безопасность Комнаты Microsoft Teams

• Применяется к:

  Microsoft Teams

В этой статье содержатся рекомендации по безопасности для устройств Комнаты Microsoft Teams на устройствах с Windows и Android. Это руководство содержит сведения о безопасности оборудования, программного обеспечения, сети и учетных записей.

Перейдите на вкладку Комнаты Teams в Windows или Комнаты Teams для Android, чтобы получить дополнительные сведения о безопасности комнат Teams на устройстве.

Комнаты Teams в Windows

Корпорация Майкрософт совместно с нашими партнерами предоставляет безопасное решение, которое не требует дополнительных действий для защиты Комнаты Microsoft Teams в Windows. В этом разделе рассматриваются многие функции безопасности, доступные в Комнаты Teams в Windows.

Для получения сведений о безопасности на Комнаты Teams на устройствах Android выберите Комнаты Teams на вкладке Android.

Примечание.

Комнаты Microsoft Teams не следует рассматривать как обычную рабочую станцию конечного пользователя. Мало того, что варианты использования значительно отличаются, но и профили безопасности по умолчанию также сильно отличаются, мы рекомендуем рассматривать их как устройства. Установка дополнительного программного обеспечения на устройствах Комнаты Teams не поддерживается корпорацией Майкрософт. Эта статья относится к Комнаты Microsoft Teams устройствам под управлением Windows.

Ограниченные данные конечных пользователей хранятся в Комнаты Teams. Данные конечного пользователя могут храниться в файлах журнала только для устранения неполадок и поддержки. Участники собрания, использующие Комнаты Teams, не могут копировать файлы на жесткий диск или выполнять вход самостоятельно. Данные конечного пользователя не передаются на устройство Комнаты Microsoft Teams или не могут быть доступны ей.

Несмотря на то, что конечные пользователи не могут поместить файлы на Комнаты Teams жесткий диск, Microsoft Defender по-прежнему включен из коробки. Комнаты Teams производительность проверяется с помощью Microsoft Defender, включая регистрацию на портале Defender для конечной точки. Отключение этого или добавление программного обеспечения для обеспечения безопасности конечных точек может привести к непредсказуемым результатам и потенциальному ухудшению работы системы.

Безопасность оборудования

В Комнаты Teams среде есть центральный вычислительный модуль, который выполняется Windows 10 или 11 Выпуск IoT Enterprise. Каждый сертифицированный вычислительный модуль должен иметь безопасное решение для подключения, слот блокировки безопасности (например, блокировка Kensington) и меры безопасности доступа к портам ввода-вывода, чтобы предотвратить подключение несанкционированных устройств. Вы также можете отключить определенные порты с помощью конфигурации UEFI.

Каждый сертифицированный вычислительный модуль должен поставляться с технологией, совместимой с доверенным платформенным модулем (TPM) 2.0, включенной по умолчанию. TPM используется для шифрования сведений для входа для учетной записи ресурса Комнаты Teams.

Безопасная загрузка включена по умолчанию. Безопасная загрузка — это стандарт безопасности, разработанный представителями индустрии компьютеров, чтобы убедиться, что устройство загружается с использованием только программного обеспечения, которому доверяет изготовитель оборудования (OEM). При запуске компьютера встроенное ПО проверяет сигнатуру каждого элемента загрузочного программного обеспечения, включая драйверы встроенного ПО UEFI (также известные как Option ROM), приложения EFI и операционную систему. Если сигнатуры действительны, компьютер загружается, а встроенное ПО предоставляет управление операционной системе. Дополнительные сведения см. в статье Безопасная загрузка.

Доступ к параметрам UEFI возможен только путем подключения физической клавиатуры и мыши, что предотвращает доступ к UEFI через консоль Комнаты Teams с поддержкой сенсорного ввода или любые другие сенсорные дисплеи, подключенные к Комнаты Teams.

Защита ядра с прямым доступом к памяти (DMA) — это параметр Windows, который включен Комнаты Teams. С помощью этой функции ОС и встроенное ПО системы защищают систему от вредоносных и непреднамеренных атак DMA для всех устройств с поддержкой DMA:

• Во время загрузки.

• Защита от вредоносных DMA на устройствах, подключенных к легкодоступным внутренним или внешним портам с поддержкой DMA, таким как слоты PCIe M.2 и Thunderbolt 3, во время выполнения ОС.

