Visio conférence et téléphonie Teams à l’épreuve des sécurités d’entreprise

L’ouverture des périphériques

La première contrainte à prendre en compte est bien naturellement les temps de transit entre les utilisateurs finaux et le point de services Microsoft Teams. Là où vous transportiez de la donnée, vous allez devoir transporter de la voix et de la vidéo avec des exigences de latence assez élevées. Si cette opération est relativement maîtrisable sur des réseaux internes, elle l’est beaucoup moins lorsqu’un tronçon se trouve être Internet.

La seconde contrainte, que vous aurez en prendre en compte et que nous allons détailler ici, est l’ouverture de tous vos périphériques vers l’environnement Microsoft Teams.

Dans un environnement Skype for Business « on Premise » connecté à des passerelles de communications gérant des trunk sip locaux, les périphériques tels que les téléphones, les salles de réunions, les dispositifs audio (Poly Trio ou autre) n’ont pas la nécessité de « sortir » vers Internet puisque leurs points de connexion (serveurs Skype, passerelles SIP) demeurent internes.

Dans l’environnement Microsoft Teams, la contrainte de faire sortir ces petits dispositifs, (dont vous aurez pris soin auparavant de vérifier qu’ils sont « Teams compatibles »), vers les points de connexion Microsoft va nécessairement se poser. Là, vont commencer les interrogations.

Dans la plupart des entreprises et depuis quelques années, la sécurité s’est considérablement renforcée, l’usage des services proxy authentifiés, effectuant de l’inspection https s’est généralisé. Je pense notamment à la présence de solutions comme Zscaler, ou Forcepoint (anciennement Websense). Il n’est actuellement plus question de sortir de façon anonyme sans que vos destinations soient validées par ces fameux services proxy ou inspectées par les Pare feu de nouvelle génération.

Si vous démarrez un téléphone Teams, qu’il soit de Marque Yealink, Polycom, ou bien Audiocode la première chose que vous verrez apparaître après le logo du constructeur est un message d’erreur vous informant qu’il ne peut joindre le service Microsoft en question dû à des problèmes réseau.

Erreur de connexion d’un téléphone Teams

La raison est simple. Là où le client Skype utilisait le protocole SIP en Tcp, le client Teams utilise le protocole de signalisation Microsoft Network Protocol version 24 (MNP24). Là où le flux de signalisation des clients Skype sortait par les routeurs et les divers pare-feu de l’entreprise, le flux de signalisation des clients Teams requiert le port 443 (Tcp) ainsi que l’usage de REST APIs (HTTPS).

Si l’on s’en tient aux recommandations Microsoft, la solution est clairement simple : le trafic de vos périphériques Teams, PC compris, doit contourner toutes les protections que vos collègues de la sécurité ont mis en place.

Extrait de la documentation Microsoft : « Les entreprises clientes doivent revoir leurs méthodes de sécurité et de réduction des risques spécifiquement pour le trafic lié à Office 365 et utiliser les fonctionnalités de sécurité d’Office 365 afin de réduire leur dépendance à l’égard de technologies de sécurité intrusives, coûteuses et ayant un impact sur les performances pour le trafic réseau d’Office 365 » A peu de chose près la même chose mais en image.

Source Microsoft

Proposer au département sécurité, le contournement systématique des équipements de sécurité que l’entreprise s’est imposée, pour des dispositifs Android dont le niveau de sécurité reste à évaluer, connectés de surcroît sur le réseau de l’entreprise, me parait comment dire … quelque peu risqué.

Autrement dit, pour revenir à des considérations plus basiques, votre téléphone Teams n’est pas près de fonctionner.