Informationen zur Einstellung AllowAdalForNonLyncIndependentOfLync in Skype for Business, Lync 2013 und Exchange Online
Einführung
Dieser Artikel enthält Informationen zur Einstellung AllowAdalForNonLyncIndependentOfLync in Skype for Business 2016, Skype for Business 2015, Lync 2013 und Exchange Online. In diesem Artikel wird auch beschrieben, welche Exchange Online- und Skype for Business-Bereitstellungen diese Einstellung erfordern.
Weitere Informationen
Die Informationen in diesem Artikel helfen IT- und Microsoft 365-Administratoren in den folgenden Szenarien:
- Einrichten von Lync 2013 und Skype for Business Benutzern, die lokal auf Skype for Business Server 2015 oder Lync Server 2013 verwaltet werden sollen.
- Einrichten von Postfächern in Exchange Online in Microsoft 365 mithilfe der modernen Authentifizierung und mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) mit OAuth.
In diesen Szenarien ist die funktionalität in der vorherigen Umgebung wie folgt:
- Die Skype for Business Desktop- und Lync 2013-Clients stellen über NTLM oder das Kerberos-Authentifizierungsprotokoll, einen Benutzernamen und ein Kennwort oder die integrierte Windows-Authentifizierung eine Verbindung mit Skype for Business Server her.
- Nach der Anmeldung stellt Skype for Business oder Lync 2013 mithilfe von Exchange Web Services (EWS) eine Verbindung mit dem Postfach des Benutzers in Exchange Online her. Obwohl der EWS-Dienst OAuth-Einstellungen (der Autorisierungs-URI) ankündigen, ignoriert der Client dies und greift auf eine Nicht-MFA-Anmeldung mithilfe eines OrgID-Kanals zurück. Dadurch werden Anmeldeprotokolle auf einen Benutzernamen und ein Kennwort oder auf die integrierte Windows-Authentifizierung beschränkt.
Mit der neuen Einstellung AllowAdalForNonLyncIndependentOfLync können Skype for Business Desktop- oder Lync 2013-Clients die Blockierung von MFA in Exchange Online in Situationen aufheben, in denen der IT-Administrator MFA für Exchange Online erzwingen muss. Sie können diese neue Einstellung mithilfe von Gruppenrichtlinie in der Windows-Registrierung oder als In-Band-Endpunktrichtlinieneinstellung auf dem Skype for Business-Server anwenden.
Nachdem Sie diese Einstellung auf den Clientcomputer angewendet haben, sieht die Umgebungsfunktionalität wie folgt aus:
- Die Skype for Business Desktop- oder Lync 2013-Clients stellen mithilfe von NTLM oder dem Kerberos-Authentifizierungsprotokoll eine Verbindung mit Skype for Business Server her. Insbesondere sind ein Benutzername und ein Kennwort oder die integrierte Windows-Authentifizierung erforderlich, um eine erfolgreiche Verbindung herzustellen (wie zuvor).
- Nach der Anmeldung stellt Skype for Business oder Lync 2013 eine Verbindung mit Exchange-Webdiensten (EWS) her. Wenn der EWS-Dienst OAuth-Einstellungen (Autorisierungs-URI) ankündigen, verwendet der Client MFA. Wenn eine Aktualisierung der Anmeldeinformationen erforderlich ist, wird der Benutzer darüber hinaus über das Dialogfeld Moderne Authentifizierung aufgefordert.
Hinweis
Diese Einstellung ist für reine Cloudtopologien oder nicht erforderlich, wenn Exchange und Skype for Business für eine Hybridumgebung konfiguriert sind, für die moderne Authentifizierung aktiviert ist. Ausführliche Informationen zu den Topologien finden Sie unter Skype for Business Topologien, die mit der modernen Authentifizierung unterstützt werden.
In einigen Fällen (insbesondere gemischte Topologien 1, Gemischt 3 und Gemischt 5, wie in Skype for Business topologien, die mit moderner Authentifizierung unterstützt werden) müssen Sie den Registrierungsschlüssel AllowADALForNonLynIndependentOfLync für Windows-Desktopclients richtig festlegen.
Wichtig
Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.
Warnung
Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft gibt keinerlei Garantien dafür ab, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.
Verwenden Sie eine der folgenden Methoden, um die Einstellung AllowAdalForNonLyncIndependentOfLync anzuwenden.
Methode 1: Verwenden von Gruppenrichtlinie
Hinweis
Die Option zum Aktivieren dieser Einstellung über Gruppenrichtlinie ist erst verfügbar, nachdem Sie das öffentliche Update (Pu) vom Juli 2015 angewendet haben.
Für Skype for Business- oder Lync 2013-Clients 15.0* (nur ab pu vom September 2015 verfügbar):
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync
Für Skype for Business- oder Lync 2013-Clients 16.0*:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync
Wenden Sie dann die Registrierungsschlüsseleinstellung AllowAdalForNonLyncIndependentOfLync an:
"AllowAdalForNonLyncIndependentOfLync"=dword:00000001
Methode 2: Als In-Band-Einstellung auf dem Lync-Server
Hinweis
Diese Option ist nur bis zum PU vom September verfügbar.
Führen Sie das folgende Cmdlet aus, um die In-Band-Einstellung auf dem Lync-Server zu aktivieren:
$a = New-CsClientPolicyEntry -name AllowAdalForNonLyncIndependentOfLync -value "True"
Set-CsClientPolicy -Identity Global -PolicyEntry @{Add=$a}
Wichtig
Um die moderne Authentifizierung für Office 2013-Anwendungen auf einem Windows-basierten Gerät zu aktivieren, müssen Sie den folgenden zusätzlichen Registrierungsschlüssel festlegen.
| Registrierungsschlüssel | Typ | Wert |
|---|---|---|
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL |
REG_DWORD | 1 |
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version |
REG_DWORD | 1 |
Weitere Informationen zur Einstellung EnableADAL finden Sie auf der folgenden Microsoft-Website:
Aktivieren der modernen Authentifizierung für Office 2013 auf Windows-Geräten
Weitere Informationen zur Skype for Business Desktop-Clientversion für den Modernen Authentifizierungsfluss (Juli-Update) finden Sie im folgenden Knowledge Base-Artikel:
3054946 14. Juli 2015, Update für Lync 2013 (Skype for Business) (KB3054946)
Notizen
- Methode 2 ist für Kunden verfügbar, für die das Lync 2013 (Skype for Business)-Update im oder nach September 2015 veröffentlicht wurde.
- Das gleiche September-Update (oder eine höhere Version) enthält weitere Korrekturen im Zusammenhang mit der modernen Authentifizierung. Kunden sollten planen, nach der Veröffentlichung ein Upgrade darauf durchzuführen.
Benötigen Sie weitere Hilfe? Navigieren Sie zu Microsoft Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für