Топологии Skype для бизнеса, поддерживаемые современной проверкой подлинностиSkype for Business topologies supported with Modern Authentication

В этой статье перечислены облачные и локальные топологии, которые поддерживает современная проверка подлинности в Skype для бизнеса, а также средства безопасности, применимые к каждой из них.This article lists what online and on-premises topologies are supported with Modern Authentication in Skype for Business, as well as security features that apply to each topology.

Современная проверка подлинности в Skype для бизнесаModern Authentication in Skype for Business

В Skype для бизнеса можно использовать преимущества современной проверки подлинности. Поскольку Skype для бизнеса тесно работает с Exchange, на поведение при входе, которое будут наблюдать пользователи клиента Skype для бизнеса, также влияет состояние современной проверки подлинности в Exchange. Это также применимо, если используется гибридное развертывание Skype для бизнеса с разделенными доменами. Переменных компонентов очень много, но в данном случае целью является упрощенное представление списка поддерживаемых топологий.Skype for Business can leverage security advantages of Modern Authentication. Because Skype for Business works closely with Exchange, the login behaviour Skype for Business client users will see will also be effected by the MA status of Exchange. This will also apply if you have a Skype for Business split-domain hybrid. That's a lot of moving parts, but the aim here is an easy to visualize list of supported topologies.

Какие топологии поддерживаются современной проверкой подлинности в Skype для бизнеса, Skype для бизнеса Online, Exchange Server и Exchange Online?Given Skype for Business, Skype for Business online, Exchange Server, and Exchange online, what topologies are supported with MA?

Топологии, поддерживаемые современной проверкой подлинности в Skype для бизнесаSupported MA topologies in Skype for Business

Существуют два возможных серверных приложения и две рабочие нагрузки Office 365, связанные с топологиями Skype для бизнеса, которые использует современная проверка подлинности.There are potentially two server applications, and two Office 365 workloads, involved with Skype for Business topologies used by MA.

  • Локальный сервер Skype для бизнеса Server 2015 (CU 5)Skype for Business server 2015 (CU 5) on-premises

  • Skype для бизнеса Online (SFBO)Skype for Business online (SFBO)

  • Локальный сервер Exchange ServerExchange server on-premises

  • Exchange Server Online (EXO)Exchange server online (EXO)

Кроме того, для современной проверки подлинности важно знать, где будут проходить проверка подлинности (authN) и авторизация (authZ) пользователей. Существует два варианта.Another important part of MA is knowing where the authentication (authN) and authorization (authZ) of users will take place. The two options are:

  • Azure AD, по сети в Microsoft CloudAzure AD, online in the Microsoft Cloud

  • Локальный сервер федерации Active Directory (ADFS)Active Directory Federation Server (ADFS) on-premises

Схема выглядит примерно так: EXO и SFBO используются в облаке с Azure AD, а Exchange Server (EXCH) и Skype для бизнеса Server 2015 (SFB) — локально.So it looks a bit like this, with EXO and SFBO in the Cloud with Azure AD, and Exchange Server (EXCH) and Skype for Business server 2015 (SFB) on-prem.

Пример всех приложений (Exchange и Skype для бизнеса) и рабочих нагрузок (EXO и SFBO), а также обоих серверов авторизации (ADFS и evoSTS), которые могут использоваться при включении MA.

Ниже представлены поддерживаемые топологии. В графиках топологий используются следующие условные обозначения.Here are the supported topologies. Please note the key for the graphics:

  • Серым цветом выделены значки, которые недоступны в этом сценарии.If the icon is dimmed or grey, it is not used in the scenario.

  • EXO — Exchange Online.EXO is Exchange Online.

  • SFBO — Skype для бизнеса Online.SFBO is Skype for Business Online.

  • EXCH — локальный сервер Exchange.EXCH is Exchange on-premises.

  • SFB — локальный сервер Skype для бизнеса.SFB is Skype for Business on-premises.

  • Выполняющие авторизацию серверы представлены треугольниками, например, Azure AD — это треугольник с облаком на заднем плане.Authorizing servers are represented by triangles, for example, the Azure AD is a triangle with a cloud behind it.

  • Стрелки указывают на сервер авторизации, который будет использоваться при попытке клиентов получить доступ к заданному серверному ресурсу.Arrows point at the authorizing server that will be used when clients try to reach the specified server resource.

Сначала рассмотрим современную проверку подлинности с Skype для бизнеса в обеих топологиях: с использованием локально и в облаке.First, let's cover MA with Skype for Business in both On-premises-only or Cloud-only topologies.

Важно!

Вы готовы настроить современную проверку подлинности в Skype для бизнеса Online?Are you ready to set up Modern Authentication in Skype for Business Online? Действия для включения этой функции подходят здесь.The steps to enable this feature are right here.

Имя топологииTopology name
ПримерExample
ОписаниеDescription
ПоддерживаетсяSupported
Только в облакеCloud only
Поддерживается SFB с топологией MA, только облако.Пользователи/почтовые ящики находятся: в Интернете Users homed/mailboxes located: Online
Современная проверка подлинности включена для EXO и SFBO.MA is on for both EXO and SFBO.
Сервер авторизации — Azure AD.Therefore, the authorization server is Azure AD.
Многофакторная проверка подлинности (многофакторной проверкой Подлинности), проверка подлинности (CBA) условного доступа (ЦС) на основе сертификата клиента и приложения управления Mobile (MAM) с Intune.Multi-factor authentication (MFA), Client-certificate based authentication (CBA), Conditional Access (CA)/Mobile Application Management (MAM) with Intune. *
Только на локальном сервереOn-prem only
Поддерживается SFB с топологией MA, только локальная версия.Пользователи/почтовые ящики находятся: на локальном сервереUsers homed/mailboxes located: On-premises
Современная проверка подлинности включена для локального сервера SFB.MA is on for SFB on-premises.
Сервер авторизации — ADFS.Therefore, the authorization server is ADFS.
Сведения о конфигурации, можно найти в в этой статье.For configuration details, please see this article.
MFA (только для рабочих столов Windows, мобильные клиенты не поддерживаются). Функции интеграции с Exchange отсутствуют.MFA (Windows Desktop only - mobile clients are not supported). No Exchange integration features.

Важно!

Рекомендуется использовать одно состояние современной проверки подлинности в Skype для бизнеса и Exchange (а также их эквивалентах в сети), чтобы сократить количество запросов.It's recommended that the MA state be the same across Skype for Business and Exchange (and their online counterparts) to reduce the number of prompts.

Смешанные топологии включают в себя комбинации гибридных развертываний SFB с разделенными доменами. В настоящее время поддерживаются следующие смешанные топологии.Mixed topologies involve combinations of SFB split-domain hybrids. These are the Mixed topologies currently supported:

Имя топологииTopology name
ПримерExample
ОписаниеDescription
ПоддерживаетсяSupported
Смешанная топология 1Mixed 1
Поддерживается SFB с топологией MA, Mixed 1 (EXO+SFB).
Пользователи/почтовые ящики находятся: в EXO и SFBUsers homed/mailboxes located: EXO and SFB
Современная проверка подлинности не включена для SFB. В этой топологии недоступны функции современной проверки подлинности для SFB.MA is not enabled for SFB; no SFB MA features available in this topology.
Функции современной проверки подлинности недоступны для SFB.No MA features for SFB.
Смешанная топология 2Mixed 2
Поддерживается MA с комбинированной топологией S4B 2, SFBO и MA, работающая с локальной версией EXCH.
Пользователи/почтовые ящики находятся: EXCH и SFBOUsers homed/mailboxes located: EXCH and SFBO
Агент Управления — на SFBO только.MA is on for SFBO only. Сервер авторизации — Azure AD для пользователей, размещенных в SFBO, но AD для EXCH локальных.The authorization server is Azure AD for users homed in SFBO, but AD for EXCH on-premises.
Многофакторной проверкой Подлинности, CBA, ЦС/MAM с Intune.*MFA, CBA, CA/MAM with Intune.*
Смешанная топология 3Mixed 3
Поддерживаются MA с SFB, EXO с включенной MA и локальные версии EXCH и SFB.
Пользователи/почтовые ящики находятся: в EXO + SFB или EXCH + SFBUsers homed/mailboxes located: EXO + SFB, or EXCH + SFB
В этой топологии недоступны функции современной проверки подлинности для SFB.No SFB MA features available in this topology
Функции современной проверки подлинности недоступны для SFB.No MA features for SFB.
Смешанная топология 4Mixed 4
Поддерживаются MA с SFB, SFBO с включенной MA, а также EXCH и SFB.
Пользователи/почтовые ящики находятся: в EXCH +SFBO или EXCH + SFB Users homed/mailboxes located: EXCH +SFBO or EXCH + SFB
Агент Управления включен для SFBO, поэтому сервер авторизации Azure AD для пользователей, размещенных в SFBO.MA is on for SFBO, therefore the authorization server is Azure AD for users homed in SFBO. На prem в SFB и EXO используются AD.On-prem users in SFB and EXO use AD.
Многофакторной проверкой Подлинности, CBA, ЦС/MAM с Intune online только для пользователей.*MFA, CBA, CA/MAM with Intune for online users only.*
Смешанная топология 5Mixed 5
Поддерживаются MA в SFB, EXO с MA и SFBO с MA, а также локальные версии EXCH и SFB.
Пользователи/почтовые ящики находятся: в EXO + SFBO, EXO + SFB, EXCH + SFBO или EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
Агент Управления — на EXO и SFBO, поэтому сервер авторизации — Azure AD для пользователей, размещенных в SFBO; на prem в EXCH и SFB используются AD.MA is on in both EXO and SFBO, therefore the authorization server is Azure AD for users homed in SFBO; on-prem users in EXCH and SFB use AD.
Многофакторной проверкой Подлинности, CBA, ЦС/MAM с Intune online только для пользователей.*MFA, CBA, CA/MAM with Intune for online users only.*
Смешанные 6Mixed 6
В смешанной топологии 6 современная проверка подлинности включена во всех четырех местах, что создает для нее идеальную ситуацию.
Пользователи/почтовые ящики находятся: в EXO + SFBO, EXO + SFB, EXCH + SFBO или EXCH + SFBUsers homed/mailboxes located: EXO + SFBO, EXO + SFB, EXCH + SFBO, or EXCH + SFB
Агент Управления находится в любом приложении, поэтому сервер авторизации Azure AD для всех пользователей.MA is on everywhere, therefore the authorization server is Azure AD for all users. (online и локальной)(online and on-premises)
Ознакомьтесь с https://aka.ms/ModernAuthOverview для шаги развертывания.Please see https://aka.ms/ModernAuthOverview for deployment steps.
Многофакторной проверкой Подлинности, CBA и ЦС/MAM (с помощью Intune) для всех пользователей.MFA, CBA and CA/MAM (via Intune) for all users.

*-Многофакторной проверкой Подлинности включает в себя рабочий стол Windows, MAC, операций ввода-вывода, Android и устройств Windows Phone; CBA включает рабочий стол Windows, iOS и устройствами Android; Центр сертификации/MAM с Intune, включает в себя устройства Android и операций ввода-вывода.* - MFA includes Windows Desktop, MAC, iOS, Android devices, and Windows Phones; CBA includes Windows Desktop, iOS and Android devices; CA/MAM with Intune, includes Android and iOS devices.

Важно!

Очень важно отметить, что в некоторых случаях пользователи могут получать несколько запросов, особенно когда состояние современной проверки подлинности не одинаковое для различных ресурсов сервера, которые могут потребоваться клиентам и которые они могут запрашивать (как в случае со всеми версиями смешанных топологий).It's very important to note that users may see multiple prompts in some cases, notably where the MA state is not the same across all the server resources that clients may need and request, as is the case with all versions of the Mixed topologies.

Важно!

Также Обратите внимание, что в некоторых случаях (Mixed 1, 3 и 5 специально) ключа реестра AllowADALForNonLynIndependentOfLync должны быть установлены для правильной конфигурации для клиентов, рабочий стол Windows.Also note that in some cases (Mixed 1, 3, and 5 specifically) an AllowADALForNonLynIndependentOfLync registry key must be set for proper configuration for Windows Desktop Clients.