Топологии Skype для бизнеса, поддерживаемые современной проверкой подлинности

Skype for Business Server 2015
 

Дата изменения раздела:2017-08-16

В этой статье перечислены облачные и локальные топологии, которые поддерживает современная проверка подлинности в Skype для бизнеса, а также средства безопасности, применимые к каждой из них.

В Skype для бизнеса можно использовать преимущества современной проверки подлинности. Поскольку Skype для бизнеса тесно работает с Exchange, на поведение при входе, которое будут наблюдать пользователи клиента Skype для бизнеса, также влияет состояние современной проверки подлинности в Exchange. Это также применимо, если используется гибридное развертывание Skype для бизнеса с разделенными доменами. Переменных компонентов очень много, но в данном случае целью является упрощенное представление списка поддерживаемых топологий.

Какие топологии поддерживаются современной проверкой подлинности в Skype для бизнеса, Skype для бизнеса Online, Exchange Server и Exchange Online?

tipСовет.
Не знаете, что такое современная проверка подлинности? Ничего страшного. В этой статье Skype для бизнеса все объясняется в первом же абзаце.

Существуют два возможных серверных приложения и две рабочие нагрузки Office 365, связанные с топологиями Skype для бизнеса, которые использует современная проверка подлинности.

  • Локальный сервер Skype для бизнеса Server 2015 (CU 5)

  • Skype для бизнеса Online (SFBO)

  • Локальный сервер Exchange Server

  • Exchange Server Online (EXO)

Кроме того, для современной проверки подлинности важно знать, где будут проходить проверка подлинности (authN) и авторизация (authZ) пользователей. Существует два варианта.

  • Azure AD, по сети в Microsoft Cloud

  • Локальный сервер федерации Active Directory (ADFS)

Схема выглядит примерно так: EXO и SFBO используются в облаке с Azure AD, а Exchange Server (EXCH) и Skype для бизнеса Server 2015 (SFB) — локально.

Пример всех приложений (Exchange и Skype для бизнеса) и рабочих нагрузок (EXO и SFBO), а также обоих серверов авторизации (ADFS и evoSTS), которые могут использоваться при включении MA.

Ниже представлены поддерживаемые топологии. В графиках топологий используются следующие условные обозначения.

  • EXO — Exchange Online.

  • SFBO — Skype для бизнеса Online.

  • EXCH — локальный сервер Exchange.

  • SFB — локальный сервер Skype для бизнеса.

  • Выполняющие авторизацию серверы представлены треугольниками, например, Azure AD — это треугольник с облаком на заднем плане.

  • Стрелки указывают на сервер авторизации, который будет использоваться при попытке клиентов получить доступ к заданному серверному ресурсу.

Сначала рассмотрим современную проверку подлинности с Skype для бизнеса в обеих топологиях: с использованием локально и в облаке.

importantВажно!
Готовы настроить современную проверку подлинности в Skype для бизнеса Online? Инструкции по включению этой функции приведены здесь.

 

Имя топологии

Пример

Описание

Поддерживается

Только в облаке

Поддерживается SFB с топологией MA, только облако.

Пользователи/почтовые ящики находятся: в Интернете

Современная проверка подлинности включена для EXO и SFBO.

Сервер авторизации — Azure AD.

Многофакторная проверка подлинности (MFA), проверка подлинности на основе сертификата клиента (CBA), условный доступ (CA)/управление мобильными приложениями (MAM) с Intune. *

Только на локальном сервере

Поддерживается SFB с топологией MA, только локальная версия.

Пользователи/почтовые ящики находятся: на локальном сервере

Современная проверка подлинности включена для локального сервера SFB.

Сервер авторизации — ADFS.

MFA (только для рабочих столов Windows, мобильные клиенты не поддерживаются). Функции интеграции с Exchange отсутствуют.

importantВажно!
Рекомендуется использовать одно состояние современной проверки подлинности в Skype для бизнеса и Exchange (а также их эквивалентах в сети), чтобы сократить количество запросов.

Смешанные топологии включают в себя комбинации гибридных развертываний SFB с разделенными доменами. В настоящее время поддерживаются следующие смешанные топологии.

 

Имя топологии

Пример

Описание

Поддерживается

Смешанная топология 1

Поддерживается SFB с топологией MA, Mixed 1 (EXO+SFB).

Пользователи/почтовые ящики находятся: в EXO и SFB

Современная проверка подлинности не включена для SFB. В этой топологии недоступны функции современной проверки подлинности для SFB.

Функции современной проверки подлинности недоступны для SFB.

Смешанная топология 2

Поддерживается MA с комбинированной топологией S4B 2, SFBO и MA, работающая с локальной версией EXCH.

Пользователи/почтовые ящики находятся: EXCH и SFBO

Современная проверка подлинности включена только для SFBO. Для пользователей, находящихся в SFBO, применяется сервер авторизации Azure AD, а для локального сервера EXCH используется ADFS.

MFA, CBA, CA/MAM с Intune.*

Смешанная топология 3

Поддерживаются MA с SFB, EXO с включенной MA и локальные версии EXCH и SFB.

Пользователи/почтовые ящики находятся: в EXO + SFB или EXCH + SFB

В этой топологии недоступны функции современной проверки подлинности для SFB.

Функции современной проверки подлинности недоступны для SFB.

Смешанная топология 4

Поддерживаются MA с SFB, SFBO с включенной MA, а также EXCH и SFB.

Пользователи/почтовые ящики находятся: в EXCH +SFBO или EXCH + SFB

Современная проверка подлинности включена для SFBO. Для пользователей в SFBO используется сервер авторизации Azure AD. Локальные пользователи в SFB и EXO используют ADFS.

MFA, CBA, CA/MAM с Intune только для пользователей в сети.*

Смешанная топология 5

Поддерживаются MA в SFB, EXO с MA и SFBO с MA, а также локальные версии EXCH и SFB.

Пользователи/почтовые ящики находятся: в EXO + SFBO, EXO + SFB, EXCH + SFBO или EXCH + SFB

Современная проверка подлинности включена для EXO и SFBO. Для пользователей в SFBO используется сервер авторизации Azure AD, а для локальных пользователей в EXCH и SFB используется ADFS.

MFA, CBA, CA/MAM с Intune только для пользователей в сети.*

* MFA включается для рабочего стола Windows, устройств на базе MAC, iOS и Android, а также в ОС Windows Phone; CBA включается для рабочего стола Windows, а также устройств iOS и Android; CA/MAM с Intune включены на устройствах Android и iOS.

importantВажно!
Очень важно отметить, что в некоторых случаях пользователи могут получать несколько запросов , особенно когда состояние современной проверки подлинности не одинаковое для различных ресурсов сервера, которые могут потребоваться клиентам и которые они могут запрашивать (как в случае со всеми версиями смешанных топологий).
Кроме того, обратите внимание, что в некоторых случаях (особенно для смешанных топологий 1 и 2) раздел реестра AllowADALForNonLynIndependentOfLync должен быть настроен для правильной конфигурации для клиентов рабочих столов Windows.
 
Показ: