處理內部會議面臨的威脅

Communications Server 2007 R2

上次修改主題的時間: 2009-03-10

Office Communications Server 2007 R2 為防火牆內外的企業使用者帶來建立和加入即時 Web 會議的功能,而且這些 Web 會議由內部的 Office Communications Server 2007 R2 伺服器負責主控。企業使用者也可以邀請沒有 Active Directory 網域服務帳戶的外部使用者參加會議。受雇於同盟協力廠商的使用者,只要具有安全且經過驗證的身分識別,一樣可以加入會議,而且在提升後可以擔任簡報者的角色。匿名使用者無法建立或加入成為會議簡報者,但可以在加入之後提升為簡報者。

內部 Web 會議建置於 Office Communications Server 基本安全性架構之上。

  • 所有伺服器都受到信任。
  • 所有伺服器連線都是 MTLS。
  • 所有通訊都會經過加密。
  • 所有使用者都經過驗證。

擴充集區設定中的內部 A/V 會議伺服器會透過 MTLS 連線到前端伺服器和中繼伺服器。內部 Web 會議伺服器會透過 MTLS 連線到前端伺服器和 Web Conferencing Edge Service。在標準版伺服器或合併集區設定中,會議伺服器會共同配置在前端伺服器上,但是仍然需要 MTLS 才能在共同配置的元件之間進行通訊。

讓外部使用者參與內部 Web 會議可大幅提升這個功能的價值,但是同時也必須承擔某些安全性風險。為解決這些風險,Office Communications Server 提供了下列額外的防禦機制:

  • 參與者角色決定會議控制權限。
  • 參與者類型可讓您限制特定會議的存取權。
  • 定義的會議類型決定能夠加入的參與者類型。
  • 會議排程僅限由在內部網路中擁有 Active Directory 認證,且已啟用 Office Communications Server 2007 R2 的使用者進行。
  • 匿名 (也就是未經驗證) 的使用者必須提供唯一會議密碼,並且通過摘要式驗證才能加入會議。每一項會議的密碼都是唯一的。

會議參與者分成三個群組,每個群組擁有自己的權限和限制:

  • 召集人:以即席或事先排定方式建立會議的使用者。召集人必須是通過驗證的企業使用者,而且對會議的所有使用者層面具有控制權。
  • 簡報者:通過驗證,可以在會議中使用任何支援的媒體來提出資訊的使用者。會議召集人依照定義當然也是簡報者,而且可以決定哪些其他使用者可以成為簡報者。召集人可以在排定會議時做這個決定,也可以在會議進行中做這個決定。
  • 出席者:受邀出席會議、但沒有做為簡報者授權的使用者。

簡報者也可以在會議進行中將出席者提升為簡報者角色。

會議參與者也會依其位置和認證分類。您可以同時使用這兩種特性來指定哪些使用者可以進入特定會議。使用者可大致分為內部使用者和外部使用者:

  • 內部使用者擁有企業內的 Active Directory 認證,而且是從企業防火牆內的位置進行連線。
  • 外部使用者是那些從企業防火牆外部的位置暫時或永久連線到企業的使用者。他們可能擁有 Active Directory 認證。Office Communications Server 2007 R2 為下列外部使用者類型提供會議支援:
    • 遠端使用者在企業內擁有持續的 Active Directory 識別。他們包括在家工作或出差的員工,或是其他因服務條款而被授與企業認證的遠端工作者 (例如受信任之廠商的員工)。遠端使用者可以建立及參加會議,並充當簡報者。
    • 同盟使用者擁有同盟協力廠商的有效認證,因此 Office Communications Server 2007 R2 會將他們視為已驗證。同盟使用者可以參加會議,並且在參加會議之後提升成為簡報者,但無法在同盟的企業中建立會議。
    • 匿名使用者沒有 Active Directory 識別,因此無法與企業結成同盟。會議的公用 Cloud 使用者會視為匿名使用者。

客戶資料顯示,許多會議都涉及外部使用者。但同樣的,這些客戶也希望能夠先確認外部使用者的識別身分後,再允許這些使用者參加會議。如下一節所述,Office Communications Server 2007 R2 可將會議存取權限制在已明確允許的使用者類型,並要求所有使用者類型在進入會議時必須提出適當的認證。

您可以將 Office Communications Server 2007 R2 設定為支援包含下列類型使用者的會議:

  • 僅限內部使用者:如果您未部署邊緣伺服器,則所有參與者都會擁有企業內的持續 Active Directory 識別,而且只能從組織的防火牆內連線。
  • 僅限已驗證的使用者:所有參與者都擁有企業內或同盟企業內的 Active Directory 識別,而且從組織的防火牆內外都可以連線。

只對已驗證使用者公開的會議,可以是下列兩種類型的其中一種:

  • 邀請網路中的人員:所有企業使用者都可以加入會議。除非由會議召集人指定為簡報者,否則使用者都會加入成為出席者。同盟使用者可以應召集人邀請,以出席者身分參加會議。同盟使用者無法加入成為會議簡報者,但可以在會議期間提升為簡報者。
  • 邀請網路中的人員 (受限制的):只有當使用者在企業中具備有效 Active Directory 認證,並且列於召集人的簡報者和出席者清單時,才可以出席私密驗證的會議。例如,工作小組或業務單位可以針對定期的例會使用這項指定。同盟和匿名使用者將無法參加這種類型的會議。
  • 邀請任何人:可邀請匿名使用者參加的會議。會議召集人必須具有邀請匿名使用者的授權,才能建立這種類型的會議。除非由會議召集人指定為簡報者,否則企業使用者會加入成為出席者。匿名使用者只能以出席者身分加入,但會議召集人可以在他們加入會議後將他們提升為簡報者角色。匿名使用者必須提出會議密碼 (在電子郵件會議邀請中收到) 才能進入會議。此外,還必須通過摘要式驗證。如需摘要式驗證的詳細資訊,請參閱Office Communications Server 2007 R2 的驗證
顯示: