Настройка двухфакторной проверки подлинности в Skype для бизнеса Server 2015Configure two-factor authentication in Skype for Business Server 2015

Сводка: Настройка двухфакторной проверки подлинности в Скайп для Business Server 2015.Summary: Configure two-factor authentication in Skype for Business Server 2015.

В следующих разделах приведена пошаговая процедура настройки двухфакторной проверки подлинности для развертывания.The following sections describe the steps necessary to configure two-factor authentication for your deployment. Дополнительные сведения о двухфакторной проверки подлинности можно многофакторная проверка подлинности Включение Office 365 для администраторов online - Post пользователя сетки.For more information about Two-factor authentication, see Enabling Office 365 multi-factor authentication for online administrators - Grid User Post.

Настройка корневого центра сертификации на предприятии для проверки подлинности с помощью смарт-картConfigure an Enterprise Root Certificate Authority to Support Smart Card Authentication

Ниже описан порядок действий по настройке корневого ЦС предприятия для проверки подлинности с помощью смарт-карт.The following steps describe how to configure an Enterprise Root CA to support Smart Card Authentication:

Сведения о том, как установить корневой Сертификат предприятия содержатся в разделе Установка корневой центр сертификации предприятия.For information on how to install an Enterprise Root CA, see Install an Enterprise Root Certification Authority.

  1. Войдите на компьютер ЦС предприятия с учетной записью администратора домена.Log in to the Enterprise CA computer using a Domain Admin account.

  2. Запустите приложение System Manager и убедитесь в том, что установлена роль регистрации сертификатов через Интернет.Launch System Manager, and verify that the Certificate Authority Web Enrollment role is installed.

  3. В меню Администрирование откройте консоль управления Центр сертификации.From the Administrative Tools menu, open the Certification Authority management console.

  4. В области навигации разверните элемент Центр сертификации.In the Navigation pane, expand Certification Authority.

  5. Щелкните правой кнопкой Шаблоны сертификатов и выберите Создать, затем Выдаваемый шаблон сертификата.Right click on Certificate Templates, select New, then select Certificate Template to Issue.

  6. Выберите Агент подачи заявок, Пользователь со смарт-картой и Вход со смарт-картой.Select Enrollment Agent, Smartcard User, and Smartcard Logon.

  7. Нажмите ОК.Click OK.

  8. Щелкните Шаблоны сертификатов правой кнопкой мыши.Right click on Certificate Templates.

  9. Выберите Управление.Select Manage.

  10. Откройте свойства шаблона пользователя смарт-карты.Open the properties of the Smartcard User template.

  11. Перейдите на вкладку Безопасность.Click on the Security tab.

  12. Задайте указанные ниже разрешения.Change the permissions as follows:

    • Добавьте учетные записи отдельных пользователей Active Directory с разрешениями на чтение и подачу заявок (разрешить).Add individual user AD accounts with Read/Enroll (Allow) permissions, or

    • Добавьте группу безопасности с пользователями смарт-карт, обладающую разрешениями на чтение и подачу заявок (разрешить).Add a security group containing smart card users with Read/Enroll (Allow) permissions, or

    • Добавьте группу пользователей домена с разрешениями на чтение и подачу заявок (разрешить).Add the Domain Users group with Read/Enroll (Allow) permissions

Настройка Windows 8 для виртуальных смарт-картConfigure Windows 8 for Virtual Smart Cards

Одним их факторов, которые следует учитывать при развертывании двухфакторной проверки подлинности и технологии смарт-карт, является его стоимость.One factor to consider when deploying two-factor authentication and smart card technology is the cost of implementation. Windows 8 предоставляет ряд новых функций безопасности и одним из наиболее интересных новых функций является поддержка виртуального смарт-карт.Windows 8 provides a number of new security capabilities, and one of the most interesting new features is support for virtual smart cards.

Если компьютеры оборудованы микросхемами доверенного платформенного модуля (TPM), соответствующими спецификации версии 1.2, организации могут пользоваться преимуществами регистрации по смарт-картам без дополнительных капиталовложений в оборудование.For computers equipped with a Trusted Platform Module (TPM) chip that meets specification version 1.2, organizations can now get the benefits of smart card logon without making any additional investments in hardware. Дополнительные сведения можно с помощью виртуальных смарт-карт с Windows 8.For more information, see Using Virtual Smart Cards with Windows 8.

Настройка конфигурации Windows 8 для виртуальных смарт-картTo Configure Windows 8 for Virtual Smart Cards

  1. Войдите компьютер Windows 8, используя учетные данные Скайп для пользователя с включенной поддержкой бизнеса.Log in to the Windows 8 computer using the credentials of a Skype for Business-enabled user.

  2. На начальном экране Windows 8 переместите курсор в нижний правый угол.At the Windows 8 Start screen, move your cursor to the bottom right corner of the screen.

  3. Выберите параметр поиска и затем выполните поиск forCommand строки.Select the Search option, and then search forCommand Prompt.

  4. Щелкните Командная строка правой кнопкой мыши, затем выберите Запуск от имени администратора.Right click on Command Prompt, and then select Run as Administrator.

  5. Откройте консоль управления TPM, выполнив следующую команду:Open the Trusted Platform Module (TPM) Management console by running the following command:

    Tpm.msc
    
  6. Убедитесь в том, что спецификация вашего TPM имеет версию 1.2 или выше.From the TPM management console, verify that your TPM specification version is at least 1.2

    Примечание

    При появлении диалогового окна с сообщением, что совместимый TPM не найден, убедитесь в том, что ваш компьютер имеет совместимый модуль TPM и что он включен в BIOS компьютера.If you receive a dialog stating that a Compatible Trust Platform Module (TPM) cannot be found, verify that the computer has a compatible TPM module and that it is enabled in the system BIOS.

  7. Закройте консоль управления TPMClose the TPM management console

  8. Создайте новую виртуальную смарт-карту, введя в командную строку следующую команду:From the command prompt, create a new virtual smart card using the following command:

    TpmVscMgr create /name MyVSC /pin default /adminkey random /generate
    

    Примечание

    Чтобы сообщить настраиваемое значение ПИН-кода, используйте ключ командной строки /pin.To provide a custom PIN value when creating the virtual smart card, use /pin prompt instead.

  9. Откройте консоль управления компьютером, введя в командную строку следующую команду:From the command prompt, open the Computer Management console by running the following command:

    CompMgmt.msc
    
  10. В консоли управления компьютером выберите Управление устройствами.In the Computer Management console, select Device Management.

  11. Разверните элемент Устройства чтения смарт-карт.Expand Smart card readers.

  12. Убедитесь в том, что создание нового устройства для чтения виртуальной смарт-карты успешно завершено.Verify that the new virtual smart card reader has been created successfully.

Регистрация пользователей для проверки подлинности по смарт-картеEnroll users for smart card authentication

Зарегистрировать пользователей для проверки подлинности с помощью смарт-карты можно двумя способами. Простой вариант — поручить пользователям самостоятельно зарегистрироваться с помощью функции регистрации через Интернет, в то время как сложный связан с использованием агента регистрации. В этом разделе рассматривается процедура самостоятельной регистрации для использования сертификатов смарт-карт.There are generally two methods for enrolling users for smart card authentication. The easier method involves having users enroll directly for smart card authentication using web enrollment, while the more complex method involves using an enrollment agent. This topic focuses on self-enrollment for smartcard certificates.

Дополнительные сведения о регистрации от имени пользователей и как агент регистрации видеть Заявка на сертификаты от имени других пользователей.For more information on enrolling on behalf of users as an enrollment agent, see Enroll for Certificates on Behalf of Other Users.

Порядок регистрации пользователей для проверки подлинности с помощью смарт-картыTo Enroll Users for Smart Card Authentication

  1. Выполните вход рабочая станция Windows 8, используя учетные данные Скайп для пользователя с включенной поддержкой Business.Log in to the Windows 8 workstation using the credentials of a Skype for Business-enabled user.

  2. Запустите браузер Internet Explorer.Launch Internet Explorer.

  3. Перейдите на страницу Сертификат центра сертификации подача заявок через Интернет (например https://MyCA.contoso.com/certsrv).Browse to the Certificate Authority Web Enrollment page (e.g. https://MyCA.contoso.com/certsrv).

    Примечание

    В браузере Internet Explorer 10 эту страницу, возможно, потребуется открыть в режиме совместимости.If you are using Internet Explorer 10, you may need to view this website in Compatibility Mode.

  4. На странице приветствия выберите Запросить сертификат.On the Welcome Page, select Request a certificate.

  5. Затем выберите Расширенный запрос.Next, select Advanced Request.

  6. Выберите Создать и выдать запрос к этому ЦС.Select Create and submit a request to this CA.

  7. В разделе Шаблон сертификата выберите Пользователь смарт-карты и введите в полях расширенного запроса сертификата следующие значения.Select Smartcard User under the Certificate Template section and complete the advanced certificate request with the following values:

    • В разделе Параметры ключа задайте следующие значения.Key Options confirm he following settings:

      • Установите переключатель в положение Создать новый набор ключей.Select the Create new key set radio button

      • Для параметра Поставщик служб шифрования выберите значение Базовый поставщик криптографии смарт-карт (Microsoft).For CSP, select Microsoft Base Smart Card Crypto Provider

      • Для параметра Использование ключа выберите значение Обмен (единственное доступное значение).For Key Usage, select Exchange (this is the only option available).

      • Размер ключаукажите 2048For Key Size, enter 2048

      • Убедитесь в том, что флажок Автоматическое имя контейнера ключа установлен.Confirm that Automatic key container name is selected

      • Оставьте остальные флажки снятыми.Leave the other boxes unchecked.

    • В разделе Дополнительные параметры задайте следующие значения.Under Additional Options confirm the following values:

      • Для параметра Формат запроса выберите значение CMC.For Request Format select CMC.

      • Для параметра Алгоритм хэширования выберите значение sha1.For Hash Algorithm select sha1.

      • Для enterSmardcard Понятное имя сертификата.For Friendly Name enterSmardcard Certificate.

  8. Если используется физическое устройство считывания смарт-карт, вставьте смарт-карту в устройство.If you are using a physical smartcard reader, insert the smart card into the device.

  9. Нажмите кнопку Отправить для отправки запроса сертификата.Click Submit to submit the certificate request.

  10. Когда будет предложено, введите ПИН-код, использовавшийся при создании виртуальной смарт-карты.When prompted, enter the PIN that was used to create the virtual smart card.

    Примечание

    Значение по умолчанию виртуальный смарт-карт ПИН-КОДОВ: "12345678".The default virtual smart card PIN value is '12345678'.

  11. После выдачи сертификата щелкните Установить этот сертификат для завершения процедуры регистрации.Once the certificate has been issued, click Install this certificate to complete the enrollment process.

    Примечание

    Если ваш запрос на сертификат не удается с ошибкой «этой веб-браузер не поддерживает создание запросы сертификатов», существует три возможных способа устранения проблемы:If your certificate request fails with the error "This Web browser does not support the generation of certificate requests," there are three possible ways to resolve the issue:

    a. Enable Compatibility View in Internet Explorer 
    b. Enable the Turn on Intranet settings option in Internet Explorer 
    c. Select the Reset all zones to default level setting under the Security tab in the Internet Explorer options menu.
    

Настройка служб федерации Active Directory (AD FS 2.0)Configure Active Directory Federation Services (AD FS 2.0)

В этом разделе рассматривается настройка служб федерации Active Directory (AD FS 2.0) для поддержки многофакторной проверки подлинности.The following section describes how to configure Active Directory Federation Services (AD FS 2.0) to support multi-factor authentication. Сведения о том, как установить AD FS 2.0 можно AD FS 2.0 Step-by-Step и как для руководства по.For information on how to install AD FS 2.0, see AD FS 2.0 Step-by-Step and How To Guides.

