Безопасность комнат Microsoft Teams

• Применяется к:

  Microsoft Teams

В этой статье содержатся рекомендации по безопасности для устройств Комнат Microsoft Teams на устройствах с Windows и Android. Это руководство содержит сведения о безопасности оборудования, программного обеспечения, сети и учетных записей.

Выберите вкладку Комнаты Teams в Windows или Комнаты Teams для Android , чтобы получить дополнительные сведения о безопасности комнат Teams на устройстве.

Комнаты Teams в Windows

Корпорация Майкрософт совместно с нашими партнерами предоставляет безопасное решение, которое не требует дополнительных действий для защиты комнат Microsoft Teams в Windows. В этом разделе рассматриваются многие функции безопасности, доступные в комнатах Teams в Windows.

Для получения сведений о безопасности комнат Teams на устройствах Android выберите вкладку Комнаты Teams на Android .

Примечание.

Комнаты Microsoft Teams не должны рассматриваться как типичная рабочая станция конечного пользователя. Мало того, что варианты использования значительно отличаются, но и профили безопасности по умолчанию также сильно отличаются, мы рекомендуем рассматривать их как устройства. Установка дополнительного программного обеспечения на устройствах комнат Teams не поддерживается корпорацией Майкрософт. Эта статья относится к устройствам Комнат Microsoft Teams под управлением Windows.

Ограниченные данные конечных пользователей хранятся в комнатах Teams. Данные конечного пользователя могут храниться в файлах журнала только для устранения неполадок и поддержки. Участники собрания, использующие Комнаты Teams, не могут копировать файлы на жесткий диск или выполнять вход как сами. Данные конечного пользователя не передаются на устройство Комнат Microsoft Teams или не доступны с его помощью.

Несмотря на то, что конечные пользователи не могут поместить файлы на жесткий диск Комнат Teams, Microsoft Defender по-прежнему включен из коробки. Производительность комнат Teams проверяется с помощью Microsoft Defender, включая регистрацию на портале Defender для конечной точки. Отключение этого или добавление программного обеспечения для обеспечения безопасности конечных точек может привести к непредсказуемым результатам и потенциальному ухудшению работы системы.

Безопасность оборудования

В среде Комнат Teams есть центральный вычислительный модуль, который работает под управлением Windows 10 или 11 IoT Корпоративная. Каждый сертифицированный вычислительный модуль должен иметь безопасное решение для подключения, слот блокировки безопасности (например, блокировка Kensington) и меры безопасности доступа к портам ввода-вывода, чтобы предотвратить подключение несанкционированных устройств. Вы также можете отключить определенные порты с помощью конфигурации UEFI.

Каждый сертифицированный вычислительный модуль должен поставляться с технологией, совместимой с доверенным платформенным модулем (TPM) 2.0, включенной по умолчанию. TPM используется для шифрования сведений для входа для учетной записи ресурса Комнат Teams.

Безопасная загрузка включена по умолчанию. Безопасная загрузка — это стандарт безопасности, разработанный представителями индустрии компьютеров, чтобы убедиться, что устройство загружается с использованием только программного обеспечения, которому доверяет изготовитель оборудования (OEM). При запуске компьютера встроенное ПО проверяет сигнатуру каждого элемента загрузочного программного обеспечения, включая драйверы встроенного ПО UEFI (также известные как Option ROM), приложения EFI и операционную систему. Если сигнатуры действительны, компьютер загружается, а встроенное ПО предоставляет управление операционной системе. Дополнительные сведения см. в статье Безопасная загрузка.

Доступ к параметрам UEFI возможен только при подключении физической клавиатуры и мыши, что предотвращает доступ к UEFI через сенсорную консоль Комнат Teams или любые другие сенсорные дисплеи, подключенные к комнатам Teams.

Защита прямого доступа к памяти ядра (DMA) — это параметр Windows, который включен в комнатах Teams. С помощью этой функции ОС и встроенное ПО системы защищают систему от вредоносных и непреднамеренных атак DMA для всех устройств с поддержкой DMA:

• Во время загрузки.

• Защита от вредоносных DMA на устройствах, подключенных к легкодоступным внутренним или внешним портам с поддержкой DMA, таким как слоты PCIe M.2 и Thunderbolt 3, во время выполнения ОС.

Комнаты Teams также обеспечивают целостность кода, защищенную гипервизором (HVCI). Одной из функций, предоставляемых HVCI, является Credential Guard. Credential Guard предоставляет следующие преимущества:

• Безопасность оборудования NTLM, Kerberos и Credential Manager используют функции безопасности платформы, включая безопасную загрузку и виртуализацию, для защиты учетных данных.

• Безопасность на основе виртуализации Учетные данные Windows NTLM и Kerberos и другие секреты выполняются в защищенной среде, изолированной от работающей операционной системы.

• Улучшенная защита от сложных постоянных угроз Когда учетные данные домена диспетчера учетных данных, производные от NTLM и Kerberos, защищены с помощью защиты на основе виртуализации, методы атаки на кражу учетных данных и средства, используемые во многих целевых атаках, блокируются. Вредоносные программы, работающие в операционной системе с правами администратора, не могут извлекать секреты, защищенные безопасностью на основе виртуализации.

Безопасность программного обеспечения

После загрузки Microsoft Windows комнаты Teams автоматически войдет в локальную учетную запись пользователя Windows с именем Skype. У учетной записи Skype нет пароля. Чтобы обеспечить безопасность сеанса учетной записи Skype, необходимо выполнить следующие действия.

Важно!

Не изменяйте пароль и не изменяйте локальную учетную запись пользователя Skype. Это может предотвратить автоматический вход в комнаты Teams.

Приложение "Комнаты Microsoft Teams" запускается с помощью функции назначенного доступа в Windows 10 1903 и более поздних версиях. Назначенный доступ — это функция Windows, которая ограничивает точки входа приложений, предоставляемые пользователю, и включает режим киоска с одним приложением. С помощью средства запуска оболочки комнаты Teams настраиваются как устройство киоска, которое запускает классическое приложение Windows в качестве пользовательского интерфейса. Приложение "Комнаты Microsoft Teams" заменяет оболочку по умолчанию (explorer.exe), которая обычно выполняется при входе пользователя. Иными словами, традиционная оболочка Explorer вообще не запускается, что значительно снижает уязвимость комнат Microsoft Teams в Windows. Дополнительные сведения см. в статье Настройка киосков и цифровых знаков в классических выпусках Windows.

Если вы решили запустить проверку безопасности или тест Центра интернет-безопасности (CIS) в комнатах Teams, проверка может выполняться только в контексте учетной записи локального администратора, так как учетная запись пользователя Skype не поддерживает запущенные приложения, кроме приложения "Комнаты Teams". Многие функции безопасности, применяемые к контексту пользователя Skype, не применяются к другим локальным пользователям, и, как следствие, эти проверки безопасности не отображают полную блокировку безопасности, примененную к учетной записи Skype. Поэтому не рекомендуется выполнять локальную проверку комнат Teams. Однако при желании можно выполнить внешние тесты на проникновение. По этой причине рекомендуется выполнять внешние тесты на проникновение на устройства комнат Teams вместо локального сканирования.

Кроме того, политики блокировки применяются для ограничения использования неадминистративных функций. Фильтр клавиатуры включен для перехвата и блокировки потенциально небезопасных сочетаний клавиатуры, которые не охватываются политиками назначенного доступа. Только пользователи с правами администратора локального или доменного домена могут входить в Windows для управления комнатами Teams. Эти и другие политики, применяемые к Windows на устройствах Комнат Microsoft Teams, постоянно оцениваются и тестируются в течение жизненного цикла продукта.

Microsoft Defender включен не по плану. Лицензия Teams Rooms Pro также включает Defender для конечной точки, которая позволяет клиентам регистрировать свои комнаты Teams в Defender для конечной точки, чтобы обеспечить команде безопасности видимость состояния безопасности комнаты Teams на устройствах Windows с портала Defender. Комнаты Teams в Windows можно зарегистрировать, выполнив действия для устройств Windows. Мы не рекомендуем изменять комнаты Teams с помощью правил защиты (или других политик Defender, которые вносят изменения в конфигурацию), так как эти политики могут повлиять на функциональность комнат Teams. однако поддерживается возможность создания отчетов на портале.

Безопасность учетной записи

Устройства Комнат Teams включают учетную запись администратора с именем "Admin" с паролем по умолчанию. Настоятельно рекомендуется изменить пароль по умолчанию как можно скорее после завершения настройки.

Учетная запись администратора не требуется для правильной работы устройств Комнат Teams. Ее можно переименовать или даже удалить. Однако перед удалением учетной записи администратора убедитесь, что вы настроили альтернативную учетную запись локального администратора, настроенную перед удалением учетной записи, которая поставляется с устройствами Комнат Teams. Дополнительные сведения о том, как изменить пароль для локальной учетной записи Windows с помощью встроенных средств Windows или PowerShell, см. в следующих статьях:

• Настройка LAPS в комнатах Teams в Windows
• Изменение или сброс пароля Windows
• Set-LocalUser

Вы также можете импортировать учетные записи домена в локальную группу администраторов Windows с помощью Intune. Дополнительные сведения см. в разделе Policy CSP — RestrictedGroups..

Примечание.

Если вы используете комнаты Crestron Teams с подключенной к сети консолью, обязательно следуйте указаниям Crestron по настройке учетной записи Windows, используемой для связывания.

Осторожность

При удалении или отключении учетной записи администратора перед предоставлением разрешений локального администратора другой локальной учетной записи или учетной записи домена вы можете потерять возможность администрирования устройства Комнат Teams. В этом случае необходимо вернуть устройство к исходным параметрам и снова завершить процесс установки.

Не предоставляйте локальным администраторам разрешения для учетной записи пользователя Skype.

Конструктор конфигураций Windows можно использовать для создания пакетов подготовки Windows. Наряду с изменением пароля локального администратора можно также изменить имя компьютера и зарегистрироваться в Microsoft Entra ID. Дополнительные сведения о создании пакета подготовки конструктора конфигураций Windows см. в статье Пакеты подготовки для Windows 10.

Необходимо создать учетную запись ресурса для каждого устройства Комнат Teams, чтобы оно мож было входить в Teams. С этой учетной записью нельзя использовать интерактивную двухфакторную или многофакторную проверку подлинности пользователя. Если требуется второй фактор, учетная запись не сможет автоматически войти в приложение "Комнаты Teams" после перезагрузки. Кроме того, для защиты учетной записи ресурса можно развернуть политики условного доступа Microsoft Entra и политики соответствия Intune. Дополнительные сведения см. в разделах Поддерживаемые политики условного доступа и соответствия устройств Intune для комнат Microsoft Teams и Условный доступ и соответствие Intune для комнат Microsoft Teams.

Рекомендуется создать учетную запись ресурса с идентификатором Microsoft Entra, если это возможно, как облачную учетную запись. Хотя синхронизированная учетная запись может работать с комнатами Teams в гибридных развертываниях, эти синхронизированные учетные записи часто испытывают трудности со входом в комнаты Teams и могут быть трудно устранить неполадки. Если вы решили использовать стороннюю службу федерации для проверки подлинности учетных данных для учетной записи ресурса, убедитесь, что сторонний поставщик удостоверений ответит атрибутом wsTrustResponseurn:oasis:names:tc:SAML:1.0:assertion. Если ваша организация не хочет использовать WS-Trust, используйте вместо этого облачные учетные записи.

Безопасность сети

Как правило, к комнатам Teams предъявляют те же требования к сети, что и к любому клиенту Microsoft Teams. Доступ через брандмауэры и другие устройства безопасности для комнат Teams так же, как и для любого другого клиента Microsoft Teams. Категории, перечисленные как "обязательные" для Teams, должны быть открыты в брандмауэре. Комнатам Teams также требуется доступ к Центру обновления Windows, Microsoft Store и Microsoft Intune (если вы используете Microsoft Intune для управления устройствами). Полный список IP-адресов и URL-адресов, необходимых для комнат Microsoft Teams, см. в следующих разделах:

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common и Office Online: URL-адреса и диапазоны IP-адресов Office 365
• Настройка WSUSв Центре обновления Windows
• Предварительные требования Microsoft Store для Microsoft Store для бизнеса и образования
• Конечные точки сети Microsoft Intuneдля Microsoft Intune

Если вы используете компонент управляемых служб Комнат Microsoft Teams в Microsoft Teams Rooms Pro, вам также необходимо убедиться, что комнаты Teams могут получить доступ к следующим URL-адресам:

• agent.rooms.microsoft.com
• global.azure-devices-provisioning.net
• gj3ftstorage.blob.core.windows.net
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net

Клиентам GCC также потребуется включить следующие URL-адреса:

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

Комнаты Teams настроены таким образом, чтобы автоматически обновляться с помощью последних обновлений Windows, включая обновления для системы безопасности. Комнаты Teams устанавливают все ожидающие обновления каждый день, начиная с 2:00, используя предустановленную локальную политику. Нет необходимости использовать другие средства для развертывания и применения обновлений Windows. Использование других средств для развертывания и применения обновлений может отложить установку исправлений Windows и, таким образом, привести к менее безопасному развертыванию. Приложение "Комнаты Teams" развертывается с помощью Microsoft Store.

Устройства Комнат Teams работают с большинством протоколов безопасности 802.1X или других сетевых протоколов безопасности. Однако мы не можем протестировать комнаты Teams для всех возможных конфигураций безопасности сети. Таким образом, если возникают проблемы с производительностью, которые могут быть отследовано до проблем с производительностью сети, может потребоваться отключить эти протоколы.

Для оптимальной производительности мультимедиа в режиме реального времени настоятельно рекомендуется настроить трафик мультимедиа Teams для обхода прокси-серверов и других устройств безопасности сети. Мультимедиа в режиме реального времени очень чувствительны к задержкам, а прокси-серверы и устройства сетевой безопасности могут значительно снизить качество видео и звука пользователей. Кроме того, так как мультимедиа Teams уже зашифрованы, передача трафика через прокси-сервер не дает ощутимых преимуществ. Дополнительные сведения см. в статье Сеть (в облако) — точка зрения одного архитектора, в которой рассматриваются сетевые рекомендации по повышению производительности мультимедиа с помощью Microsoft Teams и комнат Microsoft Teams.

Важно!

Комнаты Teams не поддерживают прокси-серверы с проверкой подлинности.

Устройства Комнат Teams не должны подключаться к внутренней локальной сети. Рассмотрите возможность размещения комнат Teams в безопасном изолированном сегменте сети с прямым доступом в Интернет. Если ваша внутренняя локальная сеть скомпрометирована, возможности вектора атак в комнатах Teams будут сокращены.

Настоятельно рекомендуется подключить устройства Комнат Teams к проводной сети. Использование беспроводных сетей требует тщательного планирования и оценки для оптимального взаимодействия. Дополнительные сведения см. в разделе Рекомендации по беспроводной сети.

Присоединение к близкому расположению и другие функции комнат Teams зависят от Bluetooth. Однако реализация Bluetooth на устройствах Комнат Teams не позволяет подключить внешнее устройство к устройству Комнат Teams. Технология Bluetooth, используемая на устройствах Комнат Teams, в настоящее время ограничена рекламными маяками и запрашивает проксимальные подключения. Тип ADV_NONCONN_INT единицы данных протокола (PDU) используется в рекламном маяке. Этот тип PDU предназначен для несоединяемых устройств, рекламируя информацию на прослушивающее устройство. В рамках этих функций не выполняется связывание устройств Bluetooth. Дополнительные сведения о протоколах Bluetooth можно найти на веб-сайте Bluetooth SIG.

Комнаты Teams на Android

В этой статье не рассматриваются устройства Android, настроенные в режиме выделенного устройства Microsoft Endpoint Manager. Устройства Teams Android работают в режиме киоска по умолчанию. Сведения о терминале Android см. в разделе Регистрация выделенного устройства Android Enterprise.

Корпорация Майкрософт сотрудничает с нашими партнерами по изготовителям оборудования для предоставления решения, которое является безопасным и настраиваемым в соответствии с потребностями клиентов. В этой статье рассматриваются многие функции безопасности, доступные в устройствах Teams Android, и наш подход. Он разделен на четыре ключевых раздела для упрощения навигации.

Примечание.

Устройства Android в Microsoft Teams не должны рассматриваться как типичные устройства Android. Устройства Teams Android — это специально созданные устройства, предназначенные для использования с Teams и соответствующие варианты использования. Эта статья относится только к сертифицированным и выделенным устройствам Microsoft Teams под управлением операционной системы Android. Сертифицированные устройства Teams можно приобрести только у сертифицированных поставщиков OEM. Сведения о сертифицированных устройствах Android в Microsoft Teams см. в разделе Сертифицированные системы и периферийные устройства комнат Teams.

Для получения сведений о безопасности в комнатах Teams на устройствах с Windows выберите вкладку Комнаты Teams в Windows .

Безопасность программного обеспечения

Режим киоска Android

Устройства Teams Android заблокированы для запуска только утвержденных приложений, запустив устройство в режиме киоска Android. Режим киоска отключает доступ к любым возможностям средства запуска и помогает защитить устройство, чтобы авторизованные приложения запускались на устройстве.

