セキュリティのMicrosoft Teams Rooms

• 適用対象:

  Microsoft Teams

この記事では、Windows デバイスと Android デバイスの両方でMicrosoft Teams Roomsデバイスのセキュリティ ガイダンスを提供します。 このガイダンスには、ハードウェア、ソフトウェア、ネットワーク、アカウントのセキュリティに関する情報が含まれています。

デバイス上の Teams Room のセキュリティの詳細については、[Windows のTeams Rooms] タブまたは [Android 用のTeams Rooms] タブを選択します。

Windows でのTeams Rooms

Microsoft はパートナーと協力して、セキュリティで保護されたソリューションを提供し、Windows でMicrosoft Teams Roomsをセキュリティで保護するための追加のアクションを必要としません。 このセクションでは、Windows 上のTeams Roomsにあるセキュリティ機能の多くについて説明します。

Android デバイス上のTeams Roomsのセキュリティについては、[Android のTeams Rooms] タブを選択します。

注意

Microsoft Teams Rooms を一般的なエンドユーザー ワークステーションのように扱ってはなりません。 ユース ケースが大きく異なるだけでなく、既定のセキュリティ プロファイルも大きく異なります。アプライアンスとして扱うことをお勧めします。 Teams Rooms デバイスに追加のソフトウェアをインストールすることは、Microsoft ではサポートされていません。 この記事は、Windows で実行されている Microsoft Teams Rooms デバイスに適用されます。

制限付きエンドユーザー データは Teams Rooms に保存されます。 エンド ユーザー データは、トラブルシューティングとサポートのみを目的としてログ ファイルに格納される場合があります。 Teams Roomsを使用する会議の出席者は、ファイルをハード ドライブにコピーしたり、自分でサインインしたりすることはできません。 エンド ユーザー データが Microsoft Teams Rooms デバイスに転送されたり、Microsoft Teams Rooms デバイスからアクセスされたりすることはありません。

エンド ユーザーがファイルを Teams Rooms ハード ドライブに配置することはできませんが、Microsoft Defenderは有効になっています。 Teams Roomsパフォーマンスは、Defender for Endpoint ポータルへの登録など、Microsoft Defenderでテストされます。 これを無効にするか、エンドポイント セキュリティ ソフトウェアを追加すると、予期しない結果が発生し、システム低下を招く可能性があります。

ハードウェアのセキュリティ

Teams Rooms環境には、Windows 10または 11 の IoT Enterprise エディションを実行する中央コンピューティング モジュールがあります。 すべての認定コンピューティング モジュールには、承認されていないデバイスの接続を防ぐために、セキュリティで保護されたマウント ソリューション、セキュリティ ロック スロット (Kensington ロックなど)、およびI/O ポート アクセスのセキュリティ対策が必要です。 また、Unified Extensible Firmware Interface (UEFI) 構成を使用して特定のポートを無効にすることもできます。

すべての認定コンピューティング モジュールは、Trusted Platform Module (TPM) 2.0 準拠のテクノロジが既定で有効になった状態で出荷される必要があります。 TPM は、Teams Rooms リソース アカウントのログイン情報を暗号化するために使用されます。

セキュア ブートは既定で有効になっています。 セキュア ブートは、PC 業界のメンバーが開発したセキュリティ標準であり、デバイスが、Oem (Oem) によって信頼されているソフトウェアのみを使用して起動することを保証します。 PC が起動すると、ファームウェアは、UEFI ファームウェア ドライバー (オプション ROM とも呼ばれます)、EFI アプリケーション、オペレーティング システムなど、ブート ソフトウェアの各部分の署名を確認します。 署名が有効な場合は PC が起動し、ファームウェアによってオペレーティング システムに制御が与えられます。 詳細については「セキュア ブート」を参照してください。

UEFI 設定へのアクセスは、物理キーボードとマウスを取り付けることによってのみ可能です。これにより、Teams Roomsタッチ対応コンソールまたはTeams Roomsに接続されているその他のタッチ対応ディスプレイを介して UEFI にアクセスできなくなります。

