Microsoft Teams 룸 보안
이 문서에서는 Windows 및 Android 디바이스에서 Microsoft Teams 룸 디바이스에 대한 보안 지침을 제공합니다. 이 지침에는 하드웨어, 소프트웨어, 네트워크 및 계정 보안에 대한 정보가 포함됩니다.
디바이스의 Teams 룸 보안에 대한 자세한 내용은 Windows의 Teams 룸 선택하거나 Android용 Teams 룸 탭을 선택합니다.
Microsoft는 파트너와 협력하여 Windows에서 Microsoft Teams 룸 보호하기 위해 안전하고 추가 작업이 필요하지 않은 솔루션을 제공합니다. 이 섹션에서는 Windows의 Teams 룸 있는 많은 보안 기능에 대해 설명합니다.
Android 디바이스의 Teams 룸 보안에 대한 자세한 내용은 Android 탭에서 Teams 룸 선택합니다.
참고
Microsoft Teams 룸 일반적인 최종 사용자 워크스테이션처럼 취급해서는 안 됩니다. 사용 사례는 크게 다를 뿐만 아니라 기본 보안 프로필도 크게 다르므로 어플라이언스로 처리하는 것이 좋습니다. Teams 룸 디바이스에 추가 소프트웨어를 설치하는 것은 Microsoft에서 지원되지 않습니다. 이 문서는 Windows에서 실행되는 Microsoft Teams 룸 디바이스에 적용됩니다.
제한된 최종 사용자 데이터는 Teams 룸 저장됩니다. 최종 사용자 데이터는 문제 해결 및 지원만을 위해 로그 파일에 저장될 수 있습니다. Teams 룸 사용하는 모임 참석자는 하드 드라이브에 파일을 복사하거나 직접 로그인할 수 없습니다. 최종 사용자 데이터는 Microsoft Teams 룸 디바이스로 전송되거나 액세스할 수 없습니다.
최종 사용자가 Teams 룸 하드 드라이브에 파일을 넣을 수는 없지만 Microsoft Defender 여전히 기본 설정으로 설정되어 있습니다. Teams 룸 성능은 엔드포인트용 Defender 포털에 등록하는 것을 포함하여 Microsoft Defender 테스트됩니다. 이를 사용하지 않도록 설정하거나 엔드포인트 보안 소프트웨어를 추가하면 예측할 수 없는 결과와 시스템 성능이 저하될 수 있습니다.
Teams 룸 환경에는 Windows 10 또는 11개의 IoT Enterprise 버전을 실행하는 중앙 컴퓨팅 모듈이 있습니다. 인증된 모든 컴퓨팅 모듈에는 보안 탑재 솔루션, 보안 잠금 슬롯(예: 켄싱턴 잠금) 및 I/O 포트 액세스 보안 조치가 있어야 권한 없는 디바이스의 연결을 방지할 수 있습니다. UEFI(Unified Extensible Firmware Interface) 구성을 통해 특정 포트를 사용하지 않도록 설정할 수도 있습니다.
모든 인증된 컴퓨팅 모듈은 기본적으로 사용하도록 설정된 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 규격 기술과 함께 제공되어야 합니다. TPM은 Teams 룸 리소스 계정에 대한 로그인 정보를 암호화하는 데 사용됩니다.
보안 부팅은 기본적으로 사용하도록 설정됩니다. 보안 부팅은 OEM(Original Equipment Manufacturer)에서 신뢰할 수 있는 소프트웨어만 사용하여 디바이스가 부팅되도록 PC 업계의 구성원이 개발한 보안 표준입니다. PC가 시작되면 펌웨어는 UEFI 펌웨어 드라이버(옵션 ROM이라고도 함), EFI 애플리케이션 및 운영 체제를 포함하여 부팅 소프트웨어의 각 부분의 서명을 확인합니다. 서명이 유효한 경우 PC가 부팅되고 펌웨어가 운영 체제를 제어합니다. 자세한 내용은 보안 부팅을 참조하세요.
UEFI 설정에 대한 액세스는 물리적 키보드와 마우스를 연결해야만 가능하므로 Teams 룸 터치 사용 콘솔 또는 Teams 룸 연결된 다른 터치 사용 디스플레이를 통해 UEFI에 액세스할 수 없습니다.
DMA(커널 직접 메모리 액세스) 보호는 Teams 룸 사용하도록 설정된 Windows 설정입니다. 이 기능을 사용하면 OS 및 시스템 펌웨어는 부팅 프로세스 중 및 OS 런타임 동안 M.2 PCIe 슬롯 및 Thunderbolt 3과 같이 쉽게 액세스할 수 있는 내부/외부 DMA 지원 포트에 연결된 디바이스에 의한 악의적인 DMA로부터 모든 DMA 지원 디바이스에 대한 악의적이고 의도하지 않은 DMA 공격으로부터 시스템을 보호합니다.
Teams 룸 HVCI(하이퍼바이저 보호 코드 무결성)도 사용하도록 설정합니다. HVCI에서 제공하는 기능 중 하나는 Credential Guard입니다. Credential Guard는 다음과 같은 이점을 제공합니다.
하드웨어 보안 NTLM, Kerberos 및 Credential Manager는 보안 부팅 및 가상화를 비롯한 플랫폼 보안 기능을 활용하여 자격 증명을 보호합니다.
가상화 기반 보안 Windows NTLM 및 Kerberos 파생 자격 증명 및 기타 비밀은 실행 중인 운영 체제와 격리된 보호된 환경에서 실행됩니다.
고급 영구 위협 방지 기능 향상 Credential Manager 도메인 자격 증명, NTLM 및 Kerberos 파생 자격 증명이 가상화 기반 보안, 자격 증명 도난 공격 기술 및 많은 대상 공격에 사용되는 도구를 사용하여 보호되는 경우 차단됩니다. 관리 권한이 있는 운영 체제에서 실행되는 맬웨어는 가상화 기반 보안으로 보호되는 비밀을 추출할 수 없습니다.
Microsoft Windows가 부팅되면 Teams 룸 자동으로 Skype라는 로컬 Windows 사용자 계정에 로그인합니다. Skype 계정에 암호가 없습니다. Skype 계정 세션을 안전하게 만들기 위해 다음 단계를 수행합니다.
중요
암호를 변경하거나 로컬 Skype 사용자 계정을 편집하지 마세요. 이렇게 하면 Teams 룸 자동으로 로그인하지 못할 수 있습니다.
Microsoft Teams 룸 앱은 Windows 10 1903 이상에서 찾은 할당된 액세스 기능을 사용하여 실행됩니다. 할당된 액세스는 사용자에게 노출되는 애플리케이션 진입점을 제한하고 단일 앱 키오스크 모드를 사용하도록 설정하는 Windows의 기능입니다. 셸 시작 관리자를 사용하여 Teams 룸 Windows 데스크톱 애플리케이션을 사용자 인터페이스로 실행하는 키오스크 디바이스로 구성됩니다. Microsoft Teams 룸 앱은 사용자가 로그온할 때 일반적으로 실행되는 기본 셸(explorer.exe)을 대체합니다. 즉, 기존 Explorer 셸이 전혀 실행되지 않아 Windows 내의 Microsoft Teams 룸 취약성 표면이 크게 감소합니다. 자세한 내용은 Windows 데스크톱 버전에서 키오스크 및 디지털 기호 구성을 참조하세요.
Teams 룸 보안 검사 또는 CIS(인터넷 보안 센터) 벤치마크를 실행하기로 결정한 경우 Skype 사용자 계정이 Teams 룸 앱 이외의 애플리케이션 실행을 지원하지 않으므로 로컬 관리자 계정의 컨텍스트에서만 검사를 실행할 수 있습니다. Skype 사용자 컨텍스트에 적용되는 대부분의 보안 기능은 다른 로컬 사용자에게 적용되지 않으므로 이러한 보안 검사로 인해 Skype 계정에 적용된 전체 보안 잠금이 표시되지 않습니다. 따라서 Teams 룸 로컬 검사를 실행하지 않는 것이 좋습니다. 그러나 원하는 경우 외부 침투 테스트를 실행할 수 있습니다. 이 구성으로 인해 로컬 검사를 실행하는 대신 Teams 룸 디바이스에 대해 외부 침투 테스트를 실행하는 것이 좋습니다.
또한 비관리 기능의 사용이 제한되도록 잠금 정책이 적용됩니다. 키보드 필터는 할당된 액세스 정책에서 다루지 않는 안전하지 않을 수 있는 키보드 조합을 가로채고 차단할 수 있습니다. 로컬 또는 도메인 관리 권한이 있는 사용자만 Windows에 로그인하여 Teams 룸 관리할 수 있습니다. Microsoft Teams 룸 디바이스에서 Windows에 적용되는 이러한 정책 및 기타 정책은 제품 수명 주기 동안 지속적으로 평가 및 테스트됩니다.
Microsoft Defender 사용할 수 있습니다. Teams 룸 Pro 라이선스에는 엔드포인트용 Defender도 포함되며, 이를 통해 고객은 엔드포인트용 Defender에 Teams 룸 등록할 수 있습니다. 이 등록은 보안 팀이 Defender 포털에서 Windows 디바이스의 Teams 룸 보안 상태에 대한 가시성을 제공할 수 있습니다. Windows의 Teams 룸 Windows 디바이스에 대한 단계에 따라 등록할 수 있습니다. 이러한 정책이 Teams 룸 기능에 영향을 미칠 수 있으므로 보호 규칙(또는 구성을 변경하는 다른 Defender 정책)을 사용하여 Teams 룸 수정하지 않는 것이 좋습니다. 그러나 포털에 기능을 보고하는 것은 지원됩니다.
Teams 룸 디바이스에는 기본 암호가 있는 "관리"라는 관리 계정이 포함됩니다. 설정을 완료한 후 가능한 한 빨리 기본 암호를 변경하는 것이 좋습니다.
관리 계정은 Teams 룸 디바이스의 적절한 작동에 필요하지 않으며 이름을 바꾸거나 삭제할 수도 있습니다. 그러나 관리 계정을 삭제하기 전에 Teams 룸 디바이스와 함께 제공되는 계정을 제거하기 전에 구성된 대체 로컬 관리자 계정을 설정해야 합니다. 기본 제공 Windows 도구 또는 PowerShell을 사용하여 로컬 Windows 계정의 암호를 변경하는 방법에 대한 자세한 내용은 다음 가이드를 참조하세요.
Intune 사용하여 도메인 계정을 로컬 Windows 관리자 그룹으로 가져올 수도 있습니다. 자세한 내용은 정책 CSP – RestrictedGroups를 참조하세요.
참고
네트워크 연결 콘솔에서 Crestron Teams 룸 사용하는 경우 페어링에 사용되는 Windows 계정을 구성하는 방법에 대한 Crestron의 지침을 따라야 합니다.
주의
다른 로컬 또는 도메인 계정에 로컬 관리자 권한을 부여하기 전에 관리 계정을 삭제하거나 사용하지 않도록 설정하면 Teams 룸 디바이스를 관리하는 기능이 손실될 수 있습니다. 이 경우 디바이스를 원래 설정으로 다시 초기화하고 설치 프로세스를 다시 완료해야 합니다.
Skype 사용자 계정에 로컬 관리자 권한을 부여하지 마세요.
Windows 구성 Designer 사용하여 Windows 프로비저닝 패키지를 만들 수 있습니다. 로컬 관리 암호를 변경하는 것과 함께 컴퓨터 이름을 변경하고 Microsoft Entra ID 등록하는 등의 작업을 수행할 수도 있습니다. Windows 구성 Designer 프로비저닝 패키지를 만드는 방법에 대한 자세한 내용은 Windows 10 대한 패키지 프로비전을 참조하세요.
Teams에 로그인할 수 있도록 각 Teams 룸 디바이스에 대한 리소스 계정을 만들어야 합니다. 이 계정에서는 사용자 대화형 2단계 또는 다단계 인증을 사용할 수 없습니다. 사용자 대화형 두 번째 요소가 필요하면 다시 부팅한 후 계정이 Teams 룸 앱에 자동으로 로그인할 수 없습니다. 또한 Microsoft Entra 조건부 액세스 정책 및 Intune 규정 준수 정책을 배포하여 리소스 계정을 보호하고 다른 방법을 통해 다단계 인증을 달성할 수 있습니다. 자세한 내용은 Microsoft Teams 룸 및 조건부 액세스에 대한 지원되는 조건부 액세스 및 Intune 디바이스 준수 정책및 Microsoft Teams 룸 대한 Intune 준수를 참조하세요.
가능한 경우 클라우드 전용 계정으로 Microsoft Entra ID 리소스 계정을 만드는 것이 좋습니다. 동기화된 계정은 하이브리드 배포에서 Teams 룸 사용할 수 있지만 이러한 동기화된 계정은 종종 Teams 룸 로그인하는 데 어려움을 겪으며 문제를 해결하기 어려울 수 있습니다. 타사 페더레이션 서비스를 사용하여 리소스 계정에 대한 자격 증명을 인증하도록 선택하는 경우 타사 IDP가 로 설정된 urn:oasis:names:tc:SAML:1.0:assertion
특성으로 wsTrustResponse
응답하는지 확인합니다. organization WS-Trust를 사용하지 않으려면 클라우드 전용 계정을 대신 사용합니다.
일반적으로 Teams 룸 Microsoft Teams 클라이언트와 동일한 네트워크 요구 사항이 있습니다. 방화벽 및 기타 보안 디바이스를 통한 액세스는 다른 Microsoft Teams 클라이언트와 Teams 룸 동일합니다. Teams 룸 특정한 Teams에 대해 "필수"로 나열된 범주는 방화벽에서 열려 있어야 합니다. Teams 룸 Windows 업데이트, Microsoft Store 및 Microsoft Intune 액세스해야 합니다(Microsoft Intune 사용하여 디바이스를 관리하는 경우). Microsoft Teams 룸 필요한 IP 및 URL의 전체 목록은 다음을 참조하세요.
- Microsoft Teams, Exchange Online, SharePoint, Microsoft 365 Common 및 Office OnlineOffice 365 URL 및 IP 주소 범위
- Windows 업데이트WSUS 구성
- Microsoft StoreMicrosoft Store 엔드포인트
- Microsoft Intune네트워크 엔드포인트 for Microsoft Intune
- 원격 분석 클라이언트 엔드포인트: vortex.data.microsoft.com
- 원격 분석 설정 엔드포인트: settings.data.microsoft.com
Microsoft Teams 룸 Pro 관리 포털의 경우 Teams 룸 다음 URL에 액세스할 수 있는지 확인해야 합니다.
- agent.rooms.microsoft.com
- global.azure-devices-provisioning.net
- gj3ftstorage.blob.core.windows.net
- mmrstgnoamiot.azure-devices.net
- mmrstgnoamstor.blob.core.windows.net
- mmrprodapaciot.azure-devices.net
- mmrprodapacstor.blob.core.windows.net
- mmrprodemeaiot.azure-devices.net
- mmrprodemeastor.blob.core.windows.net
- mmrprodnoamiot.azure-devices.net
- mmrprodnoamstor.blob.core.windows.net
- mmrprodnoampubsub.webpubsub.azure.com
- mmrprodemeapubsub.webpubsub.azure.com
- mmrprodapacpubsub.webpubsub.azure.com
GCC 고객도 다음 URL을 사용하도록 설정해야 합니다.