Примечание

При установке AD FS 2.0 не добавляйте роль службы федерации Active Directory с помощью диспетчера серверов Windows.When installing AD FS 2.0, do not use the Windows Server Manager to add the Active Directory Federation Services role. Вместо этого загрузите и установите пакет Active Directory Federation Services 2.0 RTW.Instead, download and install the Active Directory Federation Services 2.0 RTW package.

Настройка AD FS для двухфакторной проверки подлинностиTo configure AD FS for two-factor Authentication

  1. Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.Log in to the AD FS 2.0 computer using a Domain Admin account.

  2. Запустите Windows PowerShell.Start Windows PowerShell.

  3. Введите в командной строке Windows PowerShell следующую команду:From the Windows PowerShell command-line, run the following command:

    add-pssnapin Microsoft.Adfs.PowerShell
    
  4. Установите партнерское отношение с каждым сервером, на котором будет разрешена пассивная проверка подлинности; для этого выполните следующую команду, указав имя сервера в конкретном развертывании:Establish a partnership with each server that will be enabled for passive authentication by running the following command, replacing the server name specific to your deployment:

    Add-ADFSRelyingPartyTrust -Name SfBPool01-PassiveAuth -MetadataURL https://SfBpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml
    
  5. Запустите консоль управления AD FS 2.0 в меню "Средства администрирования".From the Administrative Tools menu, launch the AD FS 2.0 Management console.

  6. Разверните узел отношения доверия > отношения доверия с проверяющей стороной.Expand Trust Relationships > Relying Party Trusts.

  7. Убедитесь, что нового отношения доверия был создан для вашей Скайп для Business Server.Verify that a new trust has been created for your Skype for Business Server.

  8. С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения авторизации:Create and assign an Issuance Authorization Rule for your relying party trust using Windows PowerShell by running the following commands:

    $IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth 
    -IssuanceAuthorizationRules $IssuanceAuthorizationRules
    
  9. С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения преобразования:Create and assign an Issuance Transform Rule for your relying party trust using Windows PowerShell by running the following commands:

    $IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules
    
  10. В консоли управления AD FS 2.0 щелкните отношение доверия с проверяющей стороной правой кнопкой мыши и выберите команду редактирования правил утверждений.From the AD FS 2.0 Management console, right click on your relying party trust and select Edit Claim Rules.

  11. Перейдите на вкладку правил разрешения выпуска и убедитесь в том, что новое правило разрешения успешно создано.Select the Issuance Authorization Rules tab and verify that the new authorization rule was created successfully.

  12. Перейдите на вкладку правил преобразования выпуска и убедитесь в том, что новое правило преобразования успешно создано.Select the Issuance Transform Rules tab and verify that the new transform rule was created successfully.

Настройка AD FS 2.0 для поддержки проверки подлинности клиентаConfiguring AD FS 2.0 to support client authentication

Чтобы разрешить в AD FS 2.0 поддержку проверки подлинности с использованием смарт-карт, можно настроить два указанных ниже типа проверки подлинности.There are two possible authentication types that can be configured to allow AD FS 2.0 to support authentication using smart cards:

  • Проверка подлинности на основе формForms-based authentication (FBA)

  • Проверка подлинности клиента по протоколу TLSTransport Layer Security Client Authentication

На основе проверки подлинности по формам можно разработать веб-страницу, где подлинность пользователей будет проверяться по имени и паролю или по смарт-карте и PIN‑коду.Using forms-based authentication, you can develop a web page that allows users to authenticate either by using their username/password or by using their smart card and PIN. В этой статье рассматривается преимущественно реализация проверки подлинности клиента по протоколу TLS с помощью AD FS 2.0.This topic focuses on how to implement Transport Layer Security Client Authentication with AD FS 2.0. Дополнительные сведения о типах AD FS 2.0 проверки подлинности можно AD FS 2.0: изменение локального типа проверки подлинности.For more information about AD FS 2.0 authentication types, see AD FS 2.0: How to Change the Local Authentication Type.

