一对一的微软Teams通话使用端到端加密技术
今年早些时候,微软宣布了对Teams通话的端到端加密(E2EE)支持。现在微软开始向公众预览推出E2EE对Teams通话的支持。一旦你收到最新的更新,你组织中的IT管理员将可以选择为你提供该功能。这里概述了用于Teams通话的E2EE的工作原理,围绕IT管理员和用户如何打开它的细节,以及它是如何实现的。
端到端加密End-to-end encryption(E2EE)
端到端加密,或称E2EE,是指在信息源头进行加密,在预定目的地进行解密,中间节点或各方没有解密能力。
微软现在推出了 E2EE 预览版,用于非预定的一对一通话。 当一对一通话双方开启 E2EE 时,通话双方之间的通信是端到端加密的。任何其他方(包括 Microsoft)都无法访问解密的对话。
在这个版本中,只有实时媒体流,即视频和语音数据,对于一对一的Teams呼叫是端到端加密的。双方都必须打开这个设置以启用端到端加密。Microsoft 365中的加密功能可以保护通话中的聊天、文件共享、存在以及其他内容。欲了解更多信息,请参阅Microsoft 365中的加密功能。
IT管理员如何使E2EE在其组织中可用?
在IT管理员门户中,在增强型加密策略下,设置您组织中的哪些用户可以使用Team中的增强型加密设置。您可以使用全局(组织范围内的默认)策略并对其进行自定义,或者创建一个或多个自定义策略,然后将其分配给用户,就像您通常设置其他策略一样。你也可以使用组策略,将一个策略分配给一组用户。
你也可以使用Microsoft PowerShell管理端到端加密策略。通过Microsoft PowerShell,你可以将策略应用于租户、用户和组。
要通过使用Team管理中心使端到端加密电话可用:
- 登录到Team管理中心,导航到其他设置>增强的加密策略(Other settings > Enhanced encryption policies)。
- 命名新策略,然后为端到端呼叫加密(End-to-end call encryption),选择用户可以打开它,然后选择保存。
- 一旦你完成了政策的创建,将政策分配给用户、组或整个租户,就像你管理其他团队政策一样。
默认情况下,端到端加密对租户中的用户是不可用的。一旦你配置了策略,当用户拨打Team电话时,端到端加密仍然是默认关闭的。用户需要在他们的Teams设置中打开端到端加密。
一旦IT管理员设置了增强型加密策略,用户在一对一通话中是否自动获得E2EE?
不会,在你应用该策略后,用户会看到一个设置,为他们的一对一通话打开端对端加密。要打开端对端加密,用户可以按照以下步骤进行。
- 在Teams窗口的右上方,选择个人资料图片(或个人资料图片旁边的省略号)。
- 选择设置 > 隐私。
- 通过切换开关打开端对端加密通话。
双方如何确认他们是在一个端对端加密的通话中?
有了这个版本,用户将在Teams呼叫窗口的左上角看到加密指标。这个指示器显示通话已被加密。Microsoft 365加密技术对每个Teams呼叫进行加密。如果呼叫成功地进行了端到端加密,双方将在Team呼叫窗口中看到端到端加密指示器。Teams端到端加密指标是一个带锁的盾牌。
悬停在端到端加密指示器上,显示确认呼叫是端到端加密的。Teams还显示通话的安全代码。要确认端到端加密工作正常,请验证通话双方是否出现相同的安全代码。
如果IT管理员不启用E2EE或用户不打开设置,是否意味着Microsoft Teams中的通话和会议不安全?
如果你没有启用端到端加密,Team仍然使用基于行业标准的加密技术来保护通话或会议的安全。通话期间交换的数据在传输过程中和休息时都是安全的。欲了解更多信息,请参阅Teams的媒体加密。
这项功能是否只存在于桌面版Teams?
当双方使用最新版本的Windows或Mac的Teams桌面客户端,或使用最新更新的iOS和Android移动设备时,可以在双方之间进行端对端加密呼叫。
在一台设备上打开端到端加密,是否也会在我的所有设备上打开它?
是的,该设置将在支持的终端上同步进行。
如何从移动端启用端到端加密?
通过以下步骤:
- 在手机版Teams 中,进入设置>通话。
- 在加密下,打开端到端加密通话。
我如何验证我正在移动端上进行端到端加密通话?
移动电话还显示一个锁+盾牌的图标。点开加密指示器,就可以看到通话的20位安全代码。就像桌面应用程序一样,主叫方和被叫方都可以验证代码是否匹配,以确保双方处于端对端加密的通话中。
当端到端加密没有打开时,Teams加密指标是一个没有锁的普通盾牌图标。普通盾牌确认呼叫受Microsoft 365加密保护,不会显示端到端加密安全代码。
PSTN电话怎么办?
端对端加密不适用于PSTN电话。
呼叫是如何进行端到端加密的?
Teams中的呼叫流是基于HTTPS上的会话描述协议(SDP)[RFC 4566]offer/answer模型。一旦被叫者接受了一个来电,会话参数在主叫者和被叫者之间达成一致,加密媒体开始在主叫者和被叫者之间使用安全实时传输协议(SRTP)流动。
在正常的呼叫流中,加密密钥的协商发生在呼叫信令通道上。在一个端到端的加密呼叫中,信号流与普通的一对一的Teams呼叫相同。然而,Teams使用DTLS根据在两个客户端点上产生的每个呼叫证书来获得加密密钥。由于DTLS是基于客户端证书得出的密钥,所以密钥对微软来说是不透明的。一旦两个客户端同意了密钥,媒体就开始使用这个DTLS协商的加密密钥在SRTP上流动。
为了防止呼叫者和被呼叫者之间的中间人攻击,Teams从呼叫者和被呼叫者的终端呼叫证书的SHA-256缩略图中得出一个20位数的安全代码。呼叫者和被呼叫者可以通过相互读取20位安全代码来验证它们是否匹配。如果代码不匹配,那么呼叫者和被呼叫者之间的连接就被中间人攻击所截获。如果通话被破坏,用户可以手动终止通话。
在E2EE的通话中,聊天也是端对端加密的吗?
用于端对端呼叫的聊天由Microsoft 365加密保护。
哪些功能在端对端加密中是不可用的?
在加密的一对一通话中,有些功能是不可用的。这些不可用的功能包括:
- 录音
- 现场字幕和转录
- 呼叫转移(盲目、安全和咨询)
- 呼叫暂停
- 呼叫合并
- 呼叫转移到另一个设备
- 添加参与者,使一对一的通话成为小组通话
如果我需要利用E2EE通话中禁用的功能,我可以打开或关闭E2EE吗?
当然可以,如果你在通话中需要这些功能,请到设置中,按照你打开的方式关闭端到端加密功能。
小组音频/视频通话和会议怎么办?
微软365的加密可以保证小组音频/视频通话的安全。当微软为Teams一对一通话发布端对端加密功能时,微软将继续从客户那里了解这些方案如何解决他们的需求。微软将努力在以后为在线会议带来端对端加密功能。
这就是微软对Team中一对一通话的端到端加密的概述和方法。尝试一下,如果你有任何反馈,请告诉微软。记得检查更新,确保你有最新的客户端,这样你就可以在你的IT管理员为你启用该功能后打开它。尽情享受吧!