先進認証でサポートされている Skype for Business トポロジSkype for Business topologies supported with Modern Authentication

この記事では、Skype for Business のモダン認証でサポートされるオンラインおよびオンプレミスのトポロジと、各トポロジに適用されるセキュリティ機能について説明します。This article lists what online and on-premises topologies are supported with Modern Authentication in Skype for Business, as well as security features that apply to each topology.

Skype for Business でのモダン認証Modern Authentication in Skype for Business

Skype for Business では、最新の認証のセキュリティ上の利点を活用できます。Skype for Business can leverage security advantages of Modern Authentication. Skype for Business は Exchange と密接に動作します。このため、Skype for Business クライアントユーザーに表示されるログイン動作は、Exchange のMA影響を受ける可能性があります。Because Skype for Business works closely with Exchange, the login behavior Skype for Business client users will see will also be affected by the MA status of Exchange. これは、Skype for Business の分割ドメイン ハイブリッドがある場合にも適用されます。This will also apply if you have a Skype for Business split-domain hybrid. これは多くの移動部分ですが、ここでの目的は、サポートされているトポロジの一覧を簡単に視覚化する方法です。That's a lot of moving parts, but the aim here is an easy to visualize list of supported topologies.

Skype for Business、Skype for Business Online、Exchange Server、および Exchange Online では、どのトポロジがサポートMA。Given Skype for Business, Skype for Business online, Exchange Server, and Exchange online, what topologies are supported with MA?

Skype for Business MAサポートされるトポロジSupported MA topologies in Skype for Business

2 つのサーバー アプリケーションと、2 つの Microsoft 365 または Office 365 ワークロードが、MA で使用される Skype for Business トポロジに関係する可能性があります。There are potentially two server applications, and two Microsoft 365 or Office 365 workloads, involved with Skype for Business topologies used by MA.

  • オンプレミスの Skype for Business サーバー (CU 5)Skype for Business server (CU 5) on-premises

  • Skype for Business Online (SFBO)Skype for Business online (SFBO)

  • オンプレミスの Exchange サーバーExchange server on-premises

  • Exchange サーバー オンライン (EXO)Exchange server online (EXO)

認証のもう 1 MA重要な部分は、ユーザーの認証 (authN) と承認 (authZ) がどこで実行されるのかを知ることです。Another important part of MA is knowing where the authentication (authN) and authorization (authZ) of users will take place. 次の 2 つのオプションがあります。The two options are:

  • Azure AD Microsoft Cloud のオンラインAzure AD, online in the Microsoft Cloud

  • Active Directory フェデレーション サーバー (ADFS) オンプレミスActive Directory Federation Server (ADFS) on-premises

Azure AD を使用したクラウドの EXO と SFBO、および Exchange Server (EXCH) と Skype for Business サーバー (SFB) をオンプレマに使用すると、少し次のように表示されます。So it looks a bit like this, with EXO and SFBO in the Cloud with Azure AD, and Exchange Server (EXCH) and Skype for Business server (SFB) on-prem.

MA をオンにするときに関係する可能性があるすべてのアプリケーション (Exchange と Skype for Business) とワークロード (EXO および SFBO)、および両方の認証サーバー (ADFS と evoSTS) の例。

サポートされているトポロジを次に示します。Here are the supported topologies. グラフィックスのキーに注意してください。Please note the key for the graphics:

  • アイコンが淡色または灰色の場合、シナリオでは使用されません。If the icon is dimmed or grey, it is not used in the scenario.

  • EXO は Exchange Online です。EXO is Exchange Online.

  • SFBO は Skype for Business Online です。SFBO is Skype for Business Online.

  • EXCH は Exchange オンプレミスです。EXCH is Exchange on-premises.

  • SFB は Skype for Business オンプレミスです。SFB is Skype for Business on-premises.

