Skype for Business topologies supported with Modern Authentication
この記事では、どのオンラインおよびオンプレミス トポロジが Skype for Business での先進認証でサポートされるかを、各トポロジに適用されるセキュリティ機能とともに一覧表示します。
Skype for Business での先進認証
Skype for Business は先進認証のセキュリティ上の長所を活用します。 Skype for Businessは Exchange と密接に連携するため、クライアント ユーザー Skype for Businessログイン動作も Exchange の MA 状態の影響を受けます。 これは、Skype for Business の分割ドメイン ハイブリッドを利用している場合にも適用されます。 これは動きのある部分が多いですが、ここでの目的としてはサポートされるトポロジを簡単に見ることができる一覧を提供することです。
Skype for Business、Skype for Business Online、Exchange Server、Exchange Online の場合に、どのトポロジが MA でサポートされますか?
Skype for Business でサポートされる MA トポロジ
MA で使用されるSkype for Business トポロジには、2 つのサーバー アプリケーションと、2 つの Microsoft 365 または Office 365 ワークロードが含まれる可能性があります。
Skype for Business サーバー (CU 5) オンプレミス
Skype for Business Online (SFBO)
Exchange Server オンプレミス
Exchange Server Online (EXO)
MA のもう 1 つの重要な部分は、ユーザーの認証 (authN) と承認 (authZ) がどこで発生するかを理解していることです。 次の 2 つのオプションがあります。
Microsoft Entra ID(Microsoft Cloud でオンライン)
Active Directory フェデレーション サーバー (ADFS) オンプレミス
そのため、MICROSOFT ENTRA ID を持つクラウドの EXO と SFBO と、Exchange Server (EXCH) と Skype for Business サーバー (SFB) on-prem では、少しこのように見えます。
サポートされるトポロジを以下に示します。 これらの図では、次の重要な点に注意してください。
薄い、またはグレー表示のアイコンは、シナリオで使用されていません。
EXO は Exchange Online です。
SFBO は Skype for Business Online です。
EXCH は Exchange オンプレミスです。
SFB は Skype for Business オンプレミスです。
承認サーバーは三角形で表されます。たとえば、Microsoft Entra ID は、背後にクラウドがある三角形です。
矢印は、クライアントが指定されたサーバー リソースに到達しようと試みるときに使用する認証サーバーを指します。
最初に、オンプレミスのみ、クラウドのみの両方のトポロジの Skype for Business での MA について見ていきましょう。
重要
Skype for Business Online で先進認証を設定する準備はできましたか? この機能を有効にする手順は 次のとおりです。
| トポロジの名前 |
例 |
説明 |
サポート対象 |
|---|---|---|---|
| クラウドのみ |
 ホーム/メールボックスが配置されているユーザー: オンライン |
MA は EXO と SFBO の両方でオンです。 そのため、承認サーバーは ID Microsoft Entra。 |
多要素認証 (MFA)、クライアント証明書を使用した認証 (CBA)、Intune での条件付きアクセス (CA)/モバイル アプリケーション管理 (MAM)。 * |
| オンプレミスのみ |
 ホーム/メールボックスが配置されているユーザー: オンプレミス |
MA が SFB オンプレミスでオンになります。 このため、認証サーバーは ADFS です。 構成の詳細については、こちらの記事を参照してください。 |
MFA (Windows デスクトップのみ - モバイル クライアントはサポートされていません)。 Exchange 統合機能はありません。 この方法はお勧めしません。 こちらを参照してください。 https://aka.ms/ModernAuthOverview |
重要
プロンプトの数を減らせるように、Skype for Business と Exchange (およびその他のオンライン上の同等製品) にわたり MA の状態が同じであることを推奨します。
混合トポロジでは、SFB 分割ドメインのハイブリッドの組み合わせが含まれます。 現在サポートされている混合トポロジを以下に示します。
| トポロジの名前 |
例 |
説明 |
サポート対象 |
|---|---|---|---|
| 混合 1 |
 ユーザーの所属/メールボックスの場所: EXO および SFB |
MA は SFB で有効ではありません。このトポロジで利用できる SFB の MA 機能はありません。 |
SFB の MA 機能はサポート対象外です。 |
| 混合 2 |
 ユーザーの所属/メールボックスの場所: EXCH および SFB |
MA は SFBO のみでオンになります。 承認サーバーは、SFBO に所属するユーザーにはMicrosoft Entra ID ですが、オンプレミスの EXCH の場合は AD です。 |
MFA、CBA、Intune での CA/MAM。* |
| 混合 3 |
 ユーザーの所属/メールボックスの場所: EXO + SFB または EXCH + SFB |
このトポロジでは利用できる SFB の MA 機能はありません |
SFB の MA 機能はサポート対象外です。 |
| 混合 4 |
 ユーザーの所属/メールボックスの場所: EXCH + SFBO または EXCH + SFB |
MA は SFBO に対してオンであるため、承認サーバーは SFBO に所属するユーザーに対してMicrosoft Entra ID です。 SFB および EXO のオンプレミス ユーザーは AD を使用します。 |
オンライン ユーザー用のみの MFA、CBA、Intune での CA/MAM。* |
| 混合 5 |
 ユーザーの所属/メールボックスの場所: EXO + SFBO、EXO + SFB、EXCH + SFBO、または EXCH + SFB |
MA は EXO と SFBO の両方でオンになっているため、承認サーバーは SFBO に所属するユーザーに対して Microsoft Entra ID です。EXCH および SFB のオンプレミス ユーザーは AD を使用します。 |
オンライン ユーザー用のみの MFA、CBA、Intune での CA/MAM。* |
| 混合 6 |
 ユーザーの所属/メールボックスの場所: EXO + SFBO、EXO + SFB、EXCH + SFBO、または EXCH + SFB |
MA はどこにでもあるため、承認サーバーはすべてのユーザーにMicrosoft Entra ID です。 (オンラインとオンプレミス) デプロイ手順については、こちらをご覧 https://aka.ms/ModernAuthOverview ください。 |
すべてのユーザーの MFA、CBA、CA/MAM (Intune 経由)。 |
* - MFA は、Windows デスクトップ、MAC、iOS、Android デバイス、および Windows Phones を含みます。CBA は Windows デスクトップ、iOS、Android デバイスを含みます。Intune での CA/MAM は Android と iOS デバイスを含みます。
重要
一部の場合において、ユーザーに対して複数のプロンプトが表示される可能性があることに注意してください。これは特に、すべてのバージョンの混合トポロジでの場合と同様に、クライアントで必要され要求されるすべてのサーバー リソースにわたり MA の状態が同じではない場合に発生します。
重要
また、Windows デスクトップ クライアントの適切な構成のために AllowADALForNonLyncIndependentOfLync レジストリ キーを設定する必要がある場合もあります (具体的には 1、3、5 が混在しています)。