Skype for Business topologies supported with Modern Authentication

  • Artículo

En este artículo se indican las topologías en línea y locales que son compatibles con la autenticación moderna de Skype Empresarial, así como las características de seguridad que se aplican a cada topología.

Autenticación moderna en Skype Empresarial

Skype Empresarial puede aprovechar las ventajas en seguridad que proporciona la autenticación moderna. Como Skype Empresarial funciona estrechamente con Exchange, el comportamiento de inicio de sesión Skype Empresarial los usuarios del cliente también se verán afectados por el estado de la dirección de usuario de Exchange. Lo mismo sucederá si tiene un híbrido de dominio dividido de Skype Empresarial. Esto supone una gran cantidad de piezas que se pueden cambiar, pero el objetivo es crear una lista de las topologías compatibles que sea muy fácil de visualizar.

Para Skype Empresarial, Skype Empresarial Online, Exchange Server y Exchange Online, ¿qué topologías serán compatibles con MA?

Topologías compatibles con MA en Skype Empresarial

Es posible que haya dos aplicaciones de servidor y dos cargas de trabajo de Microsoft 365 o Office 365, relacionadas con Skype Empresarial topologías usadas por MA.

  • servidor Skype Empresarial (CU 5) local

  • Skype Empresarial Online (SFBO)

  • Exchange Server local

  • Exchange Server Online (EXO)

Otra parte importante de MA es saber dónde tendrá lugar la autenticación (authN) y la autorización (authZ) de los usuarios. Las dos opciones son:

  • id. de Microsoft Entra, en línea en Microsoft Cloud

  • Servidor de federación de Active Directory (ADFS) local

Así que se ve un poco así, con EXO y SFBO en la nube con id. de Microsoft Entra, y Exchange Server (EXCH) y Skype Empresarial servidor (SFB) local.

Un ejemplo de todas las aplicaciones (Exchange y Skype Empresarial) y las cargas de trabajo (EXO y SFBO), así como de los servidores de autorización (ADFS y evoSTS) que puedan estar involucrados cuando se activa MA.

Estas son las topologías compatibles. Tenga en cuenta estos puntos clave para interpretar los gráficos:

  • Si el icono está atenuado o gris, no se usa en el escenario.

  • EXO es Exchange Online.

  • SFBO es Skype Empresarial Online.

  • EXCH es Exchange local.

  • SFB es Skype Empresarial local.

  • Los servidores de autorización se representan mediante triángulos, por ejemplo, el id. de Microsoft Entra es un triángulo con una nube detrás de él.

  • Las flechas apuntan al servidor de autorización que se utilizará cuando los clientes intenten llegar al recurso de servidor especificado.

En primer lugar, vamos a cubrir MA con Skype Empresarial en las topologías de solo local o solo nube.

Importante

¿Está listo para configurar la autenticación moderna en Skype Empresarial Online? Los pasos para habilitar esta característica están aquí.

Nombre de topología
 Ejemplo
 Descripción
 Compatible
Solo nube
 SFB compatible con topología MA, nube solamente.Usuarios alojados o buzones ubicados: En línea
 MA está activado tanto para EXO como para SFBO.
Por lo tanto, el servidor de autorización es Microsoft Entra ID.
Autenticación multifactor (MFA), autenticación basada en certificados de cliente (CBA), acceso condicional (CA)/Administración de aplicaciones móviles (MAM) con Intune. *
Solo local
 SFB compatible con topología MA, solo local.Usuarios alojados o buzones ubicados: Local
 MA está activado para SFB local.
Por lo tanto, el servidor de autorización es ADFS.
Para obtener más información sobre la configuración, consulte este artículo.
MFA (escritorio de Windows solo: los clientes móviles no son compatibles). No hay ninguna característica de integración de Exchange.

No recomendamos este enfoque. Consulta aquí: https://aka.ms/ModernAuthOverview

Importante

Se recomienda que el estado de MA sea el mismo en Skype Empresarial y Exchange (y sus homólogos en línea) para reducir el número de mensajes.

Las topologías mixtas implican combinaciones de híbridos de dominio dividido de SFB. Estas son las topologías mixtas que son compatibles en este momento:

Nombre de topología
 Ejemplo
 Descripción
 Compatible
Mixta 1
 SFB compatible con topología de MA, Mixto 1 (EXO + SFB).
Usuarios hospedados/buzones ubicados: EXO y SFB
 MA no está habilitado para SFB; no hay ninguna característica de MA para SFB disponible en esta topología.
No hay ninguna característica de MA para SFB.
Mixta 2
 MA compatible con la topología 2 mixta de S4B, SFBO más MA trabajando con EXCH local.
Usuarios hospedados/buzones ubicados: EXCH y SFBO
 MA está activado solo para SFBO. El servidor de autorización es Microsoft Entra ID para los usuarios alojados en SFBO, pero AD para EXCH local.
MFA, CBA, CA/MAM con Intune.
Mixta 3
 MA compatible con SFB, EXO con MA activado, además de EXCH y SFB local.
Usuarios hospedados/buzones ubicados: EXO + SFB o EXCH + SFB
 No hay ninguna característica de MA para SFB disponible en esta topología.
 No hay ninguna característica de MA para SFB.
Mixta 4
 MA compatible con SFB, SFBO con MA activado, además de EXCH y SFB.
Usuarios hospedados/buzones ubicados: EXCH +SFBO o EXCH + SFB
EL MA está encendido para SFBO, por lo tanto el servidor de autorización es Microsoft Entra ID para los usuarios alojados en SFBO. Los usuarios en local en SFB y EXO usan AD.
MFA, CBA, CA/MAM con Intune solo para usuarios en línea.
Mixta 5
 MA compatible en SFB, EXO con MA y SFBO con MA, además de EXCH y SFB local.
Usuarios hospedados/buzones ubicados: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB
 MA está encendido tanto en EXO como en SFBO, por lo tanto el servidor de autorización es Microsoft Entra ID para los usuarios alojados en SFBO; los usuarios en local en EXCH y SFB utilizan AD.
MFA, CBA, CA/MAM con Intune solo para usuarios en línea.
Mixta 6
 Eu una topología 6 mixta, la autenticación moderna está activada en las cuatro ubicaciones posibiles, que es la situación ideal en lo que se refiere a autenticación moderna.
Usuarios hospedados/buzones ubicados: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB
 MA está en todas partes, por lo tanto, el servidor de autorización es Microsoft Entra id. para todos los usuarios. (en línea y local)
https://aka.ms/ModernAuthOverview Consulte los pasos de implementación.
MFA, CBA y CA/MAM (a través de Intune) para todos los usuarios.

* - MFA incluye el escritorio de Windows, MAC, dispositivos iOS, Android y Windows Phone; CBA incluye el escritorio de Windows, dispositivos iOS y Android; CA/MAM con Intune, incluye dispositivos Android y iOS.

Importante

Es muy importante tener en cuenta que los usuarios pueden ver varios mensajes en algunos casos, sobre todo donde el estado de MA no es el mismo en todos los recursos de los servidores que los clientes pueden necesitar y solicitar, como es el caso de todas las versiones de las topologías mixtas.

Importante

Tenga en cuenta también que en algunos casos (mixto 1, 3 y 5 específicamente) una clave de registro AllowADALForNonLyncIndependentOfLync debe establecerse para una configuración adecuada para los clientes de escritorio de Windows.