Управление двухфакторной проверкой подлинности в Skype для бизнеса Server
Сводка: Управление двухфакторной проверкой подлинности в Skype для бизнеса Server.
Двухфакторная проверка подлинности обеспечивает повышенную безопасность и требует от пользователей использования двух критериев проверки подлинности: сочетания пароля и имени пользователя и маркер или сертификата. Это также известно как "то, что у вас есть, что-то вы знаете".
Типичным примером двухфакторной проверки подлинности с помощью сертификата может послужить использование смарт-карт. Смарт-карта включает в себя сертификат, связанный с учетной записью пользователя, и проверяется с помощью информации о пользователе и сертификате, хранящейся на сервере. Сервер сравнивает информацию о пользователе (имя пользователя и пароль) с представленным сертификатом, в результате чего происходит проверка учетных данных и определяется подлинность пользователя.
При настройке среды Skype для бизнеса Server для поддержки двухфакторной проверки подлинности учитывайте следующие темы.
Поддержка клиента
Накопительный Обновления для Lync Server 2013: классический клиент за июль 2013 г. и клиент Skype для бизнеса являются единственными клиентами, которые в настоящее время поддерживают двухфакторную проверку подлинности.
Требования к топологии
Клиентам рекомендуется развернуть двухфакторную проверку подлинности с помощью выделенных Skype для бизнеса Server с пограничными, директорами и пулами пользователей. Чтобы включить пассивную проверку подлинности для пользователей, другие методы проверки подлинности должны быть отключены для других ролей и служб, включая следующие:
| Тип конфигурации | Тип службы | Роль сервера | Тип проверки подлинности, который нужно отключить |
|---|---|---|---|
| Веб-служба |
Веб-сервер |
Директор |
Kerberos, NTLM и сертификат |
| Веб-служба |
Веб-сервер |
Сервер переднего плана |
Kerberos, NTLM и сертификат |
| Прокси-сервер |
Пограничный сервер |
Пограничный |
Kerberos и NTLM |
| Прокси-сервер |
Регистратор |
Сервер переднего плана |
Kerberos и NTLM |
Пока эти типы проверки подлинности не будут отключены на уровне служб, все другие версии клиента не смогут выполнить успешный вход, поскольку в пределах вашего развертывания включена двухфакторная проверка подлинности.
Обнаружение служб Skype для бизнеса
Записи DNS, используемые внутренними и (или) внешними клиентами для обнаружения служб Skype для бизнеса, должны быть настроены для разрешения на сервер Skype для бизнеса, на который не включена двухфакторная проверка подлинности. В этой конфигурации пользователям из пулов Skype для бизнеса, для которых не включена двухфакторная проверка подлинности, не потребуется вводить ПИН-код для проверки подлинности, а пользователям из пулов Skype для бизнеса, для проверки подлинности которых включена двухфакторная проверка подлинности.
Проверка подлинности Exchange
Клиенты, которые развернули двухфакторную проверку подлинности для Microsoft Exchange, могут обнаружить, что некоторые функции в клиенте недоступны. Это поведение является конструктивным, так как клиент Skype для бизнеса не поддерживает двухфакторную проверку подлинности для функций, зависящих от интеграции Exchange.
Контакты
Skype для бизнеса пользователи, настроенные на использование функции Единого хранилища контактов, обнадут, что их контакты больше не доступны после входа с двухфакторной проверкой подлинности.
Перед включением двухфакторной проверки подлинности следует использовать командлет Invoke-CsUcsRollback, чтобы удалить существующие контакты пользователей из единого хранилища контактов и сохранить их в Skype для бизнеса Server.
Поиск по навыкам
Клиенты, настроившие функцию поиска навыков в Skype для бизнеса среде, обнайдут, что эта функция не работает, если Skype для бизнеса включена двухфакторная проверка подлинности. Это объясняется тем, что Microsoft SharePoint не поддерживает двухфакторную проверку подлинности.
Учетные данные
Существует ряд рекомендаций по развертыванию, связанных с сохраненными Skype для бизнеса учетными данными, которые могут повлиять на пользователей, настроенных на использование двухфакторной проверки подлинности.
Удаление сохраненных учетных данных
Пользователи должны использовать параметр Удалить сведения для входа в клиенте Skype для бизнеса и удалить папку профиля SIP из %localappdata%\Microsoft\Office\15.0\Skype для бизнеса, прежде чем пытаться подписаться в первый раз с помощью двухфакторной проверки подлинности.
Отключение учетных данных NTC
При использовании метода проверки подлинности Kerberos или NTLM учетные данные Windows пользователя автоматически используются для проверки подлинности. В типичном Skype для бизнеса Server развертывании, где kerberos и (или) NTLM включены для проверки подлинности, пользователям не нужно вводить свои учетные данные при каждом входе.
Если у пользователя запрашиваются учетные данные перед появлением запроса ПИН-кода, на клиентском компьютере мог быть случайно настроен раздел реестра DisableNTCredentials (возможно, через групповую политику).
Чтобы запретить дополнительный запрос учетных данных, создайте следующую запись реестра на локальной рабочей станции или используйте административный шаблон Skype для бизнеса для применения ко всем пользователям данного пула с помощью групповая политика:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
REG_DWORD: DisableNTCredentials
Значение: 0x0
Сохранение пароля
Когда пользователь впервые входит в Skype для бизнеса, ему будет предложено сохранить свой пароль. Если этот параметр выбран, сертификат клиента пользователя можно хранить в личном хранилище сертификатов, а учетные данные пользователя Windows — в диспетчере учетных данных локального компьютера.
Параметр реестра SavePassword должен быть отключен, если Skype для бизнеса настроен для поддержки двухфакторной проверки подлинности. Чтобы запретить пользователям сохранять пароли, измените следующую запись реестра на локальной рабочей станции или используйте административный шаблон Skype для бизнеса, чтобы применить к всем пользователям данного пула с помощью групповая политика:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Значение: 0x0
Повтор маркера AD FS 2.0
AD FS 2.0 обеспечивает функцию обнаружения повтора маркера, которая позволяет обнаружить и отменить ряд запросов, использующих один маркер. Эта функция поддерживает целостность запросов проверки подлинности в пассивном профиле федерации веб-служб и профиле SAML WebSSO, не позволяя использовать один маркер несколько раз.
Функция обнаружения повтора маркера необходима в особо опасных условиях, например в интерактивных терминалах. Дополнительные сведения об обнаружении воспроизведения маркеров см. в разделе Рекомендации по безопасному планированию и развертыванию AD FS 2.0.
Доступ гостевых пользователей
Настройка прокси-сервера ADFS или обратного прокси-сервера для поддержки Skype для бизнеса двухфакторной проверки подлинности из внешних сетей не рассматривается в этих разделах.
См. также
Настройка двухфакторной проверки подлинности в Skype для бизнеса Server