Administrar la autenticación en dos fases en Skype Empresarial Server 2015Manage two-factor authentication in Skype for Business Server 2015

Resumen: Administrar la autenticación de dos factores en Skype para Business Server 2015.Summary: Manage two-factor authentication in Skype for Business Server 2015.

La autenticación en dos fases proporciona seguridad mejorada al exigir a los usuarios que proporcionen dos formas de autenticación o identificación, específicamente una combinación de nombre de usuario/contraseña y un token o certificado.Two-factor authentication provides improved security by requiring users to provide two forms of authentication or identification, namely a user name/password combination and a token or certificate. Esto es también conocida como "algo que tiene, algo que sabe."This is also known as "something you have, something you know."

Un ejemplo típico de autenticación en dos fases con un certificado es el uso de tarjetas inteligentes. Una tarjeta inteligente contiene un certificado asociado con la cuenta del usuario y se puede validar con información de certificado y usuario almacenada en un servidor. Al comparar la información del usuario (nombre de usuario y contraseña) con el certificado proporcionado, el servidor valida las credenciales y autentica al usuario.A typical example of two-factor authentication with a certificate is the use of smart cards. A smart card contains a certificate associated with the user account, and can be validated against user and certificate information stored on a server. By comparing the user information (user name and password) to the certificate provided, the server validates the credentials and authenticates the user.

Tenga en cuenta a los siguientes asuntos al configurar un Skype para entorno empresarial Server 2015 para admitir la autenticación en dos fases.Consider the following subjects when configuring a Skype for Business Server 2015 environment to support two-factor authentication.

Compatibilidad con clientesClient Support

Las actualizaciones acumulativas para Lync Server 2013: julio de 2013 el Skype para clientes empresariales y cliente de escritorio son los únicos clientes que admiten actualmente la autenticación en dos fases.The Cumulative Updates for Lync Server 2013: July 2013 desktop client and the Skype for Business client are the only clients that currently support two-factor authentication.

Requisitos de topologíaTopology Requirements

Los clientes se recomienda encarecidamente implementar la autenticación en dos fases mediante Skype dedicada para Business Server 2015 con borde, el Director y grupos de usuario.Customers are strongly encouraged to deploy two-factor authentication using dedicated Skype for Business Server 2015 with Edge, Director, and User Pools. Para habilitar la autenticación pasiva para los usuarios, se necesitan deshabilitar los demás métodos de autenticación para otros roles y servicios, incluidos los siguientes:To enable passive authentication for users, other authentication methods must be disabled for other roles and services, including the following:

Tipo de configuraciónConfiguration Type Tipo de servicioService Type Función de servidorServer Role Tipo de autenticación para deshabilitarAuthentication Type to Disable
Servicio webWeb Service
Servidor WebWebServer
DirectorDirector
Kerberos, NTLM y certificadoKerberos, NTLM, and Certificate
Servicio webWeb Service
Servidor WebWebServer
Front-endFront End
Kerberos, NTLM y certificadoKerberos, NTLM, and Certificate
ProxyProxy
EdgeServerEdgeServer
PerimetralEdge
Kerberos y NTLMKerberos and NTLM
ProxyProxy
RegistradorRegistrar
Front-endFront End
Kerberos y NTLMKerberos and NTLM

A menos que estos tipos de autenticación se deshabiliten en el nivel de servicio, ninguna de las demás versiones del cliente podrá iniciar sesión correctamente una vez que la autenticación en dos fases esté habilitada dentro de la implementación.Unless these authentication types are disabled at the service level, all other versions of the client will be unable to sign in successfully once two-factor authentication is enabled within in your deployment.

Detección de servicios de Skype EmpresarialSkype for Business Service Discovery

Los registros DNS utilizados por los clientes internos o externos para detectar Skype para servicios de negocios deben configurarse para resolver a un Skype para Business server que no está habilitado para la autenticación en dos fases.DNS records used by internal and/or external clients to discover Skype for Business services should be configured to resolve to a Skype for Business server that is not enabled for two-factor authentication. Con esta configuración, no se pedirá a los usuarios de Skype para grupos de negocio que no están habilitados para la autenticación en dos fases para escribir un PIN para autenticar, mientras que los usuarios de Skype para grupos de negocio que están habilitados para la autenticación en dos fases necesario para escribir su PIN para autenticar.With this configuration, users from Skype for Business Pools that are not enabled for two-factor authentication will not be required to enter a PIN to authenticate, while users from Skype for Business Pools that are enabled for two-factor authentication will be required to enter their PIN to authenticate.

Autenticación de ExchangeExchange Authentication

Los clientes que han implementado la autenticación en dos fases para Microsoft Exchange es posible que encuentre que ciertas características en el cliente no están disponibles.Customers who have deployed two-factor authentication for Microsoft Exchange may find that certain features in the client are unavailable. Esto es actualmente por diseño, tal como la Skype para clientes empresariales no es compatible con la autenticación en dos fases para las características que dependen de la integración de Exchange.This is currently by design, as the Skype for Business client does not support two-factor authentication for features that are dependent on Exchange integration.

ContactosContacts

Skype para los usuarios de negocio que están configurados para aprovechar la característica de almacén de contactos unificados encontrará que sus contactos ya no están disponibles después de iniciar sesión con autenticación de dos factores.Skype for Business users who are configured to leverage the Unified Contact Store feature will find that their contacts are no longer available after signing in with two-factor authentication.

Debe usar el cmdlet Invoke-CsUcsRollback para quitar los contactos existentes de usuario desde el almacén de contactos unificados y almacenar en Skype para Business Server 2015 antes de habilitar la autenticación en dos fases.You should use the Invoke-CsUcsRollback cmdlet to remove existing user contacts from the Unified Contact Store and store them in Skype for Business Server 2015 before enabling two-factor authentication.

Los clientes que han configurado la característica de búsqueda de aptitudes en su Skype para el entorno de negocios encontrarán que esta característica no funciona cuando Skype para la empresa está habilitado para la autenticación en dos fases.Customers who have configured the Skill Search feature in their Skype for Business environment will find that this feature does not work when Skype for Business is enabled for two-factor authentication. Esto sucede por diseño, ya que Microsoft SharePoint no admite actualmente la autenticación en dos fases.This is by design, as Microsoft SharePoint does not currently support two-factor authentication.

CredencialesCredentials

Hay una serie de consideraciones de implementación que implican guardada Skype para las credenciales de negocio que pueden afectar a los usuarios que están configurados para usar la autenticación en dos fases.There are a number of deployment considerations involving saved Skype for Business credentials which may impact users who are configured to use two-factor authentication.

Eliminación de credenciales guardadasDeleting Saved Credentials

Los usuarios deben usar la opción Eliminar mi información de inicio de sesión en el Skype para clientes empresariales y eliminar su carpeta de perfil SIP de %localappdata%\Microsoft\Office\15.0\Skype para la empresa antes de intentar iniciar sesión por primera vez con dos fases autenticación.Users should use the Delete my sign-in info option in the Skype for Business client and delete their SIP profile folder from %localappdata%\Microsoft\Office\15.0\Skype for Business before attempting to sign for the first time using two-factor authentication.

DisableNTCredentialsDisableNTCredentials

Con el método de autenticación NTLM o Kerberos, las credenciales de Windows del usuario se usan automáticamente para la autenticación.With the Kerberos or NTLM authentication method, the user's Windows credentials are used automatically for authentication. En una típica Skype para la implementación empresarial Server 2015 que Kerberos o NTLM está habilitada para la autenticación, los usuarios no deben tener que escribir sus credenciales cada vez que inician sesión en.In a typical Skype for Business Server 2015 deployment where Kerberos and/or NTLM is enabled for authentication, users should not have to enter their credentials every time that they sign in.

