비즈니스용 Skype 서버 2단계 인증 관리
요약: 비즈니스용 Skype 서버 2단계 인증을 관리합니다.
2단계 인증은 사용자에게 두 가지 형태의 인증 또는 식별, 즉 사용자 이름/암호 조합과 토큰 또는 인증서를 제공하도록 요구하여 향상된 보안을 제공합니다. 이를 "가지고 있는 것, 알고 있는 것"이라고도 합니다.
인증서를 사용한 2단계 인증의 일반적인 예는 스마트 카드를 사용하는 것입니다. 스마트 카드 사용자 계정과 연결된 인증서를 포함하며 서버에 저장된 사용자 및 인증서 정보에 대해 유효성을 검사할 수 있습니다. 서버는 사용자 정보(사용자 이름 및 암호)를 제공된 인증서와 비교하여 자격 증명의 유효성을 검사하고 사용자를 인증합니다.
2단계 인증을 지원하도록 비즈니스용 Skype 서버 환경을 구성할 때 다음 주제를 고려합니다.
클라이언트 지원
Lync Server 2013의 누적 업데이트: 2013년 7월 데스크톱 클라이언트와 Skype for Business 클라이언트는 현재 2단계 인증을 지원하는 유일한 클라이언트입니다.
토폴로지 요구 사항
고객은 Edge, Director 및 사용자 풀에서 전용 비즈니스용 Skype 서버 사용하여 2단계 인증을 배포하는 것이 좋습니다. 사용자에 대해 수동 인증을 사용하도록 설정하려면 다음을 포함한 다른 역할 및 서비스에 대해 다른 인증 방법을 사용하지 않도록 설정해야 합니다.
| 구성 유형 | 서비스 유형 | 서버 역할 | 사용하지 않도록 설정할 인증 유형 |
|---|---|---|---|
| 웹 서비스 |
웹서버에 |
Director |
Kerberos, NTLM 및 인증서 |
| 웹 서비스 |
웹서버에 |
프런트 엔드 |
Kerberos, NTLM 및 인증서 |
| 프록시 |
EdgeServer |
가장자리 |
Kerberos 및 NTLM |
| 프록시 |
등록자 |
프런트 엔드 |
Kerberos 및 NTLM |
이러한 인증 유형을 서비스 수준에서 사용하지 않도록 설정하지 않으면 배포 내에서 2단계 인증을 사용하도록 설정하면 다른 모든 버전의 클라이언트가 성공적으로 로그인할 수 없습니다.
Skype for Business 서비스 검색
내부 및/또는 외부 클라이언트가 Skype for Business 서비스를 검색하는 데 사용하는 DNS 레코드는 2단계 인증을 사용할 수 없는 Skype for Business 서버로 resolve 구성해야 합니다. 이 구성을 사용하면 2단계 인증에 대해 사용하도록 설정되지 않은 Skype for Business 풀의 사용자는 인증을 위해 PIN을 입력할 필요가 없지만 2단계 인증을 사용하도록 설정된 Skype for Business 풀의 사용자는 인증을 위해 PIN을 입력해야 합니다.
Exchange 인증
Microsoft Exchange에 대해 2단계 인증을 배포한 고객은 클라이언트의 특정 기능을 사용할 수 없다는 것을 알 수 있습니다. 이 동작은 Skype for Business 클라이언트가 Exchange 통합에 종속된 기능에 대해 2단계 인증을 지원하지 않기 때문에 의도적으로 수행됩니다.
연락처
통합 연락처 저장소 기능을 활용하도록 구성된 Skype for Business 사용자는 2단계 인증으로 로그인한 후 더 이상 연락처를 사용할 수 없다는 것을 알게 됩니다.
Invoke-CsUcsRollback cmdlet을 사용하여 통합 연락처 저장소에서 기존 사용자 연락처를 제거하고 2단계 인증을 사용하도록 설정하기 전에 비즈니스용 Skype 서버 저장해야 합니다.
