Administrar la autenticación en dos fases en Skype Empresarial ServerManage two-factor authentication in Skype for Business Server

Resumen: Administrar la autenticación en dos fases en Skype Empresarial Server.Summary: Manage two-factor authentication in Skype for Business Server.

La autenticación en dos fases proporciona una seguridad mejorada al requerir que los usuarios proporcionen dos formas de autenticación o identificación, es decir, una combinación de nombre de usuario y contraseña y un token o certificado.Two-factor authentication provides improved security by requiring users to provide two forms of authentication or identification, namely a user name/password combination and a token or certificate. Esto también se conoce como "algo que tienes, algo que sabes".This is also known as "something you have, something you know."

Un ejemplo típico de autenticación en dos fases con un certificado es el uso de tarjetas inteligentes.A typical example of two-factor authentication with a certificate is the use of smart cards. Una tarjeta inteligente contiene un certificado asociado a la cuenta de usuario y se puede validar con la información de usuario y certificado almacenada en un servidor.A smart card contains a certificate associated with the user account, and can be validated against user and certificate information stored on a server. Al comparar la información de usuario (nombre de usuario y contraseña) con el certificado proporcionado, el servidor valida las credenciales y autentica al usuario.By comparing the user information (user name and password) to the certificate provided, the server validates the credentials and authenticates the user.

Tenga en cuenta los siguientes temas al configurar un entorno de Skype Empresarial Server para admitir la autenticación en dos fases.Consider the following subjects when configuring a Skype for Business Server environment to support two-factor authentication.

Compatibilidad con clientesClient Support

Las actualizaciones acumulativas para Lync Server 2013: el cliente de escritorio de julio de 2013 y el cliente de Skype Empresarial son los únicos clientes que admiten actualmente la autenticación en dos fases.The Cumulative Updates for Lync Server 2013: July 2013 desktop client and the Skype for Business client are the only clients that currently support two-factor authentication.

Requisitos de topologíaTopology Requirements

Se recomienda encarecidamente a los clientes implementar la autenticación en dos fases con Skype Empresarial Server dedicado con grupos de servidores perimetrales, directores y usuarios.Customers are strongly encouraged to deploy two-factor authentication using dedicated Skype for Business Server with Edge, Director, and User Pools. Para habilitar la autenticación pasiva para los usuarios, deben deshabilitarse otros métodos de autenticación para otros roles y servicios, incluidos los siguientes:To enable passive authentication for users, other authentication methods must be disabled for other roles and services, including the following:

Tipo de configuraciónConfiguration Type Tipo de servicioService Type Rol del servidorServer Role Tipo de autenticación que se deshabilitaráAuthentication Type to Disable
Servicio WebWeb Service
WebServerWebServer
DirectorDirector
Kerberos, NTLM y certificadoKerberos, NTLM, and Certificate
Servicio WebWeb Service
WebServerWebServer
Front-endFront End
Kerberos, NTLM y certificadoKerberos, NTLM, and Certificate
ProxyProxy
EdgeServerEdgeServer
Microsoft EdgeEdge
Kerberos y NTLMKerberos and NTLM
ProxyProxy
RegistradorRegistrar
Front-endFront End
Kerberos y NTLMKerberos and NTLM

A menos que estos tipos de autenticación estén deshabilitados en el nivel de servicio, todas las demás versiones del cliente no podrán iniciar sesión correctamente una vez habilitada la autenticación en dos fases en la implementación.Unless these authentication types are disabled at the service level, all other versions of the client will be unable to sign in successfully once two-factor authentication is enabled within in your deployment.

Detección de servicio de Skype EmpresarialSkype for Business Service Discovery

Los registros DNS usados por clientes internos o externos para detectar los servicios de Skype Empresarial deben configurarse para resolverse en un servidor de Skype Empresarial que no esté habilitado para la autenticación en dos fases.DNS records used by internal and/or external clients to discover Skype for Business services should be configured to resolve to a Skype for Business server that is not enabled for two-factor authentication. Con esta configuración, los usuarios de los grupos de Skype Empresarial que no estén habilitados para la autenticación en dos fases no tendrán que escribir un PIN para autenticarse, mientras que los usuarios de los grupos de Skype Empresarial habilitados para la autenticación en dos fases tendrán que escribir su PIN para autenticarse.With this configuration, users from Skype for Business Pools that are not enabled for two-factor authentication will not be required to enter a PIN to authenticate, while users from Skype for Business Pools that are enabled for two-factor authentication will be required to enter their PIN to authenticate.

Autenticación de ExchangeExchange Authentication

Los clientes que han implementado la autenticación en dos fases para Microsoft Exchange pueden encontrar que ciertas características del cliente no están disponibles.Customers who have deployed two-factor authentication for Microsoft Exchange may find that certain features in the client are unavailable. Esto es actualmente por diseño, ya que el cliente de Skype Empresarial no admite la autenticación en dos fases para las características que dependen de la integración de Exchange.This is currently by design, as the Skype for Business client does not support two-factor authentication for features that are dependent on Exchange integration.

ContactosContacts

Los usuarios de Skype Empresarial que estén configurados para aprovechar la característica Almacén de contactos unificados verán que sus contactos ya no están disponibles después de iniciar sesión con la autenticación en dos fases.Skype for Business users who are configured to leverage the Unified Contact Store feature will find that their contacts are no longer available after signing in with two-factor authentication.

Debe usar el cmdlet Invoke-CsUcsRollback para quitar contactos de usuario existentes del almacén de contactos unificados y almacenarlos en Skype Empresarial Server antes de habilitar la autenticación en dos fases.You should use the Invoke-CsUcsRollback cmdlet to remove existing user contacts from the Unified Contact Store and store them in Skype for Business Server before enabling two-factor authentication.

