Configurar la autenticación en dos fases en Skype Empresarial Server 2015Configure two-factor authentication in Skype for Business Server 2015

Resumen: Configurar la autenticación de dos factores en Skype para Business Server 2015.Summary: Configure two-factor authentication in Skype for Business Server 2015.

En las siguientes secciones se describen los pasos necesarios para configurar la autenticación en dos fases para la implementación.The following sections describe the steps necessary to configure two-factor authentication for your deployment. Para obtener más información acerca de la autenticación de dos factores, consulte habilitación de Office 365 autenticación con varios factores para los administradores en línea - Post del usuario de cuadrícula.For more information about Two-factor authentication, see Enabling Office 365 multi-factor authentication for online administrators - Grid User Post.

Configurar una entidad de certificación raíz empresarial para admitir la autenticación de tarjeta inteligenteConfigure an Enterprise Root Certificate Authority to Support Smart Card Authentication

En los siguientes pasos, se describe cómo configurar una CA raíz empresarial para admitir la autenticación de tarjeta inteligente:The following steps describe how to configure an Enterprise Root CA to support Smart Card Authentication:

Para obtener información sobre cómo instalar una entidad emisora de certificados raíz de empresa, consulte instalar una entidad de certificación raíz de empresa.For information on how to install an Enterprise Root CA, see Install an Enterprise Root Certification Authority.

  1. Inicie sesión en el equipo de la CA empresarial usando una cuenta de administrador de dominio.Log in to the Enterprise CA computer using a Domain Admin account.

  2. Inicie el Administrador del sistema y compruebe que está instalado el rol Inscripción web de entidad de certificación.Launch System Manager, and verify that the Certificate Authority Web Enrollment role is installed.

  3. En el menú Herramientas administrativas, abra la consola de administración de Entidad de certificación.From the Administrative Tools menu, open the Certification Authority management console.

  4. En el panel de navegación, expanda Entidad de certificación.In the Navigation pane, expand Certification Authority.

  5. Haga clic con el botón derecho en Plantillas de certificado, elija Nueva y, luego, elija Plantilla de certificado que se va a emitir.Right click on Certificate Templates, select New, then select Certificate Template to Issue.

  6. Elija Enrollment Agent, Usuario de tarjeta inteligente e Inicio de sesión de Tarjeta inteligente.Select Enrollment Agent, Smartcard User, and Smartcard Logon.

  7. Haga clic en Aceptar.Click OK.

  8. Haga clic con el botón derecho en Plantillas de certificado.Right click on Certificate Templates.

  9. Elija Administrar.Select Manage.

  10. Abra las propiedades de la plantilla Usuario de tarjeta inteligente.Open the properties of the Smartcard User template.

  11. Haga clic en la pestaña Seguridad.Click on the Security tab.

  12. Cambie los permisos como se indica a continuación:Change the permissions as follows:

    • Agregue cuentas de usuario individuales de AD con los permisos Leer/Inscribir (permitir), oAdd individual user AD accounts with Read/Enroll (Allow) permissions, or

    • Agregue un grupo de seguridad que contenga los usuarios de tarjeta inteligente con permisos Leer/Inscribir (permitir), oAdd a security group containing smart card users with Read/Enroll (Allow) permissions, or

    • Agregue el grupo Usuarios del dominio con los permisos Leer/Inscribir (permitir)Add the Domain Users group with Read/Enroll (Allow) permissions

Configurar Windows 8 para las tarjetas inteligentes virtualesConfigure Windows 8 for Virtual Smart Cards

Un factor que se necesita considerar al implementar la autenticación en dos fases y la tecnología de tarjetas inteligentes es el costo de la implementación.One factor to consider when deploying two-factor authentication and smart card technology is the cost of implementation. Windows 8 ofrece una serie de nuevas capacidades de seguridad y una de las nuevas características más interesantes es la compatibilidad con tarjetas inteligentes virtuales.Windows 8 provides a number of new security capabilities, and one of the most interesting new features is support for virtual smart cards.

Para los equipos que vienen con el chip del Módulo de plataforma segura (TPM) que cumple la especificación versión 1.2, las organizaciones ahora pueden obtener beneficios del inicio de sesión con tarjeta inteligente sin hacer inversiones adicionales en hardware.For computers equipped with a Trusted Platform Module (TPM) chip that meets specification version 1.2, organizations can now get the benefits of smart card logon without making any additional investments in hardware. Para obtener más información, vea utilizar Virtual las tarjetas inteligentes con Windows 8.For more information, see Using Virtual Smart Cards with Windows 8.

Para configurar Windows 8 para las tarjetas inteligentes virtualesTo Configure Windows 8 for Virtual Smart Cards

  1. Iniciar sesión en el equipo Windows 8 utilizando las credenciales de un Skype para el usuario habilitado para negocios.Log in to the Windows 8 computer using the credentials of a Skype for Business-enabled user.

  2. En la pantalla de inicio de Windows 8, mueva el cursor a la esquina inferior derecha de la pantalla.At the Windows 8 Start screen, move your cursor to the bottom right corner of the screen.

  3. Seleccione la opción de búsqueda y busque forCommand símbolo del sistema.Select the Search option, and then search forCommand Prompt.

  4. Haga clic con el botón derecho en Símbolo del sistema y, luego, seleccione Ejecutar como administrador.Right click on Command Prompt, and then select Run as Administrator.

  5. Abra la consola de administración del Módulo de plataforma segura (TPM) ejecutando el siguiente comando:Open the Trusted Platform Module (TPM) Management console by running the following command:

    Tpm.msc
    
  6. Desde la consola de administración de TPM, compruebe que la versión de la especificación de TPM sea al menos 1.2From the TPM management console, verify that your TPM specification version is at least 1.2

    Nota

    Si recibe un diálogo que indique que no se encuentra un Módulo de plataforma segura (TPM) compatible, compruebe que el equipo tenga un módulo TPM compatible y que esté habilitado en el sistema BIOS.If you receive a dialog stating that a Compatible Trust Platform Module (TPM) cannot be found, verify that the computer has a compatible TPM module and that it is enabled in the system BIOS.

  7. Cierre la consola de administración de TPMClose the TPM management console

  8. Desde el símbolo del sistema, cree una tarjeta inteligente virtual por medio del siguiente comando:From the command prompt, create a new virtual smart card using the following command:

    TpmVscMgr create /name MyVSC /pin default /adminkey random /generate
    

    Nota

    Para proporcionar un valor PIN personalizado al crear la tarjeta inteligente virtual, use en su lugar la solicitud de PIN.To provide a custom PIN value when creating the virtual smart card, use /pin prompt instead.

  9. Desde el símbolo del sistema, abra la consola de administración del equipo ejecutando el siguiente comando:From the command prompt, open the Computer Management console by running the following command:

    CompMgmt.msc
    
  10. En la consola de administración del equipo, seleccione Administración de dispositivos.In the Computer Management console, select Device Management.

  11. Expanda Lectores de tarjetas inteligentes.Expand Smart card readers.

  12. Compruebe que el nuevo lector de tarjetas inteligentes virtuales se haya creado correctamente.Verify that the new virtual smart card reader has been created successfully.

Inscribir a usuarios en la autenticación de tarjeta inteligenteEnroll users for smart card authentication

En general, existen dos métodos para inscribir a los usuarios en la autenticación de tarjeta inteligente. El método más sencillo consiste en que los usuarios se inscriban directamente en la autenticación de tarjeta inteligente a través de la inscripción web; el más complejo consiste en usar un Enrollment Agent. Este tema se centra en la autoinscripción para usar certificados de tarjeta inteligente.There are generally two methods for enrolling users for smart card authentication. The easier method involves having users enroll directly for smart card authentication using web enrollment, while the more complex method involves using an enrollment agent. This topic focuses on self-enrollment for smartcard certificates.

Para obtener más información sobre la inscripción en nombre de usuarios como agente de inscripción, consulte inscripción de certificados en nombre de otros usuarios.For more information on enrolling on behalf of users as an enrollment agent, see Enroll for Certificates on Behalf of Other Users.

Para inscribir a usuarios en la autenticación de tarjeta inteligenteTo Enroll Users for Smart Card Authentication

  1. Inicie sesión en la estación de trabajo Windows 8 utilizando las credenciales de un Skype para el usuario habilitado para negocios.Log in to the Windows 8 workstation using the credentials of a Skype for Business-enabled user.

