Seit einem Jahr warten wir auf die Umsetzung der End-zu-End Verschlüsselung von Microsoft Teams 1 zu 1 Meetings. Diese zusätzliche Verschlüsselung sorgt anders als die TLS oder Verschüsselung AtRest dafür, dass sich zwischen den beiden Client niemand dazwischen schalten kann.
Change
| Version 1 | Datum | Inhalt |
| 1.0 | 23.10.2021 | Ersterstellung |
| 2.0 | 27.10.2021 | Hinzufügen Teams Meeting Verschlüsselung |
| 3.0 | 23.11.2021 | PowerShell Skripte für Admins |
| 4.0 | 01.12.2021 | GA Dezember 2021 |
Deployment/Installation
Diesen Bereich habe ich in einem Beitrag in der Wissensdatenbank geschrieben:
https://www.rakoellner.de/knowledge-base/rollout-und-deployment-und-einrichtung-der-end-zu-end-verschluesselung-fuer-microsoft-teams/
Update Oktober 2021/ Management Zusammenfassung
Verfügbarkeit für: ungeplante 1 zu 1 Calls per Teams,
Verfügbar für Clients: Windows Desktop, Mac Desktop, Android Teams App, iOS Teams App
Externe/Anrufende: Müssen ebenfalls nutzen und deren Admin muss es freigeschaltet haben -> Windows Desktop, Android Teams App, iOS Teams App, Mac Desktop
nicht verfügbar: PSTN, Teams Meeting, Teams Events, Teams Webinar, VDI, Windows 365, Azure Desktop, Linux, Web App
Steuerung: per Microsoft Teams Policy + User kann ein- und ausschalten
ACHTUNG-Hinweise
- Aktuell ist die Einstellung im Teams Admincenter “other Settings” nicht verfügbar. Dies weder in Preview noch produktiven Tenants.
Bei aktivieren der zusätzlichen Verschlüsselung fallen die folgenden Funktionen weg
- Aufzeichnung
- Live-Untertitel und Transkription
- Anrufweiterleitung (blind, sicher und Rückfrage)
- Anrufe parken
- Zusammenführen von Anrufen
- Anrufbegleitung und Weiterleitung an ein anderes Gerät
- Teilnehmer hinzufügen, um aus einem Einzelgespräch ein Gruppengespräch zu machen
Schlüssel Storage des E2EE Keys
Private Schlüssel werden für die beiden Parteien individuell generiert und auf den Client-Geräten der Organisation gespeichert. Microsoft hat keinen Zugriff auf die E2E-Verschlüsselungsschlüssel
Microsoft Beitrag in der Übersetzung
Anfang des Jahres haben wir die Unterstützung von End-to-End-Verschlüsselung (E2EE) für Microsoft Teams-Anrufe angekündigt. Heute freuen wir uns, ankündigen zu können, dass wir mit dem Rollout von E2EE für Teams-Anrufe in der öffentlichen Vorschau beginnen werden. Sobald Sie das neueste Update erhalten, haben IT-Administratoren in Ihrem Unternehmen die Möglichkeit, die Funktion für Sie verfügbar zu machen. Im Folgenden finden Sie einen Überblick über die Funktionsweise von E2EE für Teams-Anrufe, Details dazu, wie IT-Administratoren und Benutzer die Funktion aktivieren können, und wie sie implementiert wird.
Ende-zu-Ende-Verschlüsselung (E2EE)
Bei der Ende-zu-Ende-Verschlüsselung (E2EE) werden Informationen am Ursprung verschlüsselt und am Zielort entschlüsselt, ohne dass Zwischenknoten oder -parteien die Möglichkeit haben, sie zu entschlüsseln.
Wir führen diese Vorschau von E2EE für ungeplante Eins-zu-Eins-Anrufe heute ein. Wenn beide Parteien in einem One-to-One-Anruf E2EE aktivieren, wird die Kommunikation zwischen diesen beiden Parteien in dem Anruf von Ende zu Ende verschlüsselt. Keine andere Partei, auch nicht Microsoft, hat Zugriff auf das entschlüsselte Gespräch.
In dieser Version wird nur der Echtzeit-Medienfluss, d. h. Video- und Sprachdaten, für Eins-zu-Eins-Teams-Anrufe Ende-zu-Ende verschlüsselt. Beide Parteien müssen diese Einstellung aktivieren, um die Ende-zu-Ende-Verschlüsselung zu ermöglichen. Die Verschlüsselung in Microsoft 365 schützt Chat, Dateifreigabe, Präsenz und andere Inhalte im Anruf. Weitere Informationen finden Sie unter Verschlüsselung in Microsoft 365.
Wie können IT-Administratoren E2EE for Teams One-to-One-Anrufe für ihre Organisation verfügbar machen?
Legen Sie im modernen IT-Administrationsportal unter Richtlinien für erweiterte Verschlüsselung fest, welche Benutzer in Ihrer Organisation die erweiterten Verschlüsselungseinstellungen in Teams verwenden können. Sie können die globale (organisationsweite Standard-) Richtlinie verwenden und anpassen oder eine oder mehrere benutzerdefinierte Richtlinien erstellen und diese dann den Benutzern zuweisen, so wie Sie normalerweise andere Richtlinien festlegen. Sie können auch eine Gruppenrichtlinie verwenden, um einer Gruppe von Benutzern eine Richtlinie zuzuweisen.
Sie können End-to-End-Verschlüsselungsrichtlinien auch mit Microsoft PowerShell verwalten. Mit Microsoft PowerShell können Sie Richtlinien auf den Mandanten, die Benutzer und die Gruppen anwenden.
So machen Sie Anrufe mit Ende-zu-Ende-Verschlüsselung über das Teams-Admincenter verfügbar:
Melden Sie sich im Teams-Verwaltungszentrum an und navigieren Sie zu Andere Einstellungen > Erweiterte Verschlüsselungsrichtlinien.
Benennen Sie die neue Richtlinie, wählen Sie dann für die Ende-zu-Ende-Verschlüsselung von Anrufen die Option Benutzer können sie einschalten und wählen Sie anschließend Speichern.
Wenn Sie die Erstellung der Richtlinie abgeschlossen haben, weisen Sie die Richtlinie Benutzern, Gruppen oder Ihrem gesamten Tenant zu, so wie Sie auch andere Teams-Richtlinien verwalten.
Standardmäßig ist die Ende-zu-Ende-Verschlüsselung für Benutzer in Ihrem Tenant nicht verfügbar. Nachdem Sie die Richtlinie konfiguriert haben, ist die Ende-zu-Ende-Verschlüsselung für Benutzer standardmäßig deaktiviert, wenn sie einen Teams-Anruf tätigen. Die Benutzer müssen die Ende-zu-Ende-Verschlüsselung in ihren Team-Einstellungen aktivieren.
Wenn der IT-Administrator die erweiterte Verschlüsselungsrichtlinie festgelegt hat, erhalten die Benutzer dann automatisch E2EE bei Einzelgesprächen?
Nein, nachdem Sie die Richtlinie angewendet haben, sehen die Benutzer eine Einstellung, mit der sie die Ende-zu-Ende-Verschlüsselung für ihre One-to-One-Anrufe aktivieren können. Um die Ende-zu-Ende-Verschlüsselung zu aktivieren, können die Benutzer die folgenden Schritte ausführen:
Wählen Sie oben rechts im Fenster Teams das Profilbild (oder die Ellipsen neben dem Profilbild).
Wählen Sie Einstellungen > Datenschutz.
Aktivieren Sie die Ende-zu-Ende-Verschlüsselung von Anrufen, indem Sie den Schalter umlegen.
Wie können die beiden Parteien bestätigen, dass sie sich in einem verschlüsselten Anruf befinden?
