Sicurezza e Microsoft Teams

Importante

Il modello di servizio di Teams è soggetto a modifiche per migliorare le esperienze degli utenti. Ad esempio, le scadenze del token di accesso o di aggiornamento predefinito potrebbero essere soggette a modifica per migliorare le prestazioni e la resilienza di autenticazione per gli utenti che usano Teams. Le modifiche apportate verranno applicate con l'obiettivo di garantire la protezione e l’affidabilità da progettazione di Teams.

Microsoft Teams, come parte dei servizi Microsoft 365 e Office 365, segue tutte le migliori pratiche e procedure di sicurezza, come la protezione a livello di servizio attraverso misure di difesa avanzate, controlli utente nell'ambito del servizio, potenziamento delle misure di sicurezza e Procedure operative consigliate. Per i dettagli completi, consultare il Centro protezione Microsoft.

Progettato per l'affidabilità

Teams è progettato e sviluppato in conformità con Microsoft Trustworthy Computing Security Development Lifecycle (SDL) descritto in Microsoft Security Development Lifecycle (SDL). Il primo passo verso la creazione di un sistema di comunicazioni unificato più sicuro è stato quello di progettare modelli di minacce e testare ciascuna funzionalità così come era stata progettata. Ulteriori miglioramenti relativi alla protezione venivano apportati durante il processo e le procedure di codifica. Gli strumenti della fase di compilazione rilevano sovraccarichi del buffer e altre potenziali minacce alla sicurezza prima che il codice venga archiviato nel prodotto finale. È impossibile progettare un prodotto che sia al sicuro da tutte le possibili minacce alla protezione. Nessun sistema è in grado di garantire una sicurezza totale. Tuttavia, poiché lo sviluppo del prodotto ha accolto principi di progettazione sicuri fin dall'inizio, Teams incorpora tecnologie di protezione standard del settore come parte fondamentale della sua architettura.

Affidabilità per impostazione predefinita

In Teams le comunicazioni di rete sono crittografate per impostazione predefinita. Con l’utilizzo dei certificati in tutti i server, OAuth, TLS (Transport Layer Security),e SRTP (Secure Real-Time Transport Protocol), tutti i dati di Teams sono protetti sulla rete.

In che modo Teams tratta le minacce alla sicurezza comuni

Questa sezione identifica le più comuni minacce alla sicurezza del servizio Teams e come Microsoft riduce ciascun pericolo.

Attacco basato su chiave compromessa

Teams utilizza le funzionalità PKI nel sistema operativo del Server Windows per proteggere i dati della chiave utilizzati per la crittografia nelle connessioni TLS. Le chiavi utilizzate per la crittografia dei file multimediali vengono scambiate tramite le connessioni TLS.

Attacco Denial-of-Service di rete

Un attacco Distributed Denial of Service (DDOS) si verifica quando l'utente malintenzionato impedisce il normale utilizzo e funzionamento della rete da parte degli utenti legittimi. Utilizzando un attacco Denial-of-Service, l'utente malintenzionato può:

  • Inviare dati non validi alle applicazioni e ai servizi in esecuzione nella rete attaccata per interromperne la normale funzione.
  • Inviare una grande quantità di traffico, sovraccaricando il sistema fino a quando non smette di rispondere o risponde lentamente alle richieste legittime.
  • Nascondere l'evidenza degli attacchi.
  • Impedire agli utenti di accedere alle risorse di rete.

Teams attenua questi attacchi eseguendo la protezione di rete DDOS di Azure e limitando le richieste dei client dagli stessi endpoint, subnet e entità federate.

Intercettazione

L'intercettazione si verifica quando un utente malintenzionato accede al percorso dei dati in una rete e ha la capacità di monitorare e leggere il traffico. L'intercettazione è detta anche sniffing o snooping. Se il traffico è in testo normale, l'utente malintenzionato può leggerlo quando accede al percorso. Un esempio è un attacco eseguito controllando un router sul percorso dei dati.

Teams usa TLS (MTLS) reciproca e OAuth da server a server (S2S) (tra gli altri protocolli) per le comunicazioni server all'interno di Microsoft 365 e Office 365 e usa anche TLS dai client al servizio. Tutto il traffico sulla rete è crittografato.

Questi metodi di comunicazione rendono difficile o impossibile eseguire l'intercettazione entro il periodo di tempo di una singola conversazione. TLS autentica tutte le parti ed esegue la crittografia di tutto il traffico. Anche se TLS non impedisce le intercettazioni, l'utente malintenzionato non può leggere il traffico a meno che la crittografia non venga interrotta.

Il protocollo Traversal Using Relays around NAT (TURN) viene utilizzato per scopi multimediali in tempo reale. Il protocollo TURN non impone la crittografia del traffico e le informazioni che invia sono protette dall'integrità del messaggio. Sebbene sia aperto alle intercettazioni, le informazioni che invia (cioè gli indirizzi IP e la porta) possono essere estratte direttamente, guardando gli indirizzi di origine e destinazione dei pacchetti. Il servizio Teams garantisce che i dati siano validi controllando l'Integrità del Messaggio tramite la chiave derivata da alcune voci, inclusa una password TURN, che non viene mai inviata non crittografata. SRTP viene utilizzato per il traffico multimediale ed è inoltre crittografato.

Spoofing d'identità (spoofing dell'indirizzo IP)

Lo spoofing si verifica quando l'utente malintenzionato identifica e utilizza un indirizzo IP di una rete, un computer o un componente di rete senza essere autorizzato a farlo. La riuscita dell'attacco consente all'utente malintenzionato di operare come se tale utente malintenzionato fosse l'entità normalmente identificata dall'indirizzo IP.

TLS autentica tutte le parti ed esegue la crittografia di tutto il traffico. L'uso di TLS impedisce all'autore di un attacco di effettuare lo spoofing dell'indirizzo IP su una connessione specifica (ad esempio, connessioni Mutual TLS). Un utente malintenzionato potrebbe comunque effettuare lo spoofing dell'indirizzo del server DNS (Domain Name System). Tuttavia, poiché l'autenticazione in Teams viene eseguita con certificati, un utente malintenzionato non dispone di informazioni valide necessarie per eseguire lo spoofing di una delle parti nella comunicazione.

Attacco man-in-the-middle

Un attacco man-in-the-middle si verifica quando un utente malintenzionato dirige la comunicazione tra due utenti attraverso il proprio computer senza che i due utenti comunicanti lo sappiano. L'utente malintenzionato può monitorare e leggere il traffico prima di inviarlo al destinatario previsto. Ogni utente della comunicazione, inconsapevolmente, invia e riceve traffico dall'utente malintenzionato, il tutto pensando di comunicare solo con l'utente previsto. Questo scenario può verificarsi se un utente malintenzionato può modificare Active Directory Domain Services per aggiungere il server come server attendibile o modificare la configurazione DNS o usare altri mezzi per fare in modo che i client si connettano tramite l'utente malintenzionato nel loro percorso verso il server.

Gli attacchi man-in-the-middle al traffico multimediale tra due endpoint che partecipano alla condivisione di applicazioni, video e audio di Teams vengono impediti usando Secure Real-Time Transport Protocol (SRTP) per crittografare il flusso multimediale. Le chiavi crittografiche vengono negoziate tra i due endpoint tramite un protocollo di segnalazione proprietario (protocollo Teams Call Signaling) che usa TLS 1.2 e il canale UDP o TCP crittografato AES-256 (in modalità GCM).

Attacco replay RTP (Real-Time Transport Protocol)

Un attacco di riproduzione si verifica quando una trasmissione di file multimediali valida tra due parti viene intercettata e ritrasmessa per scopi illeciti. Teams utilizza SRTP con un protocollo di segnalazione sicuro che protegge le trasmissioni dagli attacchi di ripetizione, abilitando il destinatario a mantenere un indice dei pacchetti RTP già ricevuti e confrontare ogni nuovo pacchetto con quelli già elencati nell'indice.

