Topologías de Skype Empresarial compatibles con la autenticación modernaSkype for Business topologies supported with Modern Authentication

En este artículo se enumeran las topologías locales y en línea compatibles con la autenticación moderna en Skype Empresarial, así como las características de seguridad que se aplican a cada topología.This article lists what online and on-premises topologies are supported with Modern Authentication in Skype for Business, as well as security features that apply to each topology.

Autenticación moderna en Skype EmpresarialModern Authentication in Skype for Business

Skype Empresarial puede aprovechar las ventajas de seguridad de la autenticación moderna.Skype for Business can leverage security advantages of Modern Authentication. Dado que Skype Empresarial funciona estrechamente con Exchange, el comportamiento de inicio de sesión que verán los usuarios del cliente de Skype Empresarial también se verá afectado por el estado de MA de Exchange.Because Skype for Business works closely with Exchange, the login behavior Skype for Business client users will see will also be affected by the MA status of Exchange. Esto también se aplicará si tiene un dominio dividido híbrido de Skype Empresarial.This will also apply if you have a Skype for Business split-domain hybrid. Eso es una gran cantidad de elementos en movimiento, pero el objetivo aquí es una lista fácil de visualizar de topologías admitidas.That's a lot of moving parts, but the aim here is an easy to visualize list of supported topologies.

Given Skype for Business, Skype for Business online, Exchange Server, and Exchange online, what topologies are supported with MA?Given Skype for Business, Skype for Business online, Exchange Server, and Exchange online, what topologies are supported with MA?

Topologías ma admitidas en Skype EmpresarialSupported MA topologies in Skype for Business

Existen potencialmente dos aplicaciones de servidor y dos cargas de trabajo de Microsoft 365 u Office 365, implicadas en las topologías de Skype Empresarial usadas por MA.There are potentially two server applications, and two Microsoft 365 or Office 365 workloads, involved with Skype for Business topologies used by MA.

  • Skype Empresarial Server (CU 5) localSkype for Business server (CU 5) on-premises

  • Skype Empresarial Online (SFBO)Skype for Business online (SFBO)

  • Servidor de Exchange localExchange server on-premises

  • Exchange Server Online (EXO)Exchange server online (EXO)

Otra parte importante de MA es saber dónde se llevará a cabo la autenticación (authN) y la autorización (authZ) de los usuarios.Another important part of MA is knowing where the authentication (authN) and authorization (authZ) of users will take place. Las dos opciones son:The two options are:

  • Azure AD, en línea en la nube de MicrosoftAzure AD, online in the Microsoft Cloud

  • Servidor de federación de Active Directory (ADFS) localActive Directory Federation Server (ADFS) on-premises

Por lo tanto, tiene un aspecto un poco similar a este, con EXO y SFBO en la nube con Azure AD, y Exchange Server (EXCH) y Skype Empresarial Server (SFB) local.So it looks a bit like this, with EXO and SFBO in the Cloud with Azure AD, and Exchange Server (EXCH) and Skype for Business server (SFB) on-prem.

Un ejemplo de todas las aplicaciones (Exchange y Skype Empresarial) y cargas de trabajo (EXO y SFBO) y de los dos servidores de autorización (ADFS y evoSTS) que pueden estar implicados al activar MA.

Estas son las topologías admitidas.Here are the supported topologies. Ten en cuenta la clave de los gráficos:Please note the key for the graphics:

  • Si el icono está atenuado o gris, no se usa en el escenario.If the icon is dimmed or grey, it is not used in the scenario.

  • EXO es Exchange Online.EXO is Exchange Online.

  • SFBO es Skype Empresarial Online.SFBO is Skype for Business Online.

  • EXCH es Exchange local.EXCH is Exchange on-premises.

  • SFB es Skype Empresarial local.SFB is Skype for Business on-premises.