Los clientes que han configurado la característica de búsqueda de aptitudes en su entorno de Skype Empresarial verán que esta característica no funciona cuando Skype Empresarial está habilitado para la autenticación en dos fases.Customers who have configured the Skill Search feature in their Skype for Business environment will find that this feature does not work when Skype for Business is enabled for two-factor authentication. Esto es por diseño, ya que Microsoft SharePoint no admite actualmente la autenticación en dos fases.This is by design, as Microsoft SharePoint does not currently support two-factor authentication.

CredencialesCredentials

Hay una serie de consideraciones de implementación relacionadas con las credenciales guardadas de Skype Empresarial que pueden afectar a los usuarios que están configurados para usar la autenticación en dos fases.There are a number of deployment considerations involving saved Skype for Business credentials which may impact users who are configured to use two-factor authentication.

Eliminación de credenciales guardadasDeleting Saved Credentials

Los usuarios deben usar la opción Eliminar mi información de inicio de sesión en el cliente de Skype Empresarial y eliminar su carpeta de perfil SIP de %localappdata%\Microsoft\Office\15.0\Skype Empresarial antes de intentar iniciar sesión por primera vez mediante la autenticación en dos fases.Users should use the Delete my sign-in info option in the Skype for Business client and delete their SIP profile folder from %localappdata%\Microsoft\Office\15.0\Skype for Business before attempting to sign for the first time using two-factor authentication.

DisableNTCredentialsDisableNTCredentials

Con el método de autenticación Kerberos o NTLM, las credenciales de Windows del usuario se usan automáticamente para la autenticación.With the Kerberos or NTLM authentication method, the user's Windows credentials are used automatically for authentication. En una implementación típica de Skype Empresarial Server en la que Kerberos o NTLM están habilitados para la autenticación, los usuarios no deben tener que escribir sus credenciales cada vez que inician sesión.In a typical Skype for Business Server deployment where Kerberos and/or NTLM is enabled for authentication, users should not have to enter their credentials every time that they sign in.

Si se piden credenciales a los usuarios sin especificar antes de que se les pida que escriban su PIN, es posible que la clave del Registro DisableNTCredentials esté configurada de forma involuntarla en los equipos cliente, posiblemente a través de la directiva de grupo.If users are unintentionally prompted for credentials before they are prompted to enter their PIN, the DisableNTCredentials registry key may be unintentionally configured on client computers, possibly through Group Policy.

Para evitar la solicitud adicional de credenciales, cree la siguiente entrada del Registro en la estación de trabajo local o use la plantilla administrativa de Skype Empresarial para aplicar a todos los usuarios de un grupo determinado mediante la directiva de grupo:To prevent the additional prompt for credentials, create the following registry entry on the local workstation or use the Skype for Business administrative template to apply to all users for a given pool using Group Policy:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync

REG_DWORD: DisableNTCredentials

Value: 0x0

SavePasswordSavePassword

Cuando un usuario inicia sesión en Skype Empresarial por primera vez, se le pide que guarde su contraseña.When a user signs in to Skype for Business for the first time, the user is prompted to save his or her password. Si se selecciona, esta opción permite que el certificado de cliente del usuario se almacene en el almacén de certificados personales y que las credenciales de Windows del usuario se almacenen en el Administrador de credenciales del equipo local.If selected, this option allows the user's client certificate to be stored in the personal certificate store and the user's Windows credentials to be stored in the Credential Manager of the local computer.

La configuración del Registro SavePassword debe deshabilitarse cuando Skype Empresarial está configurado para admitir la autenticación en dos fases.The SavePassword registry setting should be disabled when Skype for Business is configured to support two-factor authentication. Para evitar que los usuarios guarden sus contraseñas, cambie la siguiente entrada del Registro en la estación de trabajo local o use la plantilla administrativa de Skype Empresarial para aplicar a todos los usuarios de un grupo determinado mediante la directiva de grupo:To prevent users from saving their passwords, change the following registry entry on the local workstation or use the Skype for Business administrative template to apply to all users for a given pool using Group Policy:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync

REG_DWORD: SavePassword

Value: 0x0

Reproducción de tokens de AD FS 2.0AD FS 2.0 Token Replay

AD FS 2.0 proporciona una característica denominada detección de reproducción de tokens, mediante la cual se pueden detectar y descartar varias solicitudes de token que usan el mismo token.AD FS 2.0 provides a feature referred to as token replay detection, by which multiple token requests using the same token can be detected and then discarded. Cuando esta característica está habilitada, la detección de reproducción de tokens protege la integridad de las solicitudes de autenticación tanto en el perfil pasivo de WS-Federation como en el perfil webSSO de SAML al asegurarse de que el mismo token nunca se usa más de una vez.When this feature is enabled, token replay detection protects the integrity of authentication requests in both the WS-Federation passive profile and the SAML WebSSO profile by making sure that the same token is never used more than once.

Esta característica debe habilitarse en situaciones en las que la seguridad es una preocupación muy alta, como cuando se usan quioscos.This feature should be enabled in situations where security is a very high concern such as when using kiosks. Para obtener más información acerca de la detección de reproducción de tokens, vea Procedimientos recomendados para la planeación e implementación seguras de AD FS 2.0.For more information about token replay detection, see Best Practices for Secure Planning and Deployment of AD FS 2.0.

Acceso de usuarios externosExternal User Access

La configuración de un proxy ADFS o proxy inverso para admitir la autenticación en dos fases de Skype Empresarial desde redes externas no se trata en estos temas.Configuring an ADFS Proxy or Reverse Proxy to support Skype for Business two-factor authentication from external networks is not covered in these topics.

Vea tambiénSee also

Configurar la autenticación en dos fases en Skype Empresarial ServerConfigure two-factor authentication in Skype for Business Server