Informazioni sull'impostazione AllowAdalForNonLyncIndependentOfLync in Skype for Business, Lync 2013 e Exchange Online
Introduzione
In questo articolo sono contenute informazioni sull'impostazione AllowAdalForNonLyncIndependentOfLync in Skype for Business 2016, Skype for Business 2015, Lync 2013 e Exchange Online. Questo articolo descrive anche quali Exchange Online e Skype for Business richiedono questa impostazione.
Ulteriori informazioni
Le informazioni contenute in questo articolo aiutano gli amministratori IT e Office 365 nei seguenti scenari:
- Configurazione degli utenti di Lync 2013 e Skype for Business in locale Skype for Business Server 2015 o Lync Server 2013.
- Configurare le cassette postali in Exchange Online in Office 365 utilizzando l'autenticazione moderna e l'autenticazione a più fattori (MFA) con OAuth.
In questi scenari, le funzionalità disponibili nell'ambiente precedente sono le seguenti:
- I client Skype for Business Desktop e Lync 2013 si connettono a Skype for Business Server utilizzando NTLM o il protocollo di autenticazione Kerberos, un nome utente e una password o Windows autenticazione integrata.
- Dopo l'accesso, Skype for Business o Lync 2013 si connette alla cassetta postale dell'utente in Exchange Online utilizzando Exchange Web Services (EWS). Anche se il servizio EWS annuncia le impostazioni OAuth (l'URI di autorizzazione), il client lo ignora ed effettua il rollback a un accesso non MFA tramite un canale OrgID. Ciò limita i protocolli di accesso a un nome utente e una password o a Windows'autenticazione integrata.
La nuova impostazione AllowAdalForNonLyncIndependentOfLync consente ai client Skype for Business Desktop o Lync 2013 di sbloccare la MFA in Exchange Online in situazioni in cui l'amministratore IT deve applicare la MFA Exchange Online. È possibile applicare questa nuova impostazione utilizzando Criteri di gruppo nel Registro di sistema di Windows o come impostazione dei criteri degli endpoint in banda nel server Skype for Business locale.
Dopo aver applicato questa impostazione al computer client, la funzionalità dell'ambiente è la seguente:
- I Skype for Business Desktop o Lync 2013 si connettono a Skype for Business Server utilizzando NTLM o il protocollo di autenticazione Kerberos. In particolare, un nome utente e una password Windows'autenticazione integrata saranno necessari per una connessione riuscita (come in precedenza).
- Dopo l'accesso, Skype for Business o Lync 2013 si connette a Exchange Web Services (EWS). Se il servizio EWS annuncia le impostazioni OAuth (URI di autorizzazione), il client usa la MFA. Inoltre, se è necessario un aggiornamento delle credenziali, all'utente verrà richiesto tramite la finestra di dialogo Autenticazione moderna.
Nota
Questa impostazione non è necessaria per le topologie solo cloud o se Exchange e Skype for Business sono entrambi configurati per un ambiente ibrido con l'autenticazione moderna abilitata. Per informazioni dettagliate sulle topologie, vedere Skype for Business topologie supportate con l'autenticazione moderna.
In alcuni casi (in particolare, topologie Misto 1, Misto 3 e Misto 5, come descritto nelle topologie di Skype for Business supportate con l'autenticazione moderna), è necessario impostare correttamente la chiave del Registro di sistema AllowADALForNonLynIndependentOfLync per i client desktop Windows.
Importante
Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare seri problemi. Prima di apportare le modifiche, eseguire il backup del Registro di sistema per il ripristino nel caso si verifichino dei problemi.
Avviso
L'errata modifica del Registro di sistema tramite l'editor o un altro metodo può causare seri problemi. che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la soluzione di tali problemi. La modifica del Registro di sistema è a rischio e pericolo dell'utente.
Utilizzare uno dei metodi seguenti per applicare l'impostazione AllowAdalForNonLyncIndependentOfLync .
Metodo 1: utilizzare Criteri di gruppo
Nota
L'opzione per abilitare questa impostazione tramite Criteri di gruppo è disponibile solo dopo aver applicato l'aggiornamento pubblico di luglio 2015.
Per Skype for Business o Lync 2013 client 15.0* (disponibile solo dalla versione di aggiornamento di settembre 2015):
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync
Per Skype for Business client Lync 2013 16.0*:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync
Applicare quindi l'impostazione della chiave del Registro di sistema AllowAdalForNonLyncIndependentOfLync :
"AllowAdalForNonLyncIndependentOfLync"=dword:00000001
Metodo 2: Come impostazione in banda nel server Lync
Nota
Questa opzione è disponibile solo fino al mese di settembre.
Per abilitare l'impostazione in banda nel server Lync, eseguire il cmdlet seguente:
$a = New-CsClientPolicyEntry -name AllowAdalForNonLyncIndependentOfLync -value "True"
Set-CsClientPolicy -Identity Global -PolicyEntry @{Add=$a}
Importante
Per abilitare l'autenticazione moderna Office 2013 in un dispositivo Windows basato su Windows, è necessario impostare la chiave del Registro di sistema aggiuntiva seguente.
| Chiave del Registro di sistema | Tipo | Valore |
|---|---|---|
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL |
REG_DWORD | 1 |
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version |
REG_DWORD | 1 |
Per ulteriori informazioni sull'impostazione EnableADAL, visitare il seguente sito Web Microsoft:
Abilitare l'autenticazione moderna per Office 2013 nei dispositivi Windows
Per ulteriori informazioni sulla versione client Skype for Business Desktop per il flusso di autenticazione moderna (aggiornamento di luglio), vedere il seguente articolo della Knowledge Base:
3054946 14 luglio 2015, aggiornamento per Lync 2013 (Skype for Business) (KB3054946)
2^31 (2 miliardi di termini)
- Il metodo 2 è disponibile per i clienti che hanno l'aggiornamento di Lync 2013 (Skype for Business) pubblicato a settembre 2015 o dopo.
- Lo stesso aggiornamento di settembre (o versione successiva) include più correzioni correlate all'autenticazione moderna. I clienti devono pianificare l'aggiornamento dopo la pubblicazione.
Ulteriore assistenza Visitare la community Microsoft.