Administrar la autenticación en dos fases en Skype Empresarial Server 2015

Skype for Business Server 2015
 

Última modificación del tema:2016-12-20

Resumen: administre la autenticación en dos fases en Skype Empresarial Server 2015.

La autenticación en dos fases proporciona seguridad mejorada al exigir a los usuarios que proporcionen dos formas de autenticación o identificación, específicamente una combinación de nombre de usuario/contraseña y un token o certificado. Esto se conoce también como "un elemento que tiene, un elemento que conoce".

Un ejemplo típico de autenticación en dos fases con un certificado es el uso de tarjetas inteligentes. Una tarjeta inteligente contiene un certificado asociado con la cuenta del usuario y se puede validar con información de certificado y usuario almacenada en un servidor. Al comparar la información del usuario (nombre de usuario y contraseña) con el certificado proporcionado, el servidor valida las credenciales y autentica al usuario.

Tenga en cuenta los siguientes temas al configurar un entorno de Skype Empresarial Server 2015 para que admita la autenticación en dos fases.

Las actualizaciones acumulativas para Lync Server 2013: cliente de escritorio, julio de 2013 y el cliente de Skype Empresarial son los únicos clientes que admiten actualmente la autenticación en dos fases.

Se recomienda encarecidamente a los clientes que implementen la autenticación en dos fases por medio del uso dedicado de Skype Empresarial Server 2015 con grupos de usuarios, director y perimetrales. Para habilitar la autenticación pasiva para los usuarios, se necesitan deshabilitar los demás métodos de autenticación para otros roles y servicios, incluidos los siguientes:

 

Tipo de configuración Tipo de servicio Rol del servidor Tipo de autenticación para deshabilitar

Servicio web

WebServer

Director

Kerberos, NTLM y certificado

Servicio web

WebServer

Front-end

Kerberos, NTLM y certificado

Proxy

EdgeServer

Perimetral

Kerberos y NTLM

Proxy

Registrador

Front-end

Kerberos y NTLM

A menos que estos tipos de autenticación se deshabiliten en el nivel de servicio, ninguna de las demás versiones del cliente podrá iniciar sesión correctamente una vez que la autenticación en dos fases esté habilitada dentro de la implementación.

Los registros DNS utilizados por clientes internos o externos para detectar servicios de Skype Empresarial necesitan configurarse para resolver en un servidor de Skype Empresarial que no esté habilitado para la autenticación en dos fases. Con esta configuración, los usuarios de grupos de Skype Empresarial que no estén habilitados para la autenticación en dos fases no tendrán que especificar un PIN para autenticarse, mientras que los usuarios de grupos de Skype Empresarial que estén habilitados para la autenticación en dos fases sí tendrán que hacerlo.

Los clientes que han implementado la autenticación en dos fases para Microsoft Exchange pueden observar que algunas características en el cliente no están disponibles. Esto sucede actualmente por diseño, ya que el cliente de Skype Empresarial no admite la autenticación en dos fases para las características que dependen de la integración de Exchange.

Los usuarios de Skype Empresarial que están configurados para aprovechar la característica del almacén de contactos unificado observarán que sus contactos ya no están disponibles tras iniciar sesión con la autenticación en dos fases.

Necesita usar el cmdlet Invoke-CsUcsRollback para quitar los contactos de usuarios existentes del almacén de contactos unificado y almacenarlos en Skype Empresarial Server 2015 antes de habilitar la autenticación en dos fases.

Los usuarios que han configurado la característica de búsqueda de aptitudes en su entorno de Skype Empresarial observarán que esta característica no funciona cuando Skype Empresarial está habilitado para la autenticación en dos fases. Esto sucede por diseño, ya que Microsoft SharePoint no admite actualmente la autenticación en dos fases.

Hay varias consideraciones de implementación que implican credenciales guardadas de Skype Empresarial que pueden afectar a los usuarios configurados para usar la autenticación en dos fases.

Los usuarios necesitan usar la opción Eliminar info. de inicio de sesión en el cliente de Skype Empresarial y eliminar su carpeta de perfil SIP de %localappdata%\Microsoft\Office\15.0\Skype for Business antes de intentar iniciar sesión por primera vez con la autenticación en dos fases.

Con el método de autenticación NTLM o Kerberos, las credenciales de Windows de los usuarios se utilizan automáticamente para la autenticación. En una implementación típica de Skype Empresarial Server 2015 donde Kerberos o NTLM se habilitan para la autenticación, los usuarios no tienen que especificar sus credenciales cada vez que inician sesión.

Si se les solicitan de manera no intencionada las credenciales a los usuarios antes de que se les pida especificar su PIN, la clave del Registro DisableNTCredentials puede configurarse de manera no intencionada en los equipos cliente, posiblemente a través de la directiva de grupo.

Para evitar otras solicitudes de credenciales, cree la siguiente entrada de Registro en la estación de trabajo local o use la plantilla administrativa de Skype Empresarial para aplicar a todos los usuarios de un grupo determinado por medio de la directiva de grupo:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync

REG_DWORD: DisableNTCredentials

Valor: 0x0

Cuando un usuario inicia sesión en Skype Empresarial por primera vez, se le pide que guarde su contraseña. Si se selecciona, esta opción permite que el certificado del cliente del usuario se almacene en el almacén de certificados personales y que las credenciales de Windows del usuario se almacenen en el Administrador de credenciales del equipo local.

La configuración del Registro SavePassword necesita deshabilitarse cuando Skype Empresarial está configurado para admitir la autenticación en dos fases. Para impedir que los usuarios guarden sus contraseñas, cambie la siguiente entrada de Registro en la estación de trabajo local o use la plantilla administrativa de Skype Empresarial para aplicar a todos los usuarios de un grupo determinado por medio de la directiva de grupo:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync

REG_DWORD: SavePassword

Valor: 0x0

AD FS 2.0 proporciona una característica que se conoce como detección de reproducción de tokens, con la cual varias solicitudes de tokens que usan el mismo token se pueden detectar y descartar. Cuando esta característica está habilitada, la detección de reproducción de tokens protege la integridad de las solicitudes de autenticación en el perfil pasivo de la federación WS y el perfil de SAML WebSSO asegurándose de que el mismo token nunca se use más de una vez.

Esta característica necesita habilitarse en situaciones donde la seguridad es extremadamente preocupante como cuando se usan quioscos. Para obtener más información acerca de la detección de reproducción token, vea Prácticas recomendadas para proteger planeamiento e implementación de AD FS 2.0.

Estos temas no abordan la configuración de un proxy de ADFS o proxy inverso para admitir la autenticación en dos fases de Skype Empresarial desde redes externas.

 
Mostrar: