規劃和設定增強的加密原則

針對需要高度機密性的情況，Teams 會針對一對一通話提供端對端加密 (E2EE)。 端對端加密 (或 E2EE) 是在內容在傳送之前加密，並僅由預定收件者進行解密時才會發生。 使用端對端加密，僅有兩個端點系統參與加密和解密通話資料。 任何其他對象 (包括 Microsoft) 都可存取解密後的交談。

根據預設，Teams 會使用業界標準技術來加密所有通訊，例如傳輸層安全性 (TLS) 和安全即時傳輸通訊協定 (SRTP)。

一對一 Microsoft Teams 通話的端對端加密

使用端對端加密，

• 只有兩個端點系統會參與加密和解密通話資料

• 其他任何一方，包括 Microsoft，都無法存取解密的交談

• 在通話期間交換的資料在傳輸中和待用時一律是安全的

什麼內容會經過加密：

在端對端加密通話期間，Teams 會保護：

• 音訊
• 影片
• 共用螢幕

無法使用的功能：

E2EE 通話期間無法使用下列進階功能：

• 即時輔助字幕和轉錄
• 來電轉接
• 通話合併
• 通話駐留
• 商討後轉接
• 呼叫小幫手並轉接至其他裝置
• 新增參與者
• 錄製

設定增強型加密原則

Teams 系統管理員藉由建立一或多個增強型加密原則，定義誰可以使用端對端加密，為組織啟用端對端加密。

全域、全組織的預設原則會指定停用端對端加密。 除非您建立並指派自訂原則，否則貴組織中的使用者將會自動取得全域原則。 若要啟用端對端加密，請建立新的加密原則或修改全域預設原則

使用 Teams 系統管理中心

若要使用 Teams 系統管理中心設定端對端加密：

1. 登入 Teams 系統管理中心。

2. 請移至 [增強型加密原則]。

3. 選擇預設原則，或選擇 [新增] 以新增原則，然後命名新原則。

4. 若要為您的使用者啟用端對端加密，進行端對端通話加密，請選擇 [關閉，但是使用者可以開啟]，然後選擇 [儲存]。

   

當您完成原則設定後，請以您管理其他 Teams 原則的方式，將該原則指派給使用者、群組或全體租用戶。

使用 Microsoft PowerShell

您可以使用 Microsoft PowerShell Cmdlet 來管理端對端加密原則：

• Get-CsTeamsEnhancedEncryptionPolicy 會傳回貴組織中有關 Teams 的增強型加密原則資訊。

• Grant-CsTeamsEnhancedEncryptionPolicy 可指派和取消指派使用者的現有增強型加密原則。 使用 $Null 取消指派使用者的所有原則。

• New-CsTeamsEnhancedEncryptionPolicy 可建立新的 Teams 增強型加密原則。

• Remove-CsTeamsEnhancedEncryptionPolicy 會刪除貴組織的增強加密原則。 您無法刪除全域的預設原則。

• Set-CsTeamsEnhancedEncryptionPolicy 可更新現有的 Teams 增強型加密原則中的值。

若要藉由設定預設全域原則來啟用整個租用戶的端對端加密，請執行 Set-CsTeamsEnhancedEncryptionPolicy Cmdlet：

Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride

在 Teams 用戶端中撥打端對端加密通話

在系統管理員啟用端對端加密之後，使用者必須在裝置上的 Teams 設定中開啟端對端加密通話。 每位使用者都需要完成此工作，但他們只需要在一部裝置上執行此工作。 Teams 會針對每位使用者在支援的端點同步此設定。

在通話之前，這兩位使用者都必須從 Teams 用戶端開啟 E2EE：

1. 在 Teams 中，選取設定檔圖片旁邊的 [更多選項]，然後選取 [設定]。

2. 選取左側的 [隱私權]，然後選取 [端對端加密通話] 旁的切換開關以開啟它。