Application Name	Описание приложения
Приложение Microsoft Teams для Android	Приложение для устройств Microsoft Teams
Агент администрирования Microsoft Teams	Удаленное управление в Центре администрирования Teams
Корпоративный портал Intune	Регистрация устройств, регистрация & вход
Агент партнера OEM	Приложение "Параметры устройства" для агента партнера oem &

По сути, приложение Microsoft Teams для Android запускается при запуске в режиме киоска Android и не предоставляет пользователю никакого доступа к операционной системе или компонентам за пределами указанного пользовательского интерфейса Teams.

Подписывание кода приложения

Все приложения Майкрософт и OEM подписываются кодом. Подписывание кода помогает убедиться, что программное обеспечение, работающее на устройстве, является подлинным от корпорации Майкрософт и наших партнеров по оборудованию. Подписывание кода также пытается проверить целостность программного обеспечения, выполняемого на устройстве, таким образом, чтобы запускать и запускать только подлинное программное обеспечение.

Сторонние приложения

На сертифицированных устройствах Teams нет Google Play Store, Amazon App Store или Google Play Services, установленных по дизайну. Это помогает гарантировать, что сторонние приложения не могут быть установлены из магазина на устройство.

Мост отладки Android

Мост отладки Android (ADB) отключается на всех устройствах Android Teams под управлением программного обеспечения выпуска. ADB — это программа командной строки, которая позволяет администраторам выполнять функции на устройствах под управлением Android, а также устанавливать приложения, получать доступ к оболочке устройства и другим функциям администрирования.

Шифрование файловой системы

Устройства Teams Android должны поддерживать шифрование на основе Android и могут применяться с помощью политик соответствия Microsoft Endpoint Manager. Для получения сведений о политиках соответствия Endpoint Manager используйте политики соответствия Endpoint Manager, чтобы задать правила для устройств, которыми вы управляете с помощью Intune.

Версия ОС Android

На устройствах Teams Android работают поддерживаемые версии Android. Операционная система Android управляется партнерами oem, объединяется в сертифицированное встроенное ПО Teams, а затем передается на устройства из Центра администрирования Teams. Сведения о том, какие версии Android запущены на устройствах Android Teams, см. в разделе [Сертифицированные устройства Android Microsoft Teams](android-app-firmware.md).

Обновления для системы безопасности Android

Поставщики OEM в рамках процесса обновления встроенного ПО включают соответствующие базовые показатели обновлений системы безопасности Android, чтобы обеспечить безопасность базовой операционной системы. Регулярное обновление устройств важно для обеспечения того, чтобы на ваших устройствах выполнялись соответствующие обновления для системы безопасности Android. Дополнительные сведения см. в разделе изготовителя устройства.

Безопасность учетной записи

Устройства Teams Android создаются на основе двух типов учетных записей, которые обеспечивают успешную работу устройства.

• Учетная запись локального администратора устройства

• Учетная запись пользователя или ресурса

Устройства Teams Android также совместимы с некоторыми политиками условного доступа, которые можно использовать в качестве дополнительных уровней безопасности для входа устройств. Рекомендации и поддерживаемые политики условного доступа см. в статье Поддерживаемые политики соответствия требованиям условного доступа.

Учетная запись локального администратора устройства

Устройства Android Teams включают учетную запись администратора для доступа к параметрам устройства, локальный веб-сервер, если он установлен, и любые параметры изготовителя оборудования.

Начальные элементы настройки и конфигурации устройства, такие как имя пользователя и пароль по умолчанию для этой учетной записи, можно получить у изготовителя устройства.

Осторожность

Обязательно измените пароль администратора локального устройства как можно скорее.

Кончик

Центр администрирования Teams можно использовать для изменения пароля локального администратора устройства, вошедшего в Систему Teams Android, применив профиль конфигурации. Этот подход рекомендуется использовать после первоначального входа устройства, чтобы защитить устройства Android с повышенными привилегиями. Функции с повышенными привилегиями могут включать параметры устройств и порталы веб-администрирования, если они поддерживаются.

Учетная запись пользователя или ресурса

Для входа в Microsoft 365 устройствам Teams Android требуется использовать учетную запись пользователя или выделенного ресурса. Мы пытаемся защитить эти учетные записи определенными способами, в зависимости от того, является ли это учетной записью пользователя для личного устройства или учетной записью ресурса для общего устройства. Дополнительные сведения см. в статье Создание и настройка учетных записей ресурсов для комнат и общих устройств.

