Verwalten der zweistufigen Authentifizierung in Skype for Business Server
Zusammenfassung: Verwalten der zweistufigen Authentifizierung in Skype for Business Server.
Die zweistufige Authentifizierung bietet eine verbesserte Sicherheit, indem gefordert wird, dass Benutzer zwei Authentifizierungskriterien erfüllen: eine Kombination aus Benutzername und Kennwort sowie ein Token oder Zertifikat. Dies wird auch als "etwas, das Sie haben, etwas, das Sie wissen" bezeichnet.
Ein typisches Beispiel für eine zweistufige Authentifizierung ist die Nutzung von Smartcards. Eine Smartcard enthält ein Zertifikat, das einem Benutzerkonto zugewiesen ist und welches mit den Benutzer- und Zertifikatinformationen überprüft werden kann, die auf einem Server gespeichert sind. Durch Abgleichen der Benutzerinformationen (Benutzername und Kennwort) mit dem bereitgestellten Zertifikat überprüft der Server die Anmeldeinformationen, sodass er den Benutzer authentifizieren kann.
Berücksichtigen Sie beim Konfigurieren einer Skype for Business Server-Umgebung zur Unterstützung der zweistufigen Authentifizierung die folgenden Themen.
Clientunterstützung
Die kumulativen Updates für den Lync Server 2013-Desktopclient vom Juli 2013 und der Skype for Business-Client sind die einzigen Clients, die derzeit die zweistufige Authentifizierung unterstützen.
Anforderungen im Hinblick auf die Topologie
Kunden wird empfohlen, die zweistufige Authentifizierung mithilfe dedizierter Skype for Business Server mit Edge, Director und Benutzerpools bereitzustellen. Um die passive Authentifizierung für Benutzer zu aktivieren, müssen andere Authentifizierungsmethoden für andere Rollen und Dienste deaktiviert werden, einschließlich der folgenden:
| Konfigurationstyp | Diensttyp | Serverrolle | Zu deaktivierender Authentifizierungstyp |
|---|---|---|---|
| Webdienst |
WebServer |
Director |
Kerberos, NTLM und Zertifikat |
| Webdienst |
WebServer |
Front-End |
Kerberos, NTLM und Zertifikat |
| Proxy |
EdgeServer |
Edge |
Kerberos und NTLM |
| Proxy |
Registrierungsstelle |
Front-End |
Kerberos und NTLM |
Sofern diese Authentifizierungstypen nicht auf Dienstebene deaktiviert sind, ist es mit keiner anderen Version des Clients möglich, sich erfolgreich anzumelden, sobald die zweistufige Authentifizierung in Ihrer Bereitstellung aktiviert wurde.
Ermittlung der Skype for Business-Services
DNS-Einträge, die von internen und/oder externen Clients verwendet werden, um Skype for Business Dienste zu ermitteln, sollten so konfiguriert werden, dass sie in einen Skype for Business Server aufgelöst werden, der nicht für die zweistufige Authentifizierung aktiviert ist. Bei dieser Konfiguration müssen Benutzer aus Skype for Business Pools, die nicht für die zweistufige Authentifizierung aktiviert sind, keine PIN zur Authentifizierung eingeben, während Benutzer aus Skype for Business Pools, die für die zweistufige Authentifizierung aktiviert sind, ihre PIN zur Authentifizierung eingeben müssen.
Exchange-Authentifizierung
Kunden, die die zweistufige Authentifizierung für Microsoft Exchange bereitgestellt haben, stellen möglicherweise fest, dass bestimmte Features im Client nicht verfügbar sind. Dieses Verhalten ist beabsichtigt, da der Skype for Business-Client keine zweistufige Authentifizierung für Features unterstützt, die von der Exchange-Integration abhängig sind.
Kontakte
Skype for Business Benutzer, die für die Nutzung des Unified Contact Store-Features konfiguriert sind, stellen fest, dass ihre Kontakte nach der Anmeldung mit der zweistufigen Authentifizierung nicht mehr verfügbar sind.
Sie sollten das Cmdlet Invoke-CsUcsRollback verwenden, um vorhandene Benutzerkontakte aus dem einheitlichen Kontaktspeicher zu entfernen und in Skype for Business Server zu speichern, bevor Sie die zweistufige Authentifizierung aktivieren.
Qualifikationssuche
Kunden, die das Feature skill search in ihrer Skype for Business-Umgebung konfiguriert haben, werden feststellen, dass dieses Feature nicht funktioniert, wenn Skype for Business für die zweistufige Authentifizierung aktiviert ist. Dies ist entwurfsbedingt, weil Microsoft SharePoint momentan die zweistufige Authentifizierung nicht unterstützt.
Anmeldeinformationen
Es gibt eine Reihe von Bereitstellungsüberlegungen im Zusammenhang mit gespeicherten Skype for Business Anmeldeinformationen, die sich auf Benutzer auswirken können, die für die Verwendung der zweistufigen Authentifizierung konfiguriert sind.
Löschen von gespeicherten Anmeldeinformationen
Benutzer sollten die Option Anmeldeinformationen löschen im Skype for Business Client verwenden und ihren SIP-Profilordner aus %localappdata%\Microsoft\Office\15.0\Skype for Business löschen, bevor sie versuchen, sich zum ersten Mal mit der zweistufigen Authentifizierung zu signieren.
DisableNTCredentials
Bei der Kerberos- oder NTLM-Authentifizierungsmethode werden die Windows-Anmeldeinformationen des Benutzers automatisch für die Authentifizierung verwendet. In einer typischen Skype for Business Server Bereitstellung, bei der Kerberos und/oder NTLM für die Authentifizierung aktiviert ist, sollten Benutzer ihre Anmeldeinformationen nicht bei jeder Anmeldung eingeben müssen.
Werden Benutzer unbeabsichtigt zur Eingabe ihrer Anmeldeinformationen aufgefordert, bevor sie zur Eingabe ihrer PIN aufgefordert werden, ist möglicherweise versehentlich der Registrierungsschlüssel DisableNTCredentials auf Clientcomputern konfiguriert (möglicherweise über eine Gruppenrichtlinie).
Um die zusätzliche Aufforderung zur Eingabe von Anmeldeinformationen zu verhindern, erstellen Sie den folgenden Registrierungseintrag auf der lokalen Arbeitsstation, oder verwenden Sie die Skype for Business administrative Vorlage, um mit Gruppenrichtlinie auf alle Benutzer für einen bestimmten Pool anzuwenden:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
REG_DWORD: DisableNTCredentials
Wert: 0x0
SavePassword
Wenn sich ein Benutzer zum ersten Mal bei Skype for Business anmeldet, wird er aufgefordert, sein Kennwort zu speichern. Wenn diese Option aktiviert ist, kann das Clientzertifikat des Benutzers im persönlichen Zertifikatspeicher und die Windows-Anmeldeinformationen des Benutzers im Anmeldeinformations-Manager des lokalen Computers gespeichert werden.
Die Registrierungseinstellung SavePassword sollte deaktiviert werden, wenn Skype for Business für die Unterstützung der zweistufigen Authentifizierung konfiguriert ist. Um zu verhindern, dass Benutzer ihre Kennwörter speichern, ändern Sie den folgenden Registrierungseintrag auf der lokalen Arbeitsstation, oder verwenden Sie die Skype for Business administrative Vorlage, um mit Gruppenrichtlinie auf alle Benutzer für einen bestimmten Pool anzuwenden:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Wert: 0x0
AD FS 2.0-Tokenwiederholung
AD FS 2.0 stellt eine Funktion bereit, die als Tokenwiederholungserkennung bezeichnet wird und mit welcher mehrere Tokenanforderungen, in denen dasselbe Token verwendet wird, erkannt und verworfen werden können. Ist diese Funktion aktiviert, schützt die Tokenwiederholungserkennung die Integrität von Authentifizierungsanforderungen sowohl im passiven WS-Federation-Profil als auch im SAML WebSSO-Profil, indem sichergestellt wird, dass ein Token nie mehrmals verwendet wird.
Diese Funktion sollte in Umgebungen aktiviert sein, in denen Sicherheit einen besonders hohen Stellenwert hat, beispielsweise bei der Nutzung von Kiosken. Weitere Informationen zur Erkennung von Tokenwiedergaben finden Sie unter Bewährte Methoden für die sichere Planung und Bereitstellung von AD FS 2.0.
Gastbenutzerzugriff
Das Konfigurieren eines AD FS-Proxys oder Reverseproxys zur Unterstützung Skype for Business zweistufigen Authentifizierung aus externen Netzwerken wird in diesen Themen nicht behandelt.
Siehe auch
Konfigurieren der zweistufigen Authentifizierung in Skype for Business Server