Mit moderner Authentifizierung unterstützte Skype for Business-Topologien

  • Artikel

In diesem Artikel erfahren Sie, welche Onlinetopologien und lokalen Topologien mit moderner Authentifizierung in Skype for Business unterstützt werden und welche Sicherheitsmerkmale die Topologien jeweils aufweisen.

Moderne Authentifizierung in Skype for Business

Skype for Business kann die Sicherheitsvorteile der modernen Authentifizierung nutzen. Da Skype for Business eng mit Exchange zusammenarbeiten, wird das Anmeldeverhalten Skype for Business Clientbenutzern auch von der MA-status von Exchange beeinflusst. Dies gilt auch, wenn Sie eine hybride Skype for Business-Topologie mit geteilter Domäne verwenden. Es gibt also viele Variablen, aber das Ziel ist hier eine leicht zu visualisierende Liste der unterstützten Topologien.

Welche Topologien werden für moderne Authentifizierung unterstützt, wenn Skype for Business, Skype for Business Online, Exchange Server und Exchange Online genutzt werden?

Unterstützte MA-Topologien in Skype for Business

Es gibt potenziell zwei Serveranwendungen und zwei Microsoft 365- oder Office 365-Workloads, die an Skype for Business von MA verwendeten Topologien beteiligt sind.

  • Skype for Business Server (CU 5) lokal

  • Skype for Business Online (SFBO)

  • Exchange Server (lokal)

  • Exchange Server Online (EXO)

Ein weiterer wichtiger Aspekt von MA ist, dass Sie wissen müssen, wo die Authentifizierung (authN) und die Autorisierung (authZ) der Benutzer stattfinden soll. Die folgenden zwei Optionen stehen zur Verfügung:

  • Microsoft Entra-ID, online in der Microsoft Cloud

  • Active Directory-Verbundserver (Active Directory Federation Server, AD FS) (lokal)

Mit EXO und SFBO in der Cloud mit Microsoft Entra ID und Exchange Server (EXCH) und Skype for Business Server (SFB) in der Cloud sieht es also ein bisschen so aus.

Ein Beispiel für alle Anwendungen (Exchange und Skype for Business) und Arbeitsauslastungen (EXO und SFBO) sowie für beide Autorisierungsserver (ADFS und evoSTS), die beim Aktivieren von MA beteiligt sein können.

Hier sind die unterstützten Topologien. Für die Grafiken gilt die folgende Legende:

  • Wenn das Symbol abgeblendet oder grau ist, wird es im Szenario nicht verwendet.

  • EXO: Exchange Online

  • SFBO: Skype for Business Online

  • EXCH: Exchange (lokal)

  • SFB: Skype for Business (lokal)

  • Autorisierungsserver werden durch Dreiecke dargestellt, z. B. ist die Microsoft Entra-ID ein Dreieck mit einer Wolke dahinter.

  • Pfeile zeigen auf den autorisierenden Server, der verwendet wird, wenn Clients die angegebene Serverressource zu erreichen versuchen.

Betrachten wir zunächst MA mit Skype for Business in rein lokalen Topologien und reinen Cloudtopologien.

Wichtig

Sind Sie bereit, moderne Authentifizierung in Skype for Business Online einzurichten? Die Schritte zum Aktivieren dieses Features finden Sie hier.

Topologiename
 Beispiel
 Beschreibung
 Unterstützt
Nur Cloud
 Unterstützt SFB mit MA-Topologie, nur Cloud.Gehostete Benutzer/Postfächer: Online
 MA ist für EXO und SFBO aktiviert.
Daher ist der Autorisierungsserver Microsoft Entra ID.
Multi-Factor Authentication (MFA), clientzertifikatbasierte Authentifizierung (CBA), Bedingter Zugriff (CA)/Mobile Application Management (MAM) mit Intune. *
Nur lokal
 Unterstützt SFB mit MA-Topologie, nur lokal.Verwaltete Benutzer/Befinden der Postfächer: Lokal
 MA ist für SFB (lokal) aktiviert.
Daher ist AD FS der Autorisierungsserver.
Konfigurationsdetails finden Sie in diesem Artikel.
MFA (Nur Windows-Desktop – mobile Clients werden nicht unterstützt.) Keine Exchange-Integrationsfunktionen.

Dieser Ansatz wird nicht empfohlen. Weitere Informationen finden Sie hier: https://aka.ms/ModernAuthOverview

Wichtig

Der MA-Status sollte in Skype for Business und Exchange (und deren Onlinependants) gleich sein, um die Anzahl der Eingabeaufforderungen zu verringern.