- mmrprodgcciot.azure-devices.net
- mmrprodgccstor.blob.core.windows.net
Teams 룸 보안 업데이트를 포함하여 최신 Windows 업데이트로 자동으로 패치된 상태로 유지되도록 구성됩니다. Teams 룸 미리 설정된 로컬 정책을 사용하여 로컬 디바이스 시간 오전 2:00~3:00 사이에 매일 보류 중인 업데이트를 설치합니다. 다른 도구를 사용하여 Windows 업데이트 배포하고 적용할 필요가 없습니다. 다른 도구를 사용하여 업데이트를 배포하고 적용하면 Windows 패치 설치가 지연되어 보안이 떨어지는 배포가 발생할 수 있습니다. Teams 룸 앱은 Microsoft Store를 사용하여 배포됩니다.
Teams 룸 디바이스는 대부분의 802.1X 또는 기타 네트워크 기반 보안 프로토콜에서 작동합니다. 그러나 가능한 모든 네트워크 보안 구성에 대해 Teams 룸 테스트할 수 없습니다. 따라서 네트워크 성능 문제로 추적할 수 있는 성능 문제가 발생하는 경우 이러한 프로토콜을 사용하지 않도록 설정해야 할 수 있습니다.
실시간 미디어의 최적의 성능을 위해 프록시 서버 및 기타 네트워크 보안 디바이스를 무시하도록 Teams 미디어 트래픽을 구성하는 것이 좋습니다. 실시간 미디어는 대기 시간이 매우 중요하며 프록시 서버와 네트워크 보안 디바이스는 사용자의 비디오 및 오디오 품질을 크게 저하시킬 수 있습니다. 또한 Teams 미디어가 이미 암호화되어 있으므로 프록시 서버를 통해 트래픽을 전달하면 실질적인 이점이 없습니다. 자세한 내용은 네트워킹(클라우드로)-Microsoft Teams 및 Microsoft Teams 룸 미디어 성능을 개선하기 위한 네트워크 권장 사항을 설명하는 한 설계자의 관점을 참조하세요. organization 테넌트 제한을 활용하는 경우 환경 준비 문서의 구성 지침에 따라 Windows 디바이스에서 Teams 룸 지원됩니다.
Teams 룸 디바이스는 내부 LAN에 연결할 필요가 없습니다. 직접 인터넷에 액세스할 수 있는 안전한 격리된 네트워크 세그먼트에 Teams 룸 배치하는 것이 좋습니다. 내부 LAN이 손상되면 Teams 룸 대한 공격 벡터 기회가 줄어듭니다.
Teams 룸 디바이스를 유선 네트워크에 연결하는 것이 좋습니다. 무선 네트워크를 사용하려면 최상의 환경을 위해 신중한 계획과 평가가 필요합니다. 자세한 내용은 무선 네트워크 고려 사항을 참조하세요.
근접 조인 및 기타 Teams 룸 기능은 Bluetooth를 사용합니다. 그러나 Teams 룸 디바이스의 Bluetooth 구현은 Teams 룸 디바이스에 대한 외부 디바이스 연결을 허용하지 않습니다. Teams 룸 디바이스에서 Bluetooth 기술 사용은 현재 비콘 광고 및 프롬프트 근접 연결로 제한됩니다.
ADV_NONCONN_INT
PDU(프로토콜 데이터 단위) 형식은 광고 비콘에서 사용됩니다. 이 PDU 유형은 수신 대기 디바이스에 정보를 보급하는 비연결 디바이스용입니다. 이러한 기능의 일부로 Bluetooth 디바이스 페어링은 없습니다. Bluetooth 프로토콜에 대한 자세한 내용은 Bluetooth SIG 웹 사이트에서 확인할 수 있습니다.