Skype for Business topologies supported with Modern Authentication
En este artículo se indican las topologías en línea y locales que son compatibles con la autenticación moderna de Skype Empresarial, así como las características de seguridad que se aplican a cada topología.
Autenticación moderna en Skype Empresarial
Skype Empresarial puede aprovechar las ventajas en seguridad que proporciona la autenticación moderna. Como Skype Empresarial funciona estrechamente con Exchange, el comportamiento de inicio de sesión Skype Empresarial los usuarios del cliente también se verán afectados por el estado de la dirección de usuario de Exchange. Lo mismo sucederá si tiene un híbrido de dominio dividido de Skype Empresarial. Esto supone una gran cantidad de piezas que se pueden cambiar, pero el objetivo es crear una lista de las topologías compatibles que sea muy fácil de visualizar.
Para Skype Empresarial, Skype Empresarial Online, Exchange Server y Exchange Online, ¿qué topologías serán compatibles con MA?
Topologías compatibles con MA en Skype Empresarial
Es posible que haya dos aplicaciones de servidor y dos cargas de trabajo de Microsoft 365 o Office 365, relacionadas con Skype Empresarial topologías usadas por MA.
servidor Skype Empresarial (CU 5) local
Skype Empresarial Online (SFBO)
Exchange Server local
Exchange Server Online (EXO)
Otra parte importante de MA es saber dónde tendrá lugar la autenticación (authN) y la autorización (authZ) de los usuarios. Las dos opciones son:
id. de Microsoft Entra, en línea en Microsoft Cloud
Servidor de federación de Active Directory (ADFS) local
Así que se ve un poco así, con EXO y SFBO en la nube con id. de Microsoft Entra, y Exchange Server (EXCH) y Skype Empresarial servidor (SFB) local.
Estas son las topologías compatibles. Tenga en cuenta estos puntos clave para interpretar los gráficos:
Si el icono está atenuado o gris, no se usa en el escenario.
EXO es Exchange Online.
SFBO es Skype Empresarial Online.
EXCH es Exchange local.
SFB es Skype Empresarial local.
Los servidores de autorización se representan mediante triángulos, por ejemplo, el id. de Microsoft Entra es un triángulo con una nube detrás de él.
Las flechas apuntan al servidor de autorización que se utilizará cuando los clientes intenten llegar al recurso de servidor especificado.
En primer lugar, vamos a cubrir MA con Skype Empresarial en las topologías de solo local o solo nube.
Importante
¿Está listo para configurar la autenticación moderna en Skype Empresarial Online? Los pasos para habilitar esta característica están aquí.
Nombre de topología |
Ejemplo |
Descripción |
Compatible |
---|---|---|---|
Solo nube |
Usuarios alojados o buzones ubicados: En línea |
MA está activado tanto para EXO como para SFBO. Por lo tanto, el servidor de autorización es Microsoft Entra ID. |
Autenticación multifactor (MFA), autenticación basada en certificados de cliente (CBA), acceso condicional (CA)/Administración de aplicaciones móviles (MAM) con Intune. * |
Solo local |
Usuarios alojados o buzones ubicados: Local |
MA está activado para SFB local. Por lo tanto, el servidor de autorización es ADFS. Para obtener más información sobre la configuración, consulte este artículo. |
MFA (escritorio de Windows solo: los clientes móviles no son compatibles). No hay ninguna característica de integración de Exchange. No recomendamos este enfoque. Consulta aquí: https://aka.ms/ModernAuthOverview |
Importante
Se recomienda que el estado de MA sea el mismo en Skype Empresarial y Exchange (y sus homólogos en línea) para reducir el número de mensajes.
Las topologías mixtas implican combinaciones de híbridos de dominio dividido de SFB. Estas son las topologías mixtas que son compatibles en este momento:
Nombre de topología |
Ejemplo |
Descripción |
Compatible |
---|---|---|---|
Mixta 1 |
Usuarios hospedados/buzones ubicados: EXO y SFB |
MA no está habilitado para SFB; no hay ninguna característica de MA para SFB disponible en esta topología. |
No hay ninguna característica de MA para SFB. |
Mixta 2 |
Usuarios hospedados/buzones ubicados: EXCH y SFBO |
MA está activado solo para SFBO. El servidor de autorización es Microsoft Entra ID para los usuarios alojados en SFBO, pero AD para EXCH local. |
MFA, CBA, CA/MAM con Intune. |
Mixta 3 |
Usuarios hospedados/buzones ubicados: EXO + SFB o EXCH + SFB |
No hay ninguna característica de MA para SFB disponible en esta topología. |
No hay ninguna característica de MA para SFB. |
Mixta 4 |
Usuarios hospedados/buzones ubicados: EXCH +SFBO o EXCH + SFB |
EL MA está encendido para SFBO, por lo tanto el servidor de autorización es Microsoft Entra ID para los usuarios alojados en SFBO. Los usuarios en local en SFB y EXO usan AD. |
MFA, CBA, CA/MAM con Intune solo para usuarios en línea. |
Mixta 5 |
Usuarios hospedados/buzones ubicados: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB |
MA está encendido tanto en EXO como en SFBO, por lo tanto el servidor de autorización es Microsoft Entra ID para los usuarios alojados en SFBO; los usuarios en local en EXCH y SFB utilizan AD. |
MFA, CBA, CA/MAM con Intune solo para usuarios en línea. |
Mixta 6 |
Usuarios hospedados/buzones ubicados: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB |
MA está en todas partes, por lo tanto, el servidor de autorización es Microsoft Entra id. para todos los usuarios. (en línea y local) https://aka.ms/ModernAuthOverview Consulte los pasos de implementación. |
MFA, CBA y CA/MAM (a través de Intune) para todos los usuarios. |
* - MFA incluye el escritorio de Windows, MAC, dispositivos iOS, Android y Windows Phone; CBA incluye el escritorio de Windows, dispositivos iOS y Android; CA/MAM con Intune, incluye dispositivos Android y iOS.
Importante
Es muy importante tener en cuenta que los usuarios pueden ver varios mensajes en algunos casos, sobre todo donde el estado de MA no es el mismo en todos los recursos de los servidores que los clientes pueden necesitar y solicitar, como es el caso de todas las versiones de las topologías mixtas.
Importante
Tenga en cuenta también que en algunos casos (mixto 1, 3 y 5 específicamente) una clave de registro AllowADALForNonLyncIndependentOfLync debe establecerse para una configuración adecuada para los clientes de escritorio de Windows.