Usare la crittografia end-to-end per le chiamate uno-a-uno di Microsoft Teams

Importante

Il modello di servizioTteams e il relativo supporto per la crittografia sono soggetti a modifiche per migliorare le esperienze dei clienti. Ad esempio, il servizio deprecazione periodica delle suite di crittografia che non sono più considerate sicure. Le modifiche apportate verranno applicate con l'obiettivo di garantire la protezione e l’affidabilità da progettazione di Teams. Inoltre, tutto il contenuto dei clienti nei data center Microsoft è crittografato. Per informazioni sui livelli di crittografia in Microsoft 365, vedere crittografia in Microsoft 365.

La crittografia end-to-end, o E2EE, si verifica quando il contenuto viene crittografato prima che venga inviato e decrittografato solo dal destinatario previsto. Con la crittografia end-to-end, solo i due sistemi endpoint sono coinvolti nella crittografia e decrittografia dei dati della chiamata. Nessun'altra parte, inclusa Microsoft, ha accesso alla conversazione decrittografata.

Con E2EE per le chiamate uno-a-uno non pianificate, solo per il flusso multimediale in tempo reale, ossia i dati video e voce, per le chiamate uno-a-uno di Teams viene usata la crittografia end-to-end. Entrambe le parti devono attivare questa impostazione per abilitare la crittografia end-to-end. La crittografia in Microsoft 365 protegge la chat, la condivisione di file, la presenza e altri contenuti nella chiamata.

Le chiamate crittografate end-to-end possono essere effettuate tra due parti quando: le parti usano l'ultima versione del client desktop di Teams per Windows o Mac, si trovano su un dispositivo mobile con l'aggiornamento più recente per iOS e Android o su un Teams Rooms su dispositivo Windows usando l'aggiornamento più recente.

Se non si abilita la crittografia end-to-end, Teams una chiamata o una riunione usando la crittografia in base agli standard di settore. I dati scambiati durante le chiamate sono sempre sicuri mentre sono in transito e inattivi. Per altre informazioni, vedere Crittografia multimediale per Teams.

Durante una chiamata crittografata end-to-end, Teams le caratteristiche seguenti:

  • Audio

  • Video

  • Condivisione dello schermo.

Le funzionalità avanzate seguenti non sono disponibili durante una chiamata E2EE:

  • Sottotitoli e trascrizioni in tempo reale

  • Trasferimento di chiamata

  • Unione di chiamate

  • Parcheggio di chiamata

  • Consulta, quindi trasferisci

  • Chiama complementare e trasferisci a un altro dispositivo

  • Aggiunta di un partecipante

  • Registrazione

  • App

Inoltre, se l'organizzazione usa la registrazione della conformità, la crittografia end-to-end non è disponibile. Per altre informazioni su come Teams supporta la registrazione della conformità, vedere Introduzione alla registrazione basata su criteri di Teams per chiamate e riunioni.

Configurare la crittografia end-to-end per Microsoft Teams

Completare queste attività in modo che gli utenti possano effettuare chiamate crittografate end-to-end.

  • Abilitare la crittografia end-to-end per l'organizzazione creando uno o più criteri che definiscono chi può usare la crittografia end-to-end. Prima di iniziare, assicurarsi che all'account aziendale o dell'istituto di istruzione sia stato assegnato il ruolo Teams o amministratore globale. Per informazioni, vedere Usare i ruoli di amministratore di Microsoft Teams per gestire Teams. Quando si è pronti per configurare E2EE, è possibile usare l'interfaccia di amministrazione di Teams o Microsoft PowerShell.

  • Attivare le chiamate crittografate end-to-end nelle Teams nel dispositivo. Ogni utente deve completare questa attività, ma deve farlo solo su un dispositivo. Teams sincronizza questa impostazione tra gli end point supportati per ogni utente. Per istruzioni, vedere Usare la crittografia end-to-endper Teams chiamate.

Usare l'interfaccia di amministrazione di Teams per configurare la crittografia end-to-end

Il criterio predefinito globale a livello di organizzazione specifica che la crittografia end-to-end è disabilitata. Gli utenti dell'organizzazione verranno assegnati automaticamente al criterio globale, a meno che non venga creato e assegnato un criterio personalizzato. Per abilitare la crittografia end-to-end, creare un nuovo criterio di crittografia o modificare il criterio predefinito globale. Per abilitare la crittografia end-to-end tramite l'interfaccia di amministrazione di Teams, completare questi passaggi.

  1. Usando un account aziendale o dell'istituto di istruzione a cui è stato assegnato il ruolo di amministratore di Teams o globale, accedere all'interfaccia di amministrazione di Teams.

  2. Vai a Criteri di crittografia avanzati.

  3. Scegliere il criterio predefinito oppure scegliere Aggiungi per aggiungere un nuovo criterio e quindi assegnare un nome al nuovo criterio.

  4. Per abilitare la crittografia end-to-end per gli utenti, per Crittografia chiamate end-to-end scegliere Non abilitato, ma gli utenti possono abilitarlo, quindi scegliere Salva.

    Per disabilitare la crittografia end-to-end, scegliere Non abilitato.

Dopo aver completato la configurazione del criterio, assegnare il criterio a utenti, gruppi o all'intero tenant nello stesso modo in cui si gestiscono gli altri criteri di Teams. Per informazioni sull'uso dei criteri in Teams, vedere Gestire Teams con i criteri.

Usare Microsoft PowerShell per configurare la crittografia end-to-end

È possibile gestire i criteri di crittografia end-to-end usando Microsoft PowerShell e l'interfaccia di amministrazione di Teams. Diversi cmdlet di crittografia end-to-end sono inclusi nel modulo PowerShell di Teams e documentati nel riferimento ai cmdlet di Microsoft Teams. Questo articolo elenca i cmdlet che è possibile usare e fornisce semplici configurazioni di esempio. Queste configurazioni usano i criteri globali predefiniti. L'organizzazione potrebbe richiedere una configurazione dei criteri più complessa. Le informazioni complete su questi cmdlet sono disponibili nelle informazioni di riferimento sui cmdlet.

Cmdlet di PowerShell per la crittografia end-to-end:

Per configurare la crittografia end-to-end, l'account aziendale o dell'istituto di istruzione deve disporre del ruolo di amministratore globale o di Teams.

Per abilitare la crittografia end-to-end per l'intero tenant usando i criteri globali

Per impostazione predefinita, la crittografia end-to-end è disabilitata. Per abilitare la crittografia end-to-end per l'intero tenant impostando il criterio globale predefinito, eseguire il cmdlet Set-CsTeamsEnhancedEncryptionPolicy come indicato di seguito.

Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride

Dove:

  • Global significa che si sta impostando questa configurazione nel criterio predefinito globale a livello di organizzazione.

  • DisabledUserOverride significa che E2EE è disabilitato in Teams per impostazione predefinita, ma gli utenti possono ignorare l'impostazione predefinita e attivare E2EE nelle impostazioni di Teams.

Per disabilitare la crittografia end-to-end per l'intero tenant usando i criteri globali

Per impostazione predefinita, la crittografia end-to-end è disabilitata. Se sono state apportate modifiche ai criteri globali, è possibile modificare nuovamente l'impostazione eseguendo il cmdlet Grant-CsTeamsEnhancedEncryptionPolicy come indicato di seguito.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType Disabled

Dove:

  • Global significa che si sta impostando questa configurazione nel criterio predefinito globale a livello di organizzazione.

  • Disabled significa che si disabilita E2EE per tutti gli utenti e non è possibile attivarlo nelle impostazioni di Teams.

Per abilitare la crittografia end-to-end per un singolo utente

Per abilitare la crittografia end-to-end per un utente, eseguire il cmdlet Grant-CsTeamsEnhancedEncryptionPolicy come indicato di seguito.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "username" -PolicyName "policyname"

Dove:

  • username è il nome dell'utente.

  • policyname è il nome da usare per il criterio. I nomi dei criteri non possono contenere spazi, ad esempio ContosoE2EEUserPolicy.

Gli utenti devono comunque attivare le chiamate crittografate end-to-end nelle impostazioni di Teams prima di poter effettuare una chiamata crittografata end-to-end. Per istruzioni, vedere Usare la crittografia end-to-endper Teams chiamate.

Ad esempio:

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName "ContosoE2EEUserPolicy"

Per annullare l'assegnazione di un criterio di crittografia end-to-end da un singolo utente

Agli utenti può essere assegnato un solo criterio di crittografia alla volta. Quando si annulla l'assegnazione di un criterio a un utente, all'utente viene assegnato il criterio predefinito globale a livello di organizzazione. Non è possibile annullare l'assegnazione dei criteri predefiniti. Per annullare l'assegnazione di un criterio di crittografia end-to-end a un utente, eseguire il cmdlet Grant-CsTeamsEnhancedEncryptionPolicy come indicato di seguito.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName $NULL

Attivare la crittografia end-to-end nel dispositivo

Per istruzioni, vedere Usare la crittografia end-to-endper Teams chiamate.

12 principali attività per i team di sicurezza per supportare il lavoro da casa

Gestire le impostazioni di riunione in Microsoft Teams