この記事では、Windows と Android の両方の Microsoft Teams Rooms デバイス、および Teams パネル、Teams 電話、Teams ディスプレイのセキュリティ ガイダンスを提供します。 このガイダンスには、ハードウェア、ソフトウェア、ネットワーク、アカウントのセキュリティに関する情報が含まれています。
[Teams Rooms on Windows] タブまたは [Teams Android デバイス] タブを選択して、デバイスのセキュリティの詳細を確認します。
Microsoft はパートナーと協力して、Microsoft Teams Rooms on Windows をセキュリティで保護するための追加のアクションを必要としない、セキュリティで保護されたソリューションを提供します。 このセクションでは、Windows 版 Teams Rooms にあるセキュリティ機能の多くについて説明します。
Android デバイス上の Teams Rooms のセキュリティの詳細については [Android 版 Teams Rooms] タブを選択してください。
注意
Microsoft Teams Rooms を一般的なエンドユーザー ワークステーションのように扱ってはなりません。 ユース ケースが大きく異なるだけでなく、既定のセキュリティ プロファイルも大きく異なります。アプライアンスとして扱うのをおすすめします。 Teams Rooms デバイスへの追加ソフトウェアのインストールは、Microsoft ではサポートされていません。 この記事は、Windows で実行されている Microsoft Teams Rooms デバイスに適用されます。
制限付きエンドユーザー データは Teams Rooms に保存されます。 エンド ユーザー データは、トラブルシューティングとサポートのみを目的としてログ ファイルに格納される場合があります。 Teams Rooms を使用する会議の出席者は、ファイルをハード ドライブにコピーしたり、自分でサインインしたりすることはできません。 エンド ユーザー データが Microsoft Teams Rooms デバイスに転送されたり、Microsoft Teams Rooms デバイスからアクセスされたりすることはありません。
エンド ユーザーは Teams Rooms のハード ドライブにファイルを配置できませんが、Microsoft Defender は引き続き追加設定なしで有効になっています。 Teams Rooms のパフォーマンスは、Defender for Endpoint ポータルへの登録を含め、Microsoft Defender でテストされます。 これを無効にするか、エンドポイント セキュリティ ソフトウェアを追加すると、予期しない結果が発生し、システム低下を招く可能性があります。
ハードウェアのセキュリティ
Teams Rooms 環境には、Windows 10 または 11 IoT Enterprise Edition を実行する中央コンピューティング モジュールがあります。 すべての認定コンピューティング モジュールには、承認されていないデバイスの接続を防ぐために、セキュリティで保護されたマウント ソリューション、セキュリティ ロック スロット (Kensington ロックなど)、およびI/O ポート アクセスのセキュリティ対策が必要です。 また、Unified Extensible Firmware Interface (UEFI) 構成を使用して特定のポートを無効にすることもできます。
すべての認定コンピューティング モジュールは、Trusted Platform Module (TPM) 2.0 準拠のテクノロジが既定で有効になった状態で出荷される必要があります。 TPM は、Teams Rooms リソース アカウントのログイン情報を暗号化するために使用されます。
セキュア ブートは既定で有効になっています。 セキュア ブートは、PC 業界のメンバーによって開発されたセキュリティ標準であり、相手先ブランド供給 (OEM) によって信頼されているソフトウェアのみを使用してデバイスが起動することを保証します。 PC が起動すると、ファームウェアは、UEFI ファームウェア ドライバー (オプション ROM とも呼ばれます)、EFI アプリケーション、オペレーティング システムなど、ブート ソフトウェアの各部分の署名を確認します。 署名が有効な場合は PC が起動し、ファームウェアによってオペレーティング システムに制御が与えられます。 詳細については「セキュア ブート」を参照してください。
UEFI 設定へのアクセスは、物理キーボードとマウスを接続することによってのみ可能です。これにより、Teams Rooms のタッチ対応コンソールまたは Teams Rooms に接続されているその他のタッチ対応ディスプレイを介して UEFI にアクセスできなくなります。
カーネル直接メモリ アクセス (DMA) 保護は、Teams Rooms で有効になっている Windows の設定です。 この機能により、OS およびシステム ファームウェアは、すべての DMA 対応デバイスに対する悪意のある DMA 攻撃や意図しない DMA 攻撃からシステムを保護します。起動プロセス中、および OS 実行中には、M.2 PCIe スロットや Thunderbolt 3 など、容易にアクセス可能な内部/外部の DMA 対応ポートに接続されたデバイスによる悪意のある DMA 攻撃から保護します。
Teams Rooms では、ハイパーバイザーで保護されたコード整合性 (HVCI) も有効になります。 HVCI によって提供される機能の 1 つとして Credential Guard があります。 Credential Guard には、次の利点があります:
ハードウェア セキュリティ NTLM、Kerberos、資格情報マネージャーは、セキュア ブートや仮想化などのプラットフォーム セキュリティ機能を利用して資格情報を保護します。
仮想化ベースのセキュリティ Windows NTLM および Kerberos 派生の資格情報およびその他のシークレットは、実行中のオペレーティング システムから分離された、保護された環境で実行されます。
高度な永続的な脅威に対するより良い保護 資格情報マネージャーのドメイン資格情報、NTLM、Kerberos 派生の資格情報を、仮想化ベースのセキュリティを使用して保護すると、多くの標的型攻撃で使用される資格情報盗難攻撃手法とツールをブロックできます。 管理者特権でオペレーティング システムで実行されているマルウェアは、仮想化ベースのセキュリティによって保護されているシークレットを抽出できません。
ソフトウェアのセキュリティ
Microsoft Windows の起動後、Teams Rooms は自動的に Skype という名前のローカル Windows ユーザー アカウントにサインインします。 Skype アカウントにパスワードがありません。 Skype アカウント セッションをセキュリティで保護するには、次の手順を実行します。
Important
パスワードを変更したり、ローカルの Skype ユーザー アカウントを編集したりしないでください。 そうすると、Teams Rooms が自動的にサインインできなくなる可能性があります。
Microsoft Teams Rooms アプリは、Windows 10 1903 以降で見つかった割り当てられたアクセス機能を使用して実行されます。 割り当てられたアクセスは、ユーザーに公開されるアプリケーション エントリ ポイントを制限し、シングル アプリ キオスク モードを有効にする Windows の機能です。 シェル ランチャーを使用して、Teams Rooms は、Windows デスクトップ アプリケーションをユーザー インターフェイスとして実行するキオスク デバイスとして構成されます。 Microsoft Teams Rooms アプリは、ユーザーがログオンしたときに通常実行される既定のシェル (explorer.exe) を置き換えます。 言い換えると、従来の Explorer シェルはまったく起動されないため、Windows 内の Microsoft Teams Rooms の脆弱面が大幅に減少します。 詳細については、「Windows デスクトップ エディションでキオスクとデジタル署名を構成する」を参照してください。
Teams Rooms でセキュリティ スキャンまたは Center for Internet Security (CIS) ベンチマークを実行する場合、Skype ユーザー アカウントは Teams Rooms アプリ以外のアプリケーションの実行をサポートしていないため、スキャンはローカル管理者アカウントのコンテキストでしか実行できません。 Skype ユーザー コンテキストに適用されるセキュリティ機能の多くは、他のローカル ユーザーには適用されません。その結果、これらのセキュリティ スキャンでは、Skype アカウントに適用される完全なセキュリティ ロックダウンは表示されません。 そのため、Teams Rooms でローカル スキャンを実行することはお勧めしません。 ただし、必要に応じて外部侵入テストを実行できます。 この構成のため、ローカル スキャンを実行するのではなく、Teams Rooms デバイスに対して外部侵入テストを実行することをお勧めします。
さらに、管理以外の機能の使用を制限するために、ロックダウン ポリシーが適用されます。 割り当てられたアクセス ポリシーの対象になっていない、セキュリティで保護されていない可能性のあるキーボードの組み合わせを妨害してブロックするためにキーボード フィルターが有効になっています。 ローカルまたはドメインの管理者権限を持つユーザーのみが Teams Rooms を管理するために Windows にサインインできます。 Microsoft Teams Rooms デバイス上の Windows に適用されるこれらのポリシーおよびその他のポリシーは、製品ライフサイクル中に継続的に評価およびテストされます。
Microsoft Defender は、追加設定なしに有効になります。 Teams Rooms Pro ライセンスには Defender for Endpoint も含まれています。これにより、顧客は Teams Rooms を Defender for Endpoint に登録できます。 この登録により、セキュリティ チームは Defender ポータルから Windows デバイス上の Teams Rooms のセキュリティ態勢を可視化できます。 Windows 版 Teams Rooms は、Windows デバイスの手順に従って登録できます。 これらのポリシーは Teams Rooms の機能に影響を与える可能性があるため、保護ルール (または構成を変更する他の Defender ポリシー) を使用して Teams Rooms を変更することはお勧めしません。ただし、ポータルへのレポート機能はサポートされています。
Microsoft Bitlocker は、追加設定なしに有効になりませんが、必要に応じてポリシーを使用して有効にできます。 プリブート認証なしで Bitlocker が有効になっていることを確認します。そうでないと Teams Room は、PIN を手動で入力しない限り機能しているデバイスにブートしません。これはルーム システムの利用性に影響を与えます。
アカウントのセキュリティ
Teams Rooms デバイスには、既定のパスワード付きの "Admin" という名前の管理アカウントが含まれています。 セットアップが完了したら、できるだけ早く既定のパスワードを変更することを強くお勧めします。
管理者アカウントは、Teams Rooms デバイスを適切に操作するために必要ではなく、名前を変更することもできるし、削除しても構いません。 ただし、管理者アカウントを削除する前に、Teams Rooms デバイスの出荷時に付属するものを削除する前に、別のローカル管理者アカウントが構成されていることを確認してください。 組み込みの Windows ツールまたは PowerShell を使用してローカル Windows アカウントのパスワードを変更する方法の詳細については、次のガイドを参照してください:
Intune を使用して、ドメイン アカウントをローカルの Windows 管理者グループにインポートすることもできます。 詳細については、「ポリシー CSP – RestrictedGroups.」を参照してください。
注意
ネットワークに接続されたコンソールで Crestron Teams Rooms を使用している場合は、ペアリングに使用する Windows アカウントを構成する方法について、Crestron のガイダンスに従っていることを確認してください。
注意
別のローカルまたはドメイン アカウントにローカル管理者アクセス許可を付与する前に管理者アカウントを削除または無効にすると、Teams Rooms デバイスを管理できなくなる可能性があります。 もしそうなってしまった場合は、デバイスを元の設定にリセットし、セットアップ プロセスをもう一度完了する必要があります。
Skype ユーザー アカウントにローカル管理者のアクセス許可を付与しないでください。
Windows 構成デザイナーを使用して、Windows プロビジョニング パッケージを作成できます。 ローカル管理者パスワードの変更に加えて、コンピューター名の変更や Microsoft Entra ID への登録などを行うこともできます。 Windows 構成デザイナー プロビジョニング パッケージ作成の詳細については、「Windows 10 のパッケージのプロビジョニングを行う方法」を参照してください。
Teams にサインインできるように、Teams Rooms デバイスごとにリソース アカウントを作成する必要があります。 このアカウントでは、ユーザー対話型の 2 要素認証または多要素認証を使用することはできません。 ユーザー対話型の 2 つ目の要素を要求すると、再起動後にアカウントが Teams Rooms アプリに自動的にサインインできなくなります。 さらに、Microsoft Entra 条件付きアクセス ポリシーと Intune コンプライアンス ポリシーを展開して、リソース アカウントをセキュリティで保護し、他の方法で多要素認証を実現できます。 詳細については、「Microsoft Teams Rooms のサポートされた条件付きアクセスポリシーと Intune デバイス コンプライアンス ポリシー」および「Microsoft Teams Rooms の条件付きアクセスと Intune コンプライアンス」を参照してください。
可能であれば、クラウド専用アカウントとして、Microsoft Entra ID でリソース アカウントを作成することをお勧めします。 同期されたアカウントはハイブリッド展開で Teams Rooms と連携できますが、同期されたアカウントでは Teams Rooms へのサインインが難しく、トラブルシューティングが困難になる可能性があります。 サード パーティのフェデレーション サービスを使用してリソース アカウントの資格情報を認証する場合は、サード パーティ IDP が wsTrustResponse 属性を urn:oasis:names:tc:SAML:1.0:assertion に設定して応答することを確認します。 組織で WS-Trust を使用しない場合は、代わりにクラウド専用アカウントを使用します。
ネットワーク セキュリティ
一般に、Teams Rooms には、Microsoft Teams クライアントと同じネットワーク要件があります。 ファイアウォールやその他のセキュリティ デバイス経由のアクセスは、他の Microsoft Teams クライアントの場合と同じです。 Teams Rooms に固有なものとしては、"required" として一覧表示されるカテゴリがファイアウォールで開かれている必要があります。 Teams Rooms では、Windows Update、Microsoft Store、Microsoft Intune へのアクセスも必要です (Microsoft Intune を使用してデバイスを管理する場合)。 Microsoft Teams Rooms に必要な IP と URL の完全なリストについては、以下をご覧ください:
- Microsoft Teams、Exchange Online、SharePoint、Microsoft 365 Common、Office OnlineOffice 365 の URL と IP アドレス範囲
- Windows UpdateWSUS の構成
- Microsoft StoreMicrosoft Store エンドポイント
- Microsoft IntuneMicrosoft Intune のネットワーク エンドポイント
- テレメトリ クライアント エンドポイント: vortex.data.microsoft.com
- テレメトリ設定エンドポイント: settings.data.microsoft.com
Microsoft Teams Rooms Pro 管理ポータルの場合は、Teams Rooms が次の URL にアクセスできることを確認する必要もあります:
- agent.rooms.microsoft.com
- mmrstgnoamiot.azure-devices.net
- mmrprodapaciot.azure-devices.net
- mmrprodemeaiot.azure-devices.net
- mmrprodnoamiot.azure-devices.net
- mmrprodnoampubsub.webpubsub.azure.com
- mmrprodemeapubsub.webpubsub.azure.com
- mmrprodapacpubsub.webpubsub.azure.com
GCC のお客様は、次の URL も有効にする必要があります:
GCC-High のお客様 mmrprodgcciot.azure-devices.net、次の URL も有効にする必要があります。
mmrgcchiot.azure-devices.us Teams Roomsは、セキュリティ更新プログラムを含む最新の Windows 更新プログラムで自動的に更新プログラムが適用されるように構成されています。 Teams Rooms では、事前設定されたローカル ポリシーを使用して、ローカル デバイス時刻の午前 2:00 から 3:00 の間に、保留中の更新プログラムが毎日インストールされます。 他のツールを使用して Windows Update を展開および適用する必要はありません。 その他のツールを使用して更新プログラムを展開および適用すると、Windows 修正プログラムのインストールが遅れる可能性があるため、展開の安全性が低下します。 Teams Rooms アプリは、Microsoft Storeを使用して展開されます。
Teams Rooms デバイスは、ほとんどの 802.1X またはその他のネットワーク ベースのセキュリティ プロトコルで動作します。 ただし、考えられるすべてのネットワーク セキュリティ構成に対して Teams Rooms をテストすることはできません。 そのため、ネットワーク パフォーマンスの問題にトレースできるパフォーマンスの問題が発生した場合は、これらのプロトコルを無効にする必要があります。 詳細については、「802.1x 認証の実装」を参照してください
リアルタイム メディアの最適なパフォーマンスを得るには、プロキシ サーバーやその他のネットワーク セキュリティ デバイスをバイパスするように Teams メディア トラフィックを構成することを強くお勧めします。 リアルタイム メディアは待機時間にきわめて敏感であり、プロキシ サーバーとネットワーク セキュリティ デバイスにより、ユーザーのビデオとオーディオの品質が大幅に低下する可能性があります。 また、Teams メディアは既に暗号化されているため、プロキシ サーバー経由でトラフィックを渡すことによる具体的な利点はありません。 詳細については、「(クラウドへの) ネットワーク アップ — あるアーキテクトの視点」を参照してください。これには、Microsoft Teams と Microsoft Teams Rooms を使用してメディアのパフォーマンスを向上させるためのネットワークに関する推奨事項が説明されています。 組織がテナント制限を利用している場合は、環境の準備に関するドキュメントに記載されている構成ガイダンスに従って、Windows デバイス上の Teams Rooms 向けにサポートされています。
Teams Rooms デバイスは、内部 LAN に接続する必要はありません。 インターネットに直接アクセスできるセキュリティで保護された分離されたネットワーク セグメントに Teams Rooms を配置することを検討してください。 内部 LAN が侵害されると、Teams Rooms に対する攻撃ベクトルの機会が減少します。
Teams Rooms デバイスを有線ネットワークに接続することを強くお勧めします。 ワイヤレス ネットワークを使用するには、ベスト エクスペリエンスを得るための慎重な計画と評価が必要です。 詳細については、「ワイヤレス ネットワークに関する考慮事項」を参照してください。
近接通信参加やその他の Teams Rooms 機能は Bluetooth に依存しています。 ただし、Teams Rooms デバイスでの Bluetooth の実装では、Teams Rooms デバイスへの外部デバイス接続は許可されません。 Teams Rooms デバイスでの Bluetooth テクノロジの使用は、現在、ビーコンのアドバタイズとプロンプトされた近接接続に限定されています。 ビーコンのアドバタイズでは、ADV_NONCONN_INT プロトコル データ ユニット (PDU) 型が使用されます。 この PDU 型は、リッスンしているデバイスに情報をアドバタイズする非接続デバイス用です。 これらの機能の一部として、Bluetooth デバイスのペアリングはありません。 Bluetooth プロトコルの詳細については、Bluetooth SIG の Web サイトを参照してください。