  2. Inicie Internet Explorer.Launch Internet Explorer.

  3. Vaya a la página de Inscripción Web de entidad emisora de certificado (por ejemplo, https://MyCA.contoso.com/certsrv).Browse to the Certificate Authority Web Enrollment page (e.g. https://MyCA.contoso.com/certsrv).

    Nota

    Si usa Internet Explorer 10, puede que tenga que ver este sitio web en modo de compatibilidad.If you are using Internet Explorer 10, you may need to view this website in Compatibility Mode.

  4. En la página principal, elija Solicitar un certificado.On the Welcome Page, select Request a certificate.

  5. Luego elija Solicitud avanzada.Next, select Advanced Request.

  6. Elija Crear y enviar una solicitud a esta CA.Select Create and submit a request to this CA.

  7. Seleccione Usuario de tarjeta inteligente en la sección Plantilla de certificado y complete la solicitud de certificado avanzada con los siguientes valores:Select Smartcard User under the Certificate Template section and complete the advanced certificate request with the following values:

    • En Opciones de clave, confirme la siguiente configuración:Key Options confirm he following settings:

      • Active el botón de radio Crear conjunto de claves nuevo.Select the Create new key set radio button

      • En CSP, seleccione Proveedor base de cifrado para tarjetas inteligentes de Microsoft.For CSP, select Microsoft Base Smart Card Crypto Provider

      • En Uso de la clave, seleccione Exchange (es la única opción disponible).For Key Usage, select Exchange (this is the only option available).

      • Tamaño de clave, introduzca 2048For Key Size, enter 2048

      • Confirme que está activado Nombre automático de contenedor de claves.Confirm that Automatic key container name is selected

      • Deje las demás casillas desactivadas.Leave the other boxes unchecked.

    • En Opciones adicionales, confirme los siguientes valores:Under Additional Options confirm the following values:

      • En Formato de la solicitud, seleccione CMC.For Request Format select CMC.

      • En Algoritmo hash, seleccione sha1.For Hash Algorithm select sha1.

      • Para el Nombre descriptivo enterSmardcard certificado.For Friendly Name enterSmardcard Certificate.

  8. Si utiliza un lector de tarjetas inteligentes físico, inserte la tarjeta inteligente en el dispositivo.If you are using a physical smartcard reader, insert the smart card into the device.

  9. Haga clic en Enviar para enviar la solicitud de certificado.Click Submit to submit the certificate request.

  10. Cuando se le pida, escriba el PIN que se usó para crear la tarjeta inteligente virtual.When prompted, enter the PIN that was used to create the virtual smart card.

    Nota

    El valor PIN de tarjeta inteligente virtual predeterminado es '12345678'.The default virtual smart card PIN value is '12345678'.

  11. Una vez emitido el certificado, haga clic en Instalar este certificado para completar el proceso de inscripción.Once the certificate has been issued, click Install this certificate to complete the enrollment process.

    Nota

    Si la solicitud de certificado produce el error "este explorador Web no admite la generación de las solicitudes de certificado", hay tres maneras posibles de resolver el problema:If your certificate request fails with the error "This Web browser does not support the generation of certificate requests," there are three possible ways to resolve the issue:

    a. Enable Compatibility View in Internet Explorer 
    b. Enable the Turn on Intranet settings option in Internet Explorer 
    c. Select the Reset all zones to default level setting under the Security tab in the Internet Explorer options menu.
    

Configurar los Servicios de federación de Active Directory (AD FS 2.0)Configure Active Directory Federation Services (AD FS 2.0)

En la siguiente sección se describe cómo configurar los servicios de federación de Active Directory (AD FS 2.0) para admitir autenticación multifactor.The following section describes how to configure Active Directory Federation Services (AD FS 2.0) to support multi-factor authentication. Para obtener información sobre cómo instalar AD FS 2.0, consulte AD FS 2.0 Step y cómo guías.For information on how to install AD FS 2.0, see AD FS 2.0 Step-by-Step and How To Guides.

Nota

Al instalar AD FS 2.0, no use Windows Server Manager para agregar el rol de los servicios de federación de Active Directory.When installing AD FS 2.0, do not use the Windows Server Manager to add the Active Directory Federation Services role. En su lugar, descargue e instale el paquete de Active Directory federación Services 2.0 RTW.Instead, download and install the Active Directory Federation Services 2.0 RTW package.

Para configurar AD FS para la autenticación en dos fasesTo configure AD FS for two-factor Authentication

  1. Inicie sesión en el equipo con AD FS 2.0 por medio de una cuenta de administrador de dominio.Log in to the AD FS 2.0 computer using a Domain Admin account.

  2. Inicie Windows PowerShell.Start Windows PowerShell.

  3. Desde la línea de comandos de Windows PowerShell, ejecute el siguiente comando:From the Windows PowerShell command-line, run the following command:

    add-pssnapin Microsoft.Adfs.PowerShell
    
  4. Establezca una asociación con cada uno de los servidores que estarán habilitados para la autenticación pasiva ejecutando el siguiente comando, sustituyendo el nombre del servidor específico para su implementación:Establish a partnership with each server that will be enabled for passive authentication by running the following command, replacing the server name specific to your deployment:

    Add-ADFSRelyingPartyTrust -Name SfBPool01-PassiveAuth -MetadataURL https://SfBpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml
    
  5. Desde el menú Herramientas administrativas, inicie la consola de administración de AD FS 2.0.From the Administrative Tools menu, launch the AD FS 2.0 Management console.

  6. Ampliar las relaciones de confianza > confía en el usuario de confianza.Expand Trust Relationships > Relying Party Trusts.

  7. Compruebe que se ha creado una nueva confianza para tu Skype para Business Server.Verify that a new trust has been created for your Skype for Business Server.

  8. Cree y asigne una regla de autorización de emisión para la relación de confianza para usuario autenticado por medio de Windows PowerShell ejecutando los siguientes comandos:Create and assign an Issuance Authorization Rule for your relying party trust using Windows PowerShell by running the following commands:

    $IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth 
    -IssuanceAuthorizationRules $IssuanceAuthorizationRules
    
  9. Cree y asigne una regla de transformación de emisión para la relación de confianza para usuario autenticado por medio de Windows PowerShell ejecutando los siguientes comandos:Create and assign an Issuance Transform Rule for your relying party trust using Windows PowerShell by running the following commands:

    $IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules
    
  10. Desde la consola de administración de AD FS 2.0, haga clic con el botón secundario en la relación de confianza para el usuario autenticado y seleccione Editar reglas de notificaciones.From the AD FS 2.0 Management console, right click on your relying party trust and select Edit Claim Rules.

  11. Seleccione la pestaña Reglas de autorización de emisión y compruebe que la nueva regla de autorización se haya creado correctamente.Select the Issuance Authorization Rules tab and verify that the new authorization rule was created successfully.

  12. Seleccione la pestaña Reglas de transformación de emisión y compruebe que la nueva regla de transformación se haya creado correctamente.Select the Issuance Transform Rules tab and verify that the new transform rule was created successfully.

Configurar AD FS 2.0 para que sea compatible con la autenticación de clientesConfiguring AD FS 2.0 to support client authentication

Hay dos tipos de autenticación posibles que se pueden configurar para permitir que AD FS 2.0 admita autenticación con tarjetas inteligentes:There are two possible authentication types that can be configured to allow AD FS 2.0 to support authentication using smart cards:

  • Autenticación basada en formularios (FBA)Forms-based authentication (FBA)

  • Autenticación de cliente de seguridad de capa de transporteTransport Layer Security Client Authentication

Al usar la autenticación basada en formularios, puede desarrollar una página web que permita a los usuarios autenticarse ya sea por medio de su nombre de usuario/contraseña o por medio de su tarjeta inteligente y PIN.Using forms-based authentication, you can develop a web page that allows users to authenticate either by using their username/password or by using their smart card and PIN. Este tema se enfoca en cómo implementar la autenticación de cliente de seguridad de capa de transporte con AD FS 2.0.This topic focuses on how to implement Transport Layer Security Client Authentication with AD FS 2.0. Para obtener más información acerca de los tipos de autenticación 2.0 de AD FS, consulte AD FS 2.0: cómo cambiar el tipo de autenticación Local.For more information about AD FS 2.0 authentication types, see AD FS 2.0: How to Change the Local Authentication Type.

