通过

  • 项目

消除对内部会议的威胁

上一次修改主题: 2009-03-10

Office Communications Server 2007 R2 为防火墙内外的企业用户引入了一项功能,使这些用户可以创建并加入在内部 Office Communications Server 2007 R2 服务器上承载的实时 Web 会议。企业用户还可以邀请没有 Active Directory 域服务帐户的外部用户参加会议。受雇于联盟伙伴且拥有经过验证的安全身份的用户也可以加入会议,而且这些用户可以被提升为演示者。虽然匿名用户不能以演示者身份创建或加入会议,但他们在加入会议后可以被提升为演示者。

内部 Web 会议是基于 Office Communications Server 基础安全框架构建的:

  • 所有服务器都是受信任的服务器。
  • 所有服务器连接都是 MTLS 连接。
  • 所有通信都已经过加密。
  • 所有用户都已经过身份验证。

扩展池配置中的内部 A/V 会议服务器将通过 MTLS 连接到前端服务器和中介服务器。内部 Web 会议服务器将通过 MTLS 连接到前端服务器和 Web 会议边缘服务。在 Standard Edition Server 上或合并的池配置中,会议服务器将并置在前端服务器上,但并置的组件仍需要 MTLS 才能相互进行通信。

使外部用户能够加入内部 Web 会议大大地提高了此功能的价值,但同时也带来了一些安全风险。为了应对这些风险,Office Communications Server 提供了以下额外的安全措施:

  • 参与者角色决定会议控制权限。
  • 参与者类型允许您限制对特定会议的访问。
  • 定义的会议类型决定哪些类型的参与者可以参加会议。
  • 仅允许拥有内部网络中的 Active Directory 凭据且支持 Office Communications Server 2007 R2 的用户来计划会议。
  • 匿名用户(即未经过身份验证的用户)必须提供唯一的会议密码并通过摘要式身份验证才能加入会议。每个会议的密码都是不同的。

参与者角色

会议参与者分为三个组,每个组均有自己的权限和限制:

  • 组织者。创建会议的用户(无论是临时创建还是按计划创建)。组织者必须是经过身份验证的企业用户,并对会议的所有最终用户具有全方位的控制权。
  • 演示者。已获得授权在会议上使用系统支持的任何媒体来演示信息的用户。根据定义,会议组织者也是演示者,并决定其他哪些人能够作为演示者。无论是在安排会议时,还是在会议进行中,组织者都可以做此决定。
  • 与会者。受邀参加会议但未获得授权担任演示者的用户。

在会议期间,演示者也可以将与会者提升为演示者角色。

参与者类型

也可以按照位置和凭据对会议参与者进行分类。可以同时使用这两个特征来指定哪些用户有权访问特定会议。从广义上讲,用户可以分为内部用户和外部用户:

  • 内部用户拥有企业内部的 Active Directory 凭据,并从企业防火墙内的位置进行连接。
  • 外部用户是从企业防火墙之外的位置临时或永久连接到企业的用户。他们可能拥有 Active Directory 凭据。Office Communications Server 2007 R2 为以下类型的外部用户提供会议支持:
    • 远程用户在企业内部拥有持久的 Active Directory 标识。他们包括在家工作或出差在外的员工以及其他用户,例如在服务期限内被授予企业凭据的可信供应商的员工。远程用户可以创建和加入会议,还可以担任演示者。
    • 联盟用户拥有联盟伙伴的有效凭据,因而会被视为已通过 Office Communications Server 2007 R2 的身份验证。联盟用户可以加入会议,并可以在加入会议后被提升为演示者,但他们不能在与之联盟的企业中创建会议。
    • 匿名用户没有 Active Directory 标识,并且不会与企业联盟。对于会议而言,公共群用户将被视为匿名用户。

客户数据表明,很多会议都会涉及外部用户。同样是这些客户,他们还希望在允许外部用户加入会议之前,能够对这些用户的身份放心。如下一节中所述,Office Communications Server 2007 R2 可将会议的访问权限限定给已经得到明确允许的用户类型,并要求所有类型的用户在加入会议时都必须出示正确的凭据。

会议类型

可以将 Office Communications Server 2007 R2 配置为支持包含以下类型的用户的会议:

  • **仅内部用户。**如果未部署边缘服务器,则所有参与者都将在企业内部拥有持久的 Active Directory 标识,并只能从组织的防火墙内部进行连接。
  • **仅经过身份验证的用户。**所有参与者都将在企业内部或联盟企业内部拥有 Active Directory 标识,并可以从组织防火墙的内部或外部进行连接。

仅向经过身份验证的用户开放的会议可以分为两类:

  • **在网络范围内邀请。**所有企业用户都可以加入会议。除非会议组织者将其指定为演示者,否则他们将作为与会者加入会议。如果受到组织者的邀请,联盟用户可以作为与会者加入会议。联盟用户不能以演示者身份加入会议,但可以在会议期间被提升为演示者。
  • **在网络范围内邀请(受限)。**仅允许拥有企业内的有效 Active Directory 凭据且在会议组织者的演示者和与会者列表上的用户参加需经身份验证的封闭式会议。例如,工作组或业务部门可能会对其定期会议使用此委派。不允许联盟用户和匿名用户加入此类型的会议。
  • **邀请任何人。**可以邀请匿名用户参加的会议。会议组织者必须获得邀请匿名用户的授权,才能创建此类型的会议。除非会议组织者将企业用户指定为演示者,否则他们将作为与会者加入会议。匿名用户只能作为与会者加入,但在加入会议之后,会议组织者可以将其提升为演示者角色。若要加入会议,匿名用户必须提供他们在电子邮件会议邀请中收到的会议密钥,而且必须通过摘要式身份验证。有关摘要式身份验证的详细信息,请参阅Office Communications Server 2007 R2 的身份验证