Обновления устройств

Устройства Teams Android настроены для скачивания сертифицированных Майкрософт обновлений из Центра администрирования Teams, когда они становятся доступными. Эти обновления могут быть отправлены автоматически или вручную вызваны администратором. Сторонние средства от наших партнеров oem также доступны для выполнения этой функции при необходимости. Устройства Teams Android могут устанавливать обновления в нерабочее время, чтобы избежать влияния на пользователей. Расписания нерабочего времени можно настроить в Центре администрирования Teams или с помощью сторонних средств от партнеров oem.

Важно!

Корпорация Майкрософт рекомендует управлять встроенным ПО для всех устройств Teams Android через Центр администрирования Teams.

Безопасность сети

Устройства Teams Android имеют те же требования к сети, что и любой клиент Microsoft Teams, включая доступ через брандмауэры и другие устройства безопасности. В частности, категории, перечисленные как необходимые для Teams, должны быть открыты в брандмауэре вместе с другими вспомогательными службами, как указано ниже. Полный список IP-адресов и URL-адресов, необходимых для устройств Teams Android, см. в следующих разделах:

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common и Office Online : URL-адреса и диапазон IP-адресов Office 365

• Конечные точки сети Microsoft Intune для Microsoft Intune

Устройства Teams Android работают с большинством протоколов 802.1X и других сетевых протоколов безопасности. Однако мы не можем протестировать устройства Teams Android для всех конфигураций безопасности сети. Таким образом, если возникают проблемы с производительностью, которые могут быть отследовано до проблем с производительностью сети, вам может потребоваться отключить эти протоколы, если они настроены в вашей организации, или обратиться за помощью к партнеру по изготовителю оборудования.

Для оптимальной производительности мультимедиа в режиме реального времени настоятельно рекомендуется настроить трафик мультимедиа Teams для обхода прокси-серверов и других устройств безопасности сети. Мультимедиа в реальном времени чувствительны к задержке сети, которая может быть вызвана прокси-серверами и другими устройствами безопасности сети. Задержка в сети может значительно снизить качество видео и звука пользователей. Дополнительные сведения см. в статье Сетевые подключения (в облако) — точка зрения одного архитектора, в которой рассматриваются сетевые рекомендации по повышению производительности мультимедиа с помощью Microsoft Teams.

Устройства Teams Android используют зашифрованную связь и проверку подлинности конечной точки в Интернете. На устройствах Teams Android используется ПРОТОКОЛ TLS 1.2 и более поздних версий.

Важно!

Устройства Teams Android не поддерживают прокси-серверы с проверкой подлинности или ограничения клиента. Обратитесь к партнеру oem для получения сведений о поддержке прокси-сервера.

Устройствам Teams Android не нужно подключаться к внутренней локальной сети. Рассмотрите возможность размещения устройств Teams Android в безопасном сегменте сети с прямым доступом к Интернету. Например, телефоны Teams можно развернуть в голосовой виртуальной локальной сети. Если ваша внутренняя локальная сеть скомпрометирована, возможности вектора атаки на устройства Android Teams снижаются за счет реализации этого разделения сети.

Настоятельно рекомендуется подключить устройства Комнат Teams к проводной сети. Использование беспроводных сетей требует тщательного планирования и оценки для оптимального взаимодействия. Дополнительные сведения см. в разделе Рекомендации по беспроводной сети.

Близкое присоединение, улучшение совместной работы, приведение в Teams и связывание панелей Teams зависят от Bluetooth. Технология Bluetooth, используемая в комнатах Teams на устройствах Android, в настоящее время ограничена рекламными маяками и запрашивает проксимальные подключения. Тип ADV_NONCONN_INT единицы данных протокола (PDU) используется в рекламном маяке. Этот тип PDU предназначен для несоединяемых устройств, рекламируя информацию на прослушивающее устройство. В рамках этих функций не выполняется связывание устройств Bluetooth. Дополнительные сведения о протоколах Bluetooth можно найти на веб-сайте Bluetooth SIG.

Телефоны и дисплеи Teams предоставляют возможность связывания Bluetooth с гарнитурами с помощью профиля Hands-Free Bluetooth.

Дополнительные сведения о безопасности в Microsoft Teams см. в разделе Безопасность и Microsoft Teams.