Para configurar AD FS 2.0 para admitir la autenticación de clienteTo Configure AD FS 2.0 to Support Client Authentication

  1. Inicie sesión en el equipo con AD FS 2.0 por medio de una cuenta de administrador de dominio.Log in to the AD FS 2.0 computer using a Domain Admin account.

  2. Inicie Windows Explorer.Launch Windows Explorer.

  3. Vaya a C:\inetpub\adfs\ls.Browse to C:\inetpub\adfs\ls

  4. Haga una copia de seguridad del archivo web.config existente.Make a backup copy of the existing web.config file.

  5. Abra el archivo web.config existente con el Bloc de notas.Open the existing web.config file using Notepad.

  6. Desde la barra de menús, seleccione Editar y, luego, seleccione Buscar.From the Menu bar, select Edit and then select Find.

  7. Buscar <localAuthenticationTypes>.Search for <localAuthenticationTypes>.

    Tenga en cuenta que hay cuatro tipos de autenticación enumerados, uno por línea.Note that there are four authentication types listed, one per line.

  8. Mueva la línea que contiene el tipo de autenticación TLSClient hacia la parte superior de la lista en la sección.Move the line containing the TLSClient authentication type to the top of the list in the section.

  9. Guarde y cierre el archivo web.config.Save and Close the web.config file.

  10. Inicie un símbolo del sistema con privilegios elevados.Launch a Command Prompt with elevated privileges.

  11. Reinicie IIS ejecutando el siguiente comando:Restart IIS by running the following command:

    IISReset /Restart /NoForce
    

Configurar la autenticación pasiva de Skype Empresarial ServerConfiguring Skype for Business Server passive authentication

En la siguiente sección se describe cómo configurar Skype para Business Server 2015 admitir la autenticación pasiva.The following section describes how to configure Skype for Business Server 2015 to support passive authentication. Una vez habilitado, los usuarios que están habilitados para autenticación de dos factores será necesarios utilizar una tarjeta inteligente física o virtual y un PIN válido para iniciar sesión utilizando el Skype para el cliente de Business.Once enabled, users who are enabled for two-factor authentication will be required to use a physical or virtual smart card and a valid PIN to sign in using the Skype for Business client.

Nota

Se recomienda encarecidamente a los clientes que habiliten la autenticación pasiva del registrador y los servicios web en el nivel de servicios. Si se habilita la autenticación pasiva del registrador y los servicios web en el nivel global, lo más probable es que se produzcan errores de autenticación en toda la organización cuando los usuarios no inicien sesión con el cliente de escritorio compatible.It is strongly recommended that customers enable passive authentication for Registrar and Web Services at the service level. If passive authentication is enabled for Registrar and Web Services at the global level, it will likely result in organization-wide authentication failures for users who are not signing in with the supported desktop client.

Configuración de servicios webWeb Service Configuration

En los siguientes pasos, se describe cómo crear una configuración de servicios web personalizada para los Directores, grupos de servidores Enterprise y servidores Standard Edition que estarán habilitados para la autenticación pasiva.The following steps describe how to create a custom web service configuration for Directors, Enterprise Pools, and Standard Edition servers that will be enabled for passive authentication.

Para crear una configuración de servicios web personalizadaTo create a custom web service configuration

  1. Inicie sesión en su Skype para servidor Front-End de Business Server 2015 utilizando un Skype para la cuenta de administrador de empresa.Log in to your Skype for Business Server 2015 Front End server using a Skype for Business administrator account.

  2. Iniciar el Skype para el Shell de administración de servidor empresarial.Launch the Skype for Business Server Management Shell.

  3. De Skype para Business Server Management Shell de línea de comandos, cree una nueva configuración de servicio Web para cada Director, grupo de servidores Enterprise y servidor Standard Edition que se habilitarán para la autenticación pasiva ejecutando el comando siguiente:From the Skype for Business Server Management Shell command-line, create a new Web Service configuration for each Director, Enterprise Pool, and Standard Edition server that will be enabled for passive authentication by running the following command:

    New-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    

    Precaución

    El valor del FQDN WsFedPassiveMetadataUri es el Nombre del servicio de federación de su servidor AD FS 2.0. El valor de Nombre del servicio de federación se puede consultar en la consola de administración de AD FS 2.0 al hacer clic en Servicio en el panel de navegación y, luego, elegir Editar propiedades del servicio de federación.The value for the WsFedPassiveMetadataUri FQDN is the Federation Service Name of your AD FS 2.0 server. The Federation Service Name value can be found in the AD FS 2.0 Management Console by right-clicking on Service from the navigation pane and then selecting Edit Federation Service Properties.

  4. Para comprobar que los valores de UseWsFedPassiveAuth y WsFedPassiveMetadataUri se configuraron correctamente, ejecute el siguiente comando:Verify that the UseWsFedPassiveAuth and WsFedPassiveMetadataUri values were set correctly by running the following command:

    Get-CsWebServiceConfiguration -identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri
    
  5. En los clientes, la autenticación pasiva es el método de autenticación menos preferido para la autenticación de WebTicket.For clients, Passive Authentication is the least preferred authentication method for webticket authentication. Para todos los directores, grupos de servidores Enterprise y servidores Standard Edition que se habilitarán para la autenticación pasiva, todos los demás tipos de autenticación deben estar deshabilitados en Skype para los servicios Web empresariales ejecutando el siguiente cmdlet:For all Directors, Enterprise Pools, and Standard Edition servers that will be enabled for passive authentication, all other authentication types must be disabled in Skype for Business Web Services by running the following cmdlet:

    Set-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE
    
  6. Para comprobar que se han deshabilitado correctamente todos los demás tipos de autenticación, ejecute el siguiente cmdlet:Verify that all other authentication types have been successfully disabled by running the following cmdlet:

    Get-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth
    

Configuración de proxyProxy Configuration

Cuando la autenticación de certificados está deshabilitada para Skype para servicios Web de negocios, el Skype para el cliente de Business utilizará un tipo menos preferido de autenticación, como Kerberos o NTLM, para autenticar el servicio de registro.When certificate authentication is disabled for Skype for Business Web Services, the Skype for Business client will use a less preferred authentication type, such as Kerberos or NTLM, to authenticate to the Registrar service. La autenticación de certificado se sigue necesitando para permitir al cliente que recupere un WebTicket, pero Kerberos y NTLM tienen que estar deshabilitados en el servicio registrador.Certificate authentication is still needed to allow the client to retrieve a webticket, however, Kerberos and NTLM must be disabled for the Registrar service.

En los siguientes pasos, se describe cómo crear una configuración de proxy personalizada para los grupos de servidores perimetrales, grupos de servidores Enterprise y servidores Standard Edition que estarán habilitados para la autenticación pasiva.The following steps describe how to create a custom proxy configuration for Edge Pools, Enterprise Pools, and Standard Edition servers that will be enabled for passive authentication.

Para crear una configuración de proxy personalizadaTo create a custom proxy configuration

  1. De Skype para Business Server Management Shell de línea de comandos, cree una nueva configuración de proxy para cada Skype para Business Server 2015 borde grupo, grupo de servidores Enterprise y Standard Edition server que se habilitarán para autentificación pasiva mediante la ejecución de la comandos siguientes:From the Skype for Business Server Management Shell command-line, create a new proxy configuration for each Skype for Business Server 2015 Edge Pool, Enterprise Pool, and Standard Edition server that will be enabled for passive authentication by running the following commands:

    New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
    New-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
  2. Para comprobar que se han deshabilitado correctamente todos los demás tipos de autenticación de proxy, ejecute el siguiente comando:Verify that all other proxy authentication types have been successfully disabled by running the following command:

    Get-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com"
    | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth
    

Vea tambiénSee also

Administrar la autenticación de dos factores en Skype para Business Server 2015Manage two-factor authentication in Skype for Business Server 2015

Utilice autenticación de dos factores con Skype para Business client y Skype para Business Server 2015Use two-factor authentication with Skype for Business client and Skype for Business Server 2015