Messaggi istantanei indesiderati

Gli spim sono messaggi istantanei commerciali non desiderati o richieste di sottoscrizione di presenza, come spam, ma sotto forma di messaggio istantaneo. Sebbene non sia di per sé una compromissione della rete, è quanto meno fastidioso, può ridurre la disponibilità e la produzione delle risorse e può comportare una compromissione della rete. Un esempio è lo spimming reciproco degli utenti che si inviano richieste. Gli utenti possono bloccarsi l'un l'altro per evitare lo spimming, ma con la federazione, se un attore malintenzionato stabilisce un attacco spim coordinato, può essere difficile da superare a meno che non si disattivi la federazione dal partner.

Virus e worm

Un virus è un'unità di codice il cui scopo è riprodurre unità di codice aggiuntive e simili. Per funzionare, un virus ha bisogno di un host, come un file, un'e-mail o un programma. Come un virus, un worm è un'unità di codice che riproduce più unità di codice simili, ma che a differenza di un virus non ha bisogno di un host. Virus e worm si manifestano principalmente durante i trasferimenti di file tra client, quando gli URL vengono inviati da altri utenti. Se un virus si trova sul computer, può, ad esempio, utilizzare l'identità dell'utente e inviare messaggi istantanei per suo conto. Le migliori pratiche standard di protezione del client, come la scansione periodica alla ricerca di virus, possono mitigare questo problema.

Framework di sicurezza di Teams

Teams approva idee per la sicurezza come Zero Trust e principi di accesso con privilegi minimi. Questa sezione offre una panoramica degli elementi fondamentali che formano il framework di sicurezza di Microsoft Teams.

Gli elementi principali sono:

  • Azure Active Directory (Azure AD), che fornisce un singolo repository back-end attendibile per gli account utente. Le informazioni sul profilo utente vengono archiviate in Azure AD tramite le azioni di Microsoft Graph.
    • Potrebbero essere presenti più token emessi, visibili se si esegue il monitoraggio del traffico di rete. Sono inclusi i token Skype, di cui potrebbero essere visibili tracce mentre si osserva il traffico audio e chat.
  • Transport Layer Security (TLS) crittografa il canale in movimento. L'autenticazione viene eseguita tramite TLS (MTLS) reciproca, in base ai certificati o tramite l'autenticazione da servizio a servizio basata su Azure AD.
  • I flussi audio, video e di condivisione di applicazioni da punto a punto sono crittografati e la relativa integrità è verificata utilizzando il protocollo SRTP (Secure Real-Time Transport Protocol).
  • Il traffico OAuth verrà visualizzato nella traccia, in particolare per quanto riguarda gli scambi di token e la negoziazione delle autorizzazioni durante il passaggio da una scheda all'altra in Teams, ad esempio per passare da post a file. Per un esempio del flusso OAuth per le schede, vedere il documento.
  • Teams usa protocolli standard del settore per l'autenticazione degli utenti, ove possibile.

Nelle sezioni successive vengono illustrate alcune di queste tecnologie principali.

Azure Active Directory

Azure Active Directory funziona come servizio directory per Microsoft 365 e Office 365. Archivia tutte le informazioni sulla directory utente e dell'applicazione e le assegnazioni dei criteri.

Crittografia traffico in Teams

Questa tabella mostra i tipi di traffico principali e il protocollo usato per la crittografia.

Tipo di traffico Crittografato da
Da server a server TLS (con MTLS o OAuth Service-to-Service)
Da client a server, ad esempio messaggistica istantanea e presenza TLS
Flussi multimediali, ad esempio, condivisione audio e video di elementi multimediali TLS
Condivisione audio e video di contenuti multimediali SRTP/TLS
Segnalazione TLS
Crittografia avanzata da client a client (ad esempio, chiamate di crittografia end-to-end) SRTP/DTLS

Punti di distribuzione dell'elenco di revoche di certificati (CRL)

Il traffico di Microsoft 365 e Office 365 avviene su canali crittografati TLS/HTTPS, ossia vengono usati certificati per la crittografia di tutto il traffico. Teams tutti i certificati server devono contenere uno o più punti di distribuzione CRL. I punti di distribuzione CRL (CDP) sono posizioni da cui è possibile scaricare i CRL per verificare che il certificato non sia stato revocato dal momento in cui è stato rilasciato e che rientri ancora nel periodo di validità. Un punto di distribuzione CRL è indicato nelle proprietà del certificato come URL ed è HTTP protetto. Il servizio Teams controlla il CRL con ogni autenticazione del certificato.

Utilizzo delle chiavi avanzato

Tutti i componenti del servizio Teams richiedono che tutti i certificati del server supportino l'utilizzo chiavi avanzato (EKU, Enhanced Key Usage) per l'autenticazione del server. La configurazione del campo EKU per l'autenticazione del server indica che il certificato è valido per ll'autenticazione dei server. Tale EKU è essenziale per MTLS.

TLS per Teams

I dati di Teams vengono crittografati in transito e inattivi in dispositivi Microsoft, tra servizi e tra client e servizi. Microsoft usa tecnologie standard di settore come TLS e SRTP per crittografare tutti i dati in transito. I dati in movimento comprendono i messaggi, i file, le riunioni e altri contenuti. I dati aziendali vengono crittografati anche inattivi nei servizi Microsoft in modo che le organizzazioni possano decrittografare il contenuto, se necessario, per soddisfare gli obblighi di sicurezza e conformità tramite metodi come eDiscovery. Per altre informazioni sulla crittografia in Microsoft 365, vedere Crittografia in Microsoft 365

I flussi di dati TCP vengono crittografati tramite TLS e i protocolli OAuth da servizio a servizio e MTLS forniscono comunicazioni autenticate tramite endpoint tra servizi, sistemi e client. Teams usa questi protocolli per creare una rete di sistemi attendibili e per garantire che tutte le comunicazioni su tale rete siano crittografate.

In una connessione TLS, il client richiede un certificato valido dal server. Per essere valido, il certificato deve essere stato emesso da una CA che sia considerata affidabile anche dal client e il nome DNS del server deve corrispondere al nome DNS sul certificato. Se il certificato è valido, il client utilizza la chiave pubblica nel certificato per crittografare le chiavi di crittografia simmetriche da utilizzare per la comunicazione, quindi solo il proprietario originale del certificato può utilizzare la propria chiave privata per decrittografare il contenuto della comunicazione. La connessione risultante è affidabile e da quel momento non viene contestata da altri server o client affidabili.

L'uso di TLS consente di evitare attacchi di intercettazione e man-in-the-middle. In un attacco man-in-the-middle, l'utente malintenzionato dirige le comunicazioni tra due entità di rete attraverso il computer dell'utente malintenzionato all'insaputa delle due parti. Le specifiche di TLS e Teams di server attendibili attenuano il rischio di un attacco man-in-the-middle parzialmente sul livello dell'applicazione, utilizzando la crittografia coordinata, tramite la crittografia a chiave pubblica tra i due endpoint. Un utente malintenzionato dovrebbe avere un certificato valido e affidabile con la chiave privata corrispondente ed emesso a nome del servizio con cui il client sta comunicando per decrittografare la comunicazione.

Crittografia in Teams e Microsoft 365

Esistono più livelli di crittografia in Microsoft 365. La crittografia in Teams funziona con il resto della crittografia Microsoft 365 per proteggere il contenuto dell'organizzazione. Questo articolo descrive le tecnologie di crittografia specifiche per Teams. Per una panoramica della crittografia in Microsoft 365, vedere Crittografia in Microsoft 365.

Crittografia file multimediali

I flussi delle chiamate Teams basati sul modello di offerta e risposta SDP (Session Description Protocol) RFC 8866 su HTTPS. Una volta che il chiamato accetta una chiamata in arrivo, il chiamante e il chiamato concordano sui parametri di sessione.

Il traffico di file multimediali viene crittografato dal chiamante e passa dal chiamante al chiamato tramite Secure RTP (SRTP), un profilo di Real-Time Transport Protocol (RTP) che offre riservatezza, autenticazione e protezione dagli attacchi di riproduzione al traffico RTP. SRTP utilizza una chiave della sessione generata da un generatore di numeri casuali sicuro e scambiata utilizzando il canale di segnalazione TLS. Nella maggior pare dei casi il traffico dei contenuti multimediali tra client viene negoziato attraverso una connessione tra client e server, ed è crittografato con SRTP quando passa direttamente da client a client.

Nei normali flussi di chiamata, la negoziazione della chiave di crittografia avviene sul canale di segnalazione delle chiamate. In una chiamata crittografata end-to-end, il flusso di segnalazione è lo stesso di una normale chiamata di Teams uno-a-uno. Tuttavia, Teams DTLS per derivare una chiave di crittografia in base ai certificati per chiamata generati in entrambi gli endpoint client. Dato che DTLS deriva la chiave in base ai certificati client, la chiave è opaca per Microsoft. Quando entrambi i client concordano sulla chiave, i supporti multimediali iniziano a fluire usando questa chiave di crittografia negoziata da DTLS su SRTP.

Per proteggersi da un attacco man-in-the-middle tra il chiamante e il chiamato, Teams deriva un codice di sicurezza di 20 cifre dalle impronte digitali SHA-256 dei certificati di chiamata dell'endpoint del chiamante e del chiamato. Il chiamante e il chiamato possono convalidare i codici di sicurezza di 20 cifre leggendoli tra loro per vedere se corrispondono. Se i codici non corrispondono, la connessione tra chiamante e chiamato è stata intercettata da un attacco man-in-the-middle. Se la chiamata è stata compromessa, gli utenti possono terminare la chiamata manualmente.

Teams utilizza un token basato su credenziali per proteggere l'accesso ai contenuti multimediali inoltrati tramite TURN. I contenuti multimediali inoltrano lo scambio del token a un canale protetto tramite TLS.

Federal Information Processing Standard (FIPS)

Teams algoritmi uTilizza algoritmi FIPS compatibili per gli scambi di chiavi di crittografia. Per altre informazioni sull'implementazione di FIPS, vedere Pubblicazione Federal Information Processing Standard (FIPS) 140-2.

Autenticazione utente e client

Un utente affidabile è un utente le cui credenziali sono state autenticate da Azure AD in Office 365 o Microsoft 365.

L'autenticazione è il provisioning delle credenziali utente a un server o servizio attendibile. Teams utilizza i seguenti protocolli di autenticazione, a seconda dello stato e della posizione dell'utente.

  • Autenticazione moderna (MA) è l'implementazione Microsoft di OAUTH 2.0 per le comunicazioni da client a server. Offre funzionalità di sicurezza come l'autenticazione a più fattori e l'accesso condizionale. Per usare MA, sia il tenant online sia i client devono essere abilitati per MA. Tutti i client di Teams su PC e dispositivi mobili, oltre al client Web, supportano MA.

Nota

Se si desiderano maggiori informazioni sui metodi di autenticazione e autorizzazione di Azure Active Directory, l'introduzione di questo articolo e le sezioni "Informazioni di base sull'autenticazione in Azure AD" possono essere d'aiuto.

L'autenticazione di Teams viene eseguita tramite Azure AD e OAuth. Il processo di autenticazione può essere semplificato per:

  • Il rilascio > del token di > accesso dell'utente successivo usa il token emesso.

Le richieste da client a server sono autenticate e autorizzate tramite Azure AD mediante l'uso di OAuth. Gli utenti con credenziali valide emesse da un partner federato sono considerati attendibili ed è possibile eseguire lo stesso processo come utenti nativi. Tuttavia, gli amministratori potrebbero applicare ulteriori limitazioni.

Per l'autenticazione dei contenuti multimediali, anche i protocolli ICE e TURN usano la challenge Digest come descritto nell'RFC su TURN di IETF.

Strumenti di gestione di Windows PowerShell e Teams

In Teams, gli amministratori IT possono gestire il proprio servizio tramite l'interfaccia di amministrazione di Microsoft 365 o usando TRPS (Tenant Remote PowerShell). Gli amministratori del tenant usano l'autenticazione moderna per eseguire l'autenticazione in TRPS.

Configurazione dell'accesso a Teams entro il limite Internet

Affinché Teams funzioni correttamente, per esempio, affinché gli utenti riescano a partecipare alle riunioni, i clienti devono configurare il proprio accesso Internet in modo tale che il traffico UDP e TCP in uscita verso i servizi nel cloud Teams sia consentito. Per ulteriori informazioni, vedere URL e intervalli di indirizzi IP per Office 365.

UDP 3478-3481 e TCP 443

Le porte UDP 3478-3481 e TCP 443 vengono utilizzate dai client per richiedere il servizio per i contenuti audiovisivi. Un client utilizza queste due porte per allocare rispettivamente le porte UDP e TCP e consentire questi flussi multimediali. I flussi multimediali su queste porte sono protetti con una chiave che viene scambiata su un canale di segnalazione protetto con TLS.

Protezioni federative di Teams

La federazione consente all'organizzazione di comunicare con altre organizzazioni per condividere messaggistica istantanea e presenza. In Teams, la federazione è attiva per impostazione predefinita. Tuttavia, gli amministratori del tenant hanno la possibilità di controllare ls federazione ttramite l'interfaccia di amministrazione di Microsoft 365.

Risposta alle minacce alle riunioni di Teams

Sono due le opzioni disponibili per controllare chi arriva nelle riunioni di Teams e chi potrà accedere alle informazioni presentate.

  1. È possibile controllare chi partecipa alle riunioni tramite le impostazioni relative alla sala di attesa.

    Opzioni per l'impostazione dei partecipanti che possono evitare la sala di attesa disponibili nella pagina Opzioni riunione Tipi di utente che dispongono dell’accesso diretto alla riunione Tipi di utenti che passano per la sala di attesa
    Utenti dell’organizzazione - In-tenant
    - Guest of tenant
    - Federated
    - Anonymous
    - PstN dial-in
    Utenti dell'organizzazione e organizzazioni attendibili - In-tenant
    - Guest of tenant
    - Federated
    - Anonimo
    - Accesso con accesso radiale PSTN
    Tutti - In-tenant
    - Guest of tenant
    - Federated Anonymous
    - PSTN dial-in
  2. Il secondo metodo riguarda le riunioni strutturate, dove il relatore può effettuare praticamente tutte le operazioni e i partecipanti hanno un'esperienza controllata. Dopo aver partecipato a una riunione strutturata, i relatori controllano cosa possono fare i partecipanti alla riunione.

    Azioni Relatori Partecipanti
    Parlare e condividere il proprio video S S
    Partecipare alla chat della riunione S S
    Modificare le impostazioni nelle opzioni della riunione S N
    Disattivare l'audio degli altri partecipanti S N
    Rimuovere altri partecipanti S N
    Condividere il contenuto S N
    Ammettere altri partecipanti dalla sala di attesa S N
    Rendere altri partecipanti relatori o partecipanti S N
    Interrompere o avviare la registrazione S N
    Prendere il controllo quando un altro partecipante condivide una presentazione PowerPoint S N

Teams offre agli utenti aziendali la possibilità di creare e partecipare in tempo reale a riunioni. Gli utenti aziendali possono anche invitare utenti esterni che non dispongono di un account di Azure AD, Microsoft 365 o Office 365 a partecipare a tali riunioni. Anche gli utenti impiegati da partner esterni con un'identità sicura e autenticata possono partecipare alle riunioni e, se autorizzati a farlo, possono agire da relatori. Gli utenti anonimi non possono creare o partecipare a una riunione come relatori, ma possono essere promossi a tale ruolo una volta che vi saranno entrati.

Affinché gli utenti anonimi possano partecipare alle riunioni di Teams, deve essere attivata l'impostazione Partecipanti nell'interfaccia di amministrazione di Teams.

Nota

Il termine utenti anonimi significa utenti che non sono autenticati nel tenant dell'organizzazione. In questo contesto, tutti gli utenti esterni sono considerati anonimi. Gli utenti autenticati includono gli utenti del tenant e gli utenti guest del tenant.

Consentire agli utenti esterni di partecipare alle riunioni di Teams può essere utile, ma comporta alcuni rischi per la sicurezza. Per affrontare questi rischi, Teams fornisce le seguenti misure:

  • I ruoli dei partecipanti determinano i privilegi di controllo della riunione.

  • I tipi di partecipante consentono di limitare l'accesso a specifiche riunioni.

  • La pianificazione delle riunioni è limitata agli utenti che possiedono un account AAD e una licenza per Teams.

  • Gli utenti anonimi, ovvero non autenticati, che desiderano partecipare a una conferenza telefonica con accesso esterno, compongono uno dei numeri di accesso alla conferenza. Se l'opzione "Consenti sempre ai chiamanti di evitare la sala di attesa" è attivata, dovranno attendere finché un oratore o un utente autenticato non parteciperà alla riunione.

    Attenzione

    Per fare in modo che gli utenti anonimi (utenti non invitati esplicitamente) non possano partecipare a una riunione, è necessario verificare che Gli utenti anonimi possono partecipare a una riunione sia impostato su Disattivato per la sezione Participante delle riunione.

Un organizzatore può anche configurare impostazioni per consentire ai chiamanti esterni di accedere per primi a una riunione. Questa impostazione è configurata nelle impostazioni Audioconferenza per gli utenti e viene applicata a tutte le riunioni pianificate dall'utente.

Nota

Per ulteriori informazioni sull'accesso di utenti guest ed esterni in Teams, vedere questo articolo. Nell'articolo vengono descritte quali funzionalità gli utenti guest o esterni possono vedere usare quando accedono a Teams.

Se si stanno registrando delle riunioni e si vuole visualizzare una matrice di autorizzazioni per l'accesso al contenuto, consultare questo articolo e la relativa matrice.

Ruoli del partecipante

I partecipanti alla riunione si dividono in tre gruppi, ognuno con i propri privilegi e restrizioni:

  • Organizzatore: l'utente che crea una riunione, sia estemporanea che pianificata. Un organizzatore deve essere un utente del tenant autenticato e avere il controllo su tutti gli aspetti di una riunione per gli utenti finali.
  • Relatore: un utente autorizzato a presentare le informazioni durante una riunione, usando qualsiasi contenuto multimediale supportato. Un organizzatore della riunione è per definizione anche un relatore e determina chi altro possa essere un relatore. Un organizzatore può prendere questa decisione quando è in programma una riunione o mentre la riunione è in corso.
  • Partecipante: un utente che è stato invitato a partecipare a una riunione, ma che non è autorizzato a partecipare come relatore.

Un relatore può anche promuovere un partecipante al ruolo di relatore durante la riunione.

Tipi di partecipante

I partecipanti alla riunione sono inoltre classificati per posizione e credenziali. È possibile utilizzare entrambe queste caratteristiche per decidere quali utenti possono accedere a riunioni specifiche. Gli utenti possono essere divisi in modo esteso nelle categorie seguenti:

  • Utenti che appartengono al tenant. Questi utenti hanno una credenziale in Azure Active Directory per il tenant.

    Persone dell'organizzazione: questi utenti dispongono di credenziali in Azure Active Directory per il tenant. Persone dell'organizzazione include gli account guest invitati.

    Utenti remoti: questi utenti partecipano dall'esterno della rete aziendale. Possono comprendere i dipendenti che lavorano da casa o in viaggio e altri, come dipendenti di fornitori affidabili, a cui sono state concesse credenziali aziendali per le rispettive condizioni d'uso. Gli utenti remoti possono creare e partecipare alle riunioni, anche come relatori.

  • Utenti che non appartengono al tenant. Questi utenti non hanno credenziali in Azure AD per il tenant.

    Utenti federati: gli utenti federati dispongono di credenziali valide con partner federati e vengono pertanto trattati come autenticati da Teams, ma rimangono comunque esterni per il tenant della riunione o dell'organizzatore. Gli utenti federati possono partecipare alle riunioni ed essere promossi a relatori dopo che hanno partecipato alla riunione, ma non possono creare riunioni in aziende con cui sono federati.

    Utenti anonimi: gli utenti anonimi non hanno un'identità di Active Directory e non sono federati con il tenant.

Molte riunioni coinvolgono utenti esterni. Queste stesse società desiderano anche rassicurazioni in merito all'identità degli utenti esterni prima di consentire a tali utenti di partecipare a una riunione. Nella sezione seguente viene descritto in che modo Teams limita l'accesso alle riunioni per i tipi di utenti che non sono stati autorizzati in modo esplicito e richiede a tutti i tipi di utente di fornire credenziali appropriate per l'accesso a una riunione.

Ammissione dei partecipanti

Attenzione

Per fare in modo che gli utenti anonimi (utenti non invitati esplicitamente) non possano partecipare a una riunione, è necessario verificare che Gli utenti anonimi possono partecipare a una riunione sia impostato su Disattivato per la sezione Participante delle riunione.

In Teams, gli utenti anonimi possono essere trasferiti a un'area di attesa chiamata sala di attesa. I relatori possono quindi scegliere di ammettere questi utenti alla riunione o di rifiutarli. Quando gli utenti vengono trasferiti nella sala di attesa, il relatore e i partecipanti ricevono una notifica e gli utenti anonimi devono attendere di essere accettati o rifiutati oppure che la connessione scada.

Per impostazione predefinita, i partecipanti che si collegano dalla PSTN accedono direttamente alla riunione, ma questa opzione può essere modificata per forzare i partecipanti esterni a passare per la sala di attesa.

Gli organizzatori della riunione controllano se i partecipanti possono partecipare a una riunione senza attendere nella lobby. Ogni riunione può essere configurata in modo da consentire l'accesso utilizzando uno dei seguenti metodi:

Le impostazioni predefinite sono:

  • Persone dell'organizzazione: chiunque esterno all'organizzazione attenderà nella sala di attesa finché non verrà ammesso.
  • Persone dell' organizzazione, organizzazioni attendibili e ospitiGli utenti autenticati all'interno dell'organizzazione, inclusi gli utenti guest e gli utenti di organizzazioni attendibili, accedono direttamente alla riunione senza passare dalla sala di attesa. Gli utenti anonimi attendono nella sala di attesa.
  • Tutti: tutti i partecipanti alla riunione evitano la sala di attesa dopo che un utente autenticato ha partecipato alla riunione.

Funzioni del relatore

Gli organizzatori della riunione controllano se i partecipanti possono presentare durante una riunione. Ogni riunione può essere configurata in modo da limitare i relatori a una delle seguenti opzioni:

  • Persone dell'organizzazione: tutti gli utenti del tenant, inclusi gli utenti guest, possono presentare
  • Persone dell'organizzazione e di organizzazioni attendibili: tutti gli utenti del tenant, inclusi gli utenti guest, possono presentare insieme agli utenti dei domini di Teams e Skype for Business presenti nell'elenco degli utenti con accesso esterno consentiti.
  • Tutti: tutti i partecipanti alla riunione sono relatori.

Modifica delle impostazioni mentre una riunione è in corso

È possibile modificare le opzioni della riunione mentre questa è in corso. La modifica, una volta salvata, sarà visibile nella riunione in esecuzione in pochi secondi. Interesserà anche le sessioni future della riunione.

12 principali attività per i team di sicurezza per supportare il lavoro da casa

Centro protezione Microsoft

Gestire le impostazioni di riunione in Microsoft Teams

Ottimizzare la connettività di Microsoft 365 o Office 365 per gli utenti remoti tramite split tunneling per VPN

Registrazioni delle riunioni in Teams, dove sono archiviate le registrazioni e chi può accedervi