Upload
others
View
3
Download
1
Embed Size (px)
Citation preview
Marcin Kozakiewicz, Paweł Łakomski, Piotr Pawlik, Paweł Wróbel Microsoft STU Modern Workplace
Kornel Kaniowski Microsoft Services
Spis treści
Wprowadzenie .................................................................................................................................................................................. 2
1 Środowisko Office 365 ......................................................................................................................................................... 2
2 Sieć ............................................................................................................................................................................................. 6
3 Tożsamość i uprawnienia .................................................................................................................................................... 9
4 Polityki bezpieczeństwa i zarządzania .......................................................................................................................... 25
5 Audytowanie i monitorowanie ........................................................................................................................................ 30
6 Aplikacje klienckie i uruchomienie ................................................................................................................................. 32
7 Telefon IP „Microsoft Teams” u pracownika zdalnego ............................................................................................ 37
8 Dodatkowe informacje ...................................................................................................................................................... 39
Dobre praktyki szybkiego wdrożenia
Microsoft Teams
Wprowadzenie Niniejszy dokument ma na celu logiczne przeprowadzenie przez proces technicznego wdrożenia i
uruchomienia Teams w organizacji. Jest to zestaw rekomendacji i dobrych praktyk, które pozwolą zaadresować
najczęściej spotykane scenariusze. Dokument dzieli proces na 6 głównych etapów. Na początku opisu każdego
etapu znajduje się drzewo decyzyjne, które pozwoli zorientować się do którego punktu w danym etapie należy
przejść, żeby osiągnąć pożądany scenariusz wdrożenia.
1 Środowisko Office 365
1.1 Stwórz środowisko Office 365 Po uzyskaniu od Microsoft informacji z kodem promocyjnym, kliknij na zawarty w nim link i aktywuj tenanta
Office 365 E1 podając potrzebne dane, takie jak imię i nazwisko i adres email. Podczas procesu należy wybrać
nazwę tenanta, która będzie używana w nazwie domyślnej domeny, np. wybierając mój_testowy_tenant
otrzymamy domenę mój_testowy_tenant.onmicrosoft.com.
Po ukończeniu procesu otrzymamy informację o powodzeniu tworzenia tenanta oraz potwierdzenie loginu i
hasła służącego do logowania się jako administrator.
Więcej informacji o tym, w jaki sposób otrzymać środowisko testowe oraz je aktywować, jest do znalezienia
tutaj: https://docs.microsoft.com/pl-pl/microsoftteams/e1-trial-license#how-to-get-an-e1-trial-license
1.2 Przejmij środowisko administracyjnie Zaloguj się do na stronie admin.microsoft.com kontem, które utworzyłeś w kroku 1.1.
Portal ten służy do zarządzania całością usługi, w tym tworzeniu użytkowników, przypisywaniu licencji,
konfigurowaniu ustawienień bezpieczeństwa, itp.
Jeśli utworzyłeś tenanta Office 365 wcześniej, upewnij się, że masz dostęp do konta z uprawnieniami Global
Admin.
Jeżeli w Twojej organizacji istnieje środowisko Office 365, ale nie jesteś jego administratorem i jest to
środowisko niezarządzane (np. środowisko zostało utworzone automatycznie przy Power BI) wykonaj kroki
opisane w poniższym artykule, żeby uzyskać dostęp administracyjny https://docs.microsoft.com/en-
us/azure/active-directory/users-groups-roles/domains-admin-takeover#internal-admin-takeover. UWAGA:
W instrukcji jest opisany krok zakładania konta Power BI – co tak na prawdę powoduje założenie konta w
Azure AD, które następnie będzie mogło otrzymać prawa administratora środowiska. Do przejęcia kontroli
będzie konieczne dodanie wpisu TXT dla swojej domeny w celu udowodnienia, że to Państwa domena.
1.3 Dołącz licencje Przejdź do części Rozliczenia (Billing) > Licencje (Licenses) i potwierdź, że widzisz dostępne licencje Office 365
E1 lub inne licencje zawierające Microsoft Teams, które zakupiła Twoja organizacja (np. Office E3, E5, Business
Essentials, Business Premium, Microsoft 365).
Jeżeli nie widzisz licencji w środowisku, a Twoja organizacja je zakupiła, to oznacza, że licencje nie zostały
aktywowane w tym środowisku. Aby aktywować licencje przejdź do portalu VLSC (musi zrobić to osoba mająca
uprawnienia do zarządzania portalem licencyjnym) i następnie przejdź proces aktywacji licencji. Aby uzyskać
wsparcie skontaktuj się z zespołem pomocy portalu VLSC (Volume Licensing Service Center -
https://www.microsoft.com/licensing/servicecenter/default.aspx).
Jeżeli Twoja organizacja nie posiada licencji zgłoś się do swojego opiekuna Microsoft lub partnera Microsoft
w celu uzyskania bezpłatnych licencji próbnych. Jeżeli jesteś organizacją edukacyjną to instrukcje jak
aktywować bezpłatne licencje dla organizacji edukacyjnych znajdziesz na stronie https://aka.ms/ZdalnaNauka.
1.4 Dodaj własną domenę
UWAGA: ten punkt jest opcjonalny. Dodanie własnej domeny, np. example.com do Office 365 pozwoli
użytkownikom na logowanie się za pomocą loginu np. [email protected] zamiast user@
mój_testowy_tenant.onmicrosoft.com oraz pozwoli na konfigurację SSO.
Aby dodać domenę, na portalu admin.microsoft.com w menu po lewej stronie kliknij Show all:
Po rozwinięciu się menu wybierz Ustawienia (Settings) > Domeny (Domains), a następnie wybierz Dodaj
domenę (Add domain):
Wpisz domenę i kliknij Use this domain. Otrzymasz informację o sposobach weryfikacji domeny:
UWAGA: weryfikacja jest niezbędna do dodania domeny. Pozwala ona na potwierdzenie, że jesteś
właścicielem domeny.
Weryfikacja domeny polega na dodaniu określonych wpisów w publicznej strefie DNS (typu TXT lub MX) dla
Twojej domeny. Po udanej weryfikacji można przypisywać użytkownikom konto w dodanej domenie.
2 Sieć 1. Środowisko
O365
3. Tożsamość i uprawnienia
2.1 Otwórz niezbędny ruch
2.2 Wykonaj testy komunikacji
2.3 Zapewnij przepustowość
Większość osób zdalnie?Tak
2.5 Przekieruj ruch do chmury
Nie
2.4 Uruchom QoS
2.1 Otwórz niezbędne porty i ruch do wymaganych adresów
Wymagane jest otwarcie ruchu dla Microsoft Teams oraz Microsoft Commons według zdefiniowanej listy
adresów IP i URLs. Jeśli rozważane jest wykorzystanie Teams jako narzędzia do współpracy (praca na
SharePoint Online) to odpowiednie adresy IP dla SharePoint Online również muszą być whitelistowane.
