Segurança das Salas Microsoft Teams

A Microsoft trabalha com os nossos parceiros para fornecer uma solução segura e não requer ações adicionais para proteger as Salas Microsoft Teams no Windows. Esta secção aborda muitas das funcionalidades de segurança encontradas nas Salas Teams no Windows.

Para obter informações sobre segurança em Salas Teams em dispositivos Android, selecione o separador Salas Teams no Android .

Os dados limitados do utilizador final são armazenados nas Salas Teams. Os dados do utilizador final podem ser armazenados nos ficheiros de registo apenas para resolução de problemas e suporte. Nenhum participante de uma reunião que utilize Salas Teams pode copiar ficheiros para o disco rígido ou iniciar sessão como eles próprios. Os dados do utilizador final não são transferidos ou acessíveis pelo dispositivo Salas Microsoft Teams.

Apesar de os utilizadores finais não poderem colocar ficheiros num disco rígido das Salas Teams, o Microsoft Defender continua ativado. O desempenho das Salas Teams é testado com o Microsoft Defender, incluindo a inscrição no portal do Defender para Endpoint. Desativar ou adicionar software de segurança de ponto final pode levar a resultados imprevisíveis e potencial degradação do sistema.

Segurança de hardware

Num ambiente de Salas Teams, existe um módulo de computação central que executa a edição Windows 10 ou 11 IoT Enterprise. Todos os módulos de computação certificados têm de ter uma solução de montagem segura, um bloco de bloqueio de segurança (por exemplo, bloqueio kensington) e medidas de segurança de acesso à porta de E/S para impedir a ligação de dispositivos não autorizados. Também pode desativar portas específicas através da configuração do UEFI (Extensible Firmware Interface) Unificado.

Todos os módulos de computação certificados têm de ser enviados com tecnologia compatível com o Trusted Platform Module (TPM) 2.0 ativada por predefinição. O TPM é utilizado para encriptar as informações de início de sessão da conta de recursos das Salas Teams.

O arranque seguro está ativado por predefinição. O arranque seguro é uma norma de segurança desenvolvida por membros da indústria de PC para ajudar a garantir que um dispositivo arranca utilizando apenas software fidedigno pelo Fabricante de Equipamento Original (OEM). Quando o PC é iniciado, o firmware verifica a assinatura de cada parte do software de arranque, incluindo controladores de firmware UEFI (também conhecidos como ROMs de Opção), aplicações EFI e o sistema operativo. Se as assinaturas forem válidas, o PC arranca e o firmware dá controlo ao sistema operativo. Para obter mais informações, veja Arranque seguro.

O acesso às definições de UEFI só é possível ao anexar um teclado físico e um rato, o que impede o acesso à UEFI através da consola tátil das Salas Teams ou de quaisquer outros ecrãs táteis ligados às Salas Teams.

A Proteção do Acesso Direto à Memória (DMA) do Kernel é uma definição do Windows que está ativada nas Salas Teams. Com esta funcionalidade, o SO e o firmware do sistema protegem o sistema contra ataques DMA maliciosos e não intencionais para todos os dispositivos compatíveis com DMA:

• Durante o processo de arranque.

• Contra DMA malicioso por dispositivos ligados a portas facilmente acessíveis com capacidade de DMA interna/externa, como ranhuras M.2 PCIe e Thunderbolt 3, durante o runtime do SO.

As Salas Teams também ativam a integridade do código protegido pelo Hipervisor (HVCI). Uma das funcionalidades fornecidas pelo HVCI é o Credential Guard. O Credential Guard fornece as seguintes vantagens:

• Segurança de hardware O NTLM, o Kerberos e o Gestor de Credenciais tiram partido das funcionalidades de segurança da plataforma, incluindo o Arranque Seguro e a virtualização, para proteger as credenciais.

• Segurança baseada em virtualização As credenciais derivadas do Windows NTLM e Kerberos e outros segredos são executados num ambiente protegido isolado do sistema operativo em execução.

• Melhor proteção contra ameaças persistentes avançadas Quando as credenciais de domínio do Gestor de Credenciais, as credenciais derivadas de NTLM e Kerberos são protegidas através da segurança baseada na virtualização, as técnicas de ataque de roubo de credenciais e as ferramentas utilizadas em muitos ataques direcionados são bloqueadas. O software maligno em execução no sistema operativo com privilégios administrativos não consegue extrair segredos protegidos pela segurança baseada em virtualização.

Segurança de Software

Depois de o Microsoft Windows arrancar, as Salas Teams iniciam sessão automaticamente numa conta de utilizador do Windows local com o nome Skype. A conta Skype não tem palavra-passe. Para tornar a sessão da conta Skype segura, são seguidos os seguintes passos.

A aplicação Salas Microsoft Teams é executada com a funcionalidade Acesso Atribuído encontrada no Windows 10 1903 e posterior. O Acesso Atribuído é uma funcionalidade no Windows que limita os pontos de entrada da aplicação expostos ao utilizador e ativa o modo de quiosque de aplicação única. Com o Iniciador de Shell, as Salas Teams são configuradas como um dispositivo de quiosque que executa uma aplicação de ambiente de trabalho do Windows como a interface de utilizador. A aplicação Salas Microsoft Teams substitui a shell predefinida (explorer.exe) que normalmente é executada quando um utilizador inicia sessão. Por outras palavras, a shell do Explorador tradicional não é iniciada de todo, o que reduz significativamente a superfície de vulnerabilidade das Salas Microsoft Teams no Windows. Para obter mais informações, consulte Configurar quiosques e sinais digitais em edições de ambiente de trabalho do Windows.

Se decidir executar uma análise de segurança ou uma referência do Centro de Segurança da Internet (CIS) nas Salas Teams, a análise só pode ser executada no contexto de uma conta de administrador local, uma vez que a conta de utilizador do Skype não suporta a execução de aplicações que não a aplicação Salas Teams. Muitas das funcionalidades de segurança aplicadas ao contexto de utilizador do Skype não se aplicam a outros utilizadores locais e, como resultado, estas análises de segurança não apresentam o bloqueio de segurança total aplicado à conta Skype. Por conseguinte, não recomendamos a execução de uma análise local nas Salas Teams. No entanto, pode executar testes de penetração externos, se assim o desejar. Por este motivo, recomendamos que execute testes de penetração externos em dispositivos de Salas Teams em vez de executar análises locais.

Além disso, são aplicadas políticas de bloqueio para limitar a utilização de funcionalidades não administrativas. Um filtro de teclado está ativado para intercetar e bloquear combinações de teclado potencialmente inseguras que não são abrangidas pelas políticas de Acesso Atribuído. Apenas os utilizadores com direitos administrativos locais ou de domínio têm permissão para iniciar sessão no Windows para gerir as Salas Teams. Estas e outras políticas aplicadas ao Windows em dispositivos Microsoft Teams Rooms são continuamente avaliadas e testadas durante o ciclo de vida do produto.

O Microsoft Defender está ativado, a licença Teams Rooms Pro também inclui o Defender para Endpoint, que permite que os clientes inscrevam as respetivas Salas Teams no Defender para Endpoint para fornecer visibilidade às equipas de segurança sobre a postura de segurança da Sala Teams em dispositivos Windows a partir do portal do Defender. As Salas Teams no Windows podem ser inscritas ao seguir os passos para dispositivos Windows. Não recomendamos que modifique as Salas Teams com regras de proteção (ou outras políticas do Defender que efetuem alterações de configuração), uma vez que estas políticas podem afetar a funcionalidade das Salas Teams; no entanto, a funcionalidade de relatórios no portal é suportada.

Segurança da Conta

Os dispositivos das Salas Teams incluem uma conta administrativa denominada "Administrador" com uma palavra-passe predefinida. Recomendamos vivamente que altere a palavra-passe predefinida o mais rapidamente possível após concluir a configuração.

A conta de Administrador não é necessária para o funcionamento adequado de dispositivos de Salas Teams e pode ser renomeada ou mesmo eliminada. No entanto, antes de eliminar a conta de Administrador, certifique-se de que configurou uma conta de administrador local alternativa configurada antes de remover a que é fornecida com dispositivos Salas Teams. Para obter mais informações sobre como alterar uma palavra-passe de uma conta do Windows local com ferramentas incorporadas do Windows ou o PowerShell, consulte o seguinte:

• Configurar LAPS em Salas Teams no Windows
• Alterar ou repor a palavra-passe do Windows
• Set-LocalUser

Também pode importar contas de domínio para o grupo de Administradores do Windows local com o Intune. Para obter mais informações, veja Policy CSP – RestrictedGroups..

Não conceda permissões de Administrador local à conta de utilizador do Skype.

O Windows Configuration Designer pode ser utilizado para criar pacotes de aprovisionamento do Windows. Além de alterar a palavra-passe de Administrador local, também pode fazer coisas como alterar o nome do computador e inscrever-se no Microsoft Entra ID. Para obter mais informações sobre como criar um pacote de aprovisionamento do Windows Configuration Designer, veja Provisioning packages for Windows 10 (Aprovisionar pacotes para o Windows 10).

Tem de criar uma conta de recurso para cada dispositivo de Salas Teams para que possa iniciar sessão no Teams. Não pode utilizar a autenticação interativa de dois fatores ou multifator do utilizador com esta conta. Exigir um segundo fator impediria que a conta pudesse iniciar sessão automaticamente na aplicação Salas Teams após um reinício. Além disso, as políticas de Acesso Condicional do Microsoft Entra e as Políticas de Conformidade do Intune podem ser implementadas para proteger a conta de recursos. Para obter mais informações, veja Acesso Condicional Suportado e Políticas de conformidade de dispositivos do Intune para Salas Microsoft Teams e Acesso Condicional e Conformidade do Intune para Salas Microsoft Teams.

Recomendamos que crie a conta de recurso no Microsoft Entra ID, se possível como uma conta apenas na cloud. Embora uma conta sincronizada possa funcionar com as Salas Teams em implementações híbridas, estas contas sincronizadas têm muitas vezes dificuldade em iniciar sessão nas Salas Teams e podem ser difíceis de resolver. Se optar por utilizar um serviço de federação de terceiros para autenticar as credenciais da conta de recurso, certifique-se de que o IDP de terceiros responde com o wsTrustResponse atributo definido como urn:oasis:names:tc:SAML:1.0:assertion. Se a sua organização não quiser utilizar o WS-Trust, utilize antes contas apenas na cloud.

Segurança de Rede

Geralmente, as Salas Teams têm os mesmos requisitos de rede que qualquer cliente do Microsoft Teams. O acesso através de firewalls e outros dispositivos de segurança é o mesmo para as Salas Teams que para qualquer outro cliente do Microsoft Teams. Específicas das Salas Teams, as categorias listadas como "necessárias" para o Teams têm de estar abertas na firewall. As Salas Teams também precisam de acesso ao Windows Update, à Microsoft Store e ao Microsoft Intune (se utilizar o Microsoft Intune para gerir os seus dispositivos). Para obter a lista completa de IPs e URLs necessários para as Salas Microsoft Teams, consulte:

• Intervalos de URLs e endereços IP do Office 365 doMicrosoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common e Office Online
• Configurar o WSUS do Windows Update
• Pré-requisitos da Microsoft Store para Microsoft Store para Empresas e Educação
• Pontos Finais de Rede do Microsoft Intunepara o Microsoft Intune

Se estiver a utilizar o componente de serviços geridos de Salas Microsoft Teams do Microsoft Teams Rooms Pro, também tem de se certificar de que as Salas Teams podem aceder aos seguintes URLs:

• agent.rooms.microsoft.com
• global.azure-devices-provisioning.net
• gj3ftstorage.blob.core.windows.net
• mmrstgnoamiot.azure-devices.net
• mmrstgnoamstor.blob.core.windows.net
• mmrprodapaciot.azure-devices.net
• mmrprodapacstor.blob.core.windows.net
• mmrprodemeaiot.azure-devices.net
• mmrprodemeastor.blob.core.windows.net
• mmrprodnoamiot.azure-devices.net
• mmrprodnoamstor.blob.core.windows.net

Os clientes GCC também terão de ativar os seguintes URLs:

• mmrprodgcciot.azure-devices.net
• mmrprodgccstor.blob.core.windows.net

As Salas Teams são configuradas para se manterem automaticamente corrigidas com as atualizações mais recentes do Windows, incluindo atualizações de segurança. As Salas Teams instalam todas as atualizações pendentes todos os dias a partir das 2:00 da manhã através de uma política local predefinida. Não é necessário utilizar outras ferramentas para implementar e aplicar Atualizações do Windows. A utilização de outras ferramentas para implementar e aplicar atualizações pode atrasar a instalação de patches do Windows e, assim, levar a uma implementação menos segura. A aplicação Salas Teams é implementada com a Microsoft Store.

Os dispositivos Salas Teams funcionam com a maioria dos protocolos de segurança 802.1X ou outros protocolos de segurança baseados na rede. No entanto, não conseguimos testar as Salas Teams em relação a todas as configurações de segurança de rede possíveis. Por conseguinte, se surgirem problemas de desempenho que possam ser relacionados com problemas de desempenho de rede, poderá ter de desativar estes protocolos.

Para um desempenho ideal do suporte de dados em tempo real, recomendamos vivamente que configure o tráfego de multimédia do Teams para ignorar servidores proxy e outros dispositivos de segurança de rede. O suporte de dados em tempo real é muito sensível à latência e os servidores proxy e os dispositivos de segurança de rede podem degradar significativamente a qualidade de áudio e vídeo dos utilizadores. Além disso, como o suporte de dados do Teams já está encriptado, não há qualquer benefício tangível de passar o tráfego através de um servidor proxy. Para obter mais informações, consulte Networking up (to the cloud)— O ponto de vista de um arquiteto, que aborda recomendações de rede para melhorar o desempenho dos suportes de dados com o Microsoft Teams e as Salas Microsoft Teams.

Os dispositivos das Salas Teams não precisam de se ligar a uma LAN interna. Considere colocar as Salas Teams num segmento de rede isolado seguro com acesso direto à Internet. Se a LAN interna ficar comprometida, as oportunidades de vetor de ataque para as Salas Teams serão reduzidas.

Recomendamos vivamente que ligue os seus dispositivos de Salas Teams a uma rede com fios. A utilização de redes sem fios requer um planeamento e uma avaliação cuidadosos para obter a melhor experiência. Para obter mais informações, veja Considerações de rede sem fios.

As funcionalidades De Associação por Proximidade e outras Salas Teams dependem de Bluetooth. No entanto, a implementação bluetooth em dispositivos de Salas Teams não permite uma ligação de dispositivo externo a um dispositivo de Salas Teams. A utilização da tecnologia Bluetooth em dispositivos de Salas Teams está atualmente limitada a beacons publicitários e a ligações proximais solicitadas. O ADV_NONCONN_INT tipo de unidade de dados de protocolo (PDU) é utilizado no beacon de publicidade. Este tipo de PDU destina-se a dispositivos não ligados que publicitam informações ao dispositivo de escuta. Não existe um emparelhamento de dispositivos Bluetooth como parte destas funcionalidades. Pode encontrar detalhes adicionais sobre os protocolos Bluetooth no site do SIG Bluetooth.

Este artigo não abrange dispositivos Android configurados para o modo de dispositivo dedicado pelo Microsoft Endpoint Manager. Os dispositivos Android do Teams são executados no modo de Quiosque por predefinição. Para obter informações sobre o Quiosque android, consulte Inscrição de dispositivos dedicados do Android Enterprise.

A Microsoft trabalha com os nossos parceiros OEM para fornecer uma solução segura por predefinição e personalizável para satisfazer as necessidades dos clientes. Este artigo aborda muitas das funcionalidades de segurança encontradas em dispositivos Android do Teams e a nossa abordagem. Está dividido em quatro secções principais para facilitar a navegação.

Para obter informações sobre segurança em Salas Teams em dispositivos Windows, selecione o separador Salas Teams no Windows .

Segurança do software

Modo de quiosque Android

Os dispositivos Android do Teams são bloqueados para executar apenas aplicações aprovadas ao executar o dispositivo no modo de Quiosque android. O modo de local público desativa o acesso a quaisquer capacidades do iniciador e ajuda a proteger o dispositivo para que as aplicações autorizadas iniciem no dispositivo.

Por predefinição, a aplicação Microsoft Teams para Android é iniciada em start-up no modo de Quiosque android e não fornece ao utilizador qualquer acesso ao sistema operativo ou acesso a componentes fora da experiência de utilizador do Teams designada.

Assinatura do código da aplicação

Todas as aplicações Microsoft e OEM são assinadas por código. A assinatura de código ajuda a validar que o software em execução num dispositivo é genuíno da Microsoft e dos nossos parceiros de hardware. A assinatura de código também tenta validar a integridade do software que está a ser executado no dispositivo, de modo a que apenas o software genuíno possa ser iniciado e executado.

Aplicações de terceiros

Os dispositivos certificados do Teams não têm a Google Play Store, a Amazon App Store ou o Google Play Services instalados por predefinição. Isto ajuda a garantir que não é possível instalar aplicações de terceiros a partir da loja num dispositivo.

Ponte de depuração do Android

A bridge de depuração do Android (ADB) está desativada por predefinição em todos os dispositivos Android do Teams com software de versão. O ADB é uma ferramenta de linha de comandos que permite aos administradores executar funções em dispositivos baseados no Android e permite a instalação de aplicações, acesso à shell do dispositivo e outras funções de administrador.

Encriptação do sistema de ficheiros

Os dispositivos Android do Teams têm de suportar encriptação baseada no Android e podem ser aplicados através de políticas de conformidade do Microsoft Endpoint Manager. Para obter informações sobre as políticas de conformidade do Endpoint Manager , utilize as políticas de conformidade do Endpoint Manager para definir regras para os dispositivos que gere com o Intune.

Versão do SO Android

Os dispositivos Android do Teams executam versões suportadas do Android. O sistema operativo Android é gerido por parceiros OEM, intercalado em firmware certificado do Teams e, em seguida, enviado para dispositivos a partir do centro de administração do Teams. Para obter informações sobre as versões android que estão a ser executadas em dispositivos Android do Teams, consulte [Dispositivos Android certificados pelo Microsoft Teams](android-app-firmware.md).

Atualizações de segurança do Android

Os fornecedores OEM, como parte do processo de atualização de firmware, incorporam as linhas de base de atualização de segurança do Android adequadas para ajudar a garantir que o sistema operativo base é mantido seguro. Manter os seus dispositivos atualizados regularmente é importante para garantir que as atualizações de segurança do Android adequadas estão em execução nos seus dispositivos. Para obter mais informações, consulte o fabricante do dispositivo.

Segurança da conta

Os dispositivos Android do Teams são criados em torno de dois tipos de contas que permitem o funcionamento bem-sucedido de um dispositivo.

• Conta de administrador de dispositivo local

• Conta de utilizador ou recurso

Os dispositivos Android do Teams também são compatíveis com algumas políticas de acesso condicional, que podem ser utilizadas como mais camadas de segurança para o início de sessão do dispositivo. Para obter as melhores práticas e as políticas de acesso condicional suportadas, veja Políticas de conformidade de acesso condicional suportadas.

Conta de administrador de dispositivo local

Os dispositivos Android do Teams incluem uma conta administrativa para aceder às definições do dispositivo, ao servidor Web local se estiver instalado e a quaisquer definições específicas do OEM.

A configuração inicial do dispositivo e os itens de configuração, como o nome de utilizador predefinido e a palavra-passe desta conta, podem ser obtidos junto do fabricante do dispositivo.

Conta de utilizador ou recurso

Os dispositivos Android do Teams requerem a utilização de um utilizador, ou conta de recurso dedicada, para iniciar sessão no Microsoft 365. Tentamos proteger estas contas de formas específicas, consoante seja uma conta de utilizador para um dispositivo pessoal ou uma conta de recurso para um dispositivo partilhado. Para obter mais informações, veja Criar e configurar contas de recursos para salas e dispositivos partilhados.

Atualizações de dispositivos

Os dispositivos Android do Teams estão configurados para transferir atualizações certificadas pela Microsoft a partir do centro de administração do Teams quando ficarem disponíveis. Estas atualizações podem ser emitidas automaticamente ou manualmente invocadas por um Administrador. As ferramentas de terceiros dos nossos parceiros OEM também estão disponíveis para executar esta função, se necessário. Os dispositivos Android do Teams podem instalar atualizações fora do horário de expediente para evitar o impacto para os utilizadores. As agendas fora do horário de expediente podem ser configuradas no centro de administração do Teams ou através de ferramentas de terceiros de parceiros OEM.

Segurança de rede

Os dispositivos Android do Teams têm os mesmos requisitos de rede que qualquer cliente do Microsoft Teams, incluindo o acesso através de firewalls e outros dispositivos de segurança. Especificamente, as categorias listadas conforme necessário para o Teams têm de estar abertas na firewall, juntamente com outros serviços de suporte, conforme listado abaixo. Para obter a lista completa de IPs e URLs necessários para dispositivos Android do Teams, consulte:

• Microsoft Teams, Exchange Online, SharePoint Online, Microsoft 365 Common e Intervalo de URLs e endereços IP do Office Online do Office 365

• Pontos Finais de Rede do Microsoft Intune para o Microsoft Intune

Os dispositivos Android do Teams funcionam com a maioria dos protocolos de segurança 802.1X e outros protocolos de segurança baseados na rede. No entanto, não podemos testar dispositivos Android do Teams em todas as configurações de segurança de rede. Por conseguinte, se surgirem problemas de desempenho que possam ser rastreados a problemas de desempenho de rede, poderá ter de desativar estes protocolos se estiverem configurados na sua organização ou contactar o parceiro OEM para obter assistência.

Para um desempenho ideal do suporte de dados em tempo real, recomendamos vivamente que configure o tráfego de multimédia do Teams para ignorar servidores proxy e outros dispositivos de segurança de rede. O suporte de dados em tempo real é sensível à latência de rede, o que pode ser causado por servidores proxy e outros dispositivos de segurança de rede. A latência de rede pode degradar significativamente a qualidade de áudio e vídeo dos utilizadores. Para obter mais informações, consulte Networking up (to the cloud)— O ponto de vista de um arquiteto, que aborda recomendações de rede para melhorar o desempenho dos suportes de dados com o Microsoft Teams.

Os dispositivos Android do Teams utilizam comunicações encriptadas e autenticação de ponto final na Internet. Os dispositivos Android do Teams utilizam o TLS 1.2+.

Os dispositivos Android do Teams não precisam de se ligar a uma LAN interna. Considere colocar dispositivos Android do Teams num segmento de rede seguro com acesso direto à Internet. Por exemplo, o Teams Phones pode ser implementado numa VLAN de voz. Se a LAN interna ficar comprometida, as oportunidades de vetor de ataque para dispositivos Android do Teams serão reduzidas através da implementação desta segregação de rede.

Recomendamos vivamente que ligue os seus dispositivos de Salas Teams a uma rede com fios. A utilização de redes sem fios requer um planeamento e uma avaliação cuidadosos para obter a melhor experiência. Para obter mais informações, veja Considerações de rede sem fios.

A Associação por Proximidade, o Better Together, o Teams Cast e o emparelhamento de painéis do Teams dependem de Bluetooth. A utilização da tecnologia Bluetooth em Salas Teams em dispositivos Android está atualmente limitada a beacons publicitários e a ligações proximas pedidas. O ADV_NONCONN_INT tipo de unidade de dados de protocolo (PDU) é utilizado no beacon de publicidade. Este tipo de PDU destina-se a dispositivos não ligados que publicitam informações ao dispositivo de escuta. Não existe um emparelhamento de dispositivos Bluetooth como parte destas funcionalidades. Pode encontrar mais detalhes sobre os protocolos Bluetooth no site do SIG Bluetooth.

O Teams Phones and Displays oferece a capacidade de emparelhamento Bluetooth para emparelhar com auscultadores com o Perfil de Hands-Free Bluetooth.

Para obter mais informações sobre segurança no Microsoft Teams, consulte Segurança e Microsoft Teams.