Lidando com as ameaças às conferências no local
Tópico modificado em: 2009-03-10
O Office Communications Server 2007 R2 introduz um recurso para que usuários corporativos dentro e fora do firewall possam criar e ingressar em Webconferências em tempo real, hospedadas nos servidores do Office Communications Server 2007 R2. Os usuários corporativos também podem convidar usuários externos que não têm uma conta dos Serviços de Domínio Active Directory para participar. Os usuários empregados por parceiros federados com uma identidade segura e autenticada também podem ingressar em conferências e, se promovidos, podem atuar como apresentadores. Os usuários anônimos não podem criar ou ingressar em uma conferência como apresentador, mas podem ser promovidos a apresentador depois que ingressam.
As Webconferências no local são criadas na estrutura de segurança básica do Office Communications Server:
- Todos os servidores são confiáveis.
- Todas as conexões de servidor são MTLS.
- Todas as comunicações são criptografadas.
- Todos os usuários são autenticados.
Os Servidores de Conferência A/V internos em uma configuração de pool expandida se conectam a Servidores Front-End e Servidores de Mediação via MTLS. Os Servidores de Webconferência internos se conectam a Servidores Front-End e ao serviço de Borda de Webconferência via MTLS. Em um servidor Standard Edition ou em uma configuração de pool consolidada, os servidores de conferência são colocados nos Servidores Front-End, mas o MTLS ainda é necessário nas comunicações entre os componentes colocados.
Habilitar os usuários externos a participar de Webconferências no local aumenta consideravelmente o valor desse recurso, mas acarreta alguns riscos de segurança. Para lidar com esses riscos, o Office Communications Server oferece as seguintes proteções adicionais:
- As funções de participante determinam os privilégios de controle de conferência.
- Os tipos de participante permitem que você limite o acesso a reuniões específicas.
- Os tipos de reunião definidos determinam os tipos de participantes que podem ingressar.
- O agendamento de conferências restringe-se aos usuários que possuem credenciais do Active Directory na rede interna e estão habilitados para o Office Communications Server 2007 R2.
- Os usuários anônimos, ou seja, autenticados, devem apresentar senhas de conferência exclusivas e passar na autenticação digest para que possam ingressar em uma reunião. As senhas são exclusivas em cada conferência.
Lista de participantes
Os participantes de reuniões são classificados em três grupos, cada um com seus próprios privilégios e restrições:
- Organizador. O usuário que cria uma reunião, quer seja de modo improvisado ou por meio de uma agenda. O organizador deve ser um usuário corporativo autenticado, com controle sobre todos os aspectos do usuário final de uma reunião.
- Apresentador. Um usuário que é autorizado a apresentar informações em uma reunião, utilizando qualquer mídia com suporte. Um organizador de reunião é também, por definição, um apresentador e determina quem mais pode ser apresentador. Um organizador pode determinar isso quando uma reunião é agendada ou enquanto a reunião está em andamento.
- Participante. Um usuário que foi convidado a participar de uma reunião, mas que não está autorizado a atuar como um apresentador.
O apresentador também pode promover um participante à função de apresentador durante a reunião.
Tipos de participantes
Os participantes da reunião também são classificados por local e credenciais. Você pode usar essas duas características para especificar quais usuários podem ter acesso a reuniões específicas. Os usuários podem ser amplamente categorizados em usuários internos e externos:
- Os usuários internos possuem credenciais do Active Directory na empresa e se conectam de locais dentro do firewall corporativo.
- Os usuários externos são aqueles que se conectam temporária ou permanentemente a uma empresa, de locais externos ao firewall corporativo. Eles provavelmente têm credenciais do Active Directory. O Office Communications Server 2007 R2 oferece suporte a conferência para os seguintes tipos de usuários externos:
- Os usuários remotos têm uma identidade persistente do Active Directory na empresa. Entre eles estão os funcionários que trabalham em casa ou em viagem, e outros, como funcionários de fornecedores confiáveis, aos quais foram concedidas credenciais da empresa para seus termos de serviço. Os usuários remotos podem criar e ingressar em conferências, além de atuar como apresentadores.
- Os usuários federados possuem credenciais válidas com parceiros federados e, portanto, são tratados como autenticados pelo Office Communications Server 2007 R2. Os usuários federados podem ingressar em conferências e ser promovidos a apresentadores depois que ingressarem na reunião, mas não podem criar conferências em empresas com as quais sejam federados.
- Os usuários anônimos não têm uma identidade do Active Directory e não são federados com a empresa. Nas conferências, os usuários públicos são tratados como usuários anônimos.
Os dados do cliente mostram que várias conferências envolvem usuários externos. Esses mesmos clientes também desejam reafirmar a identidade de usuários externos antes de permitir que esses usuários ingressem em uma conferência. De acordo com a seção a seguir, o Office Communications Server 2007 R2 limita o acesso à reunião a esses tipos de usuário que receberam explicitamente autorização e requer que todos os tipos de usuário apresentem credenciais apropriadas quando ingressarem em uma reunião.
Tipos de reunião
Você pode configurar o Office Communications Server 2007 R2 para oferecer suporte a reuniões que incluem os seguintes tipos de usuários:
- Somente usuários internos. Se você não implantar servidores de borda, todos os participantes terão identidades do Active Directory persistentes na empresa e poderão se conectar somente no firewall da organização.
- Somente usuários autenticados. Todos os participantes possuem identidades do Active Directory na empresa ou em uma empresa federada, e podem se conectar dentro ou fora do firewall da organização.
As reuniões abertas apenas para usuários autenticados podem ser de dois tipos:
- Convidar dentro da Rede. Todos os usuários corporativos podem ingressar na reunião. Eles ingressam como participantes, a menos que tenham sido designados como apresentadores pelo organizador da reunião. Os usuários federados podem ingressar na reunião como participantes caso sejam convidados pelo organizador. Os usuários federados não podem ingressar na reunião como apresentador, mas podem ser promovidos a apresentador durante a reunião.
- Convidar dentro da Rede (Restrito). Somente os usuários com credenciais válidas do Active Directory na empresa e que constam nas listas de apresentadores e participantes do organizador da reunião têm permissão para participar de uma reunião fechada autenticada. Por exemplo, um grupo de trabalho ou uma unidade de negócios pode usar essa designação na reunião regularmente agendada. Os usuários federados e anônimos não têm permissão para ingressar nesse tipo de reunião.
- Convidar qualquer Pessoa. Uma reunião para a qual os usuários anônimos podem ser convidados. O organizador da reunião deve ser autorizado a convidar usuários anônimos para criar uma reunião desse tipo. Os usuários corporativos ingressam como participantes, a menos que sejam designados como apresentadores pelo organizador da reunião. Os usuários anônimos ingressam somente como participantes, embora eles possam ser promovidos à função de apresentador pelo organizador após ingressarem na reunião. Para ingressar em uma reunião, os usuários anônimos devem apresentar uma chave de conferência, que eles recebem em um convite por email. Eles devem também passar na autenticação digest. Para obter informações detalhadas sobre a autenticação digest, consulte Autenticação no Office Communications Server 2007 R2.