Windows 和 Teams Android 裝置上的 Microsoft Teams 會議室安全性

Microsoft 與我們的合作夥伴合作，提供安全的解決方案，不需要額外的動作來保護 Windows 上的 Microsoft Teams 會議室。 本節討論 Windows 上 Teams 會議室 中的許多安全性功能。

如需 Android 裝置上 Teams 會議室安全性的相關資訊，請選取 [Android 上的 Teams 會議室] 索引標籤。

有限的終端使用者數據會儲存在 Teams 會議室。 使用者資料可能儲存在日誌檔中，僅供疑難排解和支援之用。 使用 Teams 會議室 的會議出席者無法將檔案複製到硬碟或以自己的身分登入。 終端使用者資料不會傳輸至Microsoft Teams 會議室裝置，也不會由裝置存取。

即使終端使用者無法將檔案放在 Teams 會議室 硬碟上，Microsoft Defender 仍會立即啟用。 Teams 會議室 效能會使用 Microsoft Defender 進行測試，包括註冊至適用於端點的 Defender 入口網站。 停用此功能或新增端點安全軟體可能會導致不可預測的結果和潛在的系統降級。

硬體安全性

在 Teams 會議室 環境中，有一個中央計算模組可執行 Windows 10 或 11 IoT 企業版。 每個經過認證的運算模組都必須具有安全的安裝解決方案、安全鎖插槽 (例如、Kensington 鎖) 和 I/O 連接埠存取安全措施，以防止連接未經授權的裝置。 您也可以透過統一可延伸韌體介面 (UEFI) 設定停用特定連接埠。

每個經過認證的運算模組都必須隨附信任平台模組 (預設啟用 TPM) 2.0 相容技術。 TPM 可用來加密 Teams 會議室 資源帳戶的登入資訊。

預設會啟用安全開機。 安全開機是由電腦產業成員所開發的安全性標準，可協助確保裝置僅使用原始設備製造商 (OEM) 信任的軟體開機。 當電腦啟動時，韌體會檢查每個開機軟體的簽章，包括 UEFI 韌體驅動程式 (也稱為選項 ROM) 、EFI 應用程式和作業系統。 如果簽章有效，電腦會開機，而韌體會控制作業系統。 如需詳細資訊，請參閱 安全開機。

只能透過附加實體鍵盤和滑鼠來存取 UEFI 設定，這會防止能夠透過 Teams 會議室 觸控式主控台或附加至 Teams 會議室 的任何其他觸控式顯示器存取 UEFI。

核心直接記憶體存取 (DMA) 保護是在 Teams 會議室 上啟用的 Windows 設定。 透過此功能，作業系統和系統韌體可以保護系統免受所有支援 DMA 的裝置的惡意和意外 DMA 攻擊：在啟動過程中，以及連接到易於存取的內部/外部支援 DMA 連接埠（例如 M.2 PCIe 插槽和 Thunderbolt 3）的裝置在作業系統運行時間期間免受惡意 DMA。

Teams 會議室還啟用受 Hypervisor 保護的程式碼完整性 (HVCI) 。 HVCI 提供的功能之一是 Credential Guard。 Credential Guard 提供下列優點：

• 硬體安全性 NTLM、Kerberos 和認證管理員會利用平臺安全性功能，包括安全開機和虛擬化，來保護認證。

• 虛擬化型安全性 Windows NTLM 和 Kerberos 衍生認證和其他秘密會在與執行中作業系統隔離的受保護環境中執行。

• 針對進階持續性威脅提供更好的保護 當認證管理員網域認證、NTLM 和 Kerberos 衍生認證使用虛擬化型安全性進行保護時，會封鎖許多目標攻擊中使用的認證竊取攻擊技術和工具。 在具有系統管理許可權的作業系統中執行的惡意代碼無法擷取受虛擬化型安全性保護的秘密。

軟體安全

Microsoft Windows 開機之後，Teams 會議室會自動登入名為 Skype 的本機 Windows 使用者帳戶。 Skype 帳戶沒有密碼。 為了確保 Skype 帳戶會話安全，請採取以下步驟。

Microsoft Teams 會議室應用程式會使用 Windows 10 1903 和更新版本中的指派存取功能來執行。 指派的存取權是 Windows 中的一項功能，可限制向使用者公開的應用程式進入點，並啟用單一應用程式 Kiosk 模式。 使用 Shell Launcher，Teams 會議室會設定為 Kiosk 裝置，以執行 Windows 傳統型應用程式作為使用者介面。 Microsoft Teams 會議室 應用程式會取代通常在使用者登入時執行的預設 Shell (explorer.exe) 。 換句話說，傳統的 Explorer shell 根本沒有啟動，這大大減少了 Windows 中的 Microsoft Teams 會議室漏洞面。 如需詳細資訊，請參閱 在 Windows 桌面版本上設定 Kiosk 和數位簽章。

如果您決定在 Teams 會議室 上執行安全性掃描或網際網路安全中心 (CIS) 基準測試，則掃描只能在本機系統管理員帳戶的內容下執行，因為 Skype 使用者帳戶不支援執行 Teams 會議室 應用程式以外的應用程式。 許多套用至 Skype 使用者內容的安全性功能不適用於其他本機使用者，因此，這些安全性掃描不會顯示套用至 Skype 帳戶的完整安全性鎖定。 因此，我們不建議在 Teams 會議室 上執行本機掃描。 但是，如果需要，您可以運行外部滲透測試。 由於此設定，建議您針對 Teams 會議室 裝置執行外部滲透測試，而不是執行本機掃描。

此外，會套用鎖定原則來限制使用非管理功能。 已啟用鍵盤篩選，以攔截和封鎖指派的存取原則未涵蓋的潛在不安全鍵盤組合。 只有具有本機或網域系統管理許可權的使用者才能登入 Windows 來管理 Teams 會議室。 在產品生命週期期間，會持續評估和測試套用至 Microsoft Teams 會議室裝置上 Windows 的這些原則和其他原則。

Microsoft Defender 會立即啟用。 Teams 會議室專業版授權也包含適用於端點的 Defender，可讓客戶將其 Teams 會議室註冊至適用於端點的 Defender。 此註冊可讓安全性小組從 Defender 入口網站 查看 Windows 裝置上 Teams 會議室 的安全性狀態。 Windows 上的 Teams 會議室 可以按照 Windows 裝置的步驟進行註冊。 我們不建議使用保護規則 (或其他 Defender 原則來修改Teams 會議室，這些原則可能會影響) Teams 會議室功能;不過，支援將功能報告到入口網站。

Microsoft Bitlocker 不會立即啟用，但可以視需要透過原則啟用。 請確定已啟用 Bitlocker ，而不需要預先開機驗證，否則 Teams 會議室 不會開機至功能裝置，而不需要手動輸入 PIN，這會影響會議室系統的可用性。

帳戶安全

Teams 會議室 裝置包含名為 「管理員」 的系統管理帳戶，具有預設密碼。 我們強烈建議您在完成設定後盡快變更預設密碼。

Teams 會議室裝置的正確操作不需要管理員帳戶，而且可以重新命名甚至刪除。 不過，在刪除管理員帳戶之前，請確定您先設定已設定的替代本機系統管理員帳戶，再移除 Teams 會議室 裝置隨附的帳戶。 如需如何使用內建 Windows 工具或 PowerShell 變更本機 Windows 帳戶密碼的詳細資訊，請參閱下列指南：

• 在 Windows 上的 Teams 會議室 上設定 LAPS
• 變更或重設您的 Windows 密碼
• 設定本地使用者

您也可以使用 Intune 將網域帳戶匯入本機 Windows 系統管理員群組。 如需詳細資訊，請參閱原則 CSP – RestrictedGroups。

請勿將本機系統管理員權限授與 Skype 使用者帳戶。

Windows 設定 Designer 可用來建立 Windows 布建套件。 除了變更本機管理員密碼之外，您也可以執行變更電腦名稱和註冊 Microsoft Entra ID 等動作。 如需建立 Windows Configuration Designer 布建套件的詳細資訊，請參閱 Windows 10 的布建套件。

您必須為每個 Teams 會議室 裝置建立資源帳戶，才能登入 Teams。 您無法使用此帳戶使用使用者互動式雙因素或多重要素驗證。 要求使用者互動式第二個因素會防止帳戶在重新啟動之後自動登入 Teams 會議室 應用程式。 此外，可以部署 Microsoft Entra 條件式存取原則和 Intune 合規性原則，以保護資源帳戶，並透過其他方式達成多重要素驗證。 如需詳細資訊，請參閱 Microsoft Teams 會議室 支援的條件式存取和 Intune 裝置合規性原則 和 Microsoft Teams 會議室的條件式存取和 Intune 合規性。

建議您在 Microsoft Entra ID 中建立資源帳戶，如果可能的話，作為僅限雲端的帳戶。 雖然同步處理的帳戶可以在混合式部署中與 Teams 會議室 搭配使用，但這些同步處理的帳戶通常難以登入 Teams 會議室 ，而且可能難以進行疑難排解。 如果您選擇使用第三方同盟服務來驗證資源帳戶的認證，請確定第三方 IDP 會以設定為 的urn:oasis:names:tc:SAML:1.0:assertion屬性來wsTrustResponse回應。 如果您的組織不想使用 WS-Trust，請改用僅限雲端的帳戶。

網路安全

一般而言，Teams 會議室 與任何 Microsoft Teams 用戶端具有相同的網路需求。 透過防火牆和其他安全性裝置的存取，對於 Teams 會議室 與任何其他 Microsoft Teams 用戶端相同。 特定於 Teams 會議室，列為 Teams 「必要」的類別必須在防火牆上開啟。 如果您使用 Microsoft Intune 來管理裝置) ，Teams 會議室也需要存取 Windows Update、Microsoft 市集和 Microsoft Intune (。 如需 Microsoft Teams 會議室所需的 IP 和 URL 完整清單，請參閱：

• Microsoft Teams、Exchange Online、SharePoint、Microsoft 365 Common 和 Office OnlineOffice365 URL 和 IP 位址範圍
• Windows Update設定 WSUS
• Microsoft StoreMicrosoft Store 端點
• 適用於 Microsoft Intune 的 Microsoft Intune 網路端點
• 遙測用戶端端點：vortex.data.microsoft.com
• 遙測設定端點：settings.data.microsoft.com

針對 Microsoft Teams 會議室專業版管理入口網站，您也必須確定 Teams 會議室 可以存取下列 URL：

• agent.rooms.microsoft.com
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net
• mmrprodnoampubsub.webpubsub.azure.com
• mmrprodemeapubsub.webpubsub.azure.com
• mmrprodapacpubsub.webpubsub.azure.com

GCC 客戶也必須啟用下列網址：

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

GCC-High 客戶也必須啟用下列網址：

• mmrgcchiot.azure-devices.us
• mmrgcchstor.blob.core.usgovcloudapi.net

Teams 會議室 會設定為自動修補最新的 Windows 更新，包括安全性更新。 Teams 會議室 會使用預設的本機原則，從本機裝置時間凌晨 2：00 到 3：00 之間開始，每天安裝任何擱置的更新。 不需要使用其他工具來部署和套用 Windows 匯報。 使用其他工具部署和套用更新可能會延遲 Windows 修補程式的安裝，進而導致部署安全性較低。 Teams 會議室 應用程式是使用 Microsoft Store 部署。

Teams 會議室 裝置可與大部分的 802.1X 或其他網路型安全性通訊協定搭配使用。 不過，我們無法針對所有可能的網路安全性設定測試 Teams 會議室。 因此，如果出現可追溯到網路效能問題的效能問題，您可能需要停用這些協定。 如需詳細資訊，請參閱 實作 802.1x 驗證

為了獲得即時媒體的最佳效能，強烈建議您設定 Teams 媒體流量，以略過 Proxy 伺服器和其他網路安全性裝置。 即時媒體對延遲非常敏感，代理伺服器和網路安全設備會顯著降低使用者的視訊和音訊品質。 此外，由於 Teams 媒體已加密，因此通過 Proxy 伺服器傳遞流量沒有任何實際好處。 如需詳細資訊，請參閱 網路 (雲端) - 一位架構師的觀點，其中討論了網路建議，以使用 Microsoft Teams 和 Microsoft Teams 會議室 改善媒體效能。 如果您的組織使用租用戶限制，則 Windows 裝置上的 Teams 會議室 會遵循準備環境檔中的設定指引，支援它。

Teams 會議室 裝置不需要連線到內部 LAN。 請考慮將 Teams 會議室 放在具有直接因特網存取的安全隔離網路區段中。 如果您的內部 LAN 遭到入侵，則 Teams 會議室 的攻擊媒介機會會減少。

強烈建議您將 Teams 會議室 裝置連線到有線網路。 無線網路的使用需要仔細規劃和評估以獲得最佳體驗。 如需詳細資訊，請參閱 無線網路考量。

鄰近加入和其他 Teams 會議室功能依賴藍牙。 不過，Teams 會議室裝置上的藍牙實作不允許外部裝置連線到 Teams 會議室 裝置。 Teams 會議室裝置上的藍牙技術使用目前僅限於廣告信標和提示的近端連線。 ADV_NONCONN_INT PDU) 型別 (協定資料單元用於廣告信標。 此 PDU 型別適用於將資訊通告給接聽裝置的不可連線裝置。 這些功能沒有藍牙裝置配對。 有關藍牙協議的更多詳細信息，請訪問 藍牙 SIG 網站。

本文特定於 Android 上 (Teams 會議室 的 Teams Android 裝置、Teams 面板、Teams 手機 & Teams 顯示器) 。 本文不涵蓋 Microsoft Intune 針對專用裝置模式設定的 Android 裝置。

Microsoft 與我們的 OEM 合作夥伴合作，提供設計安全的解決方案，並可自訂以滿足客戶需求。 本文討論 Teams Android 裝置中的許多安全性功能，以及我們的方法。

如需 Windows 裝置上 Teams 會議室安全性的相關資訊，請選取 [Windows 上的 Teams 會議室] 索引標籤。

軟體安全

Android 資訊亭模式

Teams Android 裝置會鎖定，以 Android Kiosk 模式執行裝置，以僅執行已核准的應用程式。 Kiosk 模式會停用對任何啟動器功能的存取，並協助保護裝置，以便授權應用程式在裝置上啟動。

根據設計，Microsoft Teams Android 應用程式會在 Android Kiosk 模式啟動時啟動，而且不會為使用者提供任何作業系統存取權，或存取指定 Teams 使用者體驗之外的元件。

應用程式程式碼簽署

所有 Microsoft 和 OEM 應用程式都經過程式代碼簽署。 程式碼簽署有助於驗證裝置上執行的軟體是否來自 Microsoft 和我們的硬體合作夥伴。 程式碼簽署也會嘗試驗證裝置上執行之軟體的完整性，因此只有正版軟體才能啟動和執行。

第三方應用程式

為了確保無法安裝任何協力廠商應用程式，Teams 認證的裝置不會依設計安裝 Google Play 商店、Amazon Appstore 或 Google Play 服務。

Android 偵錯橋接器

ADB) (Android 偵錯橋接器會在執行發行軟體的所有 Teams Android 裝置上停用。 ADB 是一種命令列工具，使管理員能夠在基於 Android 的裝置上執行功能，並允許安裝應用程式、存取裝置 shell 和其他管理功能。

檔案系統加密

Teams Android 裝置必須支援 Android 型加密，而且可以使用 Microsoft Endpoint Manager 合規性原則強制執行。 如需 Endpoint Manager 合規性原則的相關資訊： 使用 Endpoint Manager 合規性原則，為您使用 Intune 管理的裝置設定規則。

Android 作業系統版本

Teams Android 裝置會執行支援的 Android 版本。 Android 作業系統由 OEM 合作夥伴管理，合併到 Teams 認證的韌體中，然後從 Teams 系統管理中心推送到裝置。 如需在 Teams Android 裝置上執行哪些 Android 版本的相關資訊，請參閱 [Microsoft Teams 認證的 Android 裝置] (android-app-firmware.md) 。

Android 安全性更新

OEM 廠商會在韌體更新程序中納入適當的 Android 安全性更新基準，以協助確保基本作業系統保持安全。 定期更新您的裝置對於確保您的裝置上運行適當的 Android 安全性更新非常重要。 如需詳細資訊，請參閱您的裝置製造商。

