Topologías de Skype Empresarial compatibles con la autenticación modernaSkype for Business topologies supported with Modern Authentication

En este artículo se indican las topologías en línea y locales que son compatibles con la autenticación moderna de Skype Empresarial, así como las características de seguridad que se aplican a cada topología.This article lists what online and on-premises topologies are supported with Modern Authentication in Skype for Business, as well as security features that apply to each topology.

Autenticación moderna en Skype EmpresarialModern Authentication in Skype for Business

Skype Empresarial puede aprovechar las ventajas en seguridad que proporciona la autenticación moderna. Como Skype Empresarial colabora estrechamente con Exchange, el comportamiento de inicio de sesión que verán los usuarios de los clientes de Skype Empresarial también reflejará el estado de MA de Exchange. Lo mismo sucederá si tiene un híbrido de dominio dividido de Skype Empresarial. Esto supone una gran cantidad de piezas que se pueden cambiar, pero el objetivo es crear una lista de las topologías compatibles que sea muy fácil de visualizar.Skype for Business can leverage security advantages of Modern Authentication. Because Skype for Business works closely with Exchange, the login behaviour Skype for Business client users will see will also be effected by the MA status of Exchange. This will also apply if you have a Skype for Business split-domain hybrid. That's a lot of moving parts, but the aim here is an easy to visualize list of supported topologies.

Para Skype Empresarial, Skype Empresarial Online, Exchange Server y Exchange Online, ¿qué topologías serán compatibles con MA?Given Skype for Business, Skype for Business online, Exchange Server, and Exchange online, what topologies are supported with MA?

Topologías compatibles con MA en Skype EmpresarialSupported MA topologies in Skype for Business

Hay potencialmente dos aplicaciones de servidor y dos cargas de trabajo de Office 365 que emplean las topologías de Skype Empresarial utilizadas por MA.There are potentially two server applications, and two Office 365 workloads, involved with Skype for Business topologies used by MA.

  • Skype Empresarial Server 2015 (actualización acumulativa 5) localSkype for Business server 2015 (CU 5) on-premises

  • Skype Empresarial Online (SFBO)Skype for Business online (SFBO)

  • Exchange Server localExchange server on-premises

  • Exchange Server Online (EXO)Exchange server online (EXO)

Otra parte importante de MA es saber dónde tendrá lugar la autenticación (authN) y la autorización (authZ) de los usuarios. Las dos opciones son:Another important part of MA is knowing where the authentication (authN) and authorization (authZ) of users will take place. The two options are:

  • Azure AD, en línea en la nube de MicrosoftAzure AD, online in the Microsoft Cloud

  • Servidor de federación de Active Directory (ADFS) localActive Directory Federation Server (ADFS) on-premises

De modo que este es el aspecto general, con EXO y SFBO en la nube con Azure AD, y Exchange Server (EXCH) y Skype Empresarial Server 2015 (SFB) en local.So it looks a bit like this, with EXO and SFBO in the Cloud with Azure AD, and Exchange Server (EXCH) and Skype for Business server 2015 (SFB) on-prem.

Un ejemplo de todas las aplicaciones (Exchange y Skype Empresarial) y las cargas de trabajo (EXO y SFBO), así como de los servidores de autorización (ADFS y evoSTS) que puedan estar involucrados cuando se activa MA.

Estas son las topologías compatibles. Tenga en cuenta estos puntos clave para interpretar los gráficos:Here are the supported topologies. Please note the key for the graphics:

  • Si el icono aparece atenuado o gris, no se utiliza en el escenario.If the icon is dimmed or grey, it is not used in the scenario.

  • EXO es Exchange Online.EXO is Exchange Online.

  • SFBO es Skype Empresarial Online.SFBO is Skype for Business Online.

  • EXCH es Exchange local.EXCH is Exchange on-premises.

  • SFB es Skype Empresarial local.SFB is Skype for Business on-premises.

  • Los triángulos representan los servidores de autorización, de manera que, por ejemplo, Azure AD es un triángulo con una nube detrás.Authorizing servers are represented by triangles, for example, the Azure AD is a triangle with a cloud behind it.

  • Las flechas apuntan al servidor de autorización que se utilizará cuando los clientes intenten llegar al recurso de servidor especificado.Arrows point at the authorizing server that will be used when clients try to reach the specified server resource.

En primer lugar, vamos a cubrir MA con Skype Empresarial en las topologías de solo local o solo nube.First, let's cover MA with Skype for Business in both On-premises-only or Cloud-only topologies.

Importante

¿Está listo para configurar la autenticación modernos en Skype para los negocios en línea?Are you ready to set up Modern Authentication in Skype for Business Online? Los pasos para habilitar esta característica están justo aquí.The steps to enable this feature are right here.

Nombre de topologíaTopology name
EjemploExample
DescripciónDescription
CompatibleSupported
Solo nubeCloud only
SFB compatible con topología de MA, solo nube.Usuarios hospedados/buzones ubicados: en línea Users homed/mailboxes located: Online
MA está activado tanto para EXO como para SFBO.MA is on for both EXO and SFBO.
Por lo tanto, el servidor de autorización es Azure AD.Therefore, the authorization server is Azure AD.
Certificado de cliente en función de la autenticación multifactor (AMF), (CBA), autenticación de acceso condicional (CA) / Mobile Application Management (MAM) con Intune.Multi-factor authentication (MFA), Client-certificate based authentication (CBA), Conditional Access (CA)/Mobile Application Management (MAM) with Intune. *
Solo localOn-prem only
SFB compatible con topología de MA, solo local.Usuarios hospedados/buzones ubicados: en localUsers homed/mailboxes located: On-premises
MA está activado para SFB local.MA is on for SFB on-premises.
Por lo tanto, el servidor de autorización es ADFS.Therefore, the authorization server is ADFS.
Para obtener más detalles, vea en este artículo.For configuration details, please see this article.
MFA (escritorio de Windows solo: los clientes móviles no son compatibles). No hay ninguna característica de integración de Exchange.MFA (Windows Desktop only - mobile clients are not supported). No Exchange integration features.

Importante

Se recomienda que el estado de MA sea el mismo en Skype Empresarial y Exchange (y sus homólogos en línea) para reducir el número de mensajes.It's recommended that the MA state be the same across Skype for Business and Exchange (and their online counterparts) to reduce the number of prompts.

Las topologías mixtas implican combinaciones de híbridos de dominio dividido de SFB. Estas son las topologías mixtas que son compatibles en este momento:Mixed topologies involve combinations of SFB split-domain hybrids. These are the Mixed topologies currently supported:

Nombre de topologíaTopology name
EjemploExample
DescripciónDescription
CompatibleSupported
Mixta 1Mixed 1
SFB compatible con topología de MA, Mixto 1 (EXO + SFB).
Usuarios hospedados/buzones ubicados: EXO y SFBUsers homed/mailboxes located: EXO and SFB
MA no está habilitado para SFB; no hay ninguna característica de MA para SFB disponible en esta topología.MA is not enabled for SFB; no SFB MA features available in this topology.
No hay ninguna característica de MA para SFB.No MA features for SFB.
Mixta 2Mixed 2
MA compatible con la topología 2 mixta de S4B, SFBO más MA trabajando con EXCH local.
Usuarios hospedados/buzones ubicados: EXCH y SFBOUsers homed/mailboxes located: EXCH and SFBO
MA en sólo es para SFBO.MA is on for SFBO only. El servidor de autorización es AD Azure para usuarios alojados en SFBO, pero AD de EXCH local.The authorization server is Azure AD for users homed in SFBO, but AD for EXCH on-premises.
AMF, CBA, CA/MAM con Intune.*MFA, CBA, CA/MAM with Intune.*
Mixta 3Mixed 3
MA compatible con SFB, EXO con MA activado, además de EXCH y SFB local.
Usuarios hospedados/buzones ubicados: EXO + SFB o EXCH + SFBUsers homed/mailboxes located: EXO + SFB, or EXCH + SFB
No hay ninguna característica de MA para SFB disponible en esta topología.No SFB MA features available in this topology
No hay ninguna característica de MA para SFB.No MA features for SFB.
Mixta 4Mixed 4
MA compatible con SFB, SFBO con MA activado, además de EXCH y SFB.
Usuarios hospedados/buzones ubicados: EXCH +SFBO o EXCH + SFB Users homed/mailboxes located: EXCH +SFBO or EXCH + SFB
MA está activado para SFBO, por lo tanto, el servidor de autorización es AD Azure para usuarios alojados en SFBO.MA is on for SFBO, therefore the authorization server is Azure AD for users homed in SFBO. Los usuarios de prem SFB y EXO utilizar AD.On-prem users in SFB and EXO use AD.
AMF, CBA, CA/MAM con Intune en línea sólo para los usuarios.*MFA, CBA, CA/MAM with Intune for online users only.*
Mixta 5Mixed 5
MA compatible en SFB, EXO con MA y SFBO con MA, además de EXCH y SFB local.
Usuarios hospedados/buzones ubicados: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
MA está en EXO y SFBO, por lo tanto, que el servidor de autorización está AD Azure para usuarios alojados en SFBO; los usuarios de prem EXCH y SFB utilizar AD.MA is on in both EXO and SFBO, therefore the authorization server is Azure AD for users homed in SFBO; on-prem users in EXCH and SFB use AD.
AMF, CBA, CA/MAM con Intune en línea sólo para los usuarios.*MFA, CBA, CA/MAM with Intune for online users only.*
6 mixtoMixed 6
Eu una topología 6 mixta, la autenticación moderna está activada en las cuatro ubicaciones posibiles, que es la situación ideal en lo que se refiere a autenticación moderna.
Usuarios hospedados/buzones ubicados: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
MA está en todas partes, por lo tanto, el servidor de autorización es AD Azure para todos los usuarios.MA is on everywhere, therefore the authorization server is Azure AD for all users. (en línea y local)(online and on-premises)
Consulte https://aka.ms/ModernAuthOverview para los pasos de implementación.Please see https://aka.ms/ModernAuthOverview for deployment steps.
AMF, CBA y CA/MAM (mediante Intune) para todos los usuarios.MFA, CBA and CA/MAM (via Intune) for all users.

*-AMF incluye el escritorio de Windows, MAC, iOS, dispositivos Android y teléfonos de Windows; CBA incluye el escritorio de Windows, dispositivos iOS y Android; CA/MAM con Intune, incluye dispositivos iOS y Android.* - MFA includes Windows Desktop, MAC, iOS, Android devices, and Windows Phones; CBA includes Windows Desktop, iOS and Android devices; CA/MAM with Intune, includes Android and iOS devices.

Importante

Es muy importante tener en cuenta que los usuarios pueden ver varias peticiones en algunos casos, en particular en el estado de Massachusetts no es lo mismo en todos los recursos de servidor que los clientes puedan necesita y solicitar, como es el caso con todas las versiones de las topologías mixtas.It's very important to note that users may see multiple prompts in some cases, notably where the MA state is not the same across all the server resources that clients may need and request, as is the case with all versions of the Mixed topologies.

Importante

También tenga en cuenta que en algunos casos (mixto 1, 3 y 5, en concreto) debe establecerse una clave del registro AllowADALForNonLynIndependentOfLync para la configuración adecuada para clientes de escritorio de Windows.Also note that in some cases (Mixed 1, 3, and 5 specifically) an AllowADALForNonLynIndependentOfLync registry key must be set for proper configuration for Windows Desktop Clients.