust, usa invece account solo cloud.

Sicurezza di rete

In generale, Teams Rooms ha gli stessi requisiti di rete di qualsiasi client di Microsoft Teams. L'accesso tramite firewall e altri dispositivi di sicurezza è lo stesso per Teams Rooms che per qualsiasi altro client di Microsoft Teams. Specifiche di Teams Rooms, le categorie elencate come "necessarie" per Teams devono essere aperte sul firewall. Teams Rooms deve inoltre accedere a Windows Update, Microsoft Store e Microsoft Intune (se si usa Microsoft Intune per gestire i dispositivi). Per l'elenco completo degli INDIRIZZI IP e degli URL necessari per Microsoft Teams Rooms, vedere:

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common e URL eintervalli di indirizzi IP per Office Online per Office 365
• Configurare WSUS in Windows Update
• Prerequisiti di Microsoft Storeper Microsoft Store per le aziende e la formazione
• Endpoint di rete di Microsoft Intuneper Microsoft Intune

Se usi il componente dei servizi gestiti di Microsoft Teams Rooms di Microsoft Teams Rooms Pro, devi anche assicurarti che Teams Rooms possa accedere agli URL seguenti:

• agent.rooms.microsoft.com
• global.azure-devices-provisioning.net
• gj3ftstorage.blob.core.windows.net
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net

I clienti GCC dovranno anche abilitare gli URL seguenti:

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

Teams Rooms è configurato per mantenersi automaticamente aggiornati con gli ultimi aggiornamenti di Windows, inclusi gli aggiornamenti della sicurezza. Teams Rooms installa tutti gli aggiornamenti in sospeso ogni giorno a partire alle 2:00 usando un criterio locale preimpostato. Non è necessario usare altri strumenti per distribuire e applicare gli aggiornamenti di Windows. L'uso di altri strumenti per distribuire e applicare gli aggiornamenti può ritardare l'installazione delle patch di Windows e quindi portare a una distribuzione meno sicura. L'app Teams Rooms viene distribuita tramite Microsoft Store.

I dispositivi Teams Rooms funzionano con la maggior parte dei protocolli di sicurezza 802.1X o basati su rete. Tuttavia, non siamo in grado di testare Teams Rooms con tutte le possibili configurazioni di sicurezza di rete. Pertanto, se si verificano problemi di prestazioni che possono essere rilevati da problemi di prestazioni di rete, potrebbe essere necessario disabilitare questi protocolli.

Per ottenere prestazioni ottimali dai supporti in tempo reale, è consigliabile configurare il traffico multimediale di Teams in modo da ignorare i server proxy e altri dispositivi di sicurezza di rete. I supporti in tempo reale sono sensibili alla latenza e i server proxy e i dispositivi di sicurezza di rete possono ridurre significativamente la qualità audio e video degli utenti. Inoltre, poiché i contenuti multimediali di Teams sono già crittografati, non c'è alcun vantaggio tangibile nel passaggio del traffico attraverso un server proxy. Per altre informazioni, vedere Creazione di reti (nel cloud) - Punto di vista di un architetto, che descrive i consigli di rete per migliorare le prestazioni dei supporti con Microsoft Teams e Microsoft Teams Rooms.

Importante

Teams Rooms non supporta server proxy autenticati.

I dispositivi Teams Rooms non devono connettersi a una LAN interna. Valutare l'inserimento di Teams Rooms in un segmento di rete isolato sicuro con accesso diretto a Internet. Se la laN interna viene compromessa, le opportunità del vettore di attacco verso Teams Rooms si riducono.

Si consiglia vivamente di connettere i dispositivi Teams Rooms a una rete cablata. L'uso di reti wireless richiede un'attenta pianificazione e valutazione per un'esperienza ottimale. Per ulteriori informazioni, vedi Considerazioni sulla rete wireless.

L'accesso in prossimità e altre funzionalità di Teams Rooms si basano sul Bluetooth. Tuttavia, l'implementazione Bluetooth nei dispositivi Teams Rooms non consente la connessione di un dispositivo esterno a un dispositivo Teams Rooms. L'uso della tecnologia Bluetooth nei dispositivi Teams Rooms è attualmente limitato agli annunci beacon e alle connessioni prossimali richieste. Il ADV_NONCONN_INT tipo di unità di dati del protocollo (PDU) viene utilizzato nel advertising beacon. Questo tipo di PDU è per le informazioni pubblicitarie sui dispositivi non collegabili al dispositivo di ascolto. Non esiste alcuna associazione di dispositivi Bluetooth nell'ambito di queste funzionalità. Ulteriori dettagli sui protocolli Bluetooth sono disponibili sul sito Web Bluetooth SIG.

Teams Rooms su Android

Questo articolo non illustra i dispositivi Android configurati per la modalità dispositivo dedicata da Microsoft Endpoint Manager. I dispositivi Teams Android vengono eseguiti in modalità tutto schermo da progettazione. Per informazioni su Chiosco Android, vedi Registrazione del dispositivo dedicato ad Android Enterprise.

Microsoft collabora con i propri partner OEM per offrire una soluzione sicura da progettazione e personalizzabile in base alle esigenze dei clienti. Questo articolo descrive molte delle funzionalità di sicurezza disponibili nei dispositivi Android di Teams e il nostro approccio. È suddiviso in quattro sezioni chiave per facilitare la navigazione.

Nota

I dispositivi Android di Microsoft Teams non devono essere trattati come un tipico dispositivo Android. I dispositivi Teams Android sono accessori appositamente progettati per l'uso con Teams e i rispettivi casi d'uso. Questo articolo si applica solo ai dispositivi certificati e dedicati di Microsoft Teams che eseguono il sistema operativo Android. I dispositivi certificati per Teams possono essere acquistati solo da fornitori OEM certificati. Per informazioni sui dispositivi Android certificati da Microsoft Teams, vedere Sistemi e periferiche certificati di Teams Rooms.

Per informazioni sulla sicurezza in Teams Rooms nei dispositivi Windows, selezionare la scheda Teams Rooms in Windows .

Sicurezza del software

Modalità tutto schermo Android

I dispositivi Teams Android sono bloccati per eseguire solo le applicazioni approvate eseguendo il dispositivo in modalità tutto schermo Android. La modalità tutto schermo disabilita l'accesso a tutte le funzionalità di avvio e contribuisce a proteggere il dispositivo in modo che le applicazioni autorizzate vengano avviate sul dispositivo.

Nome applicazione	Descrizione applicazione
Microsoft Teams Android App	Applicazione dispositivo Microsoft Teams
Agente di amministrazione di Microsoft Teams	Gestione remota dell'interfaccia di amministrazione di Teams
Portale aziendale di Intune	Registrazione dispositivo, registrazione & accesso
Agente partner OEM	App Impostazioni dispositivo & agente partner OEM

Per impostazione predefinita, l'app Microsoft Teams per Android viene avviata in modalità chiosco Android e non fornisce all'utente alcun accesso al sistema operativo o ai componenti al di fuori dell'esperienza utente di Teams designata.

Firma del codice dell'applicazione

Tutte le applicazioni Microsoft e OEM sono firmate con codice. La firma del codice consente di confermare che il software in esecuzione in un dispositivo è originale da Parte di Microsoft e dei nostri partner hardware. La firma del codice tenta anche di convalidare l'integrità del software in esecuzione nel dispositivo, in modo che solo il software originale possa avviarsi ed eseguire.

Applicazioni di terze parti

I dispositivi certificati per Teams non hanno Google Play Store, Amazon App Store o Google Play Services, installati da progettazione. Ciò consente di garantire che nessuna applicazione di terze parti possa essere installata dallo store in un dispositivo.

Bridge di debug di Android

Il bridge di debug Android (ADB) è disabilitato dalla progettazione in tutti i dispositivi Android di Teams che eseguono software di rilascio. ADB è uno strumento da riga di comando che consente agli amministratori di eseguire funzioni sui dispositivi basati su Android e consente l'installazione di app, l'accesso alla shell del dispositivo e altre funzioni di amministrazione.

Crittografia del file system

I dispositivi Android di Teams devono supportare la crittografia basata su Android e possono essere applicati usando i criteri di conformità di Microsoft Endpoint Manager. Per informazioni sui criteri di conformità di Endpoint Manager Usare i criteri di conformità di Endpoint Manager per impostare le regole per i dispositivi gestiti con Intune.

Versione del sistema operativo Android

I dispositivi Teams Android eseguono versioni supportate di Android. Il sistema operativo Android è gestito da partner OEM, unito al firmware certificato di Teams e quindi inserito nei dispositivi dall'interfaccia di amministrazione di Teams. Per informazioni sulle versioni Android in esecuzione sui dispositivi Android di Teams, vedere [Dispositivi Android certificati per Microsoft Teams](android-app-firmware.md).

Aggiornamenti della sicurezza di Android

I fornitori OEM, nell'ambito del processo di aggiornamento del firmware, incorporano le basi di riferimento appropriate per gli aggiornamenti della sicurezza Android per garantire che il sistema operativo di base sia protetto. Mantenere i dispositivi aggiornati regolarmente è importante per assicurarsi che gli aggiornamenti della sicurezza Android appropriati siano in esecuzione sui dispositivi. Per ulteriori informazioni, fai riferimento al produttore del dispositivo.

Sicurezza dell'account

I dispositivi Android di Teams sono creati intorno a due tipi di account che consentono il corretto funzionamento di un dispositivo.

• Account amministratore del dispositivo locale

• Account utente o della risorsa

Anche i dispositivi Android di Teams sono compatibili con alcuni criteri di accesso condizionale, che possono essere usati come più livelli di sicurezza per l'accesso dei dispositivi. Per le procedure consigliate e i criteri di accesso condizionale supportati, vedere Criteri di conformità per l'accesso condizionale supportati.

Account amministratore del dispositivo locale

I dispositivi Teams Android includono un account amministrativo per accedere alle impostazioni del dispositivo, il server Web locale, se installato, e le impostazioni specifiche dell'OEM.

Gli elementi iniziali di configurazione e configurazione del dispositivo, ad esempio il nome utente e la password predefiniti per questo account, possono essere ottenuti dal produttore del dispositivo.

Cautela

Assicurati di cambiare la password dell'amministratore del dispositivo locale il prima possibile.

Mancia

L'interfaccia di amministrazione di Teams può essere usata per cambiare la password di amministratore del dispositivo locale di un dispositivo Android connesso a Teams applicando un profilo di configurazione. È consigliabile questo approccio dopo l'accesso iniziale del dispositivo per proteggere le funzionalità elevate di un dispositivo Android. Le funzionalità elevate possono includere le impostazioni dei dispositivi e i portali di amministrazione Web, se supportati.

Account utente o della risorsa

I dispositivi Teams android richiedono l'uso di un utente, o di un account di risorse dedicato, per accedere a Microsoft 365. Tentiamo di proteggere questi account in modi specifici, a seconda che si tratti di un account utente per un dispositivo personale o di un account di risorse per un dispositivo condiviso. Per altre informazioni, vedere Creare e configurare account di risorse per sale e dispositivi condivisi.

Aggiornamenti dei dispositivi

I dispositivi Android di Teams sono configurati per scaricare gli aggiornamenti certificati da Microsoft dall'interfaccia di amministrazione di Teams non appena disponibili. Questi aggiornamenti possono essere inviati automaticamente o manualmente richiamati da un amministratore. Strumenti di terze parti dei nostri partner OEM sono disponibili anche per eseguire questa funzione, se necessario. I dispositivi Android di Teams possono installare gli aggiornamenti dopo l'orario di lavoro per evitare l'impatto sugli utenti. Le pianificazioni fuori orario possono essere configurate nell'interfaccia di amministrazione di Teams o usando strumenti di terze parti dei partner OEM.

Importante

Microsoft consiglia la gestione del firmware per tutti i dispositivi Android di Teams viene eseguita tramite l'interfaccia di amministrazione di Teams.

Sicurezza della rete

I dispositivi Teams Android hanno gli stessi requisiti di rete di qualsiasi client Microsoft Teams, incluso l'accesso attraverso firewall e altri dispositivi di sicurezza. In particolare, le categorie elencate come obbligatorie per Teams devono essere aperte sul firewall insieme ad altri servizi di supporto elencati di seguito. Per l'elenco completo di IP e URL necessari per i dispositivi Teams Android, vedere:

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common e Office Online : URL e intervalli di indirizzi IP per Office 365

• Endpoint di rete di Microsoft Intune per Microsoft Intune

I dispositivi Android di Teams funzionano con la maggior parte dei protocolli di sicurezza 802.1X e di altri protocolli di sicurezza basati sulla rete. Tuttavia, non è possibile testare i dispositivi Teams Android con tutte le configurazioni di sicurezza di rete. Pertanto, se si verificano problemi di prestazioni che possono essere rilevati da problemi di prestazioni di rete, potrebbe essere necessario disabilitare questi protocolli se sono configurati nell'organizzazione o contattare il partner OEM per assistenza.

Per ottenere prestazioni ottimali dai supporti in tempo reale, è consigliabile configurare il traffico multimediale di Teams in modo da ignorare i server proxy e altri dispositivi di sicurezza di rete. I supporti in tempo reale sono sensibili alla latenza della rete, che può essere causata da server proxy e altri dispositivi di sicurezza di rete. La latenza della rete può ridurre significativamente la qualità audio e video degli utenti. Per altre informazioni, vedere Creazione di reti (nel cloud) - Punto di vista di un architetto, che descrive i consigli di rete per migliorare le prestazioni dei supporti con Microsoft Teams.

I dispositivi Android di Teams usano comunicazioni crittografate e l'autenticazione degli endpoint su Internet. I dispositivi Android di Teams usano TLS 1.2+.

Importante

I dispositivi Android di Teams non supportano server proxy autenticati o restrizioni del tenant. Contatta il partner OEM per informazioni sul supporto del proxy.

I dispositivi Android di Teams non devono connettersi a una LAN interna. Valutare l'inserimento di dispositivi Teams Android in un segmento di rete sicuro con accesso diretto a Internet. Ad esempio, i telefoni di Teams possono essere distribuiti su una VLAN vocale. Se la LAN interna viene compromessa, le opportunità del vettore di attacco verso i dispositivi Teams Android vengono ridotte implementando questa separazione della rete.

Si consiglia vivamente di connettere i dispositivi Teams Rooms a una rete cablata. L'uso di reti wireless richiede un'attenta pianificazione e valutazione per un'esperienza ottimale. Per ulteriori informazioni, vedi Considerazioni sulla rete wireless.

L'unione in prossimità, Better Together, Teams Cast e l'associazione dei pannelli di Teams si basano sul Bluetooth. L'uso della tecnologia Bluetooth su Teams Rooms nei dispositivi Android è attualmente limitato agli annunci beacon e alle connessioni prossimali richieste. Il ADV_NONCONN_INT tipo di unità di dati del protocollo (PDU) viene utilizzato nel advertising beacon. Questo tipo di PDU è per le informazioni pubblicitarie sui dispositivi non collegabili al dispositivo di ascolto. Non esiste alcuna associazione di dispositivi Bluetooth nell'ambito di queste funzionalità. Ulteriori dettagli sui protocolli Bluetooth sono disponibili sul sito Web Bluetooth SIG.

I telefoni e i display di Teams offrono la funzionalità di associazione Bluetooth per l'associazione con le cuffie tramite il profilo Bluetooth Hands-Free.

Per altre informazioni sulla sicurezza in Microsoft Teams, vedere Sicurezza e Microsoft Teams.