Управление двухфакторной проверкой подлинности в Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2016-12-20

Краткое содержание. Управление двухфакторной проверкой подлинности в Skype для бизнеса Server 2015.

Двухфакторная проверка подлинности обеспечивает повышенную безопасность и требует от пользователей использования двух критериев проверки подлинности: сочетания пароля и имени пользователя и маркер или сертификата. Это сочетание иногда называют "то, что знаешь" и "то, что имеешь".

Типичным примером двухфакторной проверки подлинности с помощью сертификата может послужить использование смарт-карт. Смарт-карта включает в себя сертификат, связанный с учетной записью пользователя, и проверяется с помощью информации о пользователе и сертификате, хранящейся на сервере. Сервер сравнивает информацию о пользователе (имя пользователя и пароль) с представленным сертификатом, в результате чего происходит проверка учетных данных и определяется подлинность пользователя.

При настройке двухфакторной проверки подлинности в среде Skype для бизнеса Server 2015 следует учитывать сведения, приведенные в следующих разделах.

Накопительные пакеты обновлений для Lync Server 2013: клиент для настольных ПК за июль 2013 г. и Skype для бизнеса являются единственными клиентами, которые поддерживают двухфакторную проверку подлинности.

Пользователям настоятельно рекомендуется развертывать двухфакторную проверку подлинности с использованием выделенного сервера Skype для бизнеса Server 2015, имеющего пограничный сервер, пользовательские пулы и директора. Для включения пассивной проверки подлинности для пользователей Lync необходимо отключить другие способы проверки подлинности для других ролей и служб, включая:

 

Тип конфигурации Тип службы Роль сервера Тип проверки подлинности, который нужно отключить

Веб-служба

Веб-сервер

Директор

Kerberos, NTLM и сертификат

Веб-служба

Веб-сервер

Сервер переднего плана

Kerberos, NTLM и сертификат

Прокси-сервер

Пограничный сервер

Пограничный

Kerberos и NTLM

Прокси-сервер

Регистратор

Сервер переднего плана

Kerberos и NTLM

Пока эти типы проверки подлинности не будут отключены на уровне служб, все другие версии клиента не смогут выполнить успешный вход, поскольку в пределах вашего развертывания включена двухфакторная проверка подлинности.

Чтобы разрешить сервер Skype для бизнеса, не включенный для двухфакторной проверки подлинности, необходимо настроить записи DNS, используемые внутренними или внешними клиентами для обнаружения служб Skype для бизнеса. Это позволит пользователям пулов Skype для бизнеса без включенной двухфакторной проверки подлинности не вводить ПИН-код для проверки подлинности (пользователям пулов Skype для бизнеса с включенной двухфакторной проверкой подлинности придется вводить ПИН-код для проверки подлинности).

Некоторые возможности клиента могут быть недоступны для заказчиков, развернувших двухфакторную проверку подлинности для Microsoft Exchange. Это объясняется тем, что клиент Skype для бизнеса не поддерживает двухфакторную проверку подлинности для возможностей, зависящих от интеграции с Exchange.

После двухфакторной проверки подлинности контакты пользователей Skype для бизнеса, способных использовать универсальное хранилище контактов, могут быть им недоступны.

Во избежание этого перед двухфакторной проверки подлинности следует с помощью командлета Invoke-CsUcsRollback удалить существующие контакты из универсального хранилища и сохранить их в Skype для бизнеса Server 2015.

Пользователи, использующие возможность поиска по навыкам в среде Skype для бизнеса, могут обнаружить, что эта функция не работает при включении в Skype для бизнеса двухфакторной проверки подлинности. Это объясняется тем, что Microsoft SharePoint не поддерживает двухфакторную проверку подлинности.

Есть несколько вопросов по развертыванию, касающиеся сохраненных учетных данных Skype для бизнеса, которые могут оказать влияние на пользователей, использующих возможность двухфакторной проверки подлинности.

Перед первой двухфакторной проверкой подлинности пользователь должен удалить свою папку с SIP-профилем из %localappdata%\Microsoft\Office\15.0\Skype с помощью функции клиента Skype для бизнеса Удалить мои данные для входа .

При использовании способа проверки подлинности Kerberos или NTLM автоматически применяются учетные данные пользователя Windows. В типичном развертывании Skype для бизнеса Server 2015, где для проверки подлинности используется Kerberos или NTLM, пользователям не придется вводить свои учетные данные при каждом входе.

Если у пользователя запрашиваются учетные данные перед появлением запроса ПИН-кода, на клиентском компьютере мог быть случайно настроен раздел реестра DisableNTCredentials (возможно, через групповую политику).

Чтобы исключить появление дополнительных запросов учетных данных, с помощью групповой политики примените ко всем пользователям данного пула административный шаблон Skype для бизнеса или создайте на компьютере следующую запись реестра:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync

REG_DWORD: DisableNTCredentials

Значение: 0x0

При первом входе в Skype для бизнеса система предложит пользователю сохранить пароль. Это позволит пользователю сохранить свой сертификат клиента в хранилище личных сертификатов, а учетные данные Windows — в диспетчере учетных данных на локальном компьютере.

Если в Skype для бизнеса настроено использование двухфакторной проверки подлинности, параметр реестра SavePassword нужно отключить. Чтобы пользователи не могли сохранять свои пароли, с помощью групповой политики примените ко всем пользователям данного пула административный шаблон Skype для бизнеса или измените на компьютере следующую запись реестра:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync

REG_DWORD: SavePassword

Значение: 0x0

AD FS 2.0 обеспечивает функцию обнаружения повтора маркера, которая позволяет обнаружить и отменить ряд запросов, использующих один маркер. Эта функция поддерживает целостность запросов проверки подлинности в пассивном профиле федерации веб-служб и профиле SAML WebSSO, не позволяя использовать один маркер несколько раз.

Функция обнаружения повтора маркера необходима в особо опасных условиях, например в интерактивных терминалах. Дополнительные сведения о функции см. в статье Рекомендации по безопасному планированию и развертыванию AD FS 2.0.

Вопросы о настройке поддержки прокси-сервера ADFS или обратного прокси-сервера двухфакторной проверки подлинности Skype для бизнеса во внешней сети в этих статьях не рассматриваются.

 
Показ: