1 対 1 の Microsoft Teams 通話にエンドツーエンドの暗号化を使用する

• 適用対象:

  Microsoft Teams

Important

Teams サービス モデルと暗号化サポートは、カスタマー エクスペリエンスを向上させるために変更される可能性があります。 たとえば、このサービスは、セキュリティで保護されなくなった暗号スイートを定期的に非推奨にします。 このような変更は、Teams の安全性と設計による高い信頼性を保つことを目的に行われます。 さらに、Microsoft データ センター内のすべてのカスタマー コンテンツは暗号化されます。 Microsoft 365 の暗号化レイヤーの詳細については、「Microsoft 365 の暗号化」を参照してください。

エンド ツー エンド暗号化 (E2EE) は、コンテンツが送信される前に暗号化され、意図していた受信者によってのみ復号化された場合にのみ発生します。 エンドツーエンドの暗号化では、2 つのエンドポイント システムのみが通話データの暗号化と復号化に関与します。 マイクロソフトを含む他の当事者は、復号化された会話にアクセスできません。

予定外の 1 対 1 の通話用の E2EE を使用すると、1 対 1 の Teams 通話のリアルタイム メディア フロー (ビデオと音声データ) のみがエンドツーエンドで暗号化されます。 エンドツーエンドの暗号化を有効にするには、この設定をオンにする必要があります。 Microsoft 365 の暗号化は、通話内のチャット、ファイル共有、プレゼンス、およびその他のコンテンツを保護します。

エンド ツー エンドの暗号化された呼び出しは、2 つのパーティ間で行うことができます。パーティーが Windows または Mac 用の Teams デスクトップ クライアントの最新バージョンを使用している場合、iOS と Android 用の最新の更新プログラムが適用されたモバイル デバイス上にある場合、または最新の更新プログラムを使用して Windows デバイスでTeams Roomsされている場合です。

エンドツーエンドの暗号化を有効にしない場合でも、Teams は業界標準に基づく暗号化を使用して通話や会議をセキュリティで保護します。 通話中に交換されるデータは、転送中および保存中は常に安全です。 詳細については、「Teams のメディアの暗号化」を参照してください。

エンドツーエンドの暗号化された通話中に、Teams は次の機能を保護します。

• オーディオ

• ビデオ

• 画面共有

E2EE 通話中は、次の高度な機能を使用できません。

• ライブ キャプションと文字起こし

• 呼び出し転送

• 呼び出しのマージ

• コール パーク

• 確認して転送

• コンパニオンに電話して別のデバイスに転送する

• 参加者の追加

• 記録

• アプリ

また、組織でコンプライアンス レコーディングを使用している場合、エンドツーエンドの暗号化は使用できません。 Teams がコンプライアンス レコーディングをサポートする方法の詳細については、「通話と会議用の Teams ポリシーベースのレコーディングの概要」を参照してください。

Microsoft Teams のエンドツーエンドの暗号化を構成する

これらのタスクを完了して、ユーザーがエンドツーエンドの暗号化された通話を実行できるようにします。

• エンドツーエンドの暗号化を使用できるユーザーを定義する 1 つ以上のポリシーを作成して、組織のエンドツーエンドの暗号化を有効にします。 開始する前に、職場または学校アカウントに Teams またはグローバル管理者ロールが割り当てられていることを確認します。 詳細については、「Microsoft Teams 管理者ロールを使用して Teams を管理する」を参照してください。 E2EE を設定する準備ができたら、Teams 管理センターまたは Microsoft PowerShell を使用できます。

• デバイスの Teams 設定で、エンドツーエンドの暗号化された通話をオンにします。 各ユーザーはこのタスクを完了する必要がありますが、1 つのデバイスでのみ実行する必要があります。 Teams は、ユーザーごとにサポートされているエンドポイント間でこの設定を同期します。 手順については、「Teams 通話用のエンドツーエンド暗号化を使用する」を参照してください。

Teams 管理センターを使用してエンドツーエンドの暗号化を構成する

組織全体の既定のグローバル ポリシーでは、エンドツーエンドの暗号化を無効にすることを指定します。 カスタム ポリシーを作成して割り当てていない場合、組織内のユーザーにはグローバル ポリシーが自動的に適用されます。 エンドツーエンドの暗号化を有効にするには、新しい暗号化ポリシーを作成するか、グローバルな既定のポリシーを変更します。 Teams 管理センターを使用してエンドツーエンドの暗号化を有効にするには、次の手順を実行します。

1. Teams またはグローバル管理者ロールが割り当てられている職場または学校アカウントを使用して、Teams 管理センターにサインインします。

2. 強化された暗号化ポリシー に移動します。

3. 既定のポリシーを選択するか[追加] を選択して新しいポリシーを追加し、新しいポリシーに名前を付けます。

4. ユーザーに対してエンド ツー エンドの暗号化を有効にするには、[ エンド ツー エンド通話の暗号化] で [ 無効] を選択しますが、ユーザーは有効にして、[保存] を選択 します。

   エンドツーエンドの暗号化を無効にするには、[ 無効] を選択します。

ポリシーの設定が完了したら、他の Teams ポリシーを管理するのと同じ方法で、ユーザー、グループ、またはテナント全体にポリシーを割り当てます。 Teams でポリシーを使用する方法については、「ポリシーを使用して Teams を管理する」を参照してください。

Microsoft PowerShell を使用してエンドツーエンドの暗号化を構成する

Microsoft PowerShell と Teams 管理センターを使用して、エンドツーエンドの暗号化ポリシーを管理できます。 Teams PowerShell モジュールには、エンドツーエンドの暗号化コマンドレットがいくつか含まれており、「Microsoft Teams コマンドレット リファレンス」に記載されています。 この記事では、使用できるコマンドレットのリストと、簡単な構成例を示します。 これらの構成では、既定のグローバル ポリシーが使用されます。 組織では、より複雑なポリシー構成が必要になる場合があります。 これらのコマンドレットの詳細については、コマンドレット リファレンスに記載されています。

エンドツーエンドの暗号化 PowerShell コマンドレット:

• Get-CsTeamsEnhancedEncryptionPolicy は、組織内の Teams の強化された暗号化ポリシーに関する情報を返します。

• Grant-CsTeamsEnhancedEncryptionPolicy は、既存の強化された暗号化ポリシーをユーザーに割り当てたり割り当てを解除したりします。 ユーザーからすべてのポリシーの割り当てを解除するには、$NULL を使用します。

• New-CsTeamsEnhancedEncryptionPolicy は、新しい Teams の強化された暗号化ポリシーを作成します。

• Remove-CsTeamsEnhancedEncryptionPolicy は、強化された暗号化ポリシーを組織から削除します。 グローバルな既定のポリシーは削除できません。

• Set-CsTeamsEnhancedEncryptionPolicy は、既存の Teams の強化された暗号化ポリシーの値を更新します。

エンドツーエンドの暗号化を構成するには、職場または学校アカウントに Teams またはグローバル管理者の役割が必要です。

グローバル ポリシーを使用してテナント全体のエンドツーエンド暗号化を有効にするには

既定では、エンドツーエンドの暗号化は無効になっています。 既定のグローバル ポリシーを設定してテナント全体のエンドツーエンドの暗号化を有効にするには、次のように Set-CsTeamsEnhancedEncryptionPolicy コマンドレットを実行します。

Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride

詳細は次のとおりです。

• Global は、組織全体の既定のグローバル ポリシーでこの構成を設定していることを意味します。

• DisabledUserOverride は、既定では Teams で E2EE が無効になっていますが、ユーザーは既定を上書きし、Teams の設定で E2EE を有効にできることを意味します。

グローバル ポリシーを使用してテナント全体のエンドツーエンド暗号化を無効にするには

既定では、エンドツーエンドの暗号化は無効になっています。 グローバル ポリシーに変更を加えた場合は、次のように Grant-CsTeamsEnhancedEncryptionPolicy コマンドレットを実行して、設定を元に戻すことができます。

Grant-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType Disabled

詳細は次のとおりです。

• Global は、組織全体の既定のグローバル ポリシーでこの構成を設定していることを意味します。

• Disabled は、すべてのユーザーに対して E2EE を無効にしており、ユーザーが Teams の設定で有効にできないことを意味します。

1 人のユーザーに対してエンド ツー エンドの暗号化を有効にするには

ユーザーのエンドツーエンド暗号化を有効にするには、次のように Grant-CsTeamsEnhancedEncryptionPolicy コマンドレットを実行します。

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "username" -PolicyName "policyname"

詳細は次のとおりです。

• usernameはユーザーの名前です。

• policyname はポリシーに使用する名前です。 ポリシー名にスペースを含めることはできません (ContosoE2EEUserPolicy など)。

ユーザーは、エンドツーエンドの暗号化された通話を行う前に、Teams の設定でエンドツーエンドの暗号化された通話をオンにする必要があります。 手順については、「Teams 通話用のエンドツーエンド暗号化を使用する」を参照してください。

次に例を示します。

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName "ContosoE2EEUserPolicy"

単一ユーザーからエンドツーエンドの暗号化ポリシーの割り当てを解除するには

ユーザーは、一度に 1 つだけの暗号化ポリシーを割り当てることができます。 ユーザーからポリシーの割り当てを解除すると、ユーザーにはグローバルな組織全体の既定のポリシーが割り当てられます。 既定のポリシーの割り当てを解除することはできません。 ユーザーからエンドツーエンドの暗号化ポリシーの割り当てを解除するには、次のように Grant-CsTeamsEnhancedEncryptionPolicy コマンドレットを実行します。

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName $NULL

デバイスでエンドツーエンドの暗号化をオンにする

手順については、「Teams 通話用のエンドツーエンド暗号化を使用する」を参照してください。

関連項目

Top 12 tasks for security teams to support working from home (在宅勤務をサポートするためにセキュリティ チームが行う 12 の主なタスク)

Microsoft Teams で会議の設定を管理する