カーネル ダイレクト メモリ アクセス (DMA) 保護は、Teams Roomsで有効になっている Windows 設定です。 この機能により、OS とシステム ファームウェアは、すべての DMA 対応デバイスに対する悪意のある意図しない DMA 攻撃からシステムを保護します。

• ブート プロセス中。

• OS の実行時に、M.2 PCIe スロットや Thunderbolt 3 などの簡単にアクセスできる内部/外部 DMA 対応ポートに接続されたデバイスによる悪意のある DMA に対抗する。

Teams Rooms では、ハイパーバイザーで保護されたコード整合性 (HVCI) も有効になります。 HVCI によって提供される機能の 1 つとして Credential Guard があります。 Credential Guard には、次の利点があります:

• ハードウェア セキュリティ NTLM、Kerberos、資格情報マネージャーは、セキュア ブートや仮想化などのプラットフォーム セキュリティ機能を利用して資格情報を保護します。

• 仮想化ベースのセキュリティ Windows NTLM および Kerberos 派生の資格情報およびその他のシークレットは、実行中のオペレーティング システムから分離された、保護された環境で実行されます。

• 高度な永続的な脅威に対する保護の強化 Credential Manager ドメイン資格情報、NTLM、Kerberos 派生資格情報が仮想化ベースのセキュリティを使用して保護されている場合、資格情報の盗難攻撃手法と、多くの標的型攻撃で使用されるツールがブロックされます。 管理者特権でオペレーティング システムで実行されているマルウェアは、仮想化ベースのセキュリティによって保護されているシークレットを抽出できません。

ソフトウェアのセキュリティ

Microsoft Windows の起動後、Teams Rooms は自動的に Skype という名前のローカル Windows ユーザー アカウントにサインインします。 Skype アカウントにパスワードがありません。 Skype アカウント セッションをセキュリティで保護するには、次の手順を実行します。

Important

パスワードを変更したり、ローカルの Skype ユーザー アカウントを編集したりしないでください。 そうすると、Teams Rooms が自動的にサインインできなくなる可能性があります。

Microsoft Teams Rooms アプリは、Windows 10 1903 以降で見つかった割り当てられたアクセス機能を使用して実行されます。 割り当てアクセスは、ユーザーに公開されるアプリケーション エントリ ポイントを制限し、シングル アプリ キオスク モードを有効にする Windows の機能です。 シェル ランチャーを使用して、Teams Rooms は、Windows デスクトップ アプリケーションをユーザー インターフェイスとして実行するキオスク デバイスとして構成されます。 Microsoft Teams Rooms アプリは、ユーザーがログオンしたときに通常実行される既定のシェル (explorer.exe) を置き換えます。 言い換えると、従来のエクスプローラー シェルはまったく起動されないため、Windows 内のMicrosoft Teams Rooms脆弱性の表面が大幅に低下します。 詳細については、「Windows デスクトップ エディションでキオスクとデジタル署名を構成する」を参照してください。

Teams Rooms でセキュリティ スキャンまたは Center for Internet Security (CIS) ベンチマークを実行する場合、Skype ユーザー アカウントは Teams Rooms アプリ以外のアプリケーションの実行をサポートしていないため、スキャンはローカル管理者アカウントのコンテキストでしか実行できません。 Skype ユーザー コンテキストに適用されるセキュリティ機能の多くは、他のローカル ユーザーには適用されないため、これらのセキュリティ スキャンでは、Skype アカウントに適用される完全なセキュリティ ロックダウンが表示されません。 そのため、Teams Roomsでローカル スキャンを実行することはお勧めしません。 ただし、必要に応じて外部侵入テストを実行できます。 このため、ローカル スキャンを実行するのではなく、Teams Rooms デバイスに対して外部侵入テストを実行することをお勧めします。

