Планирование двухфакторной проверки подлинности в Lync Server 2013
Последнее изменение раздела: 2015-04-06
Ниже приведен список рекомендаций по развертыванию при настройке среды Microsoft Lync Server 2013 для поддержки двухфакторной проверки подлинности.
Поддержка клиента
Накопительный пакет обновления Lync 2013 Обновления для Lync Server 2013: настольный клиент за июль 2013 г. и все мобильные клиенты в настоящее время поддерживают двухфакторную проверку подлинности.
Требования к топологии
Клиентам настоятельно рекомендуется развернуть двухфакторную проверку подлинности с помощью выделенного Lync Server 2013 с накопительным пакетом Обновления для Lync Server 2013: июль 2013 г. для пограничных серверов, директоров и пулов пользователей. Чтобы включить пассивную проверку подлинности для пользователей Lync, другие методы проверки подлинности должны быть отключены для других ролей и служб, включая следующие:
| Тип конфигурации | Тип службы | Роль сервера | Тип проверки подлинности, который нужно отключить |
|---|---|---|---|
Веб-служба |
Веб-сервер |
Директор |
Kerberos, NTLM и сертификат |
Веб-служба |
Веб-сервер |
Сервер переднего плана |
Kerberos, NTLM и сертификат |
Прокси-сервер |
Пограничный сервер |
Пограничный |
Kerberos и NTLM |
Прокси-сервер |
Регистратор |
Сервер переднего плана |
Kerberos и NTLM |
Если эти типы проверки подлинности не отключены на уровне службы, все остальные версии клиента Lync не смогут успешно войти в систему после включения двухфакторной проверки подлинности в развертывании.
Обнаружение служб Lync
Записи DNS, используемые внутренними и (или) внешними клиентами для обнаружения служб Lync, должны быть настроены для разрешения на сервер Lync, для которого не включена двухфакторная проверка подлинности. При такой конфигурации пользователям из пулов Lync, для которых не включена двухфакторная проверка подлинности, не потребуется вводить ПИН-код для проверки подлинности, а пользователям из пулов Lync, для которых включена двухфакторная проверка подлинности, потребуется ввести ПИН-код для проверки подлинности.
Проверка подлинности Exchange
Клиенты, которые развернули двухфакторную проверку подлинности для Microsoft Exchange, могут обнаружить, что некоторые функции в клиенте Lync недоступны. В настоящее время это по умолчанию, так как клиент Lync не поддерживает двухфакторную проверку подлинности для функций, зависящих от интеграции с Exchange.
Контакты Lync
Пользователи Lync, настроенные для использования функции единого хранилища контактов, будут находить, что их контакты больше не доступны после входа с двухфакторной проверкой подлинности.
Командлет Invoke-CsUcsRollback следует использовать для удаления существующих контактов пользователей из единого хранилища контактов и сохранения их в Lync Server 2013 перед включением двухфакторной проверки подлинности.
Поиск по навыкам
Клиенты, настроив функцию поиска навыков в своей среде Lync, обнаружит, что эта функция не работает, если в Lync включена двухфакторная проверка подлинности. Это объясняется тем, что Microsoft SharePoint не поддерживает двухфакторную проверку подлинности.
Учетные данные Lync
Существует ряд рекомендаций по развертыванию, связанных с сохраненными учетными данными Lync, которые могут повлиять на пользователей, настроенных для использования двухфакторной проверки подлинности.
Удаление сохраненных учетных данных
Пользователи настольных компьютеров должны использовать параметр "Удалить мои данные для входа" в клиенте Lync и удалить папку профиля SIP из папки %localappdata%\Microsoft\Office\15.0\Lync перед первой попыткой входа с помощью двухфакторной проверки подлинности.
Отключение учетных данных NTC
При использовании способа проверки подлинности Kerberos или NTLM автоматически применяются учетные данные пользователя Windows. В типичном развертывании Lync Server 2013, где Kerberos и (или) NTLM включены для проверки подлинности, пользователям не нужно вводить свои учетные данные при каждом входе.
Если у пользователя запрашиваются учетные данные перед появлением запроса ПИН-кода, на клиентском компьютере мог быть случайно настроен раздел реестра DisableNTCredentials (возможно, через групповую политику).
Чтобы избежать дополнительного запроса учетных данных, создайте следующую запись реестра на локальной рабочей станции или используйте административный шаблон Lync для применения ко всем пользователям для заданного пула с помощью групповая политика:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
REG_DWORD: DisableNTCredentials
Значение: 0x0
Сохранение пароля
Когда пользователь впервые входит в Lync, ему предлагается сохранить свой пароль. Это позволит пользователю сохранить свой сертификат клиента в хранилище личных сертификатов, а учетные данные Windows — в диспетчере учетных данных на локальном компьютере.
Параметр реестра SavePassword должен быть отключен, если Lync настроен для поддержки двухфакторной проверки подлинности. Чтобы запретить пользователям сохранять пароли, измените следующую запись реестра на локальной рабочей станции или используйте административный шаблон Lync для применения ко всем пользователям для заданного пула с помощью групповая политика:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Значение: 0x0
Повтор маркера AD FS 2.0
AD FS 2.0 обеспечивает функцию обнаружения повтора маркера, которая позволяет обнаружить и отменить ряд запросов, использующих один маркер. Эта функция поддерживает целостность запросов проверки подлинности в пассивном профиле федерации веб-служб и профиле SAML WebSSO, не позволяя использовать один маркер несколько раз.
Функция обнаружения повтора маркера необходима в особо опасных условиях, например в интерактивных терминалах. Дополнительные сведения об обнаружении воспроизведения маркеров см. в разделе "Рекомендации по безопасному планированию и развертыванию AD FS 2.0" по https://go.microsoft.com/fwlink/p/?LinkId=309215адресу .
Доступ внешнего пользователя
Настройка прокси-сервера AD FS или обратного прокси-сервера для поддержки двухфакторной проверки подлинности Lync из внешних сетей не рассматривается в этих разделах.