Topologie di Skype for Business supportate per l'autenticazione moderna

In questo articolo vengono elencate le topologie online e locali supportate con l'autenticazione moderna in Skype for Business, nonché le funzionalità di sicurezza applicabili a ogni topologia.

Autenticazione moderna in Skype for Business

Skype for Business possono sfruttare i vantaggi della sicurezza dell'autenticazione moderna. Poiché Skype for Business funziona a stretto contatto con Exchange, il comportamento di accesso Skype for Business gli utenti client saranno influenzati anche dallo stato dell'Exchange. Ciò si applica anche se si dispone di un ambiente ibrido Skype for Business dominio diviso. Si tratta di molte parti in movimento, ma l'obiettivo è visualizzare facilmente un elenco delle topologie supportate.

Date Skype for Business, Skype for Business online, Exchange Server e Exchange online, quali topologie sono supportate con Ma?

Topologie ma supportate in Skype for Business

Esistono potenzialmente due applicazioni server e due Microsoft 365 o Office 365 di lavoro, coinvolti Skype for Business topologie utilizzate da MA.

  • Skype for Business server locale (CU 5)

  • Skype for Business online (SFBO)

  • Exchange server locale

  • Exchange server online (EXO)

Un'altra parte importante di MA è sapere dove avrà luogo l'autenticazione (authN) e l'autorizzazione (authZ) degli utenti. Le due opzioni sono:

  • Azure AD, online in Microsoft Cloud

  • Active Directory Federation Server (ADFS) locale

L'aspetto è simile al seguente, con EXO e SFBO nel cloud con Azure AD e Exchange Server (EXCH) e Skype for Business server (SFB) in locale.

Un esempio di tutte le applicazioni (Exchange e Skype for Business) e i carichi di lavoro (EXO e SFBO) ed entrambi i server di autorizzazione (ADFS ed evoSTS) che possono essere coinvolti quando si attiva MA.

Ecco le topologie supportate. Tieni presente la chiave per la grafica:

  • Se l'icona è in grigio o in grigio, non viene utilizzata nello scenario.

  • EXO è Exchange Online.

  • SFBO è Skype for Business Online.

  • EXCH Exchange locale.

  • SFB Skype for Business locale.

  • I server di autorizzazione sono rappresentati da triangoli, ad esempio, Azure AD è un triangolo con una nuvola dietro di esso.

  • Le frecce puntano al server di autorizzazione che verrà utilizzato quando i client tentano di raggiungere la risorsa server specificata.

Prima di tutto, esamini ma con Skype for Business in topologie sia locali che solo cloud.

Importante

Sei pronto per configurare l'autenticazione moderna in Skype for Business Online? I passaggi per abilitare questa funzionalità sono qui.

Nome topologia
Esempio
Descrizione
Supportato
Solo cloud
SfB supportato con topologia MA, solo cloud.Utenti ospitati/cassette postali: online
MA è disponibile sia per EXO che per SFBO.
Di conseguenza, il server di autorizzazione è Azure AD.
Autenticazione a più fattori (MFA), Autenticazione basata su certificato client (CBA), Accesso condizionale (CA)/Gestione applicazioni mobili (MAM) con Intune. *
Solo in base all'utente
SfB supportato con topologia MA, solo locale.Utenti ospitati/cassette postali situati: locale
Ma è on per SFB locale.
Di conseguenza, il server di autorizzazione è ADFS.
Per informazioni dettagliate sulla configurazione, vedere questo articolo.
MFA (Windows solo desktop: i client mobili non sono supportati). Nessuna Exchange di integrazione.

Questo approccio non è consigliato. Vedere qui: https://aka.ms/ModernAuthOverview

Importante

Per ridurre il numero di richieste, è consigliabile che lo stato ma sia lo stesso Skype for Business e Exchange (e le rispettive controparti online).

Le topologie miste implicano combinazioni di ibridi con dominio diviso SFB. Di seguito sono descritte le topologie miste attualmente supportate:

Nome topologia
Esempio
Descrizione
Supportato
Misto 1
SfB supportato con topologia MA, misto 1 (EXO + SFB).
Utenti ospitati/cassette postali situati: EXO e SFB
Ma non è abilitato per SFB; nessuna funzionalità di GESTIONE SFB disponibile in questa topologia.
Nessuna funzionalità di gestione per SFB.
Misto 2
Ma supportato con topologia mista S4B 2, SFBO e MA che lavorano con EXCH in modalità prem.
Utenti ospitati/cassette postali situati: EXCH e SFBO
Ma è solo per SFBO. Il server di autorizzazione Azure AD per gli utenti ospitati in SFBO, ma AD per EXCH locale.
MFA, CBA, CA/MAM con Intune.*
Misto 3
Ma supportato con SFB, EXO con MA on, oltre a EXCH e SFB in locale.
Utenti ospitati/cassette postali situati: EXO + SFB o EXCH + SFB
Nessuna funzionalità di GESTIONE SFB disponibile in questa topologia
Nessuna funzionalità di gestione per SFB.
Misto 4
Ma supportato con SFB, SFBO con MA on, oltre a EXCH e SFB.
Utenti ospitati/cassette postali situati: EXCH +SFBO o EXCH + SFB
Ma è on per SFBO, quindi il server di autorizzazione è Azure AD per gli utenti ospitati in SFBO. Gli utenti locali in SFB ed EXO utilizzano AD.
MFA, CBA, CA/MAM con Intune solo per gli utenti online.*
Misto 5
Ma supportato in SFB, EXO con MA e SFBO con MA e EXCH e SFB in locale.
Utenti ospitati/cassette postali situati: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB
Ma è in esecuzione sia in EXO che in SFBO, pertanto il server di autorizzazione è Azure AD per gli utenti ospitati in SFBO; Gli utenti locali in EXCH e SFB usano AD.
MFA, CBA, CA/MAM con Intune solo per gli utenti online.*
Misto 6
In una topologia Mixed 6, l'autenticazione moderna è attivata in tutte e quattro le posizioni, la situtation ideale per quanto riguarda l'autenticazione moderna.
Utenti ospitati/cassette postali situati: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB
Ma è ovunque, quindi il server di autorizzazione è Azure AD per tutti gli utenti. (online e locale)
Vedere la https://aka.ms/ModernAuthOverview procedura di distribuzione.
MFA, CBA e CA/MAM (tramite Intune) per tutti gli utenti.

*- MFA include Windows desktop, MAC, iOS, dispositivi Android e Windows telefoni; CBA include Windows dispositivi Desktop, iOS e Android; CA/MAM con Intune, include dispositivi Android e iOS.

Importante

È molto importante notare che gli utenti possono visualizzare più richieste in alcuni casi, in particolare quando lo stato di Ma non è lo stesso per tutte le risorse del server che potrebbero essere necessarie e richieste dai client, come nel caso di tutte le versioni delle topologie miste.

Importante

Si noti inoltre che in alcuni casi (mixed 1, 3 e 5 in particolare) è necessario impostare una chiave del Registro di sistema AllowADALForNonLyncIndependentOfLync per la configurazione appropriata per i client desktop Windows.