Bei gemischten Topologien sind Kombinationen von SFB-Hybriden mit geteilter Domäne beteiligt. Diese gemischten Topologien werden zurzeit unterstützt:

Topologiename
 Beispiel
 Beschreibung
 Unterstützt
Gemischt 1
 Unterstützung für SFB mit MA-Topologie, Gemischt 1 (EXO + SFB).
Verwaltung der Benutzer/Speicherort der Postfächer: EXO und SFB
 MA ist für SFB nicht aktiviert, in dieser Topologie sind keine MA-Funktionen für SFB verfügbar.
Keine MA-Funktionen für SFB
Gemischt 2
 Unterstützung für MA mit gemischter S4B-Topologie 2, SFBO plus MA in lokaler Zusammenarbeit mit EXCH.
Verwaltung der Benutzer/Speicherort der Postfächer: EXCH und SFBO
 MA ist nur für SFBO aktiviert. Der Autorisierungsserver ist Microsoft Entra ID für Benutzer, die in SFBO verwaltet werden, aber AD für EXCH lokal.
MFA, CBA, CA/MAM mit IntuneGemischt 3
Gemischt 3
 Unterstützung für MA mit SFB, EXO mit aktiviertem MA plus lokalem EXCH und SFB.
Verwaltung der Benutzer/Speicherort der Postfächer: EXO + SFB oder EXCH + SFB
 In dieser Topologie sind keine MA-Funktionen für SFB verfügbar.
 Keine MA-Funktionen für SFB
Gemischt 4
 Unterstützung für MA mit SFB, SFBO mit aktiviertem MA plus lokalem EXCH und SFB.
Verwaltung der Benutzer/Speicherort der Postfächer: EXCH + SFBO oder EXCH + SFB
MA ist für SFBO aktiviert, daher ist der Autorisierungsserver Microsoft Entra ID für Benutzer, die in SFBO gehostet werden. Lokale Benutzer in SFB und EXO verwenden AD.
MFA, CBA, CA/MAM mit Intune nur für Onlinebenutzer* – MFA umfasst Windows-Desktop, Mac, iOS- und Android-Geräte und Windows Phones. CBA umfasst Windows-Desktop, iOS- und Android-Geräte. CA/MAM mit Intune umfasst Android- und iOS-Geräte.
Gemischt 5
 Unterstützung für MA in SFB, EXO mit MA und SFBO mit MA sowie lokalem EXCH und SFB.
Verwaltung der Benutzer/Speicherort der Postfächer: EXO und SFBO, EXO + SFB, EXCH + SFBO oder EXCH + SFB
 MA ist sowohl in EXO als auch in SFBO aktiviert, daher ist der Autorisierungsserver Microsoft Entra ID für Benutzer, die in SFBO gehostet werden. Lokale Benutzer in EXCH und SFB verwenden AD.
MFA, CBA, CA/MAM mit Intune nur für Onlinebenutzer* – MFA umfasst Windows-Desktop, Mac, iOS- und Android-Geräte und Windows Phones. CBA umfasst Windows-Desktop, iOS- und Android-Geräte. CA/MAM mit Intune umfasst Android- und iOS-Geräte.
Gemischt 6
 In der Topologie „Gemischt 6“ ist moderne Authentifizierung an allen vier möglichen Standorten aktiviert – die ideale Situation im Hinblick auf moderne Authentifizierung.
Verwaltung der Benutzer/Speicherort der Postfächer: EXO und SFBO, EXO + SFB, EXCH + SFBO oder EXCH + SFB
 MA ist überall aktiviert, daher ist der Autorisierungsserver Microsoft Entra ID für alle Benutzer. (online und lokal)
Weitere Informationen finden Sie unter https://aka.ms/ModernAuthOverview Bereitstellungsschritte.
MFA, CBA und CA/MAM (über Intune) für alle Benutzer.

* – MFA umfasst Windows-Desktop, Mac, iOS- und Android-Geräte und Windows Phones. CBA umfasst Windows-Desktop, iOS- und Android-Geräte. CA/MAM mit Intune umfasst Android- und iOS-Geräte.

Wichtig

Sehr wichtig ist, dass die Benutzer möglicherweise in manchen Fällen mehrere Eingabeaufforderungen sehen, vor allem, wenn der MA-Status nicht auf allen von den Clients benötigten und angeforderten Serverressourcen gleich ist. Dies gilt für alle Versionen der gemischten Topologien.

Wichtig

Beachten Sie außerdem, dass in einigen Fällen (speziell gemischt 1, 3 und 5) ein AllowADALForNonLyncIndependentOfLync-Registrierungsschlüssel für die ordnungsgemäße Konfiguration für Windows-Desktopclients festgelegt werden muss.