Настройка AD FS 2.0 для поддержки проверки подлинности клиентаTo Configure AD FS 2.0 to Support Client Authentication

  1. Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.Log in to the AD FS 2.0 computer using a Domain Admin account.

  2. Запустите проводник.Launch Windows Explorer.

  3. Перейдите в папку C:\inetpub\adfs\lsBrowse to C:\inetpub\adfs\ls

  4. Сделайте резервную копию файла web.config.Make a backup copy of the existing web.config file.

  5. Откройте файл web.config с помощью Блокнота.Open the existing web.config file using Notepad.

  6. В строке меню выберите Правка, затем Найти.From the Menu bar, select Edit and then select Find.

  7. Поиск <localAuthenticationTypes>.Search for <localAuthenticationTypes>.

    Обратите внимание, что здесь будут перечислены четыре типа проверки подлинности, по одному на строку.Note that there are four authentication types listed, one per line.

  8. Переместите строку, содержащую тип проверки подлинности TLSClient, в начало списка в разделе.Move the line containing the TLSClient authentication type to the top of the list in the section.

  9. Сохраните и закройте файл web.config.Save and Close the web.config file.

  10. Запустите командную строку с повышенными привилегиями.Launch a Command Prompt with elevated privileges.

  11. Перезапустите службу IIS, выполнив следующую команду:Restart IIS by running the following command:

    IISReset /Restart /NoForce
    

Настройка пассивной проверки подлинности в Skype для бизнеса ServerConfiguring Skype for Business Server passive authentication

В следующем разделе описывается настройка Скайп для 2015 Business Server для поддержки пассивной проверки подлинности.The following section describes how to configure Skype for Business Server 2015 to support passive authentication. Если этот параметр включен, пользователи, которым разрешена двухфакторной проверки подлинности требуется указать использование физических или виртуальных смарт-карт и действительный ПИН-код для вход при помощи Скайп для клиента Business.Once enabled, users who are enabled for two-factor authentication will be required to use a physical or virtual smart card and a valid PIN to sign in using the Skype for Business client.

Примечание

Заказчикам настоятельно рекомендуется включить пассивную проверку подлинности для регистратора и веб-служб на уровне служб. Включение пассивной проверки подлинности включена для регистратора и веб-служб на глобальном уровне с большой вероятностью приводит к сбоям проверки подлинности пользователей, входящих не с поддерживаемых клиентов для настольных компьютеров, во всей организации.It is strongly recommended that customers enable passive authentication for Registrar and Web Services at the service level. If passive authentication is enabled for Registrar and Web Services at the global level, it will likely result in organization-wide authentication failures for users who are not signing in with the supported desktop client.

Конфигурация веб-службWeb Service Configuration

Ниже описана процедура создания настраиваемой конфигурации веб-служб для директоров, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.The following steps describe how to create a custom web service configuration for Directors, Enterprise Pools, and Standard Edition servers that will be enabled for passive authentication.

Порядок создания настраиваемой конфигурации веб-службTo create a custom web service configuration

  1. Выполните вход вашей Скайп для сервера переднего плана Business Server 2015, с помощью Скайп для учетной записи администратора предприятия.Log in to your Skype for Business Server 2015 Front End server using a Skype for Business administrator account.

  2. Запустите Скайп для консоли Business Server.Launch the Skype for Business Server Management Shell.

  3. В Скайп для Business Server Командная консоль командной строки создайте новую конфигурацию веб-службы для каждого директора, корпоративного пула и сервера Standard Edition, который будет включен для пассивной проверки подлинности, выполнив следующую команду:From the Skype for Business Server Management Shell command-line, create a new Web Service configuration for each Director, Enterprise Pool, and Standard Edition server that will be enabled for passive authentication by running the following command:

    New-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    

    Внимание!