帳戶安全

Teams Android 裝置是圍繞兩種類型的帳戶所建置，可讓裝置成功運作。

• 本機裝置管理員帳戶

• 使用者或資源帳戶

Teams Android 裝置也與某些條件式存取原則相容，這些原則可作為裝置登入的更多安全性層。 如需最佳做法和支援的條件式存取原則，請參閱 支援的條件式存取合規性原則。

本機裝置管理員帳戶

Teams Android 裝置包含用於存取裝置設定的系統管理帳戶、本機網頁伺服器 (（如果) 安裝） ，以及任何 OEM 特定設定。

初始裝置設定和設定項目，例如此帳戶的預設使用者名稱和密碼，可從裝置製造商取得。

使用者或資源帳戶

Teams Android 裝置需要使用使用者或專用資源帳戶來登入 Microsoft 365。 我們會嘗試以特定方式保護這些帳戶，視其是個人裝置的使用者帳戶還是共用裝置的資源帳戶而定。 如需詳細資訊，請參閱 建立和設定會議室和共用裝置的資源帳戶。

裝置更新

Teams Android 裝置會設定為在 Microsoft 認證的更新可用時從 Teams 管理員中心下載。 這些更新可以由管理員自動推送或手動叫用。 如有必要，我們的 OEM 合作夥伴提供的第三方工具也可用於執行此功能。 Teams Android 裝置可以在下班後安裝更新，以避免對使用者造成影響。 您可以在 Teams 系統管理中心或使用 OEM 合作夥伴的第三方工具來設定下班後排程。

網路安全

Teams Android 裝置具有與任何 Microsoft Teams 用戶端相同的網路需求，包括透過防火牆和其他安全性裝置進行存取。 具體而言，Teams 所需的 類別必須在您的防火牆上開啟，以及下列其他支援服務。 如需 Teams Android 裝置所需的 IP 和 URL 完整清單，請參閱：

• Microsoft Teams、Exchange Online、SharePoint、Microsoft 365 Common 和 Office Online Office 365 URL 和 IP 位址範圍

• 適用於 Microsoft Intune 的 Microsoft Intune 網路端點

Teams Android 裝置可與大部分的 802.1X 和其他網路型安全性通訊協定搭配使用。 不過，我們無法針對所有網路安全性設定測試 Teams Android 裝置。 因此，如果由於網路效能問題而出現效能問題，您可能需要停用這些協定，或聯絡您的OEM合作夥伴尋求協助。

為了獲得即時媒體的最佳效能，強烈建議您設定 Teams 媒體流量，以略過 Proxy 伺服器和其他網路安全性裝置。 即時媒體對網路延遲很敏感，這可能是由代理伺服器和其他網路安全設備引起的。 網路延遲會顯著降低使用者的視訊和音訊品質。 如需詳細資訊，請參閱 將 (網路至雲端) - 一位架構師的觀點，其中討論網路建議，以使用 Microsoft Teams 改善媒體效能。

Teams Android 裝置會在因特網上使用加密通訊和端點驗證。 Teams Android 裝置使用 TLS 1.2+。

Teams Android 裝置不需要連線到內部 LAN。 請考慮將 Teams Android 裝置放在具有直接因特網存取的安全網路區段中。 例如，Teams 電話可以部署在語音 VLAN 上。 如果您的內部 LAN 遭到入侵，則會藉由實作此網路隔離來減少 Teams Android 裝置的攻擊媒介機會。

強烈建議您將 Teams 會議室 裝置連線到有線網路。 無線網路的使用需要仔細規劃和評估以獲得最佳體驗。 如需詳細資訊，請參閱 無線網路考量。

鄰近加入、Better Together、Teams 投射和 Teams 面板配對依賴藍牙。 Android 裝置上 Teams 會議室 上的藍牙技術使用目前僅限於廣告信標和提示的近端連線。 ADV_NONCONN_INT PDU) 型別 (協定資料單元用於廣告信標。 此 PDU 型別適用於將資訊通告給接聽裝置的不可連線裝置。 這些功能沒有藍牙裝置配對。 有關藍牙協議的更多詳細信息，請訪問藍牙 SIG 網站。

Teams 手機和顯示器提供藍牙配對功能，以使用藍牙 Hands-Free 配置檔與頭戴式裝置配對。

如需 Microsoft Teams 安全性的詳細資訊，請參閱 安全性和 Microsoft Teams。