さらに、非管理機能の使用を制限するために、ロックダウン ポリシーが適用されます。 割り当てられたアクセス ポリシーの対象になっていない、セキュリティで保護されていない可能性のあるキーボードの組み合わせを妨害してブロックするためにキーボード フィルターが有効になっています。 ローカルまたはドメインの管理者権限を持つユーザーのみが Teams Rooms を管理するために Windows にサインインできます。 Microsoft Teams Rooms デバイス上の Windows に適用されるこれらのポリシーおよびその他のポリシーは、製品ライフサイクル中に継続的に評価およびテストされます。

Microsoft Defenderがすぐに有効になっている場合、Teams Rooms Pro ライセンスには Defender for Endpoint も含まれています。これにより、お客様は Defender for Endpoint にTeams Roomsを登録して、セキュリティ チームが Defender ポータルから Windows デバイス上の Teams Room のセキュリティ態勢を可視化できるようになります。 Windows デバイスの手順に従って、Windows 上のTeams Roomsを登録できます。 これらのポリシーはTeams Rooms機能に影響を与える可能性があり、保護規則 (または構成を変更するその他の Defender ポリシー) を使用してTeams Roomsを変更することはお勧めしません。ただし、ポータルへのレポート機能はサポートされています。

アカウントのセキュリティ

Teams Rooms デバイスには、既定のパスワード付きの "Admin" という名前の管理アカウントが含まれています。 セットアップが完了したら、できるだけ早く既定のパスワードを変更することを強くお勧めします。

管理者アカウントは、Teams Rooms デバイスを適切に操作するために必要ではなく、名前を変更することもできるし、削除しても構いません。 ただし、管理者アカウントを削除する前に、Teams Rooms デバイスの出荷時に付属するものを削除する前に、別のローカル管理者アカウントが構成されていることを確認してください。 組み込みの Windows ツールまたは PowerShell を使用してローカル Windows アカウントのパスワードを変更する方法の詳細については、次を参照してください:

• Windows でのTeams Roomsでの LAPS の構成
• Windows パスワードを変更またはリセットする
• Set-LocalUser

Intuneを使用して、ローカルの Windows 管理者グループにドメイン アカウントをインポートすることもできます。 詳細については、「ポリシー CSP – RestrictedGroups.」を参照してください。

注意

ネットワークに接続された本体で Crestron Teams Roomsを使用している場合は、ペアリングに使用する Windows アカウントを構成する方法に関する Crestron のガイダンスに従っていることを確認してください。

注意

別のローカルまたはドメイン アカウントにローカル管理者アクセス許可を付与する前に管理者アカウントを削除または無効にすると、Teams Rooms デバイスを管理できなくなる可能性があります。 もしそうなってしまった場合は、デバイスを元の設定にリセットし、セットアップ プロセスをもう一度完了する必要があります。

Skype ユーザー アカウントにローカル管理者のアクセス許可を付与しないでください。

Windows 構成Designerを使用して、Windows プロビジョニング パッケージを作成できます。 ローカル 管理 パスワードの変更に加えて、コンピューター名の変更やMicrosoft Entra IDへの登録などの操作も行うことができます。 Windows 構成デザイナー プロビジョニング パッケージ作成の詳細については、「Windows 10 のパッケージのプロビジョニングを行う方法」を参照してください。

Teams にサインインできるように、Teams Rooms デバイスごとにリソース アカウントを作成する必要があります。 このアカウントでユーザー対話型の 2 要素認証または多要素認証を使用することはできません。 2 つ目の要素を要求すると、再起動後にアカウントが Teams Rooms アプリに自動的にサインインできなくなります。 さらに、Microsoft Entra条件付きアクセス ポリシーとIntuneコンプライアンス ポリシーをデプロイして、リソース アカウントをセキュリティで保護できます。 詳細については、「Microsoft Teams Roomsおよび条件付きアクセスとMicrosoft Teams RoomsのIntuneコンプライアンスに関するサポートされている条件付きアクセスポリシーとIntuneデバイス コンプライアンス ポリシー」を参照してください。

可能であれば、クラウド専用アカウントとして、Microsoft Entra IDでリソース アカウントを作成することをお勧めします。 同期されたアカウントはハイブリッド展開で Teams Rooms と連携できますが、同期されたアカウントでは Teams Rooms へのサインインが難しく、トラブルシューティングが困難になる可能性があります。 サード パーティのフェデレーション サービスを使用してリソース アカウントの資格情報を認証する場合は、サード パーティ IDP が wsTrustResponse 属性を urn:oasis:names:tc:SAML:1.0:assertion に設定して応答することを確認します。 organizationが WS-Trust を使用したくない場合は、代わりにクラウド専用アカウントを使用してください。

ネットワーク セキュリティ

一般に、Teams Rooms には、Microsoft Teams クライアントと同じネットワーク要件があります。 ファイアウォールやその他のセキュリティ デバイス経由のアクセスは、他の Microsoft Teams クライアントの場合と同じです。 Teams Rooms に固有なものとしては、"required" として一覧表示されるカテゴリがファイアウォールで開かれている必要があります。 Teams Rooms では、Windows Update、Microsoft Store、Microsoft Intune へのアクセスも必要です (Microsoft Intune を使用してデバイスを管理する場合)。 Microsoft Teams Rooms に必要な IP と URL の完全なリストについては、以下をご覧ください:

• Microsoft Teams、Exchange Online、SharePoint Online、Microsoft 365 Common、Office OnlineOffice 365 URL と IP アドレス範囲
• Windows UpdateWSUS の構成
• ビジネス向け Microsoft Storeと教育機関向けのMicrosoft Store の前提条件
• Microsoft Intuneの Microsoft IntuneNetwork エンドポイント

Microsoft Teams Rooms ProのMicrosoft Teams Roomsマネージド サービス コンポーネントを使用している場合は、Teams Roomsが次の URL にアクセスできることを確認する必要もあります。

• agent.rooms.microsoft.com
• global.azure-devices-provisioning.net
• gj3ftstorage.blob.core.windows.net
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net

GCC のお客様は、次の URL を有効にする必要もあります。

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

Teams Rooms は、セキュリティ更新プログラムを含む最新の Windows 更新プログラムで自動的に修正プログラムが適用されるように構成されています。 Teams Roomsは、事前設定されたローカル ポリシーを使用して、毎日午前 2 時から保留中の更新プログラムをインストールします。 Windows 更新の展開と適用に他のツールを使用する必要はありません。 他のツールを使用して更新プログラムを展開および適用すると、Windows パッチのインストールが遅れる可能性があるため、安全性の低い展開につながります。 Teams Rooms アプリは、Microsoft Storeを使用して展開されます。

Teams Rooms デバイスは、ほとんどの 802.1X またはその他のネットワーク ベースのセキュリティ プロトコルで動作します。 ただし、考えられるすべてのネットワーク セキュリティ構成に対して Teams Rooms をテストすることはできません。 したがって、ネットワーク パフォーマンスの問題にトレースできるパフォーマンスの問題が発生した場合は、これらのプロトコルを無効にする必要があります。

リアルタイム メディアの最適なパフォーマンスを得るには、プロキシ サーバーやその他のネットワーク セキュリティ デバイスをバイパスするように Teams メディア トラフィックを構成することを強くお勧めします。 リアルタイム メディアは待機時間にきわめて敏感であり、プロキシ サーバーとネットワーク セキュリティ デバイスにより、ユーザーのビデオとオーディオの品質が大幅に低下する可能性があります。 また、Teams メディアは既に暗号化されているため、プロキシ サーバー経由でトラフィックを渡すことによる具体的な利点はありません。 詳細については、Microsoft Teams とMicrosoft Teams Roomsを使用してメディアのパフォーマンスを向上させるためのネットワークに関する推奨事項について説明している「ネットワークアップ (クラウドへの)-1 人のアーキテクトの視点」を参照してください。

Important

Teams Rooms では、認証されたプロキシ サーバーはサポートされていません。

Teams Rooms デバイスは、内部 LAN に接続する必要はありません。 インターネットに直接アクセスできる安全な分離ネットワーク セグメントにTeams Roomsを配置することを検討してください。 内部 LAN が侵害されると、Teams Roomsへの攻撃ベクトルの機会が減少します。

Teams Rooms デバイスを有線ネットワークに接続することを強くお勧めします。 ワイヤレス ネットワークを使用するには、最適なエクスペリエンスを得るための慎重な計画と評価が必要です。 詳細については、「 ワイヤレス ネットワークに関する考慮事項」を参照してください。

近接通信参加やその他の Teams Rooms 機能は Bluetooth に依存しています。 ただし、Teams Rooms デバイスでの Bluetooth の実装では、Teams Rooms デバイスへの外部デバイス接続は許可されません。 Teams Rooms デバイスでの Bluetooth テクノロジの使用は、現在、ビーコンのアドバタイズとプロンプトされた近接接続に限定されています。 ビーコンのアドバタイズでは、ADV_NONCONN_INT プロトコル データ ユニット (PDU) 型が使用されます。 この PDU タイプは、リッスン デバイスに情報をアドバタイズする接続できないデバイス用です。 これらの機能の一部として Bluetooth デバイスのペアリングはありません。 Bluetooth プロトコルの詳細については、Bluetooth SIG Web サイトを参照してください。

Android でのTeams Rooms

この記事では、Microsoft Endpoint Manager によって専用デバイス モード用に構成された Android デバイスについては説明しません。 Teams Android デバイスは、設計上キオスク モードで実行されます。 Android キオスクの詳細については、「 Android Enterprise 専用デバイス登録」を参照してください。

Microsoft は OEM パートナーと協力して、設計上安全で、お客様のニーズに合わせてカスタマイズ可能なソリューションを提供しています。 この記事では、Teams Android デバイスで見つかったセキュリティ機能の多くと、このアプローチについて説明します。 ナビゲーションを容易にするために、4 つの主要なセクションに分割されています。

注意

Microsoft Teams Android デバイスは、一般的な Android デバイスとして扱うべきではありません。 Teams Android デバイスは、Teams とそれぞれのユース ケースで使用できるように設計された専用アプライアンスです。 この記事は、Android オペレーティング システムを実行している認定および専用の Microsoft Teams デバイスにのみ適用されます。 Teams 認定デバイスは、認定 OEM ベンダーからのみ購入できます。 Microsoft Teams 認定 Android デバイスの詳細については、「認定されたシステムと周辺機器Teams Rooms」を参照してください。

Windows デバイス上のTeams Roomsのセキュリティの詳細については、[Windows のTeams Rooms] タブを選択します。

ソフトウェアのセキュリティ

Android キオスク モード

Teams Android デバイスは、Android キオスク モードでデバイスを実行することで、承認されたアプリケーションのみを実行するようにロックダウンされます。 キオスク モードでは、起動ツールの機能へのアクセスが無効になり、承認されたアプリケーションがデバイス上で起動するようにデバイスをセキュリティで保護するのに役立ちます。

Application Name	アプリケーションの説明
Microsoft Teams Android アプリ	Microsoft Teams デバイス アプリケーション
Microsoft Teams 管理 エージェント	Teams 管理センターのリモート管理
Intune ポータル サイト	デバイス登録、登録 & サインイン
OEM パートナー エージェント	OEM パートナー エージェント & デバイス設定アプリ

設計上、Microsoft Teams Android アプリは Android キオスク モードで起動時に起動し、オペレーティング システムへのアクセスや、指定された Teams ユーザー エクスペリエンスの外部のコンポーネントへのアクセスをユーザーに提供しません。

アプリケーション コード署名

すべての Microsoft アプリケーションと OEM アプリケーションはコード署名されています。 コード署名は、デバイス上で実行されているソフトウェアが Microsoft とハードウェア パートナーからの正規品であることを検証するのに役立ちます。 また、コード署名は、正規のソフトウェアのみが起動して実行できるように、デバイス上で実行されているソフトウェアの整合性を検証しようとします。

サード パーティ製アプリケーション

Teams 認定デバイスには、Google Play ストア、Amazon App Store、または Google Play サービスがデザインによってインストールされていません。 これは、ストアからデバイスにサード パーティ製アプリケーションをインストールできないようにするのに役立ちます。