Wymagania Office 365 IP and URLs:
https://docs.microsoft.com/en-us/office365/enterprise/urls-and-ip-address-ranges
Uwaga 1: W przypadku komunikacji w ramach sieci firmowej należy rozważyć otwarcie ruchu do następujących
adresów IP zdefiniowanych w artykule bazy wiedzy: https://docs.microsoft.com/en-
us/office365/enterprise/urls-and-ip-address-ranges. Kluczowe będzie tutaj zapewnienie komunikacji na
portach UDP 3478-3481 w celu uzyskania odpowiedniej jakości dla audio i wideo. Oczywiście komunikacja na
porcie 443 i 80 musi być również udrożniona dla klienta Teams.
Uwaga 2: Zalecany jest split-tunneling ruchu do Office 365 w przypadku uruchomionego klienta VPN.
Oznacza to, że ruch Microsoft Teams nie powinien być tunelowany w ramach VPN, bo wprowadzi to
dodatkowe opóźnienia i będzie miało negatywny wpływ na komunikację audio i wideo. Niektóre rozwiązania
VPN nie wspierają UDP, wprowadzają duży narzut czasu na odszyfrowanie i ostatecznie mogą doprowadzić
do zawijania komunikacji (hair-pinning) dla koncentratorze VPN.
2.2 Wykonaj test komunikacji sieciowej dla Microsoft Teams Wykonaj test połączenia do Microsoft Teams za pomocą dedykowanego narzędzia Network Testing
Companion. Po pobraniu narzędzia należy zweryfikować, czy wszystkie testy przeszły zakończone sukcesem.
https://docs.microsoft.com/en-us/microsoftteams/use-network-testing-companion
Jeśli w sieci wdrożone jest rozwiązanie proxy w ruchu do Internetu warto wykorzystać narzędzie Skype for
Business & Teams Network Assessment Tool, które wspiera wykonanie testu z wykorzystaniem
uwierzytelnienia na proxy:
https://www.microsoft.com/en-us/download/details.aspx?id=53885
2.3 Zapewnij przepustowość
Szacunkowe parametry wykorzystania łącza przez Microsoft Teams:
Bandwidth(up/down) Scenarios
30 kbps Peer-to-peer audio calling
130 kbps Peer-to-peer audio calling and screen sharing
500 kbps Peer-to-peer quality video calling 360p at 30fps
1.2 Mbps Peer-to-peer HD quality video calling with resolution of HD 720p at 30fps
1.5 Mbps Peer-to-peer HD quality video calling with resolution of HD 1080p at 30fps
500kbps/1Mbps Group Video calling
1Mbps/2Mbps HD Group video calling (540p videos on 1080p screen)
Wykonaj szacunkowe wyliczenie dla przepustowości korzystając z kalkulatora dostępnego w narzędziu
Microsoft Teams Admin → Org-wide settings → Network Planner.
Network Planner: https://docs.microsoft.com/en-us/microsoftteams/network-planner
Przykład wykorzystania Network Plannera: https://github.com/MicrosoftDocs/OfficeDocs-
SkypeForBusiness/blob/live/Teams/downloads/network-planner-how-to.pptx?raw=true
Inne rozważania odnośnie do wymagań sieciowych dla Teams:
https://docs.microsoft.com/en-us/microsoftteams/upgrade-prepare-environment-prepare-network
2.4 Uruchomienie QoS dla Microsoft Teams
Dzięki wprowadzeniu konfiguracji Quality of Service ruch klienta Microsoft Teams będzie markowany
odpowiednim znacznikiem DSCP, który pozwoli ustawić priorytet dla ruch audio, wideo i udostępniania ekranu
po stronie sieci LAN/WAN. Możliwe jest wykorzystanie dedykowanych zakresów portów dla ruchu audio,
wideo i udostępniania, co zostało przedstawione w poniższej tabeli.
Wymagana konfiguracja QoS dla Teams została opisana w artykule bazy wiedzy:
https://docs.microsoft.com/en-us/microsoftteams/qos-in-teams
Na poziomie polityki dla spotkań (Meeting policy) możliwe jest zdefiniowanie Media bit rate (KBs), który
standardowo jest nielimitowany, co oznacza, że użytkownik może negocjować jakość wideo w FullHD. Jeśli
ustawimy tutaj mniejszą wartość, przykładowo 700 KBs to klient nie będzie mógł negocjować rozdzielczości
Full HD, czy HD Ready – może być to ważne w przypadku lokalizacji z małą przepustowością. Dla pracowników
wykonujących pracę zdalnie nie jest to wymagane ustawienie.
2.5 Przekieruj ruch bezpośrednio do chmury
• Sieć – umożliwienie niezakłóconego ruchu do i z usługi – ruchu uwierzytelniającego, chatu, głosu,
mediów, plików
o Ogólne założenia dla Office 365: https://docs.microsoft.com/pl-
pl/office365/enterprise/office-365-network-connectivity-principles
o Ogólne założenia dla Teams https://docs.microsoft.com/pl-pl/MicrosoftTeams/upgrade-
prepare-environment-prepare-network
o Lista adresów IP https://docs.microsoft.com/pl-pl/office365/enterprise/urls-and-ip-address-
ranges
o Ustawienia proxy https://docs.microsoft.com/pl-pl/MicrosoftTeams/proxy-servers-for-
skype-for-business-online
o Jak zoptymalizować ruch Office 365 dla zdalnych użytkowników i zmniejszyć obciążenie
lokalnej infrastruktury: https://techcommunity.microsoft.com/t5/office-365-blog/how-to-
quickly-optimize-office-365-traffic-for-remote-staff-amp/ba-p/1214571
Zalecane jest ominięcie rozwiązań typu proxy oraz deszyfratorów ruchu, ponieważ mogą one powodować
dodatkowe problemy z uruchomieniem usług.
3 Tożsamość i uprawnienia
Czy połączono z
AD?
3.1 Skonfiguruj połączenie z Azure
AD
3.2 Skonfiguruj SSO
Nie
Tak
Dostęp z dowolnego
miejsca i urządzenia?
3.1.5 Włącz logowanie z
lokalnego AD
Nie3.3 Ustal zasady
dostępu
Tak
2. Sieć
4. Polityki bezpieczeństwa i
zarządzania
Nie i nie chcę łączyć
Logowanie przez lokalne
AD?TakNie
3.1.4 Włącz synchronizację
hashy haseł
Zanim zaczniemy używać Microsoft Teams należy umożliwić użytkownikom logowanie i dostęp do usługi.
Mamy dwie możliwości zapewnienia takiego dostępu – tworzenie kont chmurowych, bez udziału jakiejkolwiek
infrastruktury lokalnej oraz poprzez automatyczną synchronizację kont z lokalnego Active Directory.
Pierwsza opcja jest zawsze dostępna. Druga wymaga istnienia lokalnej infrastruktury Active Directory, ale przy
większej ilości użytkowników przyspieszy ich tworzenie w chmurze.
Tworzenie kont chmurowych
Na portalu admin.microsoft.com w części Users > Active users możesz utworzyć nowych użytkowników klikając
na Add a user:
Należy podać podstawowe dane użytkownika:
Na kolejnym ekranie możemy przypisać użytkownikowi licencje. Proces przypisywania licencji jest opisany w
punkcie 6.3.
W przypadku potrzeby stworzenia większej ilości użytkowników na raz, możesz posłużyć się plikiem CSV lub
skryptem PowerShell, które są dostępne stąd: https://docs.microsoft.com/en-us/microsoft-365/admin/add-
users/add-users?view=o365-worldwide#have-hundreds-or-thousands-of-users-to-add
Synchronizacja kont z lokalnego Active Directory
Posiadając lokalną architekturę Active Directory możemy wykorzystać istniejące w niej konta użytkowników i
automatycznie je zsynchronizować tworząc w ten sposób konta użytkowników w Office 365. W tym celu
rozszerzymy naszą lokalną tożsamość (Active Directory) o możliwości uwierzytelniania w chmurze, łącząc ją z
Azure AD. W ten sposób powstanie jedna tożsamość pozwalająca na uwierzytelnianie i autoryzację do
wszystkich zasobów, zarówno lokalnych jak I w chmurze. Nazywamy to tożsamością hybrydową.
Istnieją trzy podstawowe możliwości wdrożenia tożsamości hybrydowej:
• Password hash synchronization (PHS)
• Pass-through authentication (PTA)
• Federation (AD FS)
Wszystkie te metody dostarczają także technologię single-sign on (SSO), czyli możliwość jednokrotnego
logowania do zasobów.
Więcej o metodach wdrożenia tożsamości hybrydowej można znaleźć tutaj: https://docs.microsoft.com/en-
us/azure/security/fundamentals/choose-ad-authn
Opisane zostały dwie metody (scenariusze) Password hash synchronization (PHS) jako najłatwiejsza i
najszybsza w konfiguracji i Pass-through authentication (PTA) jako zalecana przez Microsoft.
Jak wybrać odpowiednią metodę logowania https://docs.microsoft.com/en-us/azure/active-
directory/hybrid/plan-connect-user-signin
Więcej o PHS (scenariusz 1): https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs
Więcej o PTA (scenariusz 2): https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-
connect-pta
Scenariusze są rozłączne, należy skonfigurować tylko jeden.
Uwaga: W przypadku wdrożenia scenariusza nr 1 a potem przejścia na scenariusz nr 2 hashe haseł pozostaną
w Azure AD.
Wdrożenie wszystkich metod jest możliwe za pomocą jednego narzędzia Azure AD Connect.
Azure AD Connect to narzędzie, które umożliwia synchronizację lokalnych obiektów usługi Active Directory,
takich jak konta użytkowników, grupy, kontakty itp. z usługą Azure Active Directory. Azure AD Connect
pozwala synchronizować pojedynczy las usługi Active Directory lub wiele lasów usługi Active Directory z usługą
Office 365.
Azure AD Connect jest programem bezpłatnym i jest dostępny w ramach subskrypcji wszystkich planów
Office 365.
https://docs.microsoft.com/pl-pl/azure/active-directory/hybrid/whatis-azure-ad-connect
3.1 Skonfiguruj połączenie lokalnego AD z Azure AD (AAD Connect)
3.1.1 Przed rozpoczęciem konfiguracji.
Wymagania wstępne dla lokalnego Active Directory:
- Minimalna wersja partycji schematu Active Directory – 2003 (jak sprawdzić wersję schematu -
https://docs.microsoft.com/en-us/archive/blogs/poshchap/one-liner-active-directory-schema-
version)
- Routowalna (Internetowa) nazwa domenowa lasu Active Directory (nie np.: prv, local itp.)
- Zarejestrowana i zweryfikowana własna domena w Office 365 (pkt 1.4)
- Weryfikacja i przygotowanie danych lokalnych - IdFix – narzędzie do identyfikacji błędów takich jak
duplikaty i problemy z formatowaniem w usłudze Active Directory przed synchronizacją obiektów
do usługi Office 365
Więcej na temat możliwych scenariuszy konfiguracji - https://docs.microsoft.com/en-us/azure/active-
directory/hybrid/plan-connect-topologies
3.1.2 Co, jeżeli moja nazwa domenowa nie jest routowalna?
Wtedy należy dodać nowy UPN suffix i ustawić go dla wszystkich kont, które chcemy synchronizować.
Aby to wykonać:
Uruchom narzędzie Active Directory Domain and Trusts
Wybierz właściwości (properties) na najwyższym szczeblu drzewa po lewej stronie konsoli.
Na zakładce UPN suffixes, dodaj nowy suffix, zgodny z domeną zarejestrowaną w Twoim tenancie Office
365.
W narzędziu Active Directory Users and Computers, zmień UPN dla istniejących użytkowników.
Powyższą zmianę należy przeprowadzić dla wszystkich użytkowników, którzy będą synchronizowani za
pomocą AD Connect.
Więcej na temat przeprowadzeniu zmiany UPN (także dla wielu użytkowników jednocześnie) -
https://docs.microsoft.com/en-us/office365/enterprise/prepare-a-non-routable-domain-for-directory-
synchronization
3.1.3 Instalacja AD Connect
Co będzie potrzebne:
- Windows Server na którym zostanie zainstalowany AD Connect (minimum 2012),
- W scenariuszu nr 2, dodatkowy system Windows Server na którym zostanie zainstalowany
Authentication Agent (zalecane dwa),
- Konto Azure AD z uprawnieniami Global Administrator (Więcej informacji o rolach w Office 365)
https://docs.microsoft.com/en-us/microsoft-365/admin/add-users/about-admin-roles?view=o365-
worldwide,
- Konto Active Directory z uprawnieniami Enterprise Admin,
- Azure AD Connect (do pobrania https://www.microsoft.com/en-
us/download/details.aspx?id=47594)
- Ruch sieciowy
Więcej o wymaganiach wstępnych tutaj (włącznie z niezbędnym ruchem sieciowym):
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites
3.1.4 Scenariusz numer 1 – Password Hash Synchronization – instalacja ekspresowa.
Pobierz i uruchom instalację AD Connect.
Na pierwszej karcie wybierz use express settings
Na karcie Connect tu Azure AD, zaloguj się za pomocą konta z uprawnieniami Global Admin z Office 365.
Na karcie Connect to AD DS, zaloguj się na konto Enterprise Administrator z domeny Active Directory.
W sytuacji, gdy system wykryje problemy z przypisywaniem lokalnych domen do domen zarejestrowanych w
Office 365 zostanie wyświetlona karta Azure AD sign-in configuration.
Więcej informacji o tym jak sobie poradzić w takiej sytuacji - https://docs.microsoft.com/en-us/azure/active-
directory/hybrid/plan-connect-user-signin#azure-ad-sign-in-configuration
Na ostatniej karcie wybierz Install.
Po zakończonej instalacji i synchronizacji, system jest gotowy do użytkowania.
3.1.5 Scenariusz numer 2 – PTA (zalecany)
Pobierz i uruchom instalację AD Connect.
Wybierz instalację custom i postępuj zgodnie z instrukcjami na ekranie.
Na karcie User-sign in wybierz opcję Pass-through authentication i zaznacz checkbox Enable single sign-on.
Dalej postępuj zgodnie z instrukcjami na ekranie.
Więcej o instalacji tutaj: https://docs.microsoft.com/pl-pl/azure/active-directory/hybrid/how-to-connect-pta-
quick-start i tutaj https://docs.microsoft.com/pl-pl/azure/active-directory/hybrid/how-to-connect-install-
custom
Instalacja agentów
Do prawidłowego działania usługi, potrzebna jest jeszcze instalacja agentów odpowiedzialnych za
uwierzytelnianie.
Należy zainstalować co najmniej jedną instancję agenta (jeden serwer). Zalecana (dla zachowania
nadmiarowości) jest instalacja minimum trzech agentów.
Przejdź do Azure AD Administration Center https://aad.portal.azure.com/, następnie, po lewej stronie wybierz
Azure Active Directory I potem Azure AD Connect. Uwierzytelnienie PTA powinno być widoczne jako Enabled.
Wybierz uwierzytelnianie PTA, zostaniesz przekierowany podstronę uwierzytelniania PTA gdzie można
pobrać agenta.
Kliknij na Download.
Pobierz i zainstaluj agenta na lokalnym serwerze członkowskim (innym niż AD Connect). Do instalacji
niezbędne będzie konto Global Admin Office 365.
Więcej o procesie instalacji agenta - https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-
to-connect-pta-quick-start?view=azurermps-6.3.0
Od tej chwili działa uwierzytelnienie PTA.
3.2 Skonfiguruj SSO
W przypadku autentykacji PTU (scenariusz 2), SSO zostało włączone przy użyciu Azure AD Connect w
poprzednim kroku.
W przypadku uwierzytelniania PHS (scenariusz 1), należy dodatkowo:
- ponownie uruchomić Azure AD Connect
- na karcie Additional tasks wybrać Change user sign-in
- zaznaczyć opcję Enable single sign on
Przejść przez wszystkie kroki narzędzia, potwierdzając istniejącą konfigurację.
Dla obu przypadków należy dodatkowo dodać witrynę https://autologon.microsoftazuread-sso.com do
strefy intranetu we wszystkich używanych przeglądarkach.
Bez tego ustawienia Windows nie będzie wysyłał ticketów Kerberos do ww. adresu (a jest to wymagane do
poprawnego działania SSO w środowisku hybrydowym).
Najprościej jest to zrobić za pomocą group policy I ustawienia User Configuration > Policy > Administrative
Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page -> Site to
Zone Assignment List
Szczegóły na temat powyższej konfiguracji jak i informacje odnośnie przeglądarek firm trzecich znajdują się
tutaj - https://docs.microsoft.com/pl-pl/azure/active-directory/hybrid/how-to-connect-sso-quick-
start#browser-considerations
Więcej na temat SSO - https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-
sso-faq
3.3 Ustal zasady dostępu Wykonaj ten krok, jeżeli chcesz ustalić pod jakimi warunkami możliwe będzie zalogowanie się do usługi – np.
z komputerów w domenie, urządzeń spełniających określone warunki, z określonych lokalizacji lub aplikacji.
Opcjonalne ustawienie zasad dostępu pomoże określić kto i skąd może dostać się do zasobów Office 365.
Dzięki temu będziesz w stanie kontrolować dostęp do aplikacji Teams.
Ograniczenie dostępu tylko z określonych adresów IP lub lokalizacji (kraj)
Na portalu aad.portal.azure.com przejdź do Azure Active Directory > Security:
Kliknij na Conditional access:
Kliknij na Names locations i wybierz New location:
Na ekranie nowej lokalizacji możesz określić lokalizację po zakresie adresów IP lub po określonym kraju. W
ten sposób zdefiniowaną lokalizację będzie można wykorzystać w regułach, które na podstawie tej lokalizacji
będą zezwalać – lub przeciwnie, zabraniać – na dostęp.
W części Conditional access przejdź do Policies i kliknij na New policy:
Nadaj polityce nazwę. W kolejnych częściach ekranu możesz:
Przypisać ją do określonych grup i użytkowników. UWAGA: uważaj, aby nie przypisać wszystkim
użytkownikom, także administratorowi, polityki, która odetnie dostęp do wszystkich aplikacji, w tym portalu,
na którym jesteś!
Wybrać aplikacje, których będzie dotyczy, np. Microsoft Teams.
Wybrać warunki, po których spełnieniu polityka będzie stosowana do wybranych powyżej aplikacji i
użytkowników.
W części Access control > Grant wybierz, czy polityka stosowana w zakresie warunków skonfigurowanych jak
powyżej ma umożliwiać dostęp, czy go zabraniać.
Na koniec włącz politykę (w trybie pełnego włączenia, lub dla celów testowych w trybie report-only):
Ograniczenie dostępu tylko z urządzeń dodanych do domeny lokalnej Active Directory
UWAGA: ten punkt wymaga skonfigurowania tzw. Hybrid Azure AD join. Instrukcję, jak to zrobić, znajdziesz
tutaj: https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-managed-
domains - instrukcja ta zawiera też kroki konfiguracyjne Azure AD Connect zdefiniowane w punkcie 3.1.
Skonfiguruj politykę Conditional access jak w punkcie powyżej, a w części Access control > Grant wybierz
Require Hybrid Azure AD joined device:
UWAGA: upewnij się, że wśród aplikacji, do których ma stosować się polityka, są tylko np. Microsoft Teams
i/lub Twoje urządzenie jest Hybrid Azure AD-joined. W przeciwnym wypadku zablokujesz sobie dostęp do
portal.azure.com!
3.4 Dodatkowe informacje dotyczące tożsamości
• W trakcie synchronizacji kopiowane są określone atrybuty z lokalnego AD do Azure AD.
Przetestowane i wymagane atrybuty dla Teams i hybrydowego Skype są opisane w tym artykule
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-sync-attributes-
synchronized#teams-and-skype-for-business-online
• Możliwe jest ograniczenie dostępu do danych na poziomie aplikacji mobilnych
https://docs.microsoft.com/en-us/intune/apps/app-protection-policy
4 Polityki bezpieczeństwa i zarządzania
3. Sieć
Tylko spotkania?
4.1 Ogranicz funkcjonalności tylko do spotkań
4.2 Wyłącz pliki
5. Audytowanie i monitorowanie
Tak
Nie
Współpraca na plikach?
Tak
Goście w zespołach i na czacie?
Tak
Zewnętrzni uczestnicy spotkań
Nie
Nie 4.3 Wyłącz gości
4.5 Zablokuj użytkowników zewn.
na spotkaniach.Nie
Tak
Dodatkowe aplikacje?
4.4 Wyłącz aplikacje
Nie
Nie
Usuwanie informacji po określonym
czasie?
4.6 Włącz politykę przechowywania
treściTak
Nie
Wdzwanianie na spotkania?
4.7 Skonfiguruj Audioconferencing
Tak
4.1 Ogranicz funkcjonalności tylko do spotkań w Teams Wykonaj ten krok, jeżeli w organizacji chcesz używać Teams jedynie do spotkań audio i wideo, bez czatu,
pracy na plikach i przestrzeni dla zespołów.
• Zablokuj możliwość tworzenia zespołów, poprzez zablokowanie tworzenia grup Office 365 na
których są oparte zespoły w Teams https://docs.microsoft.com/en-us/microsoft-365/admin/create-
groups/manage-creation-of-groups?view=o365-worldwide
• Zablokuj możliwość używania czatu – zmodyfikuj politykę globalną wyłączając opcję „czat”
https://docs.microsoft.com/en-us/microsoftteams/messaging-policies-in-teams
• Zablokuj dostęp do OneDrive dla Firm. W ustawieniach SharePoint Online przejdź do ustawień
profili użytkowników (https://<NAZWASRODOWISKA>-
admin.sharepoint.com/_layouts/15/TenantProfileAdmin/ManageUserProfileServiceApplication.aspx) i
wybierz opcję „Zarządzaj uprawnieniami użytkownika”. W oknie, które się pojawi odznacz pozycję”
Utwórz witrynę osobistą”.
Szczegóły: https://docs.microsoft.com/en-us/sharepoint/manage-user-profiles
• Zablokuj dostęp do SharePoint Online – UWAGA: zastosowanie tego kroku może spowodować
odcięcie od portalu administracyjnego SharePoint Online. W tym celu należy użyć blokowania
dostępu na podstawie lokalizacji https://docs.microsoft.com/en-us/sharepoint/control-access-
based-on-network-location - w polu adres IP podać publiczny adres, z którego nie będą mogli się
łączyć użytkownicy z organizacji. Optymalnie powinien być to adres IP dostępny tylko dla
administratorów. W przypadku odcięcia dostępu także dla administratorów możliwe jest wyłączenie
tej blokady poprzez zgłoszenie serwisowe.
4.2 Wyłącz pliki
Wykonaj ten krok, jeżeli chcesz wyłączyć możliwość przesyłania plików w Teams poprzez SharePoint Online i
OneDrive dla Firm.
• Zablokuj dostęp do OneDrive dla Firm. W ustawieniach SharePoint Online przejdź do ustawień
profili użytkowników (https://<NAZWASRODOWISKA>-
admin.sharepoint.com/_layouts/15/TenantProfileAdmin/ManageUserProfileServiceApplication.aspx) i
wybierz opcję „Zarządzaj uprawnieniami użytkownika”. W oknie, które się pojawi odznacz pozycję”
Utwórz witrynę osobistą”.
Szczegóły: https://docs.microsoft.com/en-us/sharepoint/manage-user-profiles
• Zablokuj dostęp do SharePoint Online – UWAGA: zastosowanie tego kroku może spowodować
odcięcie od portalu administracyjnego SharePoint Online. W tym celu należy użyć blokowania
dostępu na podstawie lokalizacji https://docs.microsoft.com/en-us/sharepoint/control-access-
based-on-network-location - w polu adres IP podać publiczny adres, z którego nie będą mogli się
łączyć użytkownicy z organizacji. Optymalnie powinien być to adres IP dostępny tylko dla
administratorów. W przypadku odcięcia dostępu także dla administratorów możliwe jest wyłączenie
tej blokady poprzez zgłoszenie serwisowe.
4.3 Wyłącz dostęp gości
Wykonaj ten krok, jeżeli chcesz zablokować możliwość zapraszania do zespołów osób spoza organizacji
oraz rozmów 1:1 z użytkownikami spoza organizacji.
• Zapoznaj się z opcjami zewnętrznego dostępu do Teams https://docs.microsoft.com/en-
us/microsoftteams/communicate-with-users-from-other-organizations oraz
https://docs.microsoft.com/en-us/microsoftteams/manage-external-access
• Wyłącz dostęp sfederowany z poziomu portalu administracyjnego Teams
https://docs.microsoft.com/en-us/microsoftteams/manage-external-access#allow-or-block-
domains
• Wyłącz dostęp gości do zespołów https://docs.microsoft.com/en-us/microsoftteams/set-up-guests
4.4 Wyłącz aplikacje w Teams
Wykonaj ten krok, jeżeli chcesz ograniczyć z jakich aplikacji mogą wewnątrz Teams korzystać użytkownicy.
Istnieją 3 typy aplikacji: aplikacje Microsoft, aplikacje firm trzecich oraz aplikacje organizacji. Możliwe jest
całkowite wyłączenie każdego z typów aplikacji lub wyłączenie/włączenie konkretnych aplikacji.
• W portalu administracyjnym Teams zmodyfikuj politykę globalną dla aplikacji w celu wyłączenia
określonego typu aplikacji https://docs.microsoft.com/en-us/microsoftteams/teams-app-
permission-policies
4.5 Zablokuj użytkowników zewnętrznych na spotkaniach
Wykonaj ten krok, żeby uniemożliwić użytkownikom spoza organizacji dołączanie do spotkań
organizowanych przez użytkowników z Twojej organizacji.
• Wyłącz dostęp anonimowych użytkowników w ustawieniach spotkań w portalu administracyjnym
Teams https://docs.microsoft.com/en-us/microsoftteams/meeting-settings-in-teams#allow-
anonymous-users-to-join-meetings
4.6 Włącz politykę przechowywania treści
Wykonaj ten krok, jeśli rozważasz przechowywanie zwartości w Microsoft Teams przez czas dłuższy niż
zdefiniowany w standardowych politykach przechowywania treści.
Rekomendowane jest stworzenie dedykowanej polityki „retention policy” dla Microsoft Teams. W tym celu
przejdź do konsoli Security & Compliance Center, następnie w konfiguracji Information
governance > Retention utwórz nową politykę dla:
• Teams Channel Messages
• Teams Chats
która ustawi czas przechowywania tych elementów przez dany okres czasu – przykładowo przechowuj przez
7 lat od czasu ostatniej modyfikacji:
Konfiguracja polityki retencji dla Microsoft Teams: https://docs.microsoft.com/en-
us/microsoftteams/retention-policies
Uwaga: Należy skonfigurować również osobną politykę dla Exchange Online, SharePoint Online oraz Office
365 Groups, bo są to również składowe rozwiązania Microsoft Teams. Należy pamiętać, że cała historia czatu
grupowego przechowywana jest w dedykowanej skrzynce zasobowej w Exchange Online, a biblioteka
dokumentów dostarczana w ramach SharePoint Online. Oczywiście przy założeniu, że jest to pełne wdrożenie
Teams, a nie omawiany w tym dokumencie model "tylko spotkania na Teams”.
4.7 Włącz opcję Audio Conferencing w celu wdzwonienia do spotkań poprzez numer PSTN lub wydzwonienia uczestników na telefon GSM/PSTN
Teams umożliwia wysyłanie w zaproszeniu na konferencję numeru wdzwanianego w formacie PSTN (numer
E.164), przykładowo wysłanie numeru dla lokalizacji Warszawa, czy inne Państwo na świecie.
Wymagana konfiguracja usługi Audio Conferencing:
➔ Przypięcie licencji testowej dla Audio Conferencing na 90 dni – skontaktuj się z reprezentantem
Microsoft w celu uzyskania licencji trial. Audio Conferencing jest częścią licencji E5, AC add-on lub
AC add-on free do użytkowników umowy wolumenowej, którzy mają wysyłać numer wdzwaniany.
➔ Uruchomienie skryptu powershell w celu propagacji konfiguracji Audio-Conferencing dla wszystkich
pracowników.
➔ Mostek konferencyjny umożliwia również skonfigurowanie polityki dla połączeń wychodzących z
mostka na numery stacjonarne lub GSM. W ramach takiej polityki możliwe jest ograniczenie
połączeń do lokalnego wyjścia lub międzynarodowego.
Konfiguracja usługi Audio Conferencing została opisana w artykule bazy wiedzy:
https://docs.microsoft.com/en-us/microsoftteams/manage-the-audio-conferencing-settings-for-my-
organization-in-teams
https://docs.microsoft.com/en-us/microsoftteams/set-up-audio-conferencing-in-teams
Numery telefonów w Audio Conferecing: https://docs.microsoft.com/en-us/microsoftteams/phone-
numbers-for-audio-conferencing-in-teams
On-board Audio Conferencing:
• Prepare my service (estimated reading time 6 minutes)
• Prepare my users (estimated reading time 2 minutes)
• Deploy my service (estimated reading time 3 minutes)
• Audio Conferencing troubleshooting and known issues (estimated reading time for Teams-specific
content is 2 minutes)
4.8 Dodatkowe informacje o politykach w Teams
• Przewodnik po zabezpieczeniu Microsoft Teams https://docs.microsoft.com/en-
us/microsoftteams/teams-security-guide
• Wprowadzenie do polityk https://docs.microsoft.com/en-us/microsoftteams/teams-adoption-
governance-quick-start
• Planowanie zarządzania https://docs.microsoft.com/en-us/microsoftteams/plan-teams-governance
• Ogólne https://docs.microsoft.com/en-us/microsoftteams/enable-features-office-365
• Cykl życia zespołów i uprawnienia https://docs.microsoft.com/en-us/microsoftteams/plan-teams-
lifecycle
• Dostęp zewnętrzny https://docs.microsoft.com/en-us/microsoftteams/communicate-with-users-
from-other-organizations, https://docs.microsoft.com/en-us/microsoftteams/guest-access oraz
https://docs.microsoft.com/en-us/microsoftteams/teams-dependencies,
• Zespoły i kanały https://docs.microsoft.com/en-us/microsoftteams/teams-policies
• Rozmowy https://docs.microsoft.com/en-us/microsoftteams/messaging-policies-in-teams
• Spotkania https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams oraz
https://docs.microsoft.com/en-us/microsoftteams/meeting-settings-in-teams
• Aplikacje https://docs.microsoft.com/en-us/microsoftteams/teams-app-permission-policies oraz
https://docs.microsoft.com/en-us/microsoftteams/teams-custom-app-policies-and-settings
• Feedback https://docs.microsoft.com/en-us/microsoftteams/manage-feedback-policies-in-teams
5 Audytowanie i monitorowanie
4. Polityki bezpieczeństwa i
zarządzania
5.1 Włącz audyt
5.2 Zdefiniuj reguły DLP
6. Aplikacje klienckie i
uruchomienie
Potrzebne DLP?
Nie
Tak
5.1 Włącz audyt działań użytkowników
W ramach Office 365 dostępny jest centralny system logowania wszystkich działań pracowników. Audit Log
wymaga jednak włączenia funkcjonalności logowania w centrum Bezpieczeństwa i Zgodności, co zostało
opisane w artykule bazy wiedzy: https://docs.microsoft.com/en-us/microsoft-365/compliance/turn-audit-
log-search-on-or-off?view=o365-worldwide
Po włączeniu logów aktywności w Office 365 możliwe jest ich przeszukiwanie w portalu bezpieczeństwa
https://docs.microsoft.com/pl-pl/microsoft-365/compliance/search-the-audit-log-in-security-and-
compliance?view=o365-worldwide.