기술 검색
Skype for Business 환경에서 Skill Search 기능을 구성한 고객은 Skype for Business 2단계 인증을 사용하도록 설정된 경우 이 기능이 작동하지 않는다는 것을 알게 됩니다. 이는 Microsoft SharePoint가 현재 2단계 인증을 지원하지 않기 때문에 의도적으로 수행됩니다.
자격 증명
2단계 인증을 사용하도록 구성된 사용자에게 영향을 미칠 수 있는 저장된 Skype for Business 자격 증명과 관련된 여러 배포 고려 사항이 있습니다.
저장된 자격 증명 삭제
사용자는 Skype for Business 클라이언트에서 내 로그인 정보 삭제 옵션을 사용하고 2단계 인증을 사용하여 처음으로 서명하기 전에 %localappdata%\Microsoft\Office\15.0\Skype for Business SIP 프로필 폴더를 삭제해야 합니다.
DisableNTCredentials
Kerberos 또는 NTLM 인증 방법을 사용하면 사용자의 Windows 자격 증명이 인증에 자동으로 사용됩니다. 인증을 위해 Kerberos 및/또는 NTLM이 사용하도록 설정된 일반적인 비즈니스용 Skype 서버 배포에서는 사용자가 로그인할 때마다 자격 증명을 입력할 필요가 없습니다.
PIN을 입력하라는 메시지가 표시되기 전에 사용자에게 의도치 않게 자격 증명을 묻는 메시지가 표시되면 그룹 정책 통해 클라이언트 컴퓨터에서 DisableNTCredentials 레지스트리 키가 의도치 않게 구성될 수 있습니다.
자격 증명에 대한 추가 프롬프트를 방지하려면 로컬 워크스테이션에서 다음 레지스트리 항목을 만들거나 Skype for Business 관리 템플릿을 사용하여 그룹 정책 사용하여 지정된 풀의 모든 사용자에게 적용합니다.
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
REG_DWORD: DisableNTCredentials
값: 0x0
SavePassword
사용자가 처음으로 Skype for Business 로그인하면 사용자에게 암호를 저장하라는 메시지가 표시됩니다. 이 옵션을 선택하면 사용자의 클라이언트 인증서를 개인 인증서 저장소에 저장하고 사용자의 Windows 자격 증명을 로컬 컴퓨터의 자격 증명 관리자에 저장할 수 있습니다.
2단계 인증을 지원하도록 Skype for Business 구성된 경우 SavePassword 레지스트리 설정을 사용하지 않도록 설정해야 합니다. 사용자가 암호를 저장하지 못하도록 하려면 로컬 워크스테이션에서 다음 레지스트리 항목을 변경하거나 Skype for Business 관리 템플릿을 사용하여 그룹 정책 사용하여 지정된 풀의 모든 사용자에게 적용합니다.
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
값: 0x0
AD FS 2.0 토큰 재생
AD FS 2.0은 동일한 토큰을 사용하는 여러 토큰 요청을 검색한 다음 삭제할 수 있는 토큰 재생 검색이라는 기능을 제공합니다. 이 기능을 사용하도록 설정하면 토큰 재생 검색은 동일한 토큰이 두 번 이상 사용되지 않도록 하여 WS-Federation 수동 프로필과 SAML WebSSO 프로필 모두에서 인증 요청의 무결성을 보호합니다.
이 기능은 키오스크를 사용하는 경우와 같이 보안이 매우 중요한 상황에서 사용하도록 설정해야 합니다. 토큰 재생 검색에 대한 자세한 내용은 AD FS 2.0의 보안 계획 및 배포 모범 사례를 참조하세요.
게스트 사용자 액세스
외부 네트워크에서 Skype for Business 2단계 인증을 지원하도록 ADFS 프록시 또는 역방향 프록시를 구성하는 것은 이러한 topics 다루지 않습니다.