Si se les solicitan de manera no intencionada las credenciales a los usuarios antes de que se les pida especificar su PIN, la clave del Registro DisableNTCredentials puede configurarse de manera no intencionada en los equipos cliente, posiblemente a través de la directiva de grupo.If users are unintentionally prompted for credentials before they are prompted to enter their PIN, the DisableNTCredentials registry key may be unintentionally configured on client computers, possibly through Group Policy.

Para evitar que el símbolo del sistema adicional para las credenciales, crear la entrada del registro siguiente en la estación de trabajo local o usar el Skype para la plantilla administrativa de negocio que se debe para aplicar a todos los usuarios para un determinado grupo de servidores con la directiva de grupo:To prevent the additional prompt for credentials, create the following registry entry on the local workstation or use the Skype for Business administrative template to apply to all users for a given pool using Group Policy:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync

REG_DWORD: DisableNTCredentials

Value: 0x0

SavePasswordSavePassword

Cuando un usuario inicia sesión en Skype para la empresa por primera vez, se pide al usuario que guarde su contraseña.When a user signs in to Skype for Business for the first time, the user is prompted to save his or her password. Si se selecciona, esta opción permite que el certificado del usuario cliente deben almacenarse en el almacén de certificados personal y credenciales de Windows del usuario se almacenen en el Administrador de credenciales del equipo local.If selected, this option allows the user's client certificate to be stored in the personal certificate store and the user's Windows credentials to be stored in the Credential Manager of the local computer.

La configuración del registro de SavePassword debe deshabilitarse cuando Skype para la empresa está configurado para admitir la autenticación en dos fases.The SavePassword registry setting should be disabled when Skype for Business is configured to support two-factor authentication. Para impedir que los usuarios guarden sus contraseñas, cambie la entrada del registro siguiente en la estación de trabajo local o usar el Skype para la plantilla administrativa de negocio que se debe para aplicar a todos los usuarios para un determinado grupo de servidores con la directiva de grupo:To prevent users from saving their passwords, change the following registry entry on the local workstation or use the Skype for Business administrative template to apply to all users for a given pool using Group Policy:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync

REG_DWORD: SavePassword

Value: 0x0

Reproducción de tokens de AD FS 2.0AD FS 2.0 Token Replay

AD FS 2.0 proporciona una característica que se conoce como detección de reproducción de tokens, con la cual varias solicitudes de tokens que usan el mismo token se pueden detectar y descartar. Cuando esta característica está habilitada, la detección de reproducción de tokens protege la integridad de las solicitudes de autenticación en el perfil pasivo de la federación WS y el perfil de SAML WebSSO asegurándose de que el mismo token nunca se use más de una vez.AD FS 2.0 provides a feature referred to as token replay detection, by which multiple token requests using the same token can be detected and then discarded. When this feature is enabled, token replay detection protects the integrity of authentication requests in both the WS-Federation passive profile and the SAML WebSSO profile by making sure that the same token is never used more than once.

Esta característica necesita habilitarse en situaciones donde la seguridad es extremadamente preocupante como cuando se usan quioscos.This feature should be enabled in situations where security is a very high concern such as when using kiosks. Para obtener más información acerca de la detección de reproducción de tokens, vea Procedimientos recomendados para proteger planeación e implementación de AD FS 2.0.For more information about token replay detection, see Best Practices for Secure Planning and Deployment of AD FS 2.0.

Acceso de usuarios externosExternal User Access

En estos temas no se trata la configuración de un Proxy de AD FS o el Proxy inverso para admitir Skype para la autenticación de dos factores de profesionales de redes externas.Configuring an ADFS Proxy or Reverse Proxy to support Skype for Business two-factor authentication from external networks is not covered in these topics.

Vea tambiénSee also

Configuración de autenticación de dos factores en Skype para Business Server 2015Configure two-factor authentication in Skype for Business Server 2015

Configuración de autenticación de dos factores en Skype para Business Server 2015Configure two-factor authentication in Skype for Business Server 2015