Audytowanie umożliwia również przekazanie danych logowania do zewnętrznych systemów SIEM
utrzymywanych przez działy bezpieczeństwa lub SOC: https://docs.microsoft.com/en-us/microsoft-
365/security/office-365-security/siem-server-integration?view=o365-worldwide
Logi związane z uwierzytelnieniem się użytkowników są dostępne z poziomu portalu Azure AD
https://docs.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-audit-logs.
5.2 Zdefiniuj reguły DLP
Wykonaj ten krok, jeżeli chcesz się upewnić, że użytkownicy nie będą mogli udostępniać w Office 365 treści
zawierających poufne dane. W tym celu możliwe jest zdefiniowanie reguł DLP, które wykryją pojawienie się
danych, które Twoja organizacja uważa za poufne, zablokują do nich dostęp i poinformują wskazane osoby
oraz zalogują ten fakt w logach audytowych. Uwaga: Funkcjonalność DLP dla Exchange i SharePoint (czyli
również plików trzymanych w repozytoriach zespołów Teams oraz czatach 1:1 jest dostępna w planach Office
365 E3, DLP dla czatu Teams wymaga dodatku Advanced Compliance lub planu E5.
• Zapoznaj się z konstrukcją polityk DLP https://docs.microsoft.com/en-us/microsoft-
365/compliance/create-test-tune-dlp-policy?view=o365-worldwide
• Zapoznaj się z wbudowanymi definicjami typów informacji wrażliwych
https://docs.microsoft.com/en-us/microsoft-365/compliance/what-the-sensitive-information-types-
look-for?view=o365-worldwide. Jeżeli nie odpowiadają one Twoim wymaganiom zdefiniuj własny
typ informacji wrażliwej https://docs.microsoft.com/en-us/microsoft-365/compliance/custom-
sensitive-info-types?view=o365-worldwide
• Zapoznaj się z możliwościami DLP dla Teams i skonfiguruj polityki https://docs.microsoft.com/en-
us/microsoft-365/compliance/dlp-microsoft-
teams?toc=%2Fmicrosoftteams%2Ftoc.json&bc=%2Fmicrosoftteams%2Fbreadcrumb%2Ftoc.json&v
iew=o365-worldwide
• Przed uruchomieniem zalecamy przetestowanie działania polityki.
5.3 Dodatkowe informacje o audytowaniu i monitorowaniu • Omówienie funkcjonalności bezpieczeństwa i zapewnienia zgodności
https://docs.microsoft.com/en-us/microsoftteams/security-compliance-overview
• Wyszukiwanie treści w Teams https://docs.microsoft.com/en-us/microsoftteams/content-
search?view=o365-worldwide oraz w całym Office 365 https://docs.microsoft.com/pl-pl/microsoft-
365/compliance/content-search?view=o365-worldwide)
• Więcej o funkcjonalnościach zapewnienia zgodności w Office 365 https://docs.microsoft.com/pl-
pl/microsoft-365/compliance/?view=o365-worldwide
6 Aplikacje klienckie i uruchomienie
6.1 Wdróż aplikacje klienckie Teams
Microsoft Teams mogą być używane przez przeglądarkę, jednak zalecamy wdrożenie aplikacji klienckich dla
wygodniejszej pracy użytkowników.
Aplikacja Microsoft Teams jest wspierana na następujących systemach operacyjnych: Windows 10 i Windows
8.1., Mac OS X 10.11 El Capitan i nowsze, Linux (Ubuntu 16.04 LTS, 18.04 LTS, Fedora 30 Workstation, RHEL 8
Workstation, CentOS 8), Android i iOS. Więcej informacji o wymaganiach sprzętowych dla określonych
systemów operacyjnych znajdziesz tutaj: https://docs.microsoft.com/en-us/microsoftteams/hardware-
requirements-for-the-teams-app#hardware-requirements-for-teams-on-mobile-devices
Windows 10 i Windows 8.1
Zalecaną metodą wdrożenia jest instalacja oprogramowania za pomocą pakietu instalacyjnego .msi. Poniżej
znajdują się linki do pobrania instalatora właściwego dla architektury systemu operacyjnego Windows:
32 bity:
https://teams.microsoft.com/downloads/desktopurl?env=production&plat=windows&managedInstaller=true
&download=true
64 bity:
https://teams.microsoft.com/downloads/desktopurl?env=production&plat=windows&arch=x64&managedIn
staller=true&download=true
Instalator msi może być wdrożony na urządzeniach ręcznie lub przy użyciu metod stosowanych w organizacji
(np. GPO lub SCCM).
macOS
Wszystkie aplikacje, w tym pakiet dla systemu macOS, znajdziesz tutaj:
https://teams.microsoft.com/downloads
Urządzenia mobilne (Android, iOS i Windows Mobile)
Instalacja na systemach Android i iOS odbywa się za pomocą właściwych dla producenta systemu
operacyjnego „sklepów”, tj. Google Play i Apple Store, w związku z tym wymaga posiadania przez użytkownika
konta (Apple lub Google).
Link do aplikacji możesz otrzymać bezpośrednio na urządzenie podając swój numer telefonu na stronie:
https://products.office.com/en-us/microsoft-teams/download-app
Przeglądarki
Do aplikacji Microsoft Teams można zalogować się także przy pomocy przeglądarki, bez konieczności użycia
instalowanego klienta. Teams jest wspierany na większości nowoczesnych przeglądarek. Pełną ich listę, wraz z
wyszczególnieniem, które funkcjonalności są wspierane, znajdziesz na: https://docs.microsoft.com/en-
us/microsoftteams/limits-specifications-teams#browsers
6.2 Wykonaj synchronizację kont
W przypadku wyboru wykorzystania istniejącej infrastruktury Active Directory w punkcie 3, po instalacji Azure
AD Connect i konfiguracji konta powinny być zsynchronizowane i już istnieć w Office 365. Na portalu
admin.microsoft.com przejdź do Users > Active users i sprawdź, czy użytkownicy istnieją:
6.3 Przypisz licencje i aktywuj konta
W portalu admin.microsoft.com z Users > Active users kliknij na użytkownika i w nowo otwartym menu po
prawej przejdź na zakładkę Licenses and Apps:
Upewnij się, że użytkownik ma przypisaną właściwą licencję (Office 365 E1). Więcej informacji o przypisywaniu
licencji użytkownikom z portalu i automatycznie za pomocą PowerShell znajdziesz tutaj:
https://docs.microsoft.com/en-us/office365/enterprise/assign-licenses-to-user-accounts
UWAGA: Przypisując pełną licencję planu przykładowo Enterprise E1 lub innej subskrypcji przypisujesz
wszystkie funkcjonalności, takie jak Exchange Online, czy SharePoint. Jeśli posiadasz usługę poczty email w
innym rozwiązaniu to pamiętaj o odznaczeniu licencji na aplikację Exchange Online, bo inaczej Exchange
Online ustawi Twoją domenę jako autorytatywną w chmurze! Jeśli po przypisaniu licencji chcesz wyłączyć
niektóre funkcjonalności, np. Exchange Online jak w punkcie powyżej, dla rozwiń część Apps:
I oznacz odpowiednie aplikacje/usługi.