Mit dieser Version sehen die Benutzer den Verschlüsselungsindikator im Anruffenster von Teams in der oberen linken Ecke. Dieser Indikator zeigt an, dass der Anruf verschlüsselt ist. Die Verschlüsselungstechnologien von Microsoft 365 verschlüsseln jeden Teams-Anruf. Wenn ein Anruf erfolgreich Ende-zu-Ende-verschlüsselt ist, sehen beide Parteien den Indikator für die Ende-zu-Ende-Verschlüsselung im Teams-Anruffenster. Der Indikator für die Teams-Ende-zu-Ende-Verschlüsselung ist ein Schild mit einem Schloss.
Bewegen Sie den Mauszeiger über den End-to-End-Verschlüsselungsindikator, um zu bestätigen, dass der Anruf Ende-zu-Ende-verschlüsselt ist. Teams zeigt auch einen Sicherheitscode für den Anruf an. Um sicherzustellen, dass die Ende-zu-Ende-Verschlüsselung korrekt funktioniert, überprüfen Sie, ob für beide Gesprächspartner derselbe Sicherheitscode angezeigt wird.
Wenn IT-Administratoren E2EE nicht aktivieren oder Benutzer die Einstellung nicht einschalten, bedeutet das, dass Anrufe und Meetings in Microsoft Teams nicht sicher sind?
Auch wenn Sie die Ende-zu-Ende-Verschlüsselung nicht aktiviert haben, sichert Teams einen Anruf oder eine Besprechung mit einer auf Branchenstandards basierenden Verschlüsselung. Die bei Anrufen ausgetauschten Daten sind während der Übertragung und im Ruhezustand immer sicher. Weitere Informationen finden Sie unter Media encryption for Teams.
Gibt es diese Möglichkeit nur in Teams Desktop?
End-to-End-verschlüsselte Anrufe können zwischen zwei Parteien getätigt werden, wenn die Parteien die neueste Version des Teams-Desktop-Clients für Windows oder Mac oder ein Mobilgerät mit dem neuesten Update für iOS und Android verwenden.
Wird durch die Aktivierung der Ende-zu-Ende-Verschlüsselung auf einem Gerät diese auch für alle meine Geräte aktiviert?
Ja, die Einstellung wird über alle unterstützten Endpunkte hinweg synchronisiert.
Wie aktiviere ich die Ende-zu-Ende-Verschlüsselung auf meinem Mobilgerät?
Gehen Sie folgendermaßen vor:
Gehen Sie in Teams Mobile zu Einstellungen > Anrufe.
Aktivieren Sie unter Verschlüsselung die Option Ende-zu-Ende-verschlüsselte Anrufe.
Wie kann ich überprüfen, ob ich mich in einem Ende-zu-Ende-verschlüsselten Anruf auf Mobile befinde?
Der mobile Anruf zeigt auch ein Schloss- und Schildsymbol an. Tippen Sie auf das Verschlüsselungssymbol, um den 20-stelligen Sicherheitscode für den Anruf zu sehen. Genau wie bei der Desktop-App können sowohl der Anrufer als auch der Angerufene überprüfen, ob der Code übereinstimmt, um sicherzustellen, dass beide Parteien einen Ende-zu-Ende-verschlüsselten Anruf führen.
Wenn die Ende-zu-Ende-Verschlüsselung nicht aktiviert ist, ist der Teams-Verschlüsselungsindikator ein normales Schildsymbol ohne Schloss. Das normale Schild bestätigt, dass der Anruf durch die Microsoft 365-Verschlüsselung geschützt ist und kein Sicherheitscode für die Ende-zu-Ende-Verschlüsselung angezeigt wird.
Mobile Nutzung
Was ist mit PSTN-Anrufen?
Die Ende-zu-Ende-Verschlüsselung ist für PSTN-Anrufe nicht verfügbar.
Wie werden Anrufe Ende-zu-Ende verschlüsselt?
Der Anrufablauf in Teams basiert auf dem Angebot/Antwort-Modell des Session Description Protocol (SDP) [RFC 4566] über HTTPS. Sobald der Angerufene einen eingehenden Anruf annimmt, werden die Sitzungsparameter zwischen dem Anrufer und dem Angerufenen vereinbart, und der verschlüsselte Medienfluss zwischen dem Anrufer und dem Angerufenen beginnt unter Verwendung des sicheren Echtzeit-Transportprotokolls (SRTP).
Bei normalen Anrufen erfolgt die Aushandlung des Verschlüsselungsschlüssels über den Anrufsignalisierungskanal. Bei einem verschlüsselten Ende-zu-Ende-Anruf ist der Signalisierungsfluss derselbe wie bei einem normalen Eins-zu-Eins-Anruf von Teams. Teams verwendet jedoch DTLS zur Ableitung eines Verschlüsselungsschlüssels auf der Grundlage von Zertifikaten, die auf beiden Client-Endpunkten pro Anruf generiert werden. Da DTLS den Schlüssel auf der Grundlage von Client-Zertifikaten ableitet, ist der Schlüssel für Microsoft undurchsichtig. Sobald sich beide Clients auf den Schlüssel geeinigt haben, beginnt der Medienfluss unter Verwendung dieses mit DTLS ausgehandelten Verschlüsselungsschlüssels über SRTP.
Zum Schutz vor einem Man-in-the-Middle-Angriff zwischen dem Anrufer und dem Angerufenen leitet Teams einen 20-stelligen Sicherheitscode aus den SHA-256-Thumbprints der Endpunkt-Anrufzertifikate des Anrufers und des Angerufenen ab. Der Anrufer und der Angerufene können die 20-stelligen Sicherheitscodes validieren, indem sie sie sich gegenseitig vorlesen, um zu sehen, ob sie übereinstimmen. Wenn die Codes nicht übereinstimmen, wurde die Verbindung zwischen dem Anrufer und dem Angerufenen durch einen Man-in-the-Middle-Angriff abgefangen. Wenn der Anruf kompromittiert wurde, können die Benutzer den Anruf manuell beenden.
Ist der Chat bei E2EE-Anrufen auch Ende-zu-Ende-verschlüsselt?
Der Chat für Ende-zu-Ende-Anrufe ist durch die Microsoft 365-Verschlüsselung gesichert.
Welche Funktionen sind bei der Ende-zu-Ende-Verschlüsselung nicht verfügbar?
Einige Funktionen sind bei verschlüsselten One-to-One-Anrufen nicht verfügbar. Zu diesen nicht verfügbaren Funktionen gehören:
- Aufzeichnung
- Live-Untertitel und Transkription
- Anrufweiterleitung (blind, sicher und Rückfrage)
- Anrufe parken
- Zusammenführen von Anrufen
- Anrufbegleitung und Weiterleitung an ein anderes Gerät
- Teilnehmer hinzufügen, um aus einem Einzelgespräch ein Gruppengespräch zu machen
Kann ich E2EE ein- oder ausschalten, wenn ich die Vorteile von Funktionen nutzen möchte, die in E2EE-Anrufen deaktiviert sind?
Wenn Sie diese Funktionen in einem Anruf benötigen, gehen Sie zu den Einstellungen und schalten Sie die Ende-zu-Ende-Verschlüsselung auf die gleiche Weise aus, wie Sie sie eingeschaltet haben.
Was ist mit Audio-/Video-Gruppenanrufen und Meetings?
Die Verschlüsselung von Microsoft 365 sichert Gruppen-Audio-/Videoanrufe. Während wir die Ende-zu-Ende-Verschlüsselung für Einzelgespräche in Teams einführen, werden wir weiterhin von unseren Kunden erfahren, wie die Szenarien ihren Bedürfnissen entsprechen. Wir werden daran arbeiten, die End-to-End-Verschlüsselung später auch für Online-Meetings anzubieten.
NEU 27.10.2021 Teams Meeting
Seit dem Teams-Client Update zur Version 1.4.00.29480 (64-Bit). Sie wurde zuletzt am 27.10.2021 bekommt ihr in Teams Meeting ein kleines Schild angezeigt.
Verlinkung im Bild: https://docs.microsoft.com/en-us/deployoffice/privacy/overview-privacy-controls
Es wird angezeigt, dass “Diese Besprechung ist durch Teams-Datenverschlüsselung geschützt” ist. Was bedeutet dies denn, da wir wissen, dass es aktuell keine End-zu-End Verschlüsselung für Microsoft Teams Meeting gibt.
Leider verlinkt der Link oben nicht auf diese Hinweise, ich habe bereits bei der Produktgruppe angemerkt.
Microsoft Teams Privacy Link: https://docs.microsoft.com/en-us/MicrosoftTeams/teams-privacy
Hier hilft die Teams Security Webseite
https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide
“Man-in-the-middle attacks on media traffic between two endpoints participating in Teams audio, video, and application sharing, is prevented by using SRTP to encrypt the media stream. Cryptographic keys are negotiated between the two endpoints over a proprietary signaling protocol (Teams Call Signaling protocol) which uses TLS 1.2 and AES-256 (in GCM mode) encrypted UDP/TCP channel.”
“Transport Layer Security (TLS), and mutual TLS (MTLS) which encrypt instant message traffic and enable endpoint authentication. Point-to-point audio, video, and application sharing streams are encrypted and integrity checked using Secure Real-Time Transport Protocol (SRTP). You may also see OAuth traffic in your trace, particularly around negotiating permissions while switching between tabs in Teams, for example to move from Posts to Files. For an example of the OAuth flow for tabs, see this document.”
“Traffic encryption
All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network boundary. This table summarizes the protocols used by Teams.
| Traffic type | Encrypted by |
|---|---|
| Server-to-server | MTLS |
| Client-to-server, for example, instant messaging and presence | TLS |
| Media flows, for example, audio and video sharing of media | TLS |
| Audio and video sharing of media | SRTP/TLS |
| Signaling | TLS |
| Client-to-client enhanced encryption (for example, end-to-end encryption calls) | SRTP/DTLS |
Teams uses TLS and MTLS to encrypt instant messages.”
Teams Meeting Security
Dazu zeigt es uns, dass die Meetings mit TLS 1.2 und AES-256 verschlüsselt sind.
PowerShell Update November 2021
Nun ab November ist es möglich die Verschlüsselung zu aktivieren und auch die PowerShell Skripte auszuführen. So kann die Verschlüsselung aktiviert werden für alle im Tenant oder nur für einzelne Nutzer, da kommt, dass man auch verhindern kann, dass die Nutzer die Verschlüsselung deaktivieren.
Get-CsTeamsEnhancedEncryptionPolicy
Set-CsTeamsEnhancedEncryptionPolicy
Neue Policy
New-CsTeamsEnhancedEncryptionPolicy -Identity ContosoPartnerTeamsEnhancedEncryptionPolicy -CallingEndtoEndEncryptionEnabledType DisabledUserOverride
Pro Nutzer
Grant-CsTeamsEnhancedEncryptionPolicy -Identity raphael.koellner@rakoellner.com -PolicyName UserControlled
Update Dezember 2021
Quellen
Blogpost
Use end-to-end encryption for one-to-one Microsoft Teams calls – Microsoft Tech Community
End-zu-End Verschlüsselung Dokumentation
PowerShell –> Dokumentation-Seite läuft nicht: 404 – Content Not Found | Microsoft Docs
Per PowerShell könnte ihr für einzelne Nutzer die Funktion einschalten, deaktivieren usw. Ihr könnte auch erzwingen, dass End-to-End gehen muss.
öffentlich aber abrufbar: PowerShell Gallery | netcoreapp3.1/exports/Get-CsTeamsEnhancedEncryptionPolicy.ps1 2.6.0