共用方式為


Microsoft Teams 會議室 安全性

本文提供 Windows 和 Android 裝置上 Microsoft Teams 會議室 裝置的安全性指導方針。 此指導方針包含有關硬體、軟體、網路和帳戶安全性的資訊。

取 Windows 或 Android 版 Teams 會議室 上的[Teams 會議室] 索引卷標,以取得有關您裝置上 Teams 會議室安全性的資訊。

Microsoft與我們的合作夥伴合作,提供安全且不需要額外動作來保護 Windows 上 Microsoft Teams 會議室 的解決方案。 本節討論 Windows Teams 會議室 中找到的許多安全性功能。

如需 Android 裝置上 Teams 會議室 安全性的相關信息,請選取 [Android] 索引標籤上的 [Teams 會議室]。

注意事項

Microsoft Teams 會議室 不應視為一般的使用者工作站。 不僅使用案例有很大的不同,預設的安全性配置檔也有很大的不同,建議您將它們視為設備。 Microsoft不支援在您的 Teams 會議室 裝置上安裝其他軟體。 本文適用於在 Windows 上執行 Microsoft Teams 會議室 裝置。

有限的用戶數據會儲存在 Teams 會議室 上。 用戶數據可能儲存在記錄檔中,僅供疑難解答和支援。 使用 Teams 會議室 會議的出席者無法將檔案複製到硬碟或自行登入。 系統不會將用戶數據傳輸至 Microsoft Teams 會議室 裝置,或無法存取該裝置。

雖然使用者無法將檔案放在 Teams 會議室 硬碟上,Microsoft Defender 仍會隨即啟用。 Teams 會議室 效能是透過 Microsoft Defender 測試,包括註冊到Defender for Endpoint入口網站。 停用此功能或新增端點安全性軟體可能會導致無法預期的結果和潛在的系統降級。

硬體安全性

在 Teams 會議室 環境中,有一個執行 Windows 10 或 11 IoT 企業版的中央計算模組。 每個通過認證的計算模組都必須有安全安裝解決方案、安全性鎖定插槽 (例如,對通通鎖定) ,以及 I/O 埠存取安全性措施,以防止未經授權的裝置連線。 您也可以透過整合可擴展韌體介面 (UEFI) 設定停用特定埠。

每個認證的計算模組都必須隨附信賴平臺模組 (TPM) 預設啟用 2.0 相容技術。 TPM 可用來加密 Teams 會議室 資源帳戶的登入資訊。

默認會啟用安全開機。 安全開機是計算機產業成員所開發的安全性標準,可協助確保裝置僅使用原始設備製造商 (OEM) 信任的軟體來啟動裝置。 計算機啟動時,韌體會檢查每一個開機軟體的簽章,包括 UEFI 韌體驅動程式 (也稱為 Option ROM) 、EFI 應用程式和作業系統。 如果簽章有效,計算機就會啟動,而韌體則會對操作系統進行控制。 如需詳細資訊,請參閱 安全開機

只有連接實體鍵盤和滑鼠,才能存取 UEFI 設定,這可防止您透過 Teams 會議室 觸控式主機或連接到 Teams 會議室 的任何其他觸控式顯示器存取 UEFI。

內核直接記憶體存取 (DMA) 保護是已在 Teams 會議室 啟用的 Windows 設定。 使用此功能,操作系統和系統韌體可保護系統,避免所有支援 DMA 的裝置遭受惡意和非預期的 DMA 攻擊:在開機程式期間,以及由連接到容易存取內部/外部 DMA 功能埠的裝置,例如 M.2 PCIe 插槽和 Thunderbolt 3,在操作系統運行時間期間對惡意 DMA 進行攻擊。

Teams 會議室 也啟用受 Hypervisor 保護的程式代碼完整性 (HVCI) 。 HVCI 提供的其中一項功能是 Credential Guard。 Credential Guard 提供下列優點:

  • 硬體安全性 NTLM、Kerberos 和認證管理員利用平臺安全性功能,包括安全開機和虛擬化,以保護認證。

  • 虛擬化型安全性 Windows NTLM 和 Kerberos 衍生認證和其他機密會在與執行中操作系統隔離的受保護環境中執行。

  • 針對進階持續性威脅提供更佳的保護 當 Credential Manager 網域認證、NTLM 和 Kerberos 衍生認證使用虛擬化型安全性受到保護時,會封鎖認證竊取攻擊技術和許多目標攻擊中使用的工具。 在操作系統中以系統管理許可權執行的惡意代碼無法擷取受到虛擬化型安全性保護的機密。

軟體安全性

Microsoft Windows 啟動之後,Teams 會議室 自動登入名為 Skype 的本機 Windows 用戶帳戶。 Skype 帳戶沒有密碼。 若要確保 Skype 帳戶會話的安全,請執行下列步驟。

重要

請勿變更密碼或編輯本機 Skype 用戶帳戶。 這麼做可以防止 Teams 會議室 自動登入。

Microsoft Teams 會議室 應用程式會使用 Windows 10 1903 和更新版本中的 [指派存取] 功能執行。 指派的 Access 是 Windows 中的一項功能,可限制向使用者公開的應用程式進入點,並啟用單一應用程式 kiosk 模式。 使用 Shell Launcher,Teams 會議室 設定為 kiosk 裝置,以執行 Windows 桌面應用程式做為使用者介面。 Microsoft Teams 會議室 應用程式會取代使用者登入時通常會執行的預設殼層 (explorer.exe) 。 換句話說,傳統的檔案總管殼層完全無法啟動,這會大幅降低 Windows 中 Microsoft Teams 會議室 弱點。 如需詳細資訊,請參閱在 Windows 桌面版上設定 kiosk 和數位符號

如果您決定執行安全性掃描或因特網安全性中心 (CIS) Teams 會議室 基準,掃描只能在本機系統管理員帳戶的內容下執行,因為Skype用戶帳戶不支援執行 Teams 會議室 應用程式以外的應用程式。 許多套用至 Skype 使用者內容的安全性功能不適用於其他本機使用者,因此這些安全性掃描不會顯示套用至 Skype 帳戶的完整安全性鎖定。 因此,我們不建議在 Teams 會議室 上執行本機掃描。 不過,如有需要,您可以執行外部測試。 由於此設定,建議您針對 Teams 會議室 裝置執行外部測驗,而不是執行本機掃描。

此外,鎖定原則會套用以限制非系統管理功能的使用。 已啟用鍵盤篩選器來截距並封鎖可能不安全的鍵盤組合,但指派的存取原則未涵蓋這些組合。 只有具有本機或網域系統管理許可權的使用者才有權登入 Windows 以管理 Teams 會議室。 在 Microsoft Teams 會議室 裝置上套用至 Windows 的這些原則及其他原則會在產品生命週期期間持續受到評估和測試。

Microsoft Defender 隨即啟用。 Teams 會議室專業版 授權也包含端點的Defender,可讓客戶將其 Teams 會議室 註冊為 Endpoint 的Defender。 此註冊可讓安全性小組從 Defender 入口網站,讓安全性團隊能夠看到 Windows 裝置上 Teams 會議室的安全性狀態。 您可以依照 Windows 裝置的步驟註冊 Windows 上的 Teams 會議室。 我們不建議使用保護規則 (或其他) 變更組態的原則來修改 Teams 會議室,因為這些原則可能會影響 Teams 會議室 功能,但是支援在入口網站中報告功能。

帳戶安全性

Teams 會議室 裝置包含一個名為「管理員」的系統管理帳戶,並具有默認密碼。 我們強烈建議您在完成設定后儘快變更默認密碼。

管理員 帳戶不需要適當操作 Teams 會議室 裝置,也可以重新命名或甚至刪除。 不過,在刪除 管理員 帳戶之前,請務必先設定替代的本機系統管理員帳戶,再移除隨附於 Teams 會議室 裝置的帳戶。 如需如何使用內建 Windows 工具或 PowerShell 變更本機 Windows 帳戶密碼的詳細資訊,請參閱下列指南:

您也可以使用 Intune 將網域帳戶匯入本機 Windows 系統管理員群組。 如需詳細資訊,請參閱 原則雲端解決方案提供者 – RestrictedGroups.

注意事項

如果您將 Cresctor Teams 會議室 與網路連線主機搭配使用,請確定您遵循 Cresctor 的指引,瞭解如何設定用於配對的 Windows 帳戶。

謹慎

如果您在將本機系統管理員許可權授與另一個本機或網域帳戶之前刪除或停用 管理員 帳戶,您可能會失去管理 Teams 會議室 裝置的能力。 如果發生這種情況,您將需要將裝置重設回其原始設定,然後再次完成設定程式。

請勿將本機系統管理員許可權授與 Skype 用戶帳戶。

Windows 設定 Designer 可用於建立 Windows 布建套件。 除了變更本機 管理員 密碼,您也可以執行變更計算機名稱和註冊 Microsoft Entra ID 等動作。 如需建立 Windows 設定 Designer 布建套件的詳細資訊,請參閱布建 Windows 10 套件

您必須為每個 Teams 會議室 裝置建立資源帳戶,讓它可以登入Teams。 您無法在此帳戶中使用使用者互動式雙因素或多重要素驗證。 要求使用者互動式第二個因素可防止帳戶在重新啟動後自動登入 Teams 會議室 應用程式。 此外,Microsoft Entra 可部署條件式存取原則和 Intune 合規性原則以保護資源帳戶,並透過其他方式進行多重要素驗證。 如需詳細資訊,請參閱 Microsoft Teams 會議室 和條件式存取及 Microsoft Teams 會議室 Intune 合規性的支持條件式存取和 Intune 裝置合規性原則。

建議您在 Microsoft Entra ID 中建立資源帳戶,如果可能的話,請建立為雲端專用帳戶。 雖然同步處理的帳戶可以在混合式部署中使用 Teams 會議室,但這些同步處理的帳戶通常很難登入 Teams 會議室,而且可能難以進行疑難解答。 如果您選擇使用第三方同盟服務驗證資源帳戶的認證,請確定第三方 IDP 會在屬性設為urn:oasis:names:tc:SAML:1.0:assertion時回應wsTrustResponse。 如果貴組織不想要使用 WS 信任,請改用雲端專用帳戶。

網路安全性

一般而言,Teams 會議室的網路需求與任何 Microsoft Teams 用戶端相同。 透過防火牆和其他安全性裝置存取的 Teams 會議室 與任何其他Microsoft Teams 用戶端相同。 針對 Teams 會議室,Teams 列為「必要」的類別必須在您的防火牆上開啟。 如果您使用 Microsoft Intune 管理裝置) ,Teams 會議室 也需要存取 Windows Update、Microsoft Store 和 Microsoft Intune (。 如需 Microsoft Teams 會議室 所需的完整IP和URL清單,請參閱:

對於 Microsoft Teams 會議室專業版 管理入口網站,您也必須確認 Teams 會議室 可以存取下列 URL:

  • agent.rooms.microsoft.com
  • global.azure-devices-provisioning.net
  • gj3ftstorage.blob.core.windows.net
  • mmrstgnoamiot.azure-devices.net
  • mmrstgnoamstor.blob.core.windows.net
  • mmrprodapaciot.azure-devices.net
  • mmrprodapacstor.blob.core.windows.net
  • mmrprodemeaiot.azure-devices.net
  • mmrprodemeastor.blob.core.windows.net
  • mmrprodnoamiot.azure-devices.net
  • mmrprodnoamstor.blob.core.windows.net
  • mmrprodnoampubsub.webpubsub.azure.com
  • mmrprodemeapubsub.webpubsub.azure.com
  • mmrprodapacpubsub.webpubsub.azure.com

GCC 客戶也需要啟用下列 URL:

  • mmrprodgcciot.azure-devices.net
  • mmrprodgccstor.blob.core.windows.net

Teams 會議室 設定為自動讓自己保持修補最新的 Windows 更新,包括安全性更新。 Teams 會議室 使用預設的本機原則,從當地時間上午 2:00 到上午 3:00 開始安裝任何擱置中的更新。 您不需要使用其他工具來部署和套用 Windows 匯報。 使用其他工具來部署和套用更新可能會延遲安裝 Windows 修補程式,因此導致部署較不安全。 Teams 會議室 應用程式是使用 Microsoft Store 部署。

Teams 會議室 裝置可與大部分的 802.1X 或其他網路安全性通訊協定搭配使用。 不過,我們無法針對所有可能的網路安全性設定測試 Teams 會議室。 因此,如果出現可追蹤到網路效能問題的效能問題,您可能需要停用這些通訊協定。

為了獲得即時媒體的最佳效能,我們強烈建議您將Teams媒體流量設定為略過 Proxy 伺服器及其他網路安全性裝置。 實時媒體非常延遲,Proxy 伺服器和網路安全性裝置可能會大幅降低用戶的視訊和音訊品質。 此外,由於 Teams 媒體已加密,因此透過 Proxy 伺服器傳遞流量沒有任何明顯的優點。 如需詳細資訊,請參閱將 (連線到雲端) —一個架構的架構,其中討論網路建議,以透過 Microsoft Teams 和 Microsoft Teams 會議室 來改善媒體效能。 如果貴組織使用租使用者限制,Windows 裝置上的 Teams 會議室 會依照準備環境檔中的設定指導方針進行支援。

Teams 會議室 裝置不需要連線到內部 LAN。 考慮將 Teams 會議室 放在具有直接因特網存取的安全隔離網路區段中。 如果您的內部 LAN 遭到入侵,則會降低向 Teams 會議室 的攻擊向量機會。

我們強烈建議您將 Teams 會議室 裝置連線到有線網路。 使用無線網路需要審慎規劃和評估,才能獲得最佳體驗。 如需詳細資訊,請參閱 無線網路考慮

鄰近連接及其他 Teams 會議室 功能仰賴藍牙。 不過,Teams 會議室 裝置上的藍牙實作不允許外部裝置連線至 Teams 會議室 裝置。 Teams 會議室 裝置上的藍牙技術目前僅限於廣告指標和提示的近似連線。 PDU ADV_NONCONN_INT) 類型 (通訊協定數據單位會用於廣告指標中。 此 PDU 類型適用於聆聽裝置上無法連線的裝置廣告資訊。 這些功能中沒有藍牙裝置配對。 如需藍牙通訊協議的詳細資訊,請參閱 藍牙 SIG 網站