セキュリティのMicrosoft Teams Rooms
この記事では、Windows デバイスと Android デバイスの両方でMicrosoft Teams Roomsデバイスのセキュリティ ガイダンスを提供します。 このガイダンスには、ハードウェア、ソフトウェア、ネットワーク、アカウントのセキュリティに関する情報が含まれています。
デバイス上の Teams Room のセキュリティの詳細については、[Windows のTeams Rooms] タブまたは [Android 用のTeams Rooms] タブを選択します。
Microsoft はパートナーと協力して、セキュリティで保護されたソリューションを提供し、Windows でMicrosoft Teams Roomsをセキュリティで保護するための追加のアクションを必要としません。 このセクションでは、Windows 上のTeams Roomsにあるセキュリティ機能の多くについて説明します。
Android デバイス上のTeams Roomsのセキュリティについては、[Android のTeams Rooms] タブを選択します。
注意
Microsoft Teams Rooms を一般的なエンドユーザー ワークステーションのように扱ってはなりません。 ユース ケースが大きく異なるだけでなく、既定のセキュリティ プロファイルも大きく異なります。アプライアンスとして扱うことをお勧めします。 Teams Rooms デバイスに追加のソフトウェアをインストールすることは、Microsoft ではサポートされていません。 この記事は、Windows で実行されている Microsoft Teams Rooms デバイスに適用されます。
制限付きエンドユーザー データは Teams Rooms に保存されます。 エンド ユーザー データは、トラブルシューティングとサポートのみを目的としてログ ファイルに格納される場合があります。 Teams Roomsを使用する会議の出席者は、ファイルをハード ドライブにコピーしたり、自分でサインインしたりすることはできません。 エンド ユーザー データが Microsoft Teams Rooms デバイスに転送されたり、Microsoft Teams Rooms デバイスからアクセスされたりすることはありません。
エンド ユーザーがファイルを Teams Rooms ハード ドライブに配置することはできませんが、Microsoft Defenderは有効になっています。 Teams Roomsパフォーマンスは、Defender for Endpoint ポータルへの登録など、Microsoft Defenderでテストされます。 これを無効にするか、エンドポイント セキュリティ ソフトウェアを追加すると、予期しない結果が発生し、システム低下を招く可能性があります。
Teams Rooms環境には、Windows 10または 11 の IoT Enterprise エディションを実行する中央コンピューティング モジュールがあります。 すべての認定コンピューティング モジュールには、承認されていないデバイスの接続を防ぐために、セキュリティで保護されたマウント ソリューション、セキュリティ ロック スロット (Kensington ロックなど)、およびI/O ポート アクセスのセキュリティ対策が必要です。 また、Unified Extensible Firmware Interface (UEFI) 構成を使用して特定のポートを無効にすることもできます。
すべての認定コンピューティング モジュールは、Trusted Platform Module (TPM) 2.0 準拠のテクノロジが既定で有効になった状態で出荷される必要があります。 TPM は、Teams Rooms リソース アカウントのログイン情報を暗号化するために使用されます。
セキュア ブートは既定で有効になっています。 セキュア ブートは、PC 業界のメンバーが開発したセキュリティ標準であり、デバイスが、Oem (Oem) によって信頼されているソフトウェアのみを使用して起動することを保証します。 PC が起動すると、ファームウェアは、UEFI ファームウェア ドライバー (オプション ROM とも呼ばれます)、EFI アプリケーション、オペレーティング システムなど、ブート ソフトウェアの各部分の署名を確認します。 署名が有効な場合は PC が起動し、ファームウェアによってオペレーティング システムに制御が与えられます。 詳細については「セキュア ブート」を参照してください。
UEFI 設定へのアクセスは、物理キーボードとマウスを取り付けることによってのみ可能です。これにより、Teams Roomsタッチ対応コンソールまたはTeams Roomsに接続されているその他のタッチ対応ディスプレイを介して UEFI にアクセスできなくなります。
カーネル ダイレクト メモリ アクセス (DMA) 保護は、Teams Roomsで有効になっている Windows 設定です。 この機能により、OS とシステム ファームウェアは、ブート プロセス中、および OS ランタイム中に M.2 PCIe スロットや Thunderbolt 3 などの簡単にアクセス可能な内部/外部 DMA 対応ポートに接続されたデバイスによる悪意のある DMA に対して、すべての DMA 対応デバイスに対する悪意のある、意図しない DMA 攻撃からシステムを保護します。
Teams Roomsハイパーバイザーで保護されたコード整合性 (HVCI) も有効にします。 HVCI によって提供される機能の 1 つとして Credential Guard があります。 Credential Guard には、次の利点があります:
ハードウェア セキュリティ NTLM、Kerberos、資格情報マネージャーは、セキュア ブートや仮想化などのプラットフォーム セキュリティ機能を利用して資格情報を保護します。
仮想化ベースのセキュリティ Windows NTLM および Kerberos 派生の資格情報およびその他のシークレットは、実行中のオペレーティング システムから分離された、保護された環境で実行されます。
高度な永続的な脅威に対する保護の強化 Credential Manager ドメイン資格情報、NTLM、Kerberos 派生資格情報が仮想化ベースのセキュリティを使用して保護されている場合、資格情報の盗難攻撃手法と、多くの標的型攻撃で使用されるツールがブロックされます。 管理特権を持つオペレーティング システムで実行されているマルウェアは、仮想化ベースのセキュリティによって保護されているシークレットを抽出できません。
Microsoft Windows の起動後、Teams Rooms は自動的に Skype という名前のローカル Windows ユーザー アカウントにサインインします。 Skype アカウントにパスワードがありません。 Skype アカウント セッションをセキュリティで保護するには、次の手順を実行します。
重要
パスワードを変更したり、ローカルの Skype ユーザー アカウントを編集したりしないでください。 そうすると、Teams Rooms が自動的にサインインできなくなる可能性があります。
Microsoft Teams Rooms アプリは、Windows 10 1903 以降で見つかった割り当てられたアクセス機能を使用して実行されます。 割り当てアクセスは、ユーザーに公開されるアプリケーション エントリ ポイントを制限し、シングル アプリ キオスク モードを有効にする Windows の機能です。 シェル ランチャーを使用して、Teams Rooms は、Windows デスクトップ アプリケーションをユーザー インターフェイスとして実行するキオスク デバイスとして構成されます。 Microsoft Teams Rooms アプリは、ユーザーがログオンしたときに通常実行される既定のシェル (explorer.exe) を置き換えます。 言い換えると、従来のエクスプローラー シェルはまったく起動されないため、Windows 内のMicrosoft Teams Rooms脆弱性の表面が大幅に低下します。 詳細については、「Windows デスクトップ エディションでキオスクとデジタル署名を構成する」を参照してください。
Teams Rooms でセキュリティ スキャンまたは Center for Internet Security (CIS) ベンチマークを実行する場合、Skype ユーザー アカウントは Teams Rooms アプリ以外のアプリケーションの実行をサポートしていないため、スキャンはローカル管理者アカウントのコンテキストでしか実行できません。 Skype ユーザー コンテキストに適用されるセキュリティ機能の多くは、他のローカル ユーザーには適用されないため、これらのセキュリティ スキャンでは、Skype アカウントに適用される完全なセキュリティ ロックダウンが表示されません。 そのため、Teams Roomsでローカル スキャンを実行することはお勧めしません。 ただし、必要に応じて外部侵入テストを実行できます。 この構成のため、ローカル スキャンを実行するのではなく、Teams Rooms デバイスに対して外部侵入テストを実行することをお勧めします。
さらに、非管理機能の使用を制限するために、ロックダウン ポリシーが適用されます。 割り当てられたアクセス ポリシーの対象になっていない、セキュリティで保護されていない可能性のあるキーボードの組み合わせを妨害してブロックするためにキーボード フィルターが有効になっています。 ローカルまたはドメインの管理者権限を持つユーザーのみが Teams Rooms を管理するために Windows にサインインできます。 Microsoft Teams Rooms デバイス上の Windows に適用されるこれらのポリシーおよびその他のポリシーは、製品ライフサイクル中に継続的に評価およびテストされます。
Microsoft Defenderは、すぐに有効になります。 Teams Rooms Pro ライセンスには Defender for Endpoint も含まれています。これにより、お客様はTeams Roomsを Defender for Endpoint に登録できます。 この登録により、セキュリティ チームは、Defender ポータルから Windows デバイス上の Teams Room のセキュリティ体制を可視化できます。 Windows デバイスの手順に従って、Windows 上のTeams Roomsを登録できます。 これらのポリシーはTeams Rooms機能に影響を与える可能性があり、保護規則 (または構成を変更するその他の Defender ポリシー) を使用してTeams Roomsを変更することはお勧めしません。ただし、ポータルへのレポート機能はサポートされています。
Teams Rooms デバイスには、既定のパスワード付きの "Admin" という名前の管理アカウントが含まれています。 セットアップが完了したら、できるだけ早く既定のパスワードを変更することを強くお勧めします。
管理者アカウントは、Teams Rooms デバイスを適切に操作するために必要ではなく、名前を変更することもできるし、削除しても構いません。 ただし、管理者アカウントを削除する前に、Teams Rooms デバイスの出荷時に付属するものを削除する前に、別のローカル管理者アカウントが構成されていることを確認してください。 組み込みの Windows ツールまたは PowerShell を使用してローカル Windows アカウントのパスワードを変更する方法の詳細については、次のガイドを参照してください。
Intuneを使用して、ローカルの Windows 管理者グループにドメイン アカウントをインポートすることもできます。 詳細については、「ポリシー CSP – RestrictedGroups.」を参照してください。
注意
ネットワークに接続された本体で Crestron Teams Roomsを使用している場合は、ペアリングに使用する Windows アカウントを構成する方法に関する Crestron のガイダンスに従っていることを確認してください。
注意事項
別のローカルまたはドメイン アカウントにローカル管理者アクセス許可を付与する前に管理者アカウントを削除または無効にすると、Teams Rooms デバイスを管理できなくなる可能性があります。 もしそうなってしまった場合は、デバイスを元の設定にリセットし、セットアップ プロセスをもう一度完了する必要があります。
Skype ユーザー アカウントにローカル管理者のアクセス許可を付与しないでください。
Windows 構成Designerを使用して、Windows プロビジョニング パッケージを作成できます。 ローカル 管理 パスワードの変更に加えて、コンピューター名の変更やMicrosoft Entra IDへの登録などの操作も行うことができます。 Windows 構成デザイナー プロビジョニング パッケージ作成の詳細については、「Windows 10 のパッケージのプロビジョニングを行う方法」を参照してください。
Teams にサインインできるように、Teams Rooms デバイスごとにリソース アカウントを作成する必要があります。 このアカウントでユーザー対話型の 2 要素認証または多要素認証を使用することはできません。 ユーザーに対話型の 2 番目の要素を要求すると、再起動後にアカウントがTeams Rooms アプリに自動的にサインインできなくなります。 さらに、Microsoft Entra条件付きアクセス ポリシーとIntuneコンプライアンス ポリシーをデプロイして、リソース アカウントをセキュリティで保護し、他の方法で多要素認証を実現できます。 詳細については、「Microsoft Teams Roomsおよび条件付きアクセスとMicrosoft Teams RoomsのIntuneコンプライアンスに関するサポートされている条件付きアクセスポリシーとIntuneデバイス コンプライアンス ポリシー」を参照してください。
可能であれば、クラウド専用アカウントとして、Microsoft Entra IDでリソース アカウントを作成することをお勧めします。 同期されたアカウントはハイブリッド展開で Teams Rooms と連携できますが、同期されたアカウントでは Teams Rooms へのサインインが難しく、トラブルシューティングが困難になる可能性があります。 サード パーティのフェデレーション サービスを使用してリソース アカウントの資格情報を認証する場合は、サード パーティ IDP が wsTrustResponse
属性を urn:oasis:names:tc:SAML:1.0:assertion
に設定して応答することを確認します。 organizationが WS-Trust を使用したくない場合は、代わりにクラウド専用アカウントを使用してください。
一般に、Teams Rooms には、Microsoft Teams クライアントと同じネットワーク要件があります。 ファイアウォールやその他のセキュリティ デバイス経由のアクセスは、他の Microsoft Teams クライアントの場合と同じです。 Teams Rooms に固有なものとしては、"required" として一覧表示されるカテゴリがファイアウォールで開かれている必要があります。 Teams Roomsには、Windows Update、Microsoft Store、Microsoft Intuneへのアクセスも必要です (Microsoft Intuneを使用してデバイスを管理する場合)。 Microsoft Teams Rooms に必要な IP と URL の完全なリストについては、以下をご覧ください:
- Microsoft Teams、Exchange Online、SharePoint、Microsoft 365 Common、Office OnlineOffice 365 URL と IP アドレス範囲
- Windows UpdateWSUS の構成
- Microsoft StoreMicrosoft Store エンドポイント
- Microsoft Intuneの Microsoft IntuneNetwork エンドポイント
- テレメトリ クライアント エンドポイント: vortex.data.microsoft.com
- テレメトリ設定エンドポイント: settings.data.microsoft.com
Microsoft Teams Rooms Pro管理ポータルでは、Teams Roomsが次の URL にアクセスできることを確認する必要もあります。
- agent.rooms.microsoft.com
- global.azure-devices-provisioning.net
- gj3ftstorage.blob.core.windows.net
- mmrstgnoamiot.azure-devices.net
- mmrstgnoamstor.blob.core.windows.net
- mmrprodapaciot.azure-devices.net
- mmrprodapacstor.blob.core.windows.net
- mmrprodemeaiot.azure-devices.net
- mmrprodemeastor.blob.core.windows.net
- mmrprodnoamiot.azure-devices.net
- mmrprodnoamstor.blob.core.windows.net
- mmrprodnoampubsub.webpubsub.azure.com
- mmrprodemeapubsub.webpubsub.azure.com
- mmrprodapacpubsub.webpubsub.azure.com
GCC のお客様は、次の URL を有効にする必要もあります。
- mmrprodgcciot.azure-devices.net
- mmrprodgccstor.blob.core.windows.net
Teams Rooms は、セキュリティ更新プログラムを含む最新の Windows 更新プログラムで自動的に修正プログラムが適用されるように構成されています。 Teams Roomsは、事前設定されたローカル ポリシーを使用して、毎日午前 2 時から午前 3 時のローカル デバイス時刻の間に保留中の更新プログラムをインストールします。 Windows Updatesの展開と適用に他のツールを使用する必要はありません。 他のツールを使用して更新プログラムを展開および適用すると、Windows パッチのインストールが遅れる可能性があるため、安全性の低い展開につながります。 Teams Rooms アプリは、Microsoft Storeを使用して展開されます。
Teams Rooms デバイスは、ほとんどの 802.1X またはその他のネットワーク ベースのセキュリティ プロトコルで動作します。 ただし、考えられるすべてのネットワーク セキュリティ構成に対して Teams Rooms をテストすることはできません。 したがって、ネットワーク パフォーマンスの問題にトレースできるパフォーマンスの問題が発生した場合は、これらのプロトコルを無効にする必要があります。
リアルタイム メディアの最適なパフォーマンスを得るには、プロキシ サーバーやその他のネットワーク セキュリティ デバイスをバイパスするように Teams メディア トラフィックを構成することを強くお勧めします。 リアルタイム メディアは待機時間にきわめて敏感であり、プロキシ サーバーとネットワーク セキュリティ デバイスにより、ユーザーのビデオとオーディオの品質が大幅に低下する可能性があります。 また、Teams メディアは既に暗号化されているため、プロキシ サーバー経由でトラフィックを渡すことによる具体的な利点はありません。 詳細については、「ネットワークアップ (クラウド)—1 人のアーキテクトの視点」を参照してください。これは、Microsoft TeamsとMicrosoft Teams Roomsを使用してメディアのパフォーマンスを向上させるためのネットワークの推奨事項について説明しています。 organizationがテナント制限を利用している場合は、環境の準備に関するドキュメントの構成ガイダンスに従って、Windows デバイスでのTeams Roomsがサポートされます。
Teams Rooms デバイスは、内部 LAN に接続する必要はありません。 インターネットに直接アクセスできる安全な分離ネットワーク セグメントにTeams Roomsを配置することを検討してください。 内部 LAN が侵害されると、Teams Roomsへの攻撃ベクトルの機会が減少します。
Teams Rooms デバイスを有線ネットワークに接続することを強くお勧めします。 ワイヤレス ネットワークを使用するには、最適なエクスペリエンスを得るための慎重な計画と評価が必要です。 詳細については、「 ワイヤレス ネットワークに関する考慮事項」を参照してください。
近接通信参加やその他の Teams Rooms 機能は Bluetooth に依存しています。 ただし、Teams Rooms デバイスでの Bluetooth の実装では、Teams Rooms デバイスへの外部デバイス接続は許可されません。 Teams Rooms デバイスでの Bluetooth テクノロジの使用は、現在、ビーコンのアドバタイズとプロンプトされた近接接続に限定されています。 ビーコンのアドバタイズでは、ADV_NONCONN_INT
プロトコル データ ユニット (PDU) 型が使用されます。 この PDU タイプは、リッスン デバイスに情報をアドバタイズする接続できないデバイス用です。 これらの機能の一部として、デバイスのペアリングBluetoothはありません。 Bluetoothプロトコルの詳細については、 Bluetooth SIG Web サイトを参照してください。