Android デバッグ ブリッジ

Android デバッグ ブリッジ (ADB) は、リリース ソフトウェアを実行しているすべての Teams Android デバイスで設計上無効になっています。 ADB は、管理者が Android ベースのデバイスで機能を実行し、アプリのインストール、デバイス シェルへのアクセス、およびその他の管理機能を有効にするコマンド ライン ツールです。

ファイル システムの暗号化

Teams Android デバイスは Android ベースの暗号化をサポートする必要があり、Microsoft Endpoint Manager コンプライアンス ポリシーを使用して適用できます。 Endpoint Manager コンプライアンス ポリシーの詳細については、エンドポイント マネージャー コンプライアンス ポリシーを使用して、Intuneで管理するデバイスの規則を設定します。

Android OS バージョン

Teams Android デバイスは、サポートされているバージョンの Android を実行します。 Android オペレーティング システムは OEM パートナーによって管理され、Teams 認定ファームウェアにマージされた後、Teams 管理センターからデバイスにプッシュされます。 Teams Android デバイスで実行されている Android バージョンの詳細については、「Microsoft Teams 認定 Android デバイス](android-app-firmware.md)」を参照してください。

Android のセキュリティ更新プログラム

OEM ベンダーは、ファームウェア更新プロセスの一環として、基本オペレーティング システムのセキュリティを確保するために、適切な Android セキュリティ更新プログラムのベースラインを組み込みます。 デバイスを定期的に更新しておくことは、デバイスで適切な Android セキュリティ更新プログラムが実行されていることを確認するために重要です。 詳細については、デバイスの製造元に関するページを参照してください。

アカウントのセキュリティ

Teams Android デバイスは、デバイスの正常な機能を有効にする 2 種類のアカウントの周りに構築されています。

• ローカル デバイス管理者アカウント

• ユーザーまたはリソース アカウント

Teams Android デバイスは、一部の条件付きアクセス ポリシーとも互換性があります。これは、デバイスサインインのセキュリティのより多くのレイヤーとして使用できます。 ベスト プラクティスとサポートされている条件付きアクセス ポリシーについては、「 サポートされている条件付きアクセス コンプライアンス ポリシー」を参照してください。

ローカル デバイス管理者アカウント

Teams Android デバイスには、デバイス設定にアクセスするための管理アカウント、インストールされている場合はローカル Web サーバー、OEM 固有の設定が含まれます。

このアカウントの既定のユーザー名やパスワードなどのデバイスの初期セットアップと構成項目は、デバイスの製造元から取得できます。

注意

できるだけ早くローカル デバイス管理者のパスワードを変更してください。

ヒント

Teams 管理センターを使用すると、構成プロファイルを適用することで、サインインしている Teams Android デバイスのローカル デバイス管理者パスワードを変更できます。 Android デバイスの昇格された機能を保護するには、デバイスの初期サインイン後にこの方法をお勧めします。 管理者特権の機能には、デバイス設定と Web 管理ポータルがサポートされている場合に含めることができます。

ユーザーまたはリソース アカウント

Teams Android デバイスでは、Microsoft 365 にサインインするために、ユーザーまたは専用のリソース アカウントを使用する必要があります。 個人用デバイスのユーザー アカウントか、共有デバイスのリソース アカウントであるかに応じて、これらのアカウントを特定の方法でセキュリティで保護しようとします。 詳細については、「 会議室と共有デバイスのリソース アカウントを作成して構成する」を参照してください。

デバイスの更新

Teams Android デバイスは、Microsoft 認定の更新プログラムが利用可能になったときに Teams 管理センターからダウンロードするように構成されます。 これらの更新プログラムは、管理者が自動的にプッシュするか、手動で呼び出すことができます。 必要に応じて、この機能を実行するために、OEMパートナーのサードパーティ製ツールも利用できます。 Teams Android デバイスは、ユーザーへの影響を回避するために、数時間後に更新プログラムをインストールできます。 時間外スケジュールは、Teams 管理センターで構成することも、OEM パートナーのサード パーティ製ツールを使用して構成することもできます。

Important

Microsoft では、すべての Teams Android デバイスのファームウェアの管理を Teams 管理センターを介して行うことをお勧めします。

ネットワーク セキュリティ

Teams Android デバイスには、ファイアウォールやその他のセキュリティ デバイスを介したアクセスなど、Microsoft Teams クライアントと同じネットワーク要件があります。 具体的には、Teams に 必要 に応じて一覧表示されるカテゴリは、次に示すように、他のサポート サービスと共にファイアウォールで開いている必要があります。 Teams Android デバイスに必要な IP と URL の完全な一覧については、次を参照してください。

• Microsoft Teams、Exchange Online、SharePoint Online、Microsoft 365 Common、Office Online Office 365 URL と IP アドレス範囲

• Microsoft IntuneのMicrosoft Intune ネットワーク エンドポイント

Teams Android デバイスは、ほとんどの 802.1X およびその他のネットワーク ベースのセキュリティ プロトコルで動作します。 ただし、すべてのネットワーク セキュリティ構成に対して Teams Android デバイスをテストすることはできません。 そのため、ネットワーク パフォーマンスの問題にトレースできるパフォーマンスの問題が発生した場合は、これらのプロトコルがorganizationで構成されている場合は無効にするか、OEM パートナーにお問い合わせください。

リアルタイム メディアの最適なパフォーマンスを得るには、プロキシ サーバーやその他のネットワーク セキュリティ デバイスをバイパスするように Teams メディア トラフィックを構成することを強くお勧めします。 リアルタイム メディアは、プロキシ サーバーやその他のネットワーク セキュリティ デバイスによって発生する可能性があるネットワーク待機時間に敏感です。 ネットワーク待機時間は、ユーザーのビデオとオーディオの品質を大幅に低下させる可能性があります。 詳細については、「 ネットワークアップ (クラウド)」を参照してください。1 人のアーキテクトの視点では、Microsoft Teams でメディアのパフォーマンスを向上させるためのネットワークの推奨事項について説明します。

Teams Android デバイスでは、インターネット上で暗号化された通信とエンドポイント認証が使用されます。 Teams Android デバイスでは TLS 1.2 以降が使用されます。

Important

Teams Android デバイスでは、認証されたプロキシ サーバーやテナントの制限はサポートされていません。 プロキシ サポート情報については、OEM パートナーにお問い合わせください。

Teams Android デバイスは、内部 LAN に接続する必要はありません。 直接インターネット にアクセスできるセキュリティで保護されたネットワーク セグメントに Teams Android デバイスを配置することを検討してください。 たとえば、Teams 電話は音声 VLAN に展開できます。 内部 LAN が侵害された場合、このネットワーク分離を実装することで、Teams Android デバイスに対する攻撃ベクトルの機会が減少します。

Teams Rooms デバイスを有線ネットワークに接続することを強くお勧めします。 ワイヤレス ネットワークを使用するには、最適なエクスペリエンスを得るための慎重な計画と評価が必要です。 詳細については、「 ワイヤレス ネットワークに関する考慮事項」を参照してください。

近接参加、Better Together、Teams Cast、Teams パネルのペアリングは、Bluetooth に依存します。 Android デバイス上のTeams Roomsでの Bluetooth テクノロジの使用は、現在、ビーコンのアドバタイズと近位接続のプロンプトに制限されています。 ビーコンのアドバタイズでは、ADV_NONCONN_INT プロトコル データ ユニット (PDU) 型が使用されます。 この PDU タイプは、リッスン デバイスに情報をアドバタイズする接続できないデバイス用です。 これらの機能の一部として Bluetooth デバイスのペアリングはありません。 Bluetooth プロトコルの詳細については、Bluetooth SIG Web サイトを参照してください。

Teams 電話とディスプレイには、Bluetooth Hands-Free プロファイルを使用してヘッドセットとペアリングするための Bluetooth ペアリング機能が用意されています。

Microsoft Teams のセキュリティの詳細については、「 セキュリティと Microsoft Teams」を参照してください。