  • La autorización de servidores se representa mediante triángulos, por ejemplo, Azure AD es un triángulo con una nube detrás.Authorizing servers are represented by triangles, for example, the Azure AD is a triangle with a cloud behind it.

  • Las flechas apuntan al servidor de autorización que se usará cuando los clientes intenten alcanzar el recurso de servidor especificado.Arrows point at the authorizing server that will be used when clients try to reach the specified server resource.

En primer lugar, vamos a cubrir MA con Skype Empresarial en topologías solo locales o solo en la nube.First, let's cover MA with Skype for Business in both On-premises-only or Cloud-only topologies.

Importante

¿Está listo para configurar la autenticación moderna en Skype Empresarial Online?Are you ready to set up Modern Authentication in Skype for Business Online? Los pasos para habilitar esta característica están aquí.The steps to enable this feature are right here.

Nombre de la topologíaTopology name
EjemploExample
DescripciónDescription
CompatibleSupported
Solo nubeCloud only
SFB compatible con topología ma, solo nube.Usuarios ubicados o buzones ubicados: En líneaUsers homed/mailboxes located: Online
MA está en EXO y SFBO.MA is on for both EXO and SFBO.
Por lo tanto, el servidor de autorización es Azure AD.Therefore, the authorization server is Azure AD.
Autenticación multifactor (MFA), autenticación basada en certificados de cliente (CBA), acceso condicional (CA)/Administración de aplicaciones móviles (MAM) con Intune.Multi-factor authentication (MFA), Client-certificate based authentication (CBA), Conditional Access (CA)/Mobile Application Management (MAM) with Intune. **
Solo de forma preinsalOn-prem only
SFB compatible con topología ma, solo local.Usuarios ubicados/buzones ubicados: localUsers homed/mailboxes located: On-premises
MA está en SFB local.MA is on for SFB on-premises.
Por lo tanto, el servidor de autorización es ADFS.Therefore, the authorization server is ADFS.
Para obtener más información sobre la configuración, consulte este artículo.For configuration details, please see this article.
MFA (solo escritorio de Windows: no se admiten clientes móviles).MFA (Windows Desktop only - mobile clients are not supported). No hay características de integración de Exchange.No Exchange integration features.

No se recomienda este enfoque. Consulte aquí:https://aka.ms/ModernAuthOverviewWe do not recommend this approach. Please see here: https://aka.ms/ModernAuthOverview

Importante

Se recomienda que el estado de MA sea el mismo en Skype Empresarial y Exchange (y sus equivalentes en línea) para reducir el número de mensajes.It's recommended that the MA state be the same across Skype for Business and Exchange (and their online counterparts) to reduce the number of prompts.

Las topologías mixtas implican combinaciones de híbridos de dominio dividido de SFB.Mixed topologies involve combinations of SFB split-domain hybrids. Estas son las topologías mixtas admitidas actualmente:These are the Mixed topologies currently supported:

Nombre de la topologíaTopology name
EjemploExample
DescripciónDescription
CompatibleSupported
Mixto 1Mixed 1
SFB compatible con topología ma, mixta 1 (EXO + SFB).
Usuarios ubicados/buzones ubicados: EXO y SFBUsers homed/mailboxes located: EXO and SFB
MA no está habilitado para SFB; no hay características de SFB MA disponibles en esta topología.MA is not enabled for SFB; no SFB MA features available in this topology.
No hay características de MA para SFB.No MA features for SFB.
Mixto 2Mixed 2
MA compatible con la topología mixta S4B 2, SFBO más MA que trabaja con EXCH de forma predefinida.
Usuarios ubicados o buzones ubicados: EXCH y SFBOUsers homed/mailboxes located: EXCH and SFBO
MA solo está en SFBO.MA is on for SFBO only. El servidor de autorización es Azure AD para los usuarios que están en SFBO, pero AD para EXCH local.The authorization server is Azure AD for users homed in SFBO, but AD for EXCH on-premises.
MFA, CBA, CA/MAM con Intune.*MFA, CBA, CA/MAM with Intune.*
Mixto 3Mixed 3
MA compatible con SFB, EXO con MA en, además de EXCH y SFB local.
Usuarios ubicados/buzones ubicados: EXO + SFB o EXCH + SFBUsers homed/mailboxes located: EXO + SFB, or EXCH + SFB
No hay características de SFB MA disponibles en esta topologíaNo SFB MA features available in this topology
No hay características de MA para SFB.No MA features for SFB.
Mixto 4Mixed 4
MA compatible con SFB, SFBO con MA on, además de EXCH y SFB.
Usuarios ubicados/buzones ubicados: EXCH +SFBO o EXCH + SFBUsers homed/mailboxes located: EXCH +SFBO or EXCH + SFB
MA está en SFBO, por lo tanto, el servidor de autorización es Azure AD para los usuarios que están en SFBO.MA is on for SFBO, therefore the authorization server is Azure AD for users homed in SFBO. Los usuarios de forma interna en SFB y EXO usan AD.On-prem users in SFB and EXO use AD.
MFA, CBA, CA/MAM con Intune solo para usuarios en línea.*MFA, CBA, CA/MAM with Intune for online users only.*
Mixto 5Mixed 5
MA compatible en SFB, EXO con MA y SFBO con MA, y EXCH y SFB local.
Usuarios ubicados/buzones ubicados: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
MA está en EXO y SFBO, por lo tanto, el servidor de autorización es Azure AD para los usuarios que están en SFBO; Los usuarios de exch y SFB usan AD.MA is on in both EXO and SFBO, therefore the authorization server is Azure AD for users homed in SFBO; on-prem users in EXCH and SFB use AD.
MFA, CBA, CA/MAM con Intune solo para usuarios en línea.*MFA, CBA, CA/MAM with Intune for online users only.*
Mixto 6Mixed 6
En una topología mixta 6, la autenticación moderna está activa en las cuatro ubicaciones possibiles: la ubicación ideal cuando se trata de autenticación moderna.
Usuarios ubicados/buzones ubicados: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
MA está en todas partes, por lo tanto, el servidor de autorización es Azure AD para todos los usuarios.MA is on everywhere, therefore the authorization server is Azure AD for all users. (en línea y local)(online and on-premises)
Consulte los https://aka.ms/ModernAuthOverview pasos de implementación.Please see https://aka.ms/ModernAuthOverview for deployment steps.
MFA, CBA y CA/MAM (a través de Intune) para todos los usuarios.MFA, CBA and CA/MAM (via Intune) for all users.

* - MFA incluye escritorio de Windows, MAC, iOS, dispositivos Android y Windows Phone; CBA incluye dispositivos Windows Desktop, iOS y Android; CA/MAM con Intune, incluye dispositivos Android e iOS.* - MFA includes Windows Desktop, MAC, iOS, Android devices, and Windows Phones; CBA includes Windows Desktop, iOS and Android devices; CA/MAM with Intune, includes Android and iOS devices.

Importante

Es muy importante tener en cuenta que los usuarios pueden ver varias solicitudes en algunos casos, especialmente cuando el estado de MA no es el mismo en todos los recursos de servidor que los clientes pueden necesitar y solicitar, como es el caso de todas las versiones de las topologías mixtas.It's very important to note that users may see multiple prompts in some cases, notably where the MA state is not the same across all the server resources that clients may need and request, as is the case with all versions of the Mixed topologies.

Importante

Ten en cuenta también que en algunos casos (mixto 1, 3 y 5 específicamente) se debe establecer una clave del Registro AllowADALForNonLyncIndependentOfLync para una configuración adecuada para los clientes de escritorio de Windows.Also note that in some cases (Mixed 1, 3, and 5 specifically) an AllowADALForNonLyncIndependentOfLync registry key must be set for proper configuration for Windows Desktop Clients.