W przypadku konieczności przypisania licencji większej ilości użytkowników na raz, możesz posłużyć się
skryptem PowerShell dostępnym tutaj: https://docs.microsoft.com/en-
us/office365/enterprise/powershell/assign-licenses-to-user-accounts-with-office-365-powershell
7 Telefon IP „Microsoft Teams” u pracownika zdalnego
Microsoft Teams działa w trybie „softphone” zainstalowanego na urządzeniu typu PC/MAC lub
smartphone/tablet. Natomiast może działać również w trybie tradycyjnego telefonu IP uruchomionego w
lokalizacji zdalnej lub sam klient Teams pozwala na obsługę połączeń przychodzących lub wychodzących do
sieci PSTN i GSM. Ten model wymagana uruchomienia trybu Direct Routing, gdzie możliwe jest zintegrowanie
Teams z obecną centralną telefoniczną w bardzo krótkim czasie – około 1-3 dnia zajmuje wdrożenie takiej
funkcjonalności. Dzięki temu pracownicy mogą odbierać stacjonarne telefony nie przebywając przy swoim
biurku, ale na PC pracując z domu lub na urządzeniach mobilnych.
Co jest potrzebne, żeby telefonia w kliencie Microsoft Teams działała poprawnie?
• Licencja Microsoft Phone System, którą na okres testowy można uzyskać po kontakcie z
reprezentantem Microsoft.
• Session Border Controller „SBC” – ten komponent pozwala na konfigurację połączenia typu trunk SIP
pomiędzy data center Microsoft, a lokalnym rozwiązaniem telefonicznym – przykładowo Cisco,
Avaya, Siemens, inne rozwiązania IPPBX/ virtual PBX. Komponent SBC można uruchomić w ramach
maszyny wirtualnej w Azure (Audiocodes SBC) lub zainstalować na lokalnym wirtualizatorze Hyper-V
lub VMWare. Microsoft wspiera klienta przy uruchomieniu SBC wraz z partnerem strategicznym
Audiocodes.
• Obecny dostawca telefonii „zapewnienie numerów telefonów oraz łącza” – Microsoft Direct Routing
wykorzystuje obecną centralę telefoniczną do zestawienia połączenia przychodzącego lub
wychodzącego. Biorąc przykład posiadanej telefonii Cisco, wybierając numer w Microsoft Teams
zestawiane jest połączenie do SBC, które przekierowuje połączenie wychodzące na centralę Cisco lub
bezpośrednio do operatora telefonii.
Przykładowa architektura rozwiązania Direct Routing:
Planowanie architektury Direct Routing:
https://docs.microsoft.com/en-us/MicrosoftTeams/direct-routing-plan
Konfiguracja Direct Routing dla Teams:
https://docs.microsoft.com/en-us/MicrosoftTeams/direct-routing-configure
Konfiguracja Mediant SBC w Azure:
https://www.audiocodes.com/media/13250/mediant-virtual-edition-sbc-for-microsoft-azure-installation-
manual-ver-72.pdf
Lista wspieranych SBC:
https://docs.microsoft.com/en-us/MicrosoftTeams/direct-routing-border-controllers
Monitorowanie i rozwiązywanie problemów z SBC:
https://docs.microsoft.com/en-us/MicrosoftTeams/direct-routing-monitor-and-troubleshoot
8 Dodatkowe informacje
• Materiały szkoleniowe, które pomogą usystematyzować całą wiedzę https://docs.microsoft.com/pl-
pl/MicrosoftTeams/itadmin-readiness. Są tam sekcje odnośnie do każdego z głównych aspektów –
głównych komponentów, klienta desktopowego, zarządzania cyklem życia zespołu,
bezpieczeństwa, spotkań.
• Architektura i zależności Teams od innych usług Office 365:
o Architektura https://github.com/MicrosoftDocs/OfficeDocs-
Enterprise/raw/live/Enterprise/downloads/msft-m365-teams-logical-architecture.pdf
o Zależność od grup Office 365 https://docs.microsoft.com/en-us/MicrosoftTeams/office-
365-groups oraz grafika https://github.com/MicrosoftDocs/OfficeDocs-
Enterprise/raw/live/Enterprise/downloads/msft-m365-groups.pdf
o Zależność od Exchange Online https://docs.microsoft.com/en-
us/MicrosoftTeams/exchange-teams-interact
o Zależność od SharePoint Online https://docs.microsoft.com/en-
us/MicrosoftTeams/sharepoint-onedrive-interact
o Sesja o architekturze Teams https://www.youtube.com/watch?v=6uAGSs7FJpI
• Wdrożenie czatu i zespołów https://docs.microsoft.com/pl-pl/MicrosoftTeams/deploy-chat-teams-
channels-microsoft-teams-landing-page
• Wdrożenie spotkań i połączenie z infrastrukturą wideokonferencji:
o Podstawowe informacje odnośnie do przygotowania do wdrożenia spotkań na Teams
https://docs.microsoft.com/pl-pl/MicrosoftTeams/deploy-meetings-microsoft-teams-
landing-page
o Łączenie Teams z istniejącą infrastrukturą Cisco przez CVI https://docs.microsoft.com/en-
us/microsoftteams/cloud-video-interop (wymaga rozwiązania partnera CVI)
o Dodawanie możliwości wdzwaniania i wydzwaniania konferencji
https://docs.microsoft.com/en-us/microsoftteams/deploy-audio-conferencing-teams-
landing-page (wymaga licencji audio conferencing dla organizatora spotkania)
• Telefonia:
o Planowanie połączenia z lokalnym systemem telefonicznym https://docs.microsoft.com/pl-
pl/MicrosoftTeams/direct-routing-plan (wymaga licencji phone system oraz integracji przez
SBC z PSTN)
o Architektura rozwiązania https://github.com/MicrosoftDocs/OfficeDocs-
SkypeForBusiness/raw/live/Teams/downloads/telephony-solutions/microsoft-telephony-
solutions-12-18.pdf