Planen der zweistufigen Authentifizierung in Lync Server 2013
Letzte Änderung: 06.04.2015
Im Folgenden finden Sie eine Liste der Überlegungen zur Bereitstellung beim Konfigurieren einer Microsoft Lync Server 2013-Umgebung zur Unterstützung der zweistufigen Authentifizierung.
Clientunterstützung
Der kumulative Lync 2013-Aktualisierungen für Lync Server 2013: Desktopclient vom Juli 2013 und alle mobilen Clients unterstützen derzeit die zweistufige Authentifizierung.
Anforderungen im Hinblick auf die Topologie
Kunden wird dringend empfohlen, die zweistufige Authentifizierung mit dediziertem Lync Server 2013 mit kumulativem Aktualisierungen für Lync Server 2013 bereitzustellen: Edge-, Director- und Benutzerpools vom Juli 2013. Um die passive Authentifizierung für Lync-Benutzer zu aktivieren, müssen andere Authentifizierungsmethoden für andere Rollen und Dienste deaktiviert werden, einschließlich der folgenden:
| Konfigurationstyp | Diensttyp | Serverrolle | Zu deaktivierender Authentifizierungstyp |
|---|---|---|---|
Webdienst |
WebServer |
Director |
Kerberos, NTLM und Zertifikat |
Webdienst |
WebServer |
Front-End |
Kerberos, NTLM und Zertifikat |
Proxy |
EdgeServer |
Edge |
Kerberos und NTLM |
Proxy |
Registrierungsstelle |
Front-End |
Kerberos und NTLM |
Sofern diese Authentifizierungstypen nicht auf Dienstebene deaktiviert sind, können sich alle anderen Versionen des Lync-Clients nicht erfolgreich anmelden, sobald die zweistufige Authentifizierung in Ihrer Bereitstellung aktiviert ist.
Lync Service Discovery
DNS-Einträge, die von internen und/oder externen Clients zum Ermitteln von Lync-Diensten verwendet werden, sollten so konfiguriert werden, dass sie auf einen Lync-Server aufgelöst werden, der nicht für die zweistufige Authentifizierung aktiviert ist. Bei dieser Konfiguration müssen Benutzer aus Lync-Pools, die nicht für die zweistufige Authentifizierung aktiviert sind, keine PIN für die Authentifizierung eingeben, während Benutzer aus Lync-Pools, die für die zweistufige Authentifizierung aktiviert sind, ihre PIN für die Authentifizierung eingeben müssen.
Exchange-Authentifizierung
Kunden, die die zweistufige Authentifizierung für Microsoft Exchange bereitgestellt haben, stellen möglicherweise fest, dass bestimmte Features im Lync-Client nicht verfügbar sind. Dies ist derzeit beabsichtigt, da der Lync-Client die zweistufige Authentifizierung für Features, die von der Exchange-Integration abhängig sind, nicht unterstützt.
Lync-Kontakte
Lync-Benutzer, die für die Nutzung des Unified Contact Store-Features konfiguriert sind, stellen fest, dass ihre Kontakte nach der Anmeldung mit zweistufiger Authentifizierung nicht mehr verfügbar sind.
Sie sollten das Cmdlet Invoke-CsUcsRollback verwenden, um vorhandene Benutzerkontakte aus dem einheitlichen Kontaktspeicher zu entfernen und in Lync Server 2013 zu speichern, bevor Sie die zweistufige Authentifizierung aktivieren.
Qualifikationssuche
Kunden, die das Feature "Qualifikationssuche" in ihrer Lync-Umgebung konfiguriert haben, werden feststellen, dass dieses Feature nicht funktioniert, wenn Lync für die zweistufige Authentifizierung aktiviert ist. Dies ist entwurfsbedingt, weil Microsoft SharePoint momentan die zweistufige Authentifizierung nicht unterstützt.
Lync-Anmeldeinformationen
Es gibt eine Reihe von Überlegungen zur Bereitstellung im Zusammenhang mit gespeicherten Lync-Anmeldeinformationen, die sich auf Benutzer auswirken können, die für die Verwendung der zweistufigen Authentifizierung konfiguriert sind.
Löschen von gespeicherten Anmeldeinformationen
Desktopclientbenutzer sollten die Option " Meine Anmeldeinformationen löschen " im Lync-Client verwenden und ihren SIP-Profilordner aus "%localappdata%\Microsoft\Office\15.0\Lync" löschen, bevor sie versuchen, sich zum ersten Mal mithilfe der zweistufigen Authentifizierung zu signieren.
DisableNTCredentials
Im Rahmen der Kerberos- oder NTLM-Authentifizierungsmethode werden die Windows-Anmeldeinformationen des Benutzers automatisch für die Authentifizierung verwendet. In einer typischen Lync Server 2013-Bereitstellung, bei der Kerberos und/oder NTLM für die Authentifizierung aktiviert ist, sollten Benutzer ihre Anmeldeinformationen nicht jedes Mal eingeben müssen, wenn sie sich anmelden.
Werden Benutzer unbeabsichtigt zur Eingabe ihrer Anmeldeinformationen aufgefordert, bevor sie zur Eingabe ihrer PIN aufgefordert werden, ist möglicherweise versehentlich der Registrierungsschlüssel DisableNTCredentials auf Clientcomputern konfiguriert (möglicherweise über eine Gruppenrichtlinie).
Um die zusätzliche Aufforderung zur Eingabe von Anmeldeinformationen zu verhindern, erstellen Sie den folgenden Registrierungseintrag auf der lokalen Arbeitsstation, oder verwenden Sie die Lync-Verwaltungsvorlage, um sie mithilfe von Gruppenrichtlinie auf alle Benutzer für einen bestimmten Pool anzuwenden:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
REG_DWORD: DisableNTCredentials
Wert: 0x0
SavePassword
Wenn sich ein Benutzer zum ersten Mal bei Lync anmeldet, wird er aufgefordert, sein Kennwort zu speichern. Wird diese Option ausgewählt, ermöglicht sie es, dass das Clientzertifikat des Benutzers im persönlichen Zertifikatspeicher und die Windows-Anmeldeinformationen des Benutzers in der Anmeldeinformationsverwaltung auf dem lokalen Computer gespeichert werden.
Die SavePassword-Registrierungseinstellung sollte deaktiviert werden, wenn Lync für die Unterstützung der zweistufigen Authentifizierung konfiguriert ist. Um zu verhindern, dass Benutzer ihre Kennwörter speichern, ändern Sie den folgenden Registrierungseintrag auf der lokalen Arbeitsstation, oder verwenden Sie die administrative Lync-Vorlage, um sie mithilfe von Gruppenrichtlinie auf alle Benutzer für einen bestimmten Pool anzuwenden:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Wert: 0x0
AD FS 2.0-Tokenwiederholung
AD FS 2.0 stellt eine Funktion bereit, die als Tokenwiederholungserkennung bezeichnet wird und mit welcher mehrere Tokenanforderungen, in denen dasselbe Token verwendet wird, erkannt und verworfen werden können. Ist diese Funktion aktiviert, schützt die Tokenwiederholungserkennung die Integrität von Authentifizierungsanforderungen sowohl im passiven WS-Federation-Profil als auch im SAML WebSSO-Profil, indem sichergestellt wird, dass ein Token nie mehrmals verwendet wird.
Diese Funktion sollte in Umgebungen aktiviert sein, in denen Sicherheit einen besonders hohen Stellenwert hat, beispielsweise bei der Nutzung von Kiosken. Weitere Informationen zur Erkennung von Token-Wiedergaben finden Sie unter Best Practices for Secure Planning and Deployment of AD FS 2.0 at https://go.microsoft.com/fwlink/p/?LinkId=309215.
Zugriff von externen Benutzern
Das Konfigurieren eines AD FS-Proxys oder Reverseproxys zur Unterstützung der zweistufigen Lync-Authentifizierung aus externen Netzwerken wird in diesen Themen nicht behandelt.