Use criptografia de ponta a ponta para chamadas um-para-um do Microsoft Teams

Importante

O modelo de serviço do Teams e seu suporte à criptografia estão sujeitos a alterações para melhorar as experiências do cliente. Por exemplo, o serviço substitui regularmente os conjuntos de codificação que não são mais considerados seguros. Quaisquer alterações são feitas com a meta de manter o Teams seguro e confiável por padrão. Além disso, todo o conteúdo do cliente nos data centers da Microsoft é criptografado. Para obter informações sobre camadas de criptografia no Microsoft 365, consulte Criptografia no Microsoft 365.

A criptografia de ponta a ponta, ou E2EE, ocorre quando o conteúdo é criptografado antes de ser enviado e descriptografado somente pelo destinatário pretendido. Com a criptografia de ponta a ponta, somente os dois sistemas de ponto de extremidade estão envolvidos na criptografia e na descriptografia dos dados de chamada. Nenhum outro grupo, incluindo a Microsoft, tem acesso à conversa descriptografada.

Com o E2EE para chamadas um-para-um não agendadas, somente o fluxo de mídia em tempo real, ou seja, os dados de voz e vídeo, para chamadas um-para-um do Teams criptografadas de ponta a ponta. Ambas as partes devem ativar essa configuração para habilitar a criptografia de ponta a ponta. Criptografia no Microsoft 365 protege o chat, o compartilhamento de arquivos, a presença e outros conteúdos na chamada.

Chamadas criptografadas de ponta a ponta podem ser feitas entre duas partes quando: as partes estão usando a versão mais recente do cliente da área de trabalho do Teams para Windows ou Mac, elas estão em um dispositivo móvel com a atualização mais recente para iOS e Android, ou estão em um Salas do Teams no dispositivo Windows usando a atualização mais recente.

Se você não habilitar a criptografia de ponta a ponta, o Teams ainda protegerá uma chamada ou reunião usando criptografia com base em padrões do setor. Os dados trocados durante as chamadas são sempre seguros em trânsito e em repouso. Para obter mais informações, consulte Criptografia de mídia para o Teams.

Durante uma chamada criptografada de ponta a ponta, o Teams protege os seguintes recursos:

  • Áudio

  • Vídeo

  • Compartilhamento de tela

Os seguintes recursos avançados não estão disponíveis durante uma chamada E2EE:

  • Legendas ao vivo e transcrição

  • Transferência de chamadas

  • Mesclagem de chamadas

  • Estacionamento de chamada

  • Consultar e transferir

  • Chame o complemento e transfira para outro dispositivo

  • Adicionando um participante

  • Gravando

  • Aplicativos

Além disso, se sua organização usar a gravação de conformidade, a criptografia de ponta a ponta não estará disponível. Para obter mais informações sobre como o Teams dá suporte à gravação de conformidade, consulte Introdução à gravação baseada em políticas do Teams para chamadas e reuniões.

Configurar criptografia de ponta a ponta para o Microsoft Teams

Conclua essas tarefas para que os usuários possam fazer chamadas criptografadas de ponta a ponta.

  • Habilite a criptografia de ponta a ponta para sua organização criando uma ou mais políticas que definem quem pode usar a criptografia de ponta a ponta. Antes de começar, verifique se sua conta corporativa ou de estudante recebeu a função de administrador global ou do Teams. Para obter informações, consulte Usar funções de administrador do Microsoft Teams para gerenciar o Teams. Quando estiver pronto para configurar o E2EE, você poderá usar o centro de administração do Teams ou o Microsoft PowerShell.

  • Ative chamadas criptografadas de ponta a ponta nas configurações do Teams em seu dispositivo. Cada usuário precisa concluir essa tarefa, mas só precisa fazer isso em um dispositivo. O Teams sincroniza essa configuração entre os pontos de extremidade com suporte para cada usuário. Para obter instruções, consulte Usar criptografia de ponta a ponta para chamadas do Teams.

Usar o centro de administração do Teams para configurar a criptografia de ponta a ponta

A política padrão global, em toda a organização, especifica que a criptografia de ponta a ponta está desabilitada. Os usuários da sua organização terão automaticamente a política global, a menos que você crie e atribua uma política personalizada. Para habilitar a criptografia de ponta a ponta, crie uma nova política de criptografia ou modifique a política padrão global. Para habilitar a criptografia de ponta a ponta usando o Centro de administração do Teams, conclua estas etapas.

  1. Usando uma conta corporativa ou de estudante que recebeu a função de administrador global ou do Teams, entre no Centro de administração do Teams.

