Microsoft Teams としての Android セキュリティ

本記事は「Microsoft Teams for Android セキュリティ」をベースにGoogle 翻訳をベースに修正を加えてたものです。合わせてMicrosoft Ignite 2022 セッションもご参照ください

Demystifying Microsoft Teams Rooms on Android

Microsoft Ignite – Join us on October 12-14

Microsoft Teams としての Android セキュリティ

この記事では、Microsoft Endpoint Manager によって専用デバイス モード用に構成された Android デバイスについては説明しません。 Microsoft Teams Android デバイスは、設計上、キオスク モードで実行されます。 Android キオスクの詳細については、「Android Enterprise 専用デバイスの登録」を参照してください。

Microsoft は OEM パートナーと協力して、設計上セキュリティが確保され、顧客のニーズに合わせてカスタマイズ可能なソリューションを提供します。この記事では、Microsoft Teams Android デバイスに見られる多くのセキュリティ機能と私たちのアプローチについて説明します。ナビゲーションを容易にするために、4 つの主要なセクションに分割されています。

注意
Teams Android デバイスは、Teams とそれぞれのユース ケースで使用するために設計された専用のアプライアンスです。この記事は、Android オペレーティング システムを実行している認定済みの専用の Microsoft Teams デバイスにのみ適用されます。 Teams 認定デバイスは、認定 OEM ベンダーからのみ購入できます。 Microsoft Teams 認定の Android デバイスについては、「Microsoft Teams 認定の Android デバイス」を参照してください。

Windows デバイス用の Teams ルームのセキュリティについては、「Windows 用 Microsoft Teams ルームのセキュリティ」を参照してください。

ソフトウェア セキュリティ

Android キオスク モード

Teams Android デバイスは、デバイスを Android キオスク モードで実行することにより、承認されたアプリケーションのみを実行するようにロックダウンされます。キオスク モードは、すべてのランチャー機能へのアクセスを無効にし、デバイスを保護して、許可されたアプリケーションがデバイス上で起動するようにします。

設計上、起動時からAndroid キオスク モードとしてMicrosoft Teams Android アプリが起動し、オペレーティング システムへのアクセスや、指定された Teams ユーザー 体験以外のコンポーネントへのアクセスをユーザーに提供しません。

アプリケーション コード署名

すべての Microsoft および OEM アプリケーションはコード署名されています。コード署名は、デバイスで実行されているソフトウェアが Microsoft およびハードウェア パートナーから正規のものであることを検証するのに役立ちます。コード署名は、正規のソフトウェアのみが起動して実行できるように、デバイスで実行されているソフトウェアの整合性を検証しようとします。

サード パーティ アプリケーション

Microsoft Teams 認定デバイスには、設計上、Google Play ストア、Amazon App Store、または Google Play サービスがインストールされていません。これにより、ストアからデバイスにサードパーティのアプリケーションをインストールできなくなります。

Android デバッグ ブリッジ

Android デバッグ ブリッジ (ADB) は、リリース ソフトウェアを実行しているすべての Teams Android デバイスで設計上無効になっています。 ADB は、管理者が Android ベースのデバイスで機能を実行できるようにするコマンド ライン ツールであり、アプリのインストール、デバイス シェルへのアクセス、およびその他の管理機能を可能にするモードです。

ファイル システムの暗号化

Teams Android デバイスは、Android ベースの暗号化をサポートする必要があり、Microsoft エンドポイント マネージャーのコンプライアンス ポリシーを使用して適用できます。エンドポイント マネージャーのコンプライアンス ポリシーについて エンドポイント マネージャーのコンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定します。

Android OS のバージョン

Teams Android デバイスは、サポートされているバージョンの Android を実行します。 Android オペレーティング システムは、OEM パートナーによって管理され、Teams 認定ファームウェアに統合されてから、Teams 管理センターからデバイスにプッシュされます。 Teams Android デバイスで実行されている Android バージョンについては、「Microsoft Teams 認定の Android デバイス」を参照してください。

Android セキュリティ アップデート

OEM ベンダーは、ファームウェア アップデート プロセスの一環として、適切な Android セキュリティ アップデート ベースラインを組み込み、基本オペレーティング システムの安全性を確保します。適切な Android セキュリティ アップデートがデバイスで実行されるようにするには、デバイスを定期的に更新することが重要です。詳細については、デバイスの製造元にお問い合わせください。

アカウント セキュリティ

Teams Android デバイスは、デバイスの正常な機能を可能にする 2 種類のアカウントを中心に構築されています。

• ローカル デバイス管理者アカウント

• ユーザーまたはリソース アカウント

Teams Android デバイスは、デバイス サインインのセキュリティの追加レイヤーとして使用できる、いくつかの条件付きアクセス ポリシーとも互換性があります。ベスト プラクティスとサポートされている条件付きアクセス ポリシーについては、「サポートされている条件付きアクセス コンプライアンス ポリシー」を参照してください。

ローカル デバイス管理者アカウント

Teams Android デバイスには、デバイス設定、ローカル Web サーバー (インストールされている場合)、および OEM 固有の設定にアクセスするための管理者アカウントが含まれています。

このアカウントの既定のユーザー名とパスワードなど、デバイスの初期セットアップと構成項目は、デバイスの製造元から入手できます。

注意
デバイス管理者のパスワードは、できるだけ早く変更してください

ヒント
Teams 管理センターの構成プロファイルを適用して、サインインしている Teams Android デバイスのローカル デバイス管理者パスワードを変更できます。 Android デバイスの昇格された機能を保護するために、最初のデバイス サインイン後にこのアプローチをお勧めします。サポートされている場合、昇格された機能には、デバイス設定と Web 管理ポータルを含めることができます。

ユーザー アカウントまたはリソース アカウント

Teams Android デバイスは Microsoft 365 にサインインするユーザーもしくは専用のリソースアカウントを必要とします。 これらのアカウントが個人用デバイスまたはリソースの通常のユーザー アカウントであるかどうかに応じて、特定の方法でこれらのアカウントを保護しようとします。共有デバイスのアカウント。詳細については、「会議室と共有デバイスのリソース アカウントを作成して構成する」を参照してください。

デバイスの更新

Teams Android デバイスは、 利用可能なMicrosoft 認定更新ファームウェアを Teams 管理センターからダウンロードするように構成されています。これらは、自動でプッシュすることも、管理者が手動で呼び出すこともできます。必要に応じて、OEM パートナーのサードパーティ ツールを使用して、この機能を実行することもできます。 Teams Android デバイスは、ユーザーへの影響を避けるために、数時間後に更新プログラムをインストールできます。

ネットワーク セキュリティ

Teams Android デバイスには、ファイアウォールやその他のセキュリティ デバイスを介したアクセスを含め、Microsoft Teams クライアントと同じネットワーク要件があります。具体的には、Teams に必須としてリストされているカテゴリは、以下にリストされている他のサポート サービスと共に、ファイアウォール上で開いている必要があります。 Teams Android デバイスに必要な IP と URL の完全なリストについては、次を参照してください:

• Exchange Online、SharePoint Online、Microsoft 365 Common、および Office Online Office 365 の URL と IP アドレス範囲

• Microsoft Intune Network Endpoints for Microsoft Intune

Teams Android デバイスは 802.1X およびその他のネットワークベースのセキュリティ プロトコルに対応しています。ただし、すべてのネットワーク セキュリティ構成に対して Teams Android デバイスをテストすることはできません。したがって、ネットワーク パフォーマンスの問題に起因するパフォーマンスの問題が発生した場合、これらのプロトコルが組織内で構成されている場合は無効にするか、OEM パートナーに連絡して支援を求める必要があります。

リアルタイム メディアのパフォーマンスを最適化するには、プロキシ サーバーやその他のネットワーク セキュリティ デバイスをバイパスするように Teams メディア トラフィックを構成することを強くお勧めします。リアルタイム メディアはネットワーク遅延の影響を受けやすく、プロキシ サーバーやその他のネットワーク セキュリティ デバイスが原因である可能性があります。ネットワーク遅延により、ユーザーのビデオとオーディオの品質が大幅に低下する可能性があります。詳細については、(クラウドへの) ネットワーキング — Microsoft Teams を使用してメディアのパフォーマンスを向上させるためのネットワークの推奨事項について説明している 1 つのアーキテクトの視点を参照してください。

Teams Android デバイスは、インターネット上で暗号化された通信とエンドポイント認証を使用します。 Teams Android デバイスは TLS 1.2以上を使用します。

重要
Teams Android デバイスは、認証つきプロキシ サーバーまたはテナント制限をサポートしていません。プロキシ サポート情報については、OEM パートナーにお問い合わせください。

Teams Android デバイスは、内部 LAN に接続する必要はありません。 Teams Android デバイスを、インターネットに直接アクセスできる安全なネットワーク セグメントに配置することを検討してください。たとえば、Teams 電話は音声 VLAN に展開できます。内部 LAN が侵害された場合、このネットワーク分離を実装することで、Teams Android デバイスに対する攻撃ベクトルの機会が減少します。

Teams Android デバイスを有線ネットワークに接続することを強くお勧めします。ワイヤレス ネットワークを使用するには、最適なエクスペリエンスを得るために慎重な計画と評価が必要です。

Proximity Join、Better Together、Teams キャスト、および Teams パネルのペアリングは、Bluetooth に依存しています。 Android デバイスの Teams ルームでの Bluetooth テクノロジの使用は、現在、広告ビーコンと近位接続のプロンプトに限定されています。 ADV_NONCONN_INT プロトコル データ ユニット (PDU) タイプは、広告ビーコンで使用されます。この PDU タイプは、リスニング デバイスに情報をアドバタイズする非接続デバイス用です。これらの機能の一部として、Bluetooth デバイスのペアリングはありません。 Bluetooth プロトコルの詳細については、Bluetooth SIG Web サイトを参照してください。

Teams の電話とディスプレイは、Bluetooth ハンズフリー プロファイルを使用してヘッドセットとペアリングするための Bluetooth ペアリング機能を提供します。

Microsoft Teams のセキュリティの詳細については、「セキュリティと Microsoft Teams」を参照してください。