Управление двухфакторной проверкой подлинности в Skype для бизнеса Server 2015Manage two-factor authentication in Skype for Business Server 2015

Сводка: Управление двухфакторной проверки подлинности в Скайп для Business Server 2015.Summary: Manage two-factor authentication in Skype for Business Server 2015.

Двухфакторная проверка подлинности обеспечивает повышенную безопасность и требует от пользователей использования двух критериев проверки подлинности: сочетания пароля и имени пользователя и маркер или сертификата.Two-factor authentication provides improved security by requiring users to provide two forms of authentication or identification, namely a user name/password combination and a token or certificate. Это также называется «то, что у вас есть то, что вы знаете.»This is also known as "something you have, something you know."

Типичным примером двухфакторной проверки подлинности с помощью сертификата может послужить использование смарт-карт. Смарт-карта включает в себя сертификат, связанный с учетной записью пользователя, и проверяется с помощью информации о пользователе и сертификате, хранящейся на сервере. Сервер сравнивает информацию о пользователе (имя пользователя и пароль) с представленным сертификатом, в результате чего происходит проверка учетных данных и определяется подлинность пользователя.A typical example of two-factor authentication with a certificate is the use of smart cards. A smart card contains a certificate associated with the user account, and can be validated against user and certificate information stored on a server. By comparing the user information (user name and password) to the certificate provided, the server validates the credentials and authenticates the user.

При настройке Скайп для среды Business Server 2015 для поддержки двухфакторной проверки подлинности необходимо учитывайте следующие темы.Consider the following subjects when configuring a Skype for Business Server 2015 environment to support two-factor authentication.

Поддержка клиентаClient Support

Накопительные пакеты обновления для Lync Server 2013: июля 2013 г. для настольных компьютеров и Скайп для клиента Business — только клиентов, которые в настоящее время поддерживают двухфакторной проверки подлинности.The Cumulative Updates for Lync Server 2013: July 2013 desktop client and the Skype for Business client are the only clients that currently support two-factor authentication.

Требования к топологииTopology Requirements

Клиенты, настоятельно рекомендуется развернуть двухфакторной проверки подлинности с помощью выделенного Скайп Business Server 2015 с пограничного сервера, директоров и пулов пользователей.Customers are strongly encouraged to deploy two-factor authentication using dedicated Skype for Business Server 2015 with Edge, Director, and User Pools. Для включения пассивной проверки подлинности для пользователей Lync необходимо отключить другие способы проверки подлинности для других ролей и служб, включая:To enable passive authentication for users, other authentication methods must be disabled for other roles and services, including the following:

Тип настройкиConfiguration Type Тип службыService Type Роль сервераServer Role Тип проверки подлинности для отключенияAuthentication Type to Disable
Веб-службаWeb Service
Веб-сервераWebServer
ДиректорDirector
Kerberos, NTLM и сертификатKerberos, NTLM, and Certificate
Веб-службаWeb Service
Веб-сервераWebServer
Сервер переднего планаFront End
Kerberos, NTLM и сертификатKerberos, NTLM, and Certificate
Прокси-серверProxy
EdgeServerEdgeServer
ПограничныйEdge
Kerberos и NTLMKerberos and NTLM
Прокси-серверProxy
РегистраторRegistrar
Сервер переднего планаFront End
Kerberos и NTLMKerberos and NTLM

Пока эти типы проверки подлинности не будут отключены на уровне служб, все другие версии клиента не смогут выполнить успешный вход, поскольку в пределах вашего развертывания включена двухфакторная проверка подлинности.Unless these authentication types are disabled at the service level, all other versions of the client will be unable to sign in successfully once two-factor authentication is enabled within in your deployment.

Обнаружение служб Skype для бизнесаSkype for Business Service Discovery

DNS-записи, используемые с внутренним и внешним клиентам обнаруживать Скайп для бизнес-служб должны быть настроены для разрешения Скайп для Business server, который не включен для двухфакторной проверки подлинности.DNS records used by internal and/or external clients to discover Skype for Business services should be configured to resolve to a Skype for Business server that is not enabled for two-factor authentication. При такой конфигурации пользователей из Скайп для бизнеса пулов, которые не включены для двухфакторной проверки подлинности не должен будет ввести ПИН-код для проверки подлинности, хотя пользователи из Скайп для бизнеса пулов, доступных для двухфакторной проверки подлинности необходимо ввести свой ПИН-код для проверки подлинности.With this configuration, users from Skype for Business Pools that are not enabled for two-factor authentication will not be required to enter a PIN to authenticate, while users from Skype for Business Pools that are enabled for two-factor authentication will be required to enter their PIN to authenticate.

Проверка подлинности ExchangeExchange Authentication

Клиенты, у которых развернут двухфакторной проверки подлинности для Microsoft Exchange может оказаться, что некоторые компоненты в клиенте становятся недоступными.Customers who have deployed two-factor authentication for Microsoft Exchange may find that certain features in the client are unavailable. Это происходит в настоящее время разработки, как Скайп для клиента Business не поддерживает двухфакторной проверки подлинности для функции, зависящие от интеграции с Exchange.This is currently by design, as the Skype for Business client does not support two-factor authentication for features that are dependent on Exchange integration.

КонтактыContacts

Найти Скайп бизнес-пользователям, настроенных для использования компонента единого хранилища контактов, что свои контакты становятся недоступными после входа в систему с двухфакторной проверки подлинности.Skype for Business users who are configured to leverage the Unified Contact Store feature will find that their contacts are no longer available after signing in with two-factor authentication.

Командлет Invoke-CsUcsRollback следует использовать для удаления существующего пользователя контактов из единого хранилища контактов и хранить их в Скайп для Business Server 2015 перед включением двухфакторной проверки подлинности.You should use the Invoke-CsUcsRollback cmdlet to remove existing user contacts from the Unified Contact Store and store them in Skype for Business Server 2015 before enabling two-factor authentication.

Пользователи, которые настроены функцию поиск по навыкам в их Скайп для бизнес-среде находятся, что эта функция не работает, если Скайп для бизнеса включен для двухфакторной проверки подлинности.Customers who have configured the Skill Search feature in their Skype for Business environment will find that this feature does not work when Skype for Business is enabled for two-factor authentication. Это объясняется тем, что Microsoft SharePoint не поддерживает двухфакторную проверку подлинности.This is by design, as Microsoft SharePoint does not currently support two-factor authentication.

Учетные данныеCredentials

Существует ряд вопросы развертывания, включающие использование сохраненных Скайп для бизнеса учетные данные, которые могут повлиять на пользователей, которые настроены на использование двухфакторной проверки подлинности.There are a number of deployment considerations involving saved Skype for Business credentials which may impact users who are configured to use two-factor authentication.

Удаление сохраненных учетных данныхDeleting Saved Credentials

Пользователи должны использовать параметр Удалить Мои сведения входа в Скайп для клиента Business и удалите их папки профилей SIP от %localappdata%\Microsoft\Office\15.0\Skype для бизнеса, прежде чем для входа в первый раз, с помощью двухфакторной Проверка подлинности.Users should use the Delete my sign-in info option in the Skype for Business client and delete their SIP profile folder from %localappdata%\Microsoft\Office\15.0\Skype for Business before attempting to sign for the first time using two-factor authentication.

DisableNTCredentialsDisableNTCredentials

С помощью метода проверки подлинности Kerberos или NTLM учетные данные пользователя Windows, автоматически используются для проверки подлинности.With the Kerberos or NTLM authentication method, the user's Windows credentials are used automatically for authentication. В типичных Скайп для развертывания Business Server 2015, где включен Kerberos или NTLM для проверки подлинности пользователей не должно быть введите свои учетные данные при каждом выполняют вход в.In a typical Skype for Business Server 2015 deployment where Kerberos and/or NTLM is enabled for authentication, users should not have to enter their credentials every time that they sign in.

Если у пользователя запрашиваются учетные данные перед появлением запроса ПИН-кода, на клиентском компьютере мог быть случайно настроен раздел реестра DisableNTCredentials (возможно, через групповую политику).If users are unintentionally prompted for credentials before they are prompted to enter their PIN, the DisableNTCredentials registry key may be unintentionally configured on client computers, possibly through Group Policy.

Чтобы избежать дополнительных запрос учетных данных, создайте следующую запись реестра на локальном компьютере или использование Скайп для бизнеса административных шаблонов для применения ко всем пользователям для данного пула, с помощью групповой политики:To prevent the additional prompt for credentials, create the following registry entry on the local workstation or use the Skype for Business administrative template to apply to all users for a given pool using Group Policy:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync

REG_DWORD: DisableNTCredentials

Value: 0x0

SavePasswordSavePassword

При входе пользователя в систему Скайп для бизнеса в первый раз, пользователю предлагается сохранить свой пароль.When a user signs in to Skype for Business for the first time, the user is prompted to save his or her password. Если выбрано, этот параметр позволяет сертификата клиента будут храниться в хранилище личных сертификатов и учетные данные пользователя Windows будут сохраняться в диспетчере учетных данных на локальном компьютере.If selected, this option allows the user's client certificate to be stored in the personal certificate store and the user's Windows credentials to be stored in the Credential Manager of the local computer.

Параметр реестра SavePassword должны быть отключены во Скайп для бизнеса настроена поддержка двухфакторной проверки подлинности.The SavePassword registry setting should be disabled when Skype for Business is configured to support two-factor authentication. Чтобы запретить пользователям сохранять свои пароли, измените следующий параметр реестра на локальном компьютере или использование Скайп для бизнеса административных шаблонов для применения ко всем пользователям для данного пула, с помощью групповой политики:To prevent users from saving their passwords, change the following registry entry on the local workstation or use the Skype for Business administrative template to apply to all users for a given pool using Group Policy:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync

REG_DWORD: SavePassword

Value: 0x0

Повтор маркера AD FS 2.0AD FS 2.0 Token Replay

AD FS 2.0 обеспечивает функцию обнаружения повтора маркера, которая позволяет обнаружить и отменить ряд запросов, использующих один маркер. Эта функция поддерживает целостность запросов проверки подлинности в пассивном профиле федерации веб-служб и профиле SAML WebSSO, не позволяя использовать один маркер несколько раз.AD FS 2.0 provides a feature referred to as token replay detection, by which multiple token requests using the same token can be detected and then discarded. When this feature is enabled, token replay detection protects the integrity of authentication requests in both the WS-Federation passive profile and the SAML WebSSO profile by making sure that the same token is never used more than once.

Функция обнаружения повтора маркера необходима в особо опасных условиях, например в интерактивных терминалах.This feature should be enabled in situations where security is a very high concern such as when using kiosks. Дополнительные сведения об обнаружении повтора видеть Советы и рекомендации для безопасного планирования и развертывания AD FS 2.0.For more information about token replay detection, see Best Practices for Secure Planning and Deployment of AD FS 2.0.

Доступ внешнего пользователяExternal User Access

Настройка прокси-сервера службы федерации Active Directory или обратный прокси-сервер для поддержки Скайп для бизнеса двухфакторной проверки подлинности из внешних сетей не рассматриваются в следующих разделах.Configuring an ADFS Proxy or Reverse Proxy to support Skype for Business two-factor authentication from external networks is not covered in these topics.

См. такжеSee also

Настройка двухфакторной проверки подлинности в Скайп для Business Server 2015Configure two-factor authentication in Skype for Business Server 2015

Настройка двухфакторной проверки подлинности в Скайп для Business Server 2015Configure two-factor authentication in Skype for Business Server 2015