  • 承認サーバーは三角形で表されます。たとえば、Azure ADは、その背後にクラウドがある三角形です。Authorizing servers are represented by triangles, for example, the Azure AD is a triangle with a cloud behind it.

  • 矢印は、クライアントが指定されたサーバー リソースに到達しようとするときに使用される承認サーバーを指します。Arrows point at the authorizing server that will be used when clients try to reach the specified server resource.

最初に、オンプレミスMAまたはクラウド専用の両方のトポロジで Skype for Business を使用する方法について説明します。First, let's cover MA with Skype for Business in both On-premises-only or Cloud-only topologies.

重要

Skype for Business Online でモダン認証をセットアップする準備はできましたか?Are you ready to set up Modern Authentication in Skype for Business Online? この機能を有効にする手順は次 のとおりですThe steps to enable this feature are right here.

トポロジ名Topology name
Example
説明Description
サポートSupported
クラウドのみCloud only
サポートされている SFB (MA トポロジ、クラウドのみ)。ユーザーの自宅/メールボックスの場所: オンラインUsers homed/mailboxes located: Online
MA EXO と SFBO の両方でオンです。MA is on for both EXO and SFBO.
したがって、認証サーバーは Azure AD。Therefore, the authorization server is Azure AD.
多要素認証 (MFA)、クライアント証明書ベース認証 (CBA)、Intune による条件付きアクセス (CA)/モバイル アプリケーション管理 (MAM)。Multi-factor authentication (MFA), Client-certificate based authentication (CBA), Conditional Access (CA)/Mobile Application Management (MAM) with Intune. **
オンプレムのみOn-prem only
サポートされている SFB とMAトポロジ (オンプレミスのみ)。ユーザーの自宅/メールボックスの場所: オンプレミスUsers homed/mailboxes located: On-premises
MA SFB オンプレミスでオンです。MA is on for SFB on-premises.
したがって、認証サーバーは ADFS です。Therefore, the authorization server is ADFS.
構成の詳細については、この記事を 参照してください。For configuration details, please see this article.
MFA (Windows デスクトップのみ - モバイル クライアントはサポートされていません)。MFA (Windows Desktop only - mobile clients are not supported). Exchange 統合機能はありません。No Exchange integration features.

この方法はお勧めしません。こちらをご覧ください。https://aka.ms/ModernAuthOverviewWe do not recommend this approach. Please see here: https://aka.ms/ModernAuthOverview

重要

プロンプトの数を減MA、Skype for Business と Exchange (および対応するオンライン) の間で同じ状態に設定するようお勧めします。It's recommended that the MA state be the same across Skype for Business and Exchange (and their online counterparts) to reduce the number of prompts.

混在トポロジには、SFB 分割ドメイン ハイブリッドの組み合わせが含まれる。Mixed topologies involve combinations of SFB split-domain hybrids. 現在サポートされている混在トポロジは次のとおりです。These are the Mixed topologies currently supported:

トポロジ名Topology name
Example
説明Description
サポートSupported
混合 1Mixed 1
混合 1 (EXO + SFB) MAサポートされている SFB。
ユーザーの自宅/メールボックスの場所: EXO および SFBUsers homed/mailboxes located: EXO and SFB
MA SFB が有効になっていません。このトポロジでMA SFB の機能はありません。MA is not enabled for SFB; no SFB MA features available in this topology.
SFB MA機能はありません。No MA features for SFB.
混合 2Mixed 2
S4B MA 2、SFBO、および EXCH on-prem MAで動作する場合にサポートされます。
ユーザーの自宅/メールボックスの場所: EXCH および SFBOUsers homed/mailboxes located: EXCH and SFBO
MA SFBO でのみオンです。MA is on for SFBO only. 認証サーバーは SFBO ADユーザーの Azure 認証ですが、exCH ADには使用できません。The authorization server is Azure AD for users homed in SFBO, but AD for EXCH on-premises.
MFA、CBA、INTUNE を使用した CA/MAM。*MFA, CBA, CA/MAM with Intune.*
混合 3Mixed 3
SFB MA EXO、およびオンプレミスの EXCH MA SFB でサポートされます。
ユーザーの自宅/メールボックスの場所: EXO + SFB、または EXCH + SFBUsers homed/mailboxes located: EXO + SFB, or EXCH + SFB
このトポロジMA SFB の機能はありません。No SFB MA features available in this topology
SFB MA機能はありません。No MA features for SFB.
混合 4Mixed 4
SFB MA SFBO、および EXCH MA SFB でサポートされます。
ユーザーの自宅/メールボックス: EXCH +SFBO または EXCH + SFBUsers homed/mailboxes located: EXCH +SFBO or EXCH + SFB
MA SFBO に対して有効であるため、SFBO にADの Azure 認証サーバーです。MA is on for SFBO, therefore the authorization server is Azure AD for users homed in SFBO. SFB および EXO のオンプレマ ユーザーは、このAD。On-prem users in SFB and EXO use AD.
MFA、CBA、オンライン ユーザー向け Intune を使用した CA/MAM。*MFA, CBA, CA/MAM with Intune for online users only.*
混合 5Mixed 5
SFB MA EXO と MA および SFBO MA EXCH および SFB オンプレミスでサポートされます。
ユーザーの自宅/メールボックス: EXO + SFBO、EXO + SFB、EXCH + SFBO、または EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
MA EXO と SFBO の両方でオンであるため、認証サーバーは SFBO にADの Azure 認証サーバーです。EXCH および SFB のオンプレマ ユーザーは、このAD。MA is on in both EXO and SFBO, therefore the authorization server is Azure AD for users homed in SFBO; on-prem users in EXCH and SFB use AD.
MFA、CBA、オンライン ユーザー向け Intune を使用した CA/MAM。*MFA, CBA, CA/MAM with Intune for online users only.*
混合 6Mixed 6
Mixed 6 トポロジでは、モダン認証は 4 つの場所すべてで有効です。モダン認証に関しては理想的な方法です。
ユーザーの自宅/メールボックス: EXO + SFBO、EXO + SFB、EXCH + SFBO、または EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
MAすべての場所にあるため、認証サーバーは Azure ADすべてのユーザーに提供されます。MA is on everywhere, therefore the authorization server is Azure AD for all users. (オンラインとオンプレミス)(online and on-premises)
展開手順 https://aka.ms/ModernAuthOverview については、以下を参照してください。Please see https://aka.ms/ModernAuthOverview for deployment steps.
すべてのユーザーの MFA、CBA、CA/MAM (Intune 経由)。MFA, CBA and CA/MAM (via Intune) for all users.

* - MFA には、Windows デスクトップ、MAC、iOS、Android デバイス、Windows Phone が含まれます。CBA には、Windows デスクトップ、iOS、Android デバイスが含まれます。Intune を使用した CA/MAM には、Android デバイスと iOS デバイスが含まれます。* - MFA includes Windows Desktop, MAC, iOS, Android devices, and Windows Phones; CBA includes Windows Desktop, iOS and Android devices; CA/MAM with Intune, includes Android and iOS devices.

重要

すべてのバージョンの混在トポロジの場合のように、ユーザーに複数のプロンプトが表示される場合があります。特に、クライアントが必要と要求する可能性のあるすべてのサーバー リソースで MA の状態が同じではない場合があります。It's very important to note that users may see multiple prompts in some cases, notably where the MA state is not the same across all the server resources that clients may need and request, as is the case with all versions of the Mixed topologies.

重要

また、Windows デスクトップ クライアントの適切な構成のために AllowADALForNonLyncIndependentOfLync レジストリ キーを設定する必要がある場合もあります (1、3、および 5 が混在しています)。Also note that in some cases (Mixed 1, 3, and 5 specifically) an AllowADALForNonLyncIndependentOfLync registry key must be set for proper configuration for Windows Desktop Clients.