segurança Salas do Microsoft Teams
Este artigo fornece orientações de segurança para dispositivos Salas do Microsoft Teams em dispositivos Windows e Android. Esta documentação de orientação inclui informações sobre hardware, software, rede e segurança da conta.
Selecione o Salas do Teams no separador Windows ou Salas do Teams para Android para obter mais informações sobre a segurança da Sala Teams no seu dispositivo.
A Microsoft trabalha com os nossos parceiros para fornecer uma solução segura e não requer ações adicionais para proteger Salas do Microsoft Teams no Windows. Esta secção aborda muitas das funcionalidades de segurança encontradas no Salas do Teams no Windows.
Para obter informações sobre segurança em Salas do Teams em dispositivos Android, selecione o Salas do Teams no separador Android.
Nota
Salas do Microsoft Teams não devem ser tratadas como uma estação de trabalho típica do utilizador final. Não só os casos de utilização são muito diferentes, como os perfis de segurança predefinidos também são muito diferentes, como recomendamos que os tratem como aplicações. A instalação de software adicional nos seus dispositivos Salas do Teams não é suportada pela Microsoft. Este artigo aplica-se a dispositivos Salas do Microsoft Teams em execução no Windows.
Os dados do utilizador final limitados são armazenados no Salas do Teams. Os dados do utilizador final podem ser armazenados nos ficheiros de registo apenas para resolução de problemas e suporte. Nenhum participante de uma reunião que utilize Salas do Teams pode copiar ficheiros para o disco rígido ou iniciar sessão como eles próprios. Os dados do utilizador final não são transferidos ou acessíveis pelo dispositivo Salas do Microsoft Teams.
Apesar de os utilizadores finais não poderem colocar ficheiros num disco rígido Salas do Teams, Microsoft Defender ainda está ativado. Salas do Teams desempenho é testado com Microsoft Defender, incluindo a inscrição no portal do Defender para Endpoint. Desativar ou adicionar software de segurança de ponto final pode levar a resultados imprevisíveis e potencial degradação do sistema.
Segurança de hardware
Num ambiente Salas do Teams, existe um módulo de computação central que executa Windows 10 ou 11 edição IoT Enterprise. Todos os módulos de computação certificados têm de ter uma solução de montagem segura, um bloco de bloqueio de segurança (por exemplo, bloqueio kensington) e medidas de segurança de acesso à porta de E/S para impedir a ligação de dispositivos não autorizados. Também pode desativar portas específicas através da configuração do UEFI (Extensible Firmware Interface) Unificado.
Todos os módulos de computação certificados têm de ser enviados com tecnologia compatível com o Trusted Platform Module (TPM) 2.0 ativada por predefinição. O TPM é utilizado para encriptar as informações de início de sessão da conta de recursos Salas do Teams.
O arranque seguro está ativado por predefinição. O arranque seguro é uma norma de segurança desenvolvida por membros da indústria de PC para ajudar a garantir que um dispositivo arranca utilizando apenas software fidedigno pelo Fabricante de Equipamento Original (OEM). Quando o PC é iniciado, o firmware verifica a assinatura de cada parte do software de arranque, incluindo controladores de firmware UEFI (também conhecidos como ROMs de Opção), aplicações EFI e o sistema operativo. Se as assinaturas forem válidas, o PC arranca e o firmware dá controlo ao sistema operativo. Para obter mais informações, veja Arranque seguro.
O acesso às definições de UEFI só é possível ao anexar um teclado físico e um rato, o que impede o acesso à UEFI através da consola Salas do Teams compatível com toque ou de quaisquer outros ecrãs táteis ligados à Salas do Teams.
A Proteção do Acesso Direto à Memória (DMA) do Kernel é uma definição do Windows que está ativada no Salas do Teams. Com esta funcionalidade, o SO e o firmware do sistema protegem o sistema contra ataques DMA maliciosos e não intencionais para todos os dispositivos compatíveis com DMA: durante o processo de arranque e contra DMA malicioso por dispositivos ligados a portas compatíveis com DMA internas/externas facilmente acessíveis, como ranhuras pcIe M.2 e Thunderbolt 3, durante o runtime do SO.
Salas do Teams também ativar a integridade do código protegido pelo Hypervisor (HVCI). Uma das funcionalidades fornecidas pelo HVCI é o Credential Guard. O Credential Guard fornece as seguintes vantagens:
Segurança de hardware O NTLM, o Kerberos e o Gestor de Credenciais tiram partido das funcionalidades de segurança da plataforma, incluindo o Arranque Seguro e a virtualização, para proteger as credenciais.
Segurança baseada em virtualização As credenciais derivadas do Windows NTLM e Kerberos e outros segredos são executados num ambiente protegido isolado do sistema operativo em execução.
Melhor proteção contra ameaças persistentes avançadas Quando as credenciais de domínio do Gestor de Credenciais, as credenciais derivadas de NTLM e Kerberos são protegidas através da segurança baseada em Virtualização, as técnicas de ataque de roubo de credenciais e as ferramentas utilizadas em muitos ataques direcionados são bloqueadas. O software maligno em execução no sistema operativo com privilégios administrativos não consegue extrair segredos protegidos pela segurança baseada em Virtualização.
Segurança de Software
Depois de o Microsoft Windows arrancar, Salas do Teams inicia sessão automaticamente numa conta de utilizador do Windows local com o nome Skype. A conta Skype não tem palavra-passe. Para tornar a sessão da conta Skype segura, são seguidos os seguintes passos.
Importante
Não altere a palavra-passe nem edite a conta de utilizador do Skype local. Fazê-lo pode impedir Salas do Teams de iniciar sessão automaticamente.
A aplicação Salas do Microsoft Teams é executada com a funcionalidade Acesso Atribuído encontrada no Windows 10 1903 e posterior. O Acesso Atribuído é uma funcionalidade no Windows que limita os pontos de entrada da aplicação expostos ao utilizador e ativa o modo de quiosque de aplicação única. Com o Shell Launcher, Salas do Teams está configurado como um dispositivo de quiosque que executa uma aplicação de ambiente de trabalho do Windows como a interface de utilizador. A aplicação Salas do Microsoft Teams substitui a shell predefinida (explorer.exe) que normalmente é executada quando um utilizador inicia sessão. Por outras palavras, a shell de Explorer tradicional não é iniciada de todo, o que reduz consideravelmente a superfície de vulnerabilidade Salas do Microsoft Teams no Windows. Para obter mais informações, consulte Configurar quiosques e sinais digitais em edições de ambiente de trabalho do Windows.
Se decidir executar uma análise de segurança ou uma referência do Centro de Segurança da Internet (CIS) no Salas do Teams, a análise só pode ser executada no contexto de uma conta de administrador local, uma vez que a conta de utilizador do Skype não suporta a execução de aplicações que não a aplicação Salas do Teams. Muitas das funcionalidades de segurança aplicadas ao contexto de utilizador do Skype não se aplicam a outros utilizadores locais e, como resultado, estas análises de segurança não apresentam o bloqueio de segurança total aplicado à conta Skype. Por conseguinte, não recomendamos a execução de uma análise local no Salas do Teams. No entanto, pode executar testes de penetração externos, se assim o desejar. Devido a esta configuração, recomendamos que execute testes de penetração externos em dispositivos Salas do Teams em vez de executar análises locais.
Além disso, são aplicadas políticas de bloqueio para limitar a utilização de funcionalidades não administrativas. Um filtro de teclado está ativado para intercetar e bloquear combinações de teclado potencialmente inseguras que não são abrangidas pelas políticas de Acesso Atribuído. Apenas os utilizadores com direitos administrativos locais ou de domínio têm permissão para iniciar sessão no Windows para gerir Salas do Teams. Estas e outras políticas aplicadas ao Windows em dispositivos Salas do Microsoft Teams são continuamente avaliadas e testadas durante o ciclo de vida do produto.
Microsoft Defender está ativado fora da caixa. A licença Salas Teams Pro também inclui o Defender para Endpoint, que permite que os clientes inscrevam os seus Salas do Teams no Defender para Endpoint. Esta inscrição pode fornecer visibilidade às equipas de segurança sobre a postura de segurança da Sala Teams em dispositivos Windows a partir do portal do Defender. Salas do Teams no Windows podem ser inscritos ao seguir os passos para dispositivos Windows. Não recomendamos que modifique Salas do Teams com regras de proteção (ou outras políticas do Defender que efetuem alterações de configuração), uma vez que estas políticas podem afetar Salas do Teams funcionalidade; no entanto, a funcionalidade de relatórios no portal é suportada.
Segurança da Conta
Salas do Teams dispositivos incluem uma conta administrativa denominada "Administração" com uma palavra-passe predefinida. Recomendamos vivamente que altere a palavra-passe predefinida o mais rapidamente possível após concluir a configuração.
A conta Administração não é necessária para o funcionamento adequado de dispositivos Salas do Teams e pode ser renomeada ou mesmo eliminada. No entanto, antes de eliminar a conta Administração, certifique-se de que configurou uma conta de administrador local alternativa configurada antes de remover a conta fornecida com Salas do Teams dispositivos. Para obter mais informações sobre como alterar uma palavra-passe de uma conta do Windows local com ferramentas incorporadas do Windows ou o PowerShell, consulte estes guias:
- Configurar a LAPS no Salas do Teams no Windows
- Alterar ou repor a palavra-passe do Windows
- Set-LocalUser
Também pode importar contas de domínio para o grupo de Administrador do Windows local com Intune. Para obter mais informações, veja Policy CSP – RestrictedGroups..
Nota
Se estiver a utilizar um Salas do Teams Crestron com uma consola ligada à rede, certifique-se de que segue as orientações da Crestron sobre como configurar a conta do Windows utilizada para emparelhamento.
Atenção
Se eliminar ou desativar a conta Administração antes de conceder permissões de Administrador local a outra conta local ou de domínio, poderá perder a capacidade de administrar o dispositivo Salas do Teams. Se isto acontecer, terá de repor as definições originais do dispositivo e concluir novamente o processo de configuração.
Não conceda permissões de Administrador local à conta de utilizador do Skype.
O Windows Configuration Designer pode ser utilizado para criar pacotes de aprovisionamento do Windows. Além de alterar a palavra-passe de Administração local, também pode fazer coisas como alterar o nome do computador e inscrever-se no Microsoft Entra ID. Para obter mais informações sobre como criar um pacote de aprovisionamento do Windows Configuration Designer, veja Provisioning packages for Windows 10 (Aprovisionar pacotes para Windows 10).
Tem de criar uma conta de recurso para cada Salas do Teams dispositivo para que possa iniciar sessão no Teams. Não pode utilizar a autenticação interativa de dois fatores ou multifator do utilizador com esta conta. Exigir um segundo fator interativo do utilizador impediria que a conta pudesse iniciar sessão automaticamente na aplicação Salas do Teams após um reinício. Além disso, Microsoft Entra políticas de Acesso Condicional e políticas de Conformidade Intune podem ser implementadas para proteger a conta de recursos e alcançar a autenticação multifator através de outros meios. Para obter mais informações, veja Acesso Condicional Suportado e políticas de conformidade de dispositivos Intune para Salas do Microsoft Teams e Acesso Condicional e conformidade de Intune para Salas do Microsoft Teams.
Recomendamos que crie a conta de recurso no Microsoft Entra ID, se possível como uma conta apenas na cloud. Embora uma conta sincronizada possa funcionar com Salas do Teams em implementações híbridas, estas contas sincronizadas têm muitas vezes dificuldade em iniciar sessão no Salas do Teams e podem ser difíceis de resolver. Se optar por utilizar um serviço de federação de terceiros para autenticar as credenciais da conta de recurso, certifique-se de que o IDP de terceiros responde com o wsTrustResponse
atributo definido como urn:oasis:names:tc:SAML:1.0:assertion
. Se a sua organização não quiser utilizar o WS-Trust, utilize antes contas apenas na cloud.
Segurança de Rede
Geralmente, Salas do Teams tem os mesmos requisitos de rede que qualquer cliente do Microsoft Teams. O acesso através de firewalls e outros dispositivos de segurança é o mesmo para Salas do Teams como para qualquer outro cliente do Microsoft Teams. Especificamente para Salas do Teams, as categorias listadas como "necessárias" para o Teams têm de estar abertas na firewall. Salas do Teams também precisa de acesso a Windows Update, Microsoft Store e Microsoft Intune (se utilizar Microsoft Intune para gerir os seus dispositivos). Para obter a lista completa de IPs e URLs necessários para Salas do Microsoft Teams, veja:
- Microsoft Teams, Exchange Online, SharePoint, Microsoft 365 Common e Office OnlineOffice 365 URLs e intervalos de endereços IP
- Windows UpdateConfigurar o WSUS
- Pontos finais da Microsoft Store da Microsoft Store
- Microsoft IntunePontos Finais de Rede para Microsoft Intune
- Ponto final de cliente de telemetria: vortex.data.microsoft.com
- Ponto final das definições de telemetria: settings.data.microsoft.com
Para Salas Microsoft Teams Pro Portal de Gestão, também tem de se certificar de que Salas do Teams pode aceder aos seguintes URLs:
- agent.rooms.microsoft.com
- global.azure-devices-provisioning.net
- gj3ftstorage.blob.core.windows.net
- mmrstgnoamiot.azure-devices.net
- mmrstgnoamstor.blob.core.windows.net
- mmrprodapaciot.azure-devices.net
- mmrprodapacstor.blob.core.windows.net
- mmrprodemeaiot.azure-devices.net
- mmrprodemeastor.blob.core.windows.net
- mmrprodnoamiot.azure-devices.net
- mmrprodnoamstor.blob.core.windows.net
- mmrprodnoampubsub.webpubsub.azure.com
- mmrprodemeapubsub.webpubsub.azure.com
- mmrprodapacpubsub.webpubsub.azure.com
Os clientes GCC também terão de ativar os seguintes URLs:
- mmrprodgcciot.azure-devices.net
- mmrprodgccstor.blob.core.windows.net
Salas do Teams está configurado para se manter automaticamente corrigido com as atualizações mais recentes do Windows, incluindo atualizações de segurança. Salas do Teams instala todas as atualizações pendentes todos os dias, com início entre as 2:00 e as 3:00 horas locais do dispositivo, utilizando uma política local predefinida. Não é necessário utilizar outras ferramentas para implementar e aplicar o Windows Atualizações. A utilização de outras ferramentas para implementar e aplicar atualizações pode atrasar a instalação de patches do Windows e, assim, levar a uma implementação menos segura. A aplicação Salas do Teams é implementada com a Microsoft Store.
Salas do Teams dispositivos funcionam com a maioria dos protocolos de segurança 802.1X ou outros protocolos de segurança baseados na rede. No entanto, não conseguimos testar Salas do Teams em todas as configurações de segurança de rede possíveis. Por conseguinte, se surgirem problemas de desempenho que possam ser relacionados com problemas de desempenho de rede, poderá ter de desativar estes protocolos.
Para um desempenho ideal do suporte de dados em tempo real, recomendamos vivamente que configure o tráfego de multimédia do Teams para ignorar servidores proxy e outros dispositivos de segurança de rede. O suporte de dados em tempo real é muito sensível à latência e os servidores proxy e os dispositivos de segurança de rede podem degradar significativamente a qualidade de áudio e vídeo dos utilizadores. Além disso, como o suporte de dados do Teams já está encriptado, não há qualquer benefício tangível de passar o tráfego através de um servidor proxy. Para obter mais informações, consulte Networking up (to the cloud)— O ponto de vista de um arquiteto, que aborda recomendações de rede para melhorar o desempenho dos suportes de dados com o Microsoft Teams e Salas do Microsoft Teams. Se a sua organização utilizar restrições de inquilinos, é suportada para Salas do Teams em dispositivos Windows, seguindo as orientações de configuração no documento preparar o seu ambiente.
Salas do Teams dispositivos não precisam de se ligar a uma LAN interna. Considere colocar Salas do Teams num segmento de rede isolado seguro com acesso direto à Internet. Se a LAN interna ficar comprometida, as oportunidades de vetor de ataque para Salas do Teams serão reduzidas.
Recomendamos vivamente que ligue os seus dispositivos Salas do Teams a uma rede com fios. A utilização de redes sem fios requer um planeamento e uma avaliação cuidadosos para obter a melhor experiência. Para obter mais informações, veja Considerações de rede sem fios.
A Associação por Proximidade e outras funcionalidades de Salas do Teams dependem de Bluetooth. No entanto, a implementação de Bluetooth em dispositivos Salas do Teams não permite uma ligação de dispositivo externo a um dispositivo Salas do Teams. A utilização da tecnologia Bluetooth em dispositivos Salas do Teams está atualmente limitada a beacons publicitários e a ligações proximais solicitadas. O ADV_NONCONN_INT
tipo de unidade de dados de protocolo (PDU) é utilizado no beacon de publicidade. Este tipo de PDU destina-se a dispositivos não ligados que publicitam informações ao dispositivo de escuta. Não existe um emparelhamento de dispositivos Bluetooth como parte destas funcionalidades. Pode encontrar mais detalhes sobre os protocolos Bluetooth no site do SIG Bluetooth.