Комнаты Teams также обеспечивает целостность кода, защищенную гипервизором (HVCI). Одной из функций, предоставляемых HVCI, является Credential Guard. Credential Guard предоставляет следующие преимущества:

• Безопасность оборудования NTLM, Kerberos и Credential Manager используют функции безопасности платформы, включая безопасную загрузку и виртуализацию, для защиты учетных данных.

• Безопасность на основе виртуализации Учетные данные Windows NTLM и Kerberos и другие секреты выполняются в защищенной среде, изолированной от работающей операционной системы.

• Улучшенная защита от сложных постоянных угроз Когда учетные данные домена диспетчера учетных данных, производные от NTLM и Kerberos, защищены с помощью защиты на основе виртуализации, методы атаки на кражу учетных данных и средства, используемые во многих целевых атаках, блокируются. Вредоносные программы, работающие в операционной системе с правами администратора, не могут извлекать секреты, защищенные безопасностью на основе виртуализации.

Безопасность программного обеспечения

После загрузки Microsoft Windows Комнаты Teams автоматически войдет в локальную учетную запись пользователя Windows с именем Skype. У учетной записи Skype нет пароля. Чтобы обеспечить безопасность сеанса учетной записи Skype, необходимо выполнить следующие действия.

Важно!

Не изменяйте пароль и не изменяйте локальную учетную запись пользователя Skype. Это может предотвратить автоматический вход Комнаты Teams.

Приложение Комнаты Microsoft Teams выполняется с помощью функции назначенного доступа, которая доступна в Windows 10 1903 и более поздних версиях. Назначенный доступ — это функция Windows, которая ограничивает точки входа приложений, предоставляемые пользователю, и включает режим киоска с одним приложением. С помощью средства запуска оболочки Комнаты Teams настраивается как устройство киоска, которое запускает классическое приложение Windows в качестве пользовательского интерфейса. Приложение Комнаты Microsoft Teams заменяет оболочку по умолчанию (explorer.exe), которая обычно выполняется при входе пользователя. Другими словами, традиционная оболочка Обозреватель вообще не запускается, что значительно снижает Комнаты Microsoft Teams уязвимости в Windows. Дополнительные сведения см. в статье Настройка киосков и цифровых знаков в классических выпусках Windows.

Если вы решили запустить проверку безопасности или производительность Центра интернет-безопасности (CIS) на Комнаты Teams, проверка может выполняться только в контексте учетной записи локального администратора, так как учетная запись пользователя Skype не поддерживает запущенные приложения, кроме приложения Комнаты Teams. Многие функции безопасности, применяемые к контексту пользователя Skype, не применяются к другим локальным пользователям, и, как следствие, эти проверки безопасности не отображают полную блокировку безопасности, примененную к учетной записи Skype. Поэтому не рекомендуется выполнять локальную проверку на Комнаты Teams. Однако при желании можно выполнить внешние тесты на проникновение. По этой причине рекомендуется выполнять внешние тесты на проникновение на Комнаты Teams устройства, а не выполнять локальные проверки.

Кроме того, политики блокировки применяются для ограничения использования неадминистративных функций. Фильтр клавиатуры включен для перехвата и блокировки потенциально небезопасных сочетаний клавиатуры, которые не охватываются политиками назначенного доступа. Только пользователи с правами администратора локального или доменного домена могут входить в Windows для управления Комнаты Teams. Эти и другие политики, применяемые к Windows на Комнаты Microsoft Teams устройствах, постоянно оцениваются и тестируются в течение жизненного цикла продукта.

Microsoft Defender включена нестандартно, лицензия на Комнаты Teams Pro также включает Defender для конечной точки, которая позволяет клиентам регистрировать свои Комнаты Teams в Defender для конечной точки, чтобы группы безопасности могли видеть состояние безопасности комнаты Teams на устройствах Windows с портала Defender. Комнаты Teams в Windows можно зарегистрировать, выполнив действия для устройств Windows. Мы не рекомендуем изменять Комнаты Teams с помощью правил защиты (или других политик Defender, которые вносят изменения в конфигурацию), так как эти политики могут повлиять на функциональность Комнаты Teams, однако функциональность отчетов на портале поддерживается.

Безопасность учетной записи

Комнаты Teams устройства включают учетную запись администратора с именем "Администратор" с паролем по умолчанию. Настоятельно рекомендуется изменить пароль по умолчанию как можно скорее после завершения настройки.

Учетная запись Администратор не требуется для правильной работы Комнаты Teams устройств и может быть переименована или даже удалена. Однако перед удалением учетной записи Администратор убедитесь, что вы настроили альтернативную учетную запись локального администратора, настроенную перед удалением учетной записи, которая поставляется с Комнаты Teams устройствами. Дополнительные сведения о том, как изменить пароль для локальной учетной записи Windows с помощью встроенных средств Windows или PowerShell, см. в следующих статьях:

• Настройка LAPS в Комнаты Teams в Windows
• Изменение или сброс пароля Windows
• Set-LocalUser

Вы также можете импортировать учетные записи домена в локальную группу администраторов Windows с помощью Intune. Дополнительные сведения см. в разделе Policy CSP — RestrictedGroups..

Примечание.

Если вы используете Комнаты Teams Crestron с подключенной к сети консолью, обязательно следуйте инструкциям Crestron по настройке учетной записи Windows, используемой для связывания.

Осторожностью

При удалении или отключении учетной записи Администратор перед предоставлением разрешений локального администратора другой локальной учетной записи или учетной записи домена вы можете потерять возможность администрирования Комнаты Teams устройства. В этом случае необходимо вернуть устройство к исходным параметрам и снова завершить процесс установки.

Не предоставляйте локальным администраторам разрешения для учетной записи пользователя Skype.

Designer конфигурации Windows можно использовать для создания пакетов подготовки Windows. Наряду с изменением локального пароля Администратор вы также можете изменить имя компьютера и зарегистрироваться в Microsoft Entra ID. Дополнительные сведения о создании пакета подготовки конфигурации Windows Designer см. в разделе Пакеты подготовки для Windows 10.

Необходимо создать учетную запись ресурса для каждого Комнаты Teams устройства, чтобы оно можо входить в Teams. С этой учетной записью нельзя использовать интерактивную двухфакторную или многофакторную проверку подлинности пользователя. Если требуется второй фактор, учетная запись не сможет автоматически войти в приложение Комнаты Teams после перезагрузки. Кроме того, Microsoft Entra политики условного доступа и политики соответствия Intune можно развернуть для защиты учетной записи ресурса. Дополнительные сведения см. в разделах Поддерживаемый условный доступ и Intune политики соответствия устройств для Комнаты Microsoft Teams и условный доступ и соответствие Intune для Комнаты Microsoft Teams.

Мы рекомендуем создать учетную запись ресурса в Microsoft Entra ID, если это возможно, как облачную учетную запись. Хотя синхронизированная учетная запись может работать с Комнаты Teams в гибридных развертываниях, эти синхронизированные учетные записи часто испытывают трудности со входом в Комнаты Teams и могут быть трудно устранить неполадки. Если вы решили использовать стороннюю службу федерации для проверки подлинности учетных данных для учетной записи ресурса, убедитесь, что сторонний поставщик удостоверений ответит атрибутом wsTrustResponseurn:oasis:names:tc:SAML:1.0:assertion. Если ваша организация не хочет использовать WS-Trust, используйте вместо этого облачные учетные записи.

Безопасность сети

Как правило, Комнаты Teams предъявляет те же требования к сети, что и любой клиент Microsoft Teams. Доступ через брандмауэры и другие устройства безопасности для Комнаты Teams так же, как и для любого другого клиента Microsoft Teams. Специфичные для Комнаты Teams, категории, перечисленные как "обязательные" для Teams, должны быть открыты в брандмауэре. Комнаты Teams также требуется доступ к клиентский компонент Центра обновления Windows, Microsoft Store и Microsoft Intune (если вы используете Microsoft Intune для управления устройствами). Полный список IP-адресов и URL-адресов, необходимых для Комнаты Microsoft Teams, см. в следующих разделах:

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common и Office OnlineOffice 365 URL-адреса и диапазоны IP-адресов
• клиентский компонент Центра обновления WindowsНастройка WSUS
• Предварительные требования Microsoft Store для Microsoft Store для бизнеса и образования
• Microsoft IntuneСетевые конечные точки для Microsoft Intune

Если вы используете компонент Комнаты Microsoft Teams управляемых служб Комнаты Microsoft Teams Pro, необходимо также убедиться, что Комнаты Teams могут получить доступ к следующим URL-адресам:

• agent.rooms.microsoft.com
• global.azure-devices-provisioning.net
• gj3ftstorage.blob.core.windows.net
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net

Клиентам GCC также потребуется включить следующие URL-адреса:

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

Комнаты Teams настроен так, чтобы автоматически обновляться с помощью последних обновлений Windows, включая обновления для системы безопасности. Комнаты Teams устанавливает все ожидающие обновления каждый день, начиная с 2:00, используя предустановленную локальную политику. Нет необходимости использовать другие средства для развертывания и применения Windows Обновления. Использование других средств для развертывания и применения обновлений может отложить установку исправлений Windows и, таким образом, привести к менее безопасному развертыванию. Приложение Комнаты Teams развертывается с помощью Microsoft Store.

Комнаты Teams устройства работают с большинством протоколов безопасности 802.1X или других сетевых протоколов безопасности. Однако мы не можем протестировать Комнаты Teams для всех возможных конфигураций безопасности сети. Таким образом, если возникают проблемы с производительностью, которые могут быть отследовано до проблем с производительностью сети, может потребоваться отключить эти протоколы.

Для оптимальной производительности мультимедиа в режиме реального времени настоятельно рекомендуется настроить трафик мультимедиа Teams для обхода прокси-серверов и других устройств безопасности сети. Мультимедиа в режиме реального времени очень чувствительны к задержкам, а прокси-серверы и устройства сетевой безопасности могут значительно снизить качество видео и звука пользователей. Кроме того, так как мультимедиа Teams уже зашифрованы, передача трафика через прокси-сервер не дает ощутимых преимуществ. Дополнительные сведения см. в статье Сетевые подключения (в облако) — точка зрения одного архитектора, в которой рассматриваются сетевые рекомендации по повышению производительности мультимедиа с помощью Microsoft Teams и Комнаты Microsoft Teams.

Важно!

Комнаты Teams не поддерживает прокси-серверы с проверкой подлинности.

Комнаты Teams устройствам не нужно подключаться к внутренней локальной сети. Рассмотрите возможность размещения Комнаты Teams в безопасном изолированном сегменте сети с прямым доступом в Интернет. Если внутренняя локальная сеть скомпрометирована, возможности вектора атаки в сторону Комнаты Teams уменьшаются.

Настоятельно рекомендуется подключить устройства Комнаты Teams к проводной сети. Использование беспроводных сетей требует тщательного планирования и оценки для оптимального взаимодействия. Дополнительные сведения см. в разделе Рекомендации по беспроводной сети.

Присоединение к близкому расположению и другие функции Комнаты Teams используют Bluetooth. Однако реализация Bluetooth на Комнаты Teams устройствах не позволяет подключить внешнее устройство к Комнаты Teams устройству. Технология Bluetooth, используемая на Комнаты Teams устройствах, в настоящее время ограничена рекламными маяками и запрашивает проксимальные подключения. Тип ADV_NONCONN_INT единицы данных протокола (PDU) используется в рекламном маяке. Этот тип PDU предназначен для несоединяемых устройств, рекламируя информацию на прослушивающее устройство. В рамках этих функций не выполняется связывание устройств Bluetooth. Дополнительные сведения о протоколах Bluetooth можно найти на веб-сайте Bluetooth SIG.

Комнаты Teams на Android

В этой статье не рассматриваются устройства Android, настроенные в режиме выделенного устройства Microsoft Endpoint Manager. Устройства Teams Android работают в режиме киоска по умолчанию. Сведения о терминале Android см. в разделе Регистрация выделенного устройства Android Enterprise.

Корпорация Майкрософт сотрудничает с нашими партнерами по изготовителям оборудования для предоставления решения, которое является безопасным и настраиваемым в соответствии с потребностями клиентов. В этой статье рассматриваются многие функции безопасности, доступные в устройствах Teams Android, и наш подход. Он разделен на четыре ключевых раздела для упрощения навигации.

Примечание.

Устройства Android в Microsoft Teams не должны рассматриваться как типичные устройства Android. Устройства Teams Android — это специально созданные устройства, предназначенные для использования с Teams и соответствующие варианты использования. Эта статья относится только к сертифицированным и выделенным устройствам Microsoft Teams под управлением операционной системы Android. Сертифицированные устройства Teams можно приобрести только у сертифицированных поставщиков OEM. Сведения о сертифицированных устройствах Android в Microsoft Teams см. в разделе Комнаты Teams сертифицированных систем и периферийных устройств.

Для получения сведений о безопасности на устройствах Windows Комнаты Teams выберите Комнаты Teams на вкладке Windows.

Безопасность программного обеспечения

Режим киоска Android

Устройства Teams Android заблокированы для запуска только утвержденных приложений, запустив устройство в режиме киоска Android. Режим киоска отключает доступ к любым возможностям средства запуска и помогает защитить устройство, чтобы авторизованные приложения запускались на устройстве.

Application Name	Описание приложения
Приложение Microsoft Teams для Android	Приложение для устройств Microsoft Teams
Агент Администратор Microsoft Teams	Удаленное управление в Центре администрирования Teams
Корпоративный портал Intune	Регистрация устройств, регистрация & вход
Агент партнера OEM	Приложение "Параметры устройства" для агента партнера oem &

По сути, приложение Microsoft Teams для Android запускается при запуске в режиме киоска Android и не предоставляет пользователю никакого доступа к операционной системе или компонентам за пределами указанного пользовательского интерфейса Teams.

Подписывание кода приложения

Все приложения Майкрософт и OEM подписываются кодом. Подписывание кода помогает убедиться, что программное обеспечение, работающее на устройстве, является подлинным от корпорации Майкрософт и наших партнеров по оборудованию. Подписывание кода также пытается проверить целостность программного обеспечения, выполняемого на устройстве, таким образом, чтобы запускать и запускать только подлинное программное обеспечение.

Сторонние приложения

На сертифицированных устройствах Teams не установлены Google Play Store, Amazon App Store или Google Play Services. Это помогает гарантировать, что сторонние приложения не могут быть установлены из магазина на устройство.

Мост отладки Android

Мост отладки Android (ADB) отключается на всех устройствах Android Teams под управлением программного обеспечения выпуска. ADB — это программа командной строки, которая позволяет администраторам выполнять функции на устройствах под управлением Android, а также устанавливать приложения, получать доступ к оболочке устройства и другим функциям администрирования.

Шифрование файловой системы

Устройства Teams Android должны поддерживать шифрование на основе Android и могут применяться с помощью политик соответствия Microsoft Endpoint Manager. Для получения сведений о политиках соответствия Endpoint Manager используйте политики соответствия Endpoint Manager, чтобы задать правила для устройств, которыми вы управляете с помощью Intune.

Версия ОС Android

На устройствах Teams Android работают поддерживаемые версии Android. Операционная система Android управляется партнерами oem, объединяется в сертифицированное встроенное ПО Teams, а затем передается на устройства из Центра администрирования Teams. Сведения о том, какие версии Android запущены на устройствах Android Teams, см. в разделе [Сертифицированные устройства Android Microsoft Teams](android-app-firmware.md).

Обновления для системы безопасности Android

Поставщики OEM в рамках процесса обновления встроенного ПО включают соответствующие базовые показатели обновлений системы безопасности Android, чтобы обеспечить безопасность базовой операционной системы. Регулярное обновление устройств важно для обеспечения того, чтобы на ваших устройствах выполнялись соответствующие обновления для системы безопасности Android. Дополнительные сведения см. в разделе изготовителя устройства.

Безопасность учетной записи

Устройства Teams Android создаются на основе двух типов учетных записей, которые обеспечивают успешную работу устройства.

• Учетная запись локального администратора устройства

• Учетная запись пользователя или ресурса

Устройства Teams Android также совместимы с некоторыми политиками условного доступа, которые можно использовать в качестве дополнительных уровней безопасности для входа устройств. Рекомендации и поддерживаемые политики условного доступа см. в статье Поддерживаемые политики соответствия требованиям условного доступа.

Учетная запись локального администратора устройства

Устройства Android Teams включают учетную запись администратора для доступа к параметрам устройства, локальный веб-сервер, если он установлен, и любые параметры изготовителя оборудования.

Начальные элементы настройки и конфигурации устройства, такие как имя пользователя и пароль по умолчанию для этой учетной записи, можно получить у изготовителя устройства.

Осторожностью

Обязательно измените пароль администратора локального устройства как можно скорее.

Совет

Центр администрирования Teams можно использовать для изменения пароля локального администратора устройства, вошедшего в Систему Teams Android, применив профиль конфигурации. Этот подход рекомендуется использовать после первоначального входа устройства, чтобы защитить устройства Android с повышенными привилегиями. Функции с повышенными привилегиями могут включать параметры устройств и порталы веб-администрирования, если они поддерживаются.

Учетная запись пользователя или ресурса

Для входа в Microsoft 365 устройствам Teams Android требуется использовать учетную запись пользователя или выделенного ресурса. Мы пытаемся защитить эти учетные записи определенными способами, в зависимости от того, является ли это учетной записью пользователя для личного устройства или учетной записью ресурса для общего устройства. Дополнительные сведения см. в статье Создание и настройка учетных записей ресурсов для комнат и общих устройств.

Обновления устройств

Устройства Teams Android настроены для скачивания сертифицированных Майкрософт обновлений из Центра администрирования Teams, когда они становятся доступными. Эти обновления могут быть отправлены автоматически или вручную вызваны администратором. Сторонние средства от наших партнеров oem также доступны для выполнения этой функции при необходимости. Устройства Teams Android могут устанавливать обновления в нерабочее время, чтобы избежать влияния на пользователей. Расписания нерабочего времени можно настроить в Центре администрирования Teams или с помощью сторонних средств от партнеров oem.

Важно!

Корпорация Майкрософт рекомендует управлять встроенным ПО для всех устройств Teams Android через Центр администрирования Teams.

Безопасность сети

Устройства Teams Android имеют те же требования к сети, что и любой клиент Microsoft Teams, включая доступ через брандмауэры и другие устройства безопасности. В частности, категории, перечисленные как необходимые для Teams, должны быть открыты в брандмауэре вместе с другими вспомогательными службами, как указано ниже. Полный список IP-адресов и URL-адресов, необходимых для устройств Teams Android, см. в следующих разделах:

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common и Office Online Office 365 URL-адреса и диапазон IP-адресов

• конечные точки сети Microsoft Intune для Microsoft Intune

Устройства Teams Android работают с большинством протоколов 802.1X и других сетевых протоколов безопасности. Однако мы не можем протестировать устройства Teams Android для всех конфигураций безопасности сети. Таким образом, если возникают проблемы с производительностью, которые могут быть отследовано до проблем с производительностью сети, вам может потребоваться отключить эти протоколы, если они настроены в вашей организации, или обратиться за помощью к партнеру по изготовителю оборудования.

Для оптимальной производительности мультимедиа в режиме реального времени настоятельно рекомендуется настроить трафик мультимедиа Teams для обхода прокси-серверов и других устройств безопасности сети. Мультимедиа в реальном времени чувствительны к задержке сети, которая может быть вызвана прокси-серверами и другими устройствами безопасности сети. Задержка в сети может значительно снизить качество видео и звука пользователей. Дополнительные сведения см. в статье Сетевые подключения (в облако) — точка зрения одного архитектора, в которой рассматриваются сетевые рекомендации по повышению производительности мультимедиа с помощью Microsoft Teams.

Устройства Teams Android используют зашифрованную связь и проверку подлинности конечной точки в Интернете. На устройствах Teams Android используется ПРОТОКОЛ TLS 1.2 и более поздних версий.

Важно!

Устройства Teams Android не поддерживают прокси-серверы с проверкой подлинности или ограничения клиента. Обратитесь к партнеру oem для получения сведений о поддержке прокси-сервера.

Устройствам Teams Android не нужно подключаться к внутренней локальной сети. Рассмотрите возможность размещения устройств Teams Android в безопасном сегменте сети с прямым доступом к Интернету. Например, телефоны Teams можно развернуть в голосовой виртуальной локальной сети. Если ваша внутренняя локальная сеть скомпрометирована, возможности вектора атаки на устройства Android Teams снижаются за счет реализации этого разделения сети.

Настоятельно рекомендуется подключить устройства Комнаты Teams к проводной сети. Использование беспроводных сетей требует тщательного планирования и оценки для оптимального взаимодействия. Дополнительные сведения см. в разделе Рекомендации по беспроводной сети.

Близкое присоединение, улучшение совместной работы, приведение в Teams и связывание панелей Teams зависят от Bluetooth. Технология Bluetooth, используемая на Комнаты Teams на устройствах Android, в настоящее время ограничена рекламными маяками и запрашивает проксимальные подключения. Тип ADV_NONCONN_INT единицы данных протокола (PDU) используется в рекламном маяке. Этот тип PDU предназначен для несоединяемых устройств, рекламируя информацию на прослушивающее устройство. В рамках этих функций не выполняется связывание устройств Bluetooth. Дополнительные сведения о протоколах Bluetooth можно найти на веб-сайте Bluetooth SIG.

Телефоны и дисплеи Teams предоставляют возможность связывания Bluetooth с гарнитурами с помощью профиля Hands-Free Bluetooth.

Дополнительные сведения о безопасности в Microsoft Teams см. в разделе Безопасность и Microsoft Teams.