    Значением полного доменного имени WsFedPassiveMetadataUri является имя службы федерации сервера AD FS 2.0. Значение имени службы федерации можно найти в консоли управления AD FS 2.0, щелкнув Служба в области навигации правой кнопкой мыши и затем выбрав Изменить свойства службы федерации.The value for the WsFedPassiveMetadataUri FQDN is the Federation Service Name of your AD FS 2.0 server. The Federation Service Name value can be found in the AD FS 2.0 Management Console by right-clicking on Service from the navigation pane and then selecting Edit Federation Service Properties.

  4. Проверьте правильность значений UseWsFedPassiveAuth и WsFedPassiveMetadataUri, выполнив следующую команду:Verify that the UseWsFedPassiveAuth and WsFedPassiveMetadataUri values were set correctly by running the following command:

    Get-CsWebServiceConfiguration -identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri
    
  5. Для клиентов пассивная проверка подлинности является наименее предпочтительным способом проверки подлинности WebTicket.For clients, Passive Authentication is the least preferred authentication method for webticket authentication. Для всех директоров (en), Enterprise пулов и серверов Standard Edition, которые будут использоваться для пассивной проверки подлинности других типов проверки подлинности, необходимо отключить в Скайп для бизнеса веб-служб, выполнив следующий командлет:For all Directors, Enterprise Pools, and Standard Edition servers that will be enabled for passive authentication, all other authentication types must be disabled in Skype for Business Web Services by running the following cmdlet:

    Set-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE
    
  6. Убедитесь в том, что все остальные типы проверки подлинности успешно отключены, выполнив следующую команду:Verify that all other authentication types have been successfully disabled by running the following cmdlet:

    Get-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth
    

Конфигурация прокси-сервераProxy Configuration

При отключении проверки подлинности сертификата для бизнеса веб-служб для Скайп Скайп для клиента Business будет использовать менее предпочитаемый тип проверки подлинности, например Kerberos или NTLM, проходить проверку подлинности в службе регистратора.When certificate authentication is disabled for Skype for Business Web Services, the Skype for Business client will use a less preferred authentication type, such as Kerberos or NTLM, to authenticate to the Registrar service. Проверка подлинности по сертификату и в этом случае необходима для извлечения WebTicket клиентом, однако для службы регистратора необходимо отключить Kerberos и NTLM.Certificate authentication is still needed to allow the client to retrieve a webticket, however, Kerberos and NTLM must be disabled for the Registrar service.

Ниже описана процедура создания настраиваемой конфигурации прокси-сервера для пограничных пулов, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.The following steps describe how to create a custom proxy configuration for Edge Pools, Enterprise Pools, and Standard Edition servers that will be enabled for passive authentication.

Порядок создания настраиваемой конфигурации прокси-сервераTo create a custom proxy configuration

  1. В Скайп для Business Server Командная консоль командной строки, создайте новую конфигурацию прокси-сервера для каждого Скайп для Business Server 2015 пограничного пула, корпоративный пул и Standard Edition server, который будет использоваться для пассивной проверки подлинности, выполнив следующие команды:From the Skype for Business Server Management Shell command-line, create a new proxy configuration for each Skype for Business Server 2015 Edge Pool, Enterprise Pool, and Standard Edition server that will be enabled for passive authentication by running the following commands:

    New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
    New-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
  2. Убедитесь, что все остальные типы проверки подлинности прокси-сервера успешно отключены, выполнив следующую команду:Verify that all other proxy authentication types have been successfully disabled by running the following command:

    Get-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com"
    | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth
    

См. такжеSee also

Управление двухфакторной проверки подлинности в Скайп для Business Server 2015Manage two-factor authentication in Skype for Business Server 2015

Использовать двухфакторной проверки подлинности с помощью Скайп для бизнеса клиентов и Скайп для Business Server 2015Use two-factor authentication with Skype for Business client and Skype for Business Server 2015