  2. Vá para Políticas de criptografia aprimoradas.

  3. Escolha a política padrão ou escolha Adicionar para adicionar uma nova política e nomeie a nova política.

  4. Para habilitar a criptografia de ponta a ponta para seus usuários, para criptografia de chamada de ponta a ponta, escolha Não habilitada, mas os usuários podem habilitar e escolha Salvar.

    Para desabilitar a criptografia de ponta a ponta, escolha Não habilitado.

Depois de concluir a configuração da política, atribua a política a usuários, grupos ou todo o locatário da mesma maneira que gerencia outras políticas do Teams. Para obter informações sobre como usar políticas no Teams, consulte Gerenciar o Teams com políticas.

Usar o Microsoft PowerShell para configurar a criptografia de ponta a ponta

Você pode gerenciar políticas de criptografia de ponta a ponta usando o Microsoft PowerShell e o centro de administração do Teams. Vários cmdlets de criptografia de ponta a ponta estão incluídos no módulo PowerShell do Teams e documentados na referência de cmdlet do Microsoft Teams. Este artigo lista os cmdlets que você pode usar e fornece configurações de exemplo simples. Essas configurações usam a política global padrão. Sua organização pode exigir uma configuração de política mais complexa. Informações completas sobre esses cmdlets são fornecidas na referência de cmdlet.

Cmdlets do PowerShell de criptografia de ponta a ponta:

Sua conta corporativa ou de estudante precisa da função de administrador global ou do Teams para configurar a criptografia de ponta a ponta.

Para habilitar a criptografia de ponta a ponta para todo o locatário usando a política global

Por padrão, a criptografia de ponta a ponta está desabilitada. Para habilitar a criptografia de ponta a ponta para todo o locatário definindo a política global padrão, execute o cmdlet Set-CsTeamsEnhancedEncryptionPolicy da seguinte maneira.

Set-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType DisabledUserOverride

Onde:

  • Global indica que você está definindo essa configuração na política padrão global e em toda a organização.

  • DisabledUserOverride indica que o E2EE está desabilitado no Teams por padrão, mas os usuários podem substituir o padrão e ativar o E2EE em suas configurações do Teams.

Para desabilitar a criptografia de ponta a ponta para todo o locatário usando a política global

Por padrão, a criptografia de ponta a ponta está desabilitada. Se você tiver feito alterações na política global, poderá alterar a configuração novamente executando o cmdlet Grant-CsTeamsEnhancedEncryptionPolicy da seguinte maneira.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity Global -CallingEndtoEndEncryptionEnabledType Disabled

Onde:

  • Global indica que você está definindo essa configuração na política padrão global e em toda a organização.

  • Disabled indica que você está desabilitando o E2EE para todos e os usuários não podem ativá-lo nas configurações do Teams.

Para habilitar a criptografia de ponta a ponta para um único usuário

Para habilitar a criptografia de ponta a ponta para um usuário, execute o cmdlet Grant-CsTeamsEnhancedEncryptionPolicy da seguinte maneira.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "username" -PolicyName "policyname"

Onde:

  • username é o nome do usuário.

  • policyname é o nome que você deseja usar para a política. Os nomes de política não podem conter espaços, por exemplo, ContosoE2EEUserPolicy.

Os usuários ainda precisam ativar chamadas criptografadas de ponta a ponta em suas configurações do Teams antes de fazer uma chamada criptografada de ponta a ponta. Para obter instruções, consulte Usar criptografia de ponta a ponta para chamadas do Teams.

Por exemplo:

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName "ContosoE2EEUserPolicy"

Para cancelar a atribuição de uma política de criptografia de ponta a ponta de um único usuário

Os usuários podem ter uma e apenas uma política de criptografia atribuída a eles por vez. Quando você cancela a atribuição de uma política de um usuário, o usuário recebe a política padrão global, em toda a organização. Não é possível cancelar a atribuição da política padrão. Para cancelar a atribuição de uma política de criptografia de ponta a ponta de um usuário, execute o cmdlet Grant-CsTeamsEnhancedEncryptionPolicy da seguinte maneira.

Grant-CsTeamsEnhancedEncryptionPolicy -Identity "kenmeyer@contoso.onmicrosoft.com" -PolicyName $NULL

Ativar criptografia de ponta a ponta em seu dispositivo

Para obter instruções, consulte Usar criptografia de ponta a ponta para chamadas do Teams.

As 12 principais tarefas para as equipes de segurança dar suporte ao trabalho em casa

Gerenciar configurações de reunião no Microsoft Teams