Планирование и настройка расширенных политик шифрования

  • 5 мин

В ситуациях, когда требуется повышенный уровень конфиденциальности, Teams предлагает сквозное шифрование (E2EE) для личных звонков. Сквозное шифрование (E2EE) содержимого выполняется перед его отправкой, его может расшифровать только предполагаемый получатель. При сквозном шифровании только две системы конечных точек участвуют в шифровании и расшифровке данных вызова. Никакая другая сторона, включая Майкрософт, не имеет доступа к расшифрованной беседе.

По умолчанию Teams шифрует всю коммуникацию с помощью стандартных отраслевых технологий, таких как протоколы TLS и SRTP.

Сквозное шифрование для личных звонков в Microsoft Teams

При сквозном шифровании

  • Только две системы конечных точек участвуют в шифровании и расшифровке данных вызова

  • Никакая другая сторона, включая Майкрософт, не имеет доступа к расшифрованной беседе

  • Данные, которыми пользователи обмениваются во время звонков, всегда защищены при передаче и при хранении

Примечание

Сквозное шифрование недоступно, если в организации используется запись действий по обеспечению соответствия требованиям.

Что шифруется:

Во время звонка со сквозным шифрованием Teams защищает следующие функции:

  • "Audio" (Аудио);
  • "Video" (Видео);
  • Демонстрация экрана

Недоступные функции:

Во время звонка с использованием E2EE недоступны следующие расширенные функции:

  • автоматические субтитры и расшифровка;
  • передачу вызовов;
  • слияние вызовов;
  • Парковка вызовов
  • консультация с перенаправлением;
  • звонок компаньону и перенаправление на другое устройство;
  • добавление участника;
  • Запись

Настройка расширенных политик шифрования

Администратор Teams включает сквозное шифрование для организации, создавая одну или несколько расширенных политик шифрования, определяющих, кто может использовать сквозное шифрование.

В соответствии с глобальной стандартной политикой в пределах организации сквозное шифрование отключено. Пользователи вашей организации автоматически получают глобальную политику, если вы не создали и не назначили настраиваемую политику. Чтобы включить сквозное шифрование, создайте новую политику шифрования или измените глобальную стандартную политику

С помощью Центра администрирования Teams

Чтобы настроить сквозное шифрование с помощью Центра администрирования Teams, выполните следующие действия:

  1. Войдите в Центр администрирования Teams.

  2. Перейдите в раздел Расширенные политики шифрования.

  3. Выберите стандартную политику или нажмите кнопку "Добавить", чтобы добавить новую политику, а затем назовите ее.

  4. Чтобы включить сквозное шифрование для пользователей, выберите для параметра сквозного шифрования звонков значение Выключено, но пользователи могут включить и нажмите кнопку "Сохранить".

    Снимок экрана: расширенные политики шифрования в Центре администрирования Teams.

Завершив настройку политики, назначьте ее пользователям, группам или всему клиенту так же, как другие политики Teams.

С помощью Microsoft PowerShell

Вы можете управлять политиками сквозного шифрования с помощью командлетов Microsoft PowerShell:

  • Get-CsTeamsEnhancedEncryptionPolicy возвращает сведения о расширенных политиках шифрования Teams в организации.

  • Grant-CsTeamsEnhancedEncryptionPolicy назначает пользователю существующие расширенные политики шифрования и отменяет назначение. Используйте $NULL, чтобы отменить назначение всех политик пользователя.

  • New-CsTeamsEnhancedEncryptionPolicy создает новую расширенную политику шифрования Teams.

  • Remove-CsTeamsEnhancedEncryptionPolicy удаляет расширенную политику шифрования из вашей организации. Глобальную политику по умолчанию удалить нельзя.

  • Set-CsTeamsEnhancedEncryptionPolicy обновляет значения в существующей расширенной политике шифрования Teams.

Чтобы включить сквозное шифрование для всего клиента, задав глобальную стандартную политику, выполните командлет Set-CsTeamsEnhancedEncryptionPolicy:

Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride

Размещение звонков со сквозным шифрованием в клиенте Teams

После того как администратор включит сквозное шифрование, пользователям нужно включить звонки со сквозным шифрованием в параметрах Teams на своем устройстве. Каждому пользователю нужно выполнить эту задачу, но только на одном устройстве. Teams синхронизирует этот параметр во всех поддерживаемых конечных точках для каждого пользователя.

Перед звонком обоим пользователям нужно включить E2EE в клиенте Teams:

  1. В Teams выберите Дополнительные параметры рядом с аватаром и нажмите Параметры.

  2. Выберите Конфиденциальность слева, а затем включите переключатель Звонки со сквозным шифрованием.