Skype for Business topologies supported with Modern Authentication

  • Artigo

Este artigo lista as topologias online e locais que são compatíveis com a autenticação moderna no Skype for Business, bem como os recursos de segurança aplicáveis a cada topologia.

Autenticação moderna no Skype for Business

O Skype for Business pode aproveitar as vantagens de segurança da autenticação moderna. Como Skype for Business trabalha em estreita colaboração com o Exchange, o comportamento de logon Skype for Business usuários cliente também será afetado pelo status de MA do Exchange. Isso também será aplicável caso você tenha um híbrido de domínio dividido do Skype for Business. Há várias partes se movendo, mas o objetivo aqui é uma lista de topologias compatíveis fácil de visualizar.

Se considerarmos o Skype for Business, o Skype for Business Online, o Exchange Server e o Exchange Online, quais topologias são compatíveis com a autenticação moderna?

Topologias de autenticação moderna compatíveis com o Skype for Business

Há potencialmente dois aplicativos de servidor e duas cargas de trabalho do Microsoft 365 ou Office 365, envolvidas com Skype for Business topologias usadas pelo MA.

  • servidor Skype for Business (CU 5) local

  • Skype for Business Online (SFBO)

  • Exchange Server local

  • Exchange Server Online (EXO)

Outra parte importante da autenticação moderna é saber onde acontecerá a autenticação (authN) e a autorização (authZ) dos usuários. As duas opções são:

  • Azure AD, online no Microsoft Cloud

  • Active Directory Federation Server (ADFS) local

Portanto, ele se parece um pouco com isso, com EXO e SFBO na Nuvem com Azure AD e Exchange Server (EXCH) e servidor de Skype for Business (SFB) no prem.

Um exemplo de todos os aplicativos (Exchange e Skype for Business) e cargas de trabalho (EXO e SFBO), e ambos os servidores de autorização (ADFS e evoSTS) que podem ser envolvidos ao ativar o MA.

Aqui estão as topologias compatíveis. Tenha em mente a explicação dos elementos gráficos:

  • Se estiver esmaecido ou cinza, o ícone não é utilizado nesse cenário.

  • EXO é o Exchange Online.

  • SFBO é o Skype for Business Online.

  • EXCH é o Exchange local.

  • SFB é o Skype for Business local.

  • Os servidores de autorização são representados por triângulos. Por exemplo, o Azure AD é um triângulo com uma nuvem atrás.

  • As setas apontam para o servidor de autorização que será usado quando os clientes tentarem alcançar o recurso do servidor especificado.

Primeiro, vamos tratar da autorização moderna com o Skype for Business em topologias apenas locais e apenas na nuvem.

Importante

Está pronto para configurar a autenticação moderna no Skype for Business Online? As etapas para habilitar esse recurso estão aqui.

Nome da topologia
 Exemplo
 Descrição
 Compatível
Somente na nuvem
 SFB com suporte com topologia de MA, somente nuvem.Usuários hospedados/caixas de correio localizadas: Online
 A autenticação moderna está ativada tanto para o EXO quanto para o SFBO.
Portanto, o servidor de autorização é o Azure AD.
Autenticação multifatorial (MFA), Autenticação baseada no certificado do cliente (CBA), Acesso condicional (CA)/Gerenciamento de aplicativo móvel (MAM) com o Intune. *
Somente local
 SFB com suporte apenas com topologia de MA, local.Usuários hospedados/caixas de correio localizadas: local
 A autenticação moderna está ativada para o SFB local.
Portanto, o servidor de autorização é o ADFS.
Para obter detalhes da configuração, consulte este artigo.
MFA (somente para o Windows Desktop - os clientes móveis não são compatíveis). Nenhum recurso de integração do Exchange.

Não recomendamos essa abordagem. Confira aqui: https://aka.ms/ModernAuthOverview

Importante

Recomenda-se que o estado da autenticação moderna seja o mesmo no Skype for Business e no Exchange (e suas contrapartes online) para a redução do número de prompts.

As topologias mistas envolvem combinações de híbridos de domínio dividido do SFB. Estas são as topologias mistas compatíveis no momento:

Nome da topologia
 Exemplo
 Descrição
 Compatível
Mista 1
 SFB com suporte com topologia de MA, Mixed 1 (EXO + SFB).
Usuários hospedados/caixas de correio localizadas: EXO e SFB
 A autenticação moderna não está habilitada para o SFB; nenhum recurso de autenticação moderna do SFB disponível nesta topologia.
Nenhum recurso de autenticação moderna para o SFB.
Mista 2
 Ma com suporte com topologia misturada S4B 2, SFBO mais MA trabalhando com EXCH on-prem.
Usuários hospedados/caixas de correio localizadas: EXCH e SFBO
 A autenticação moderna está ativada somente para o SFB. O servidor de autorização é Azure AD para usuários hospedados no SFBO, mas AD para EXCH local.
MFA, CBA, CA/MAM com o Intune.*
Mista 3
 Ma com suporte com SFB, EXO com MA ativado, além de EXCH e SFB no local.
Usuários hospedados/caixas de correio localizadas: EXO + SFB ou EXCH + SFB
 Nenhum recurso de autenticação moderna do SFB disponível nesta topologia
 Nenhum recurso de autenticação moderna para o SFB.
Mista 4
 Ma com suporte com SFB, SFBO com MA ativado, além de EXCH e SFB.
Usuários hospedados/caixas de correio localizadas: EXCH +SFBO ou EXCH + SFB
A autenticação moderna está ativada para o SFBO, portanto, o servidor de autorização é o Azure AD para os usuários hospedados no SFBO. Os usuários in-prem no SFB e no EXO usam o AD.
MFA, CBA, CA/MAM com o Intune somente para os usuários online.*
Mista 5
 Ma com suporte no SFB, EXO com MA e SFBO com MA e EXCH e SFB no local.
Usuários hospedados/caixas de correio localizadas: EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB
 O MA está ativado no EXO e no SFBO, portanto, o servidor de autorização é Azure AD para usuários hospedados no SFBO; usuários locais no EXCH e no SFB usam o AD.
MFA, CBA, CA/MAM com o Intune somente para os usuários online.*
Misto 6
 Em uma topologia mixed 6, a Autenticação Moderna está ativada em todos os quatro locais possibile - a situtação ideal quando se trata de Auth Moderno.
Usuários hospedados/caixas de correio localizadas: EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB
 A MA está em todos os lugares, portanto, o servidor de autorização é Azure AD para todos os usuários. (online e local)
https://aka.ms/ModernAuthOverview Consulte as etapas de implantação.
MFA, CBA e CA/MAM (via Intune) para todos os usuários.

* - A MFA inclui o Windows Desktop, o MAC, o iOS, os dispositivos Android e os Windows Phones; a CBA inclui o Windows Desktop, o iOS e os dispositivos Android; O CA/MAM com o Intune, inclui os dispositivos Android e iOS.

Importante

É muito importante observar que os usuários podem ver vários prompts em alguns casos, particularmente onde o estado da autenticação moderna não é o mesmo em todos os recursos do servidor que os clientes podem precisar e solicitar. É o caso com todas as versões das topologias Mistas.

Importante

Observe também que, em alguns casos (Mixed 1, 3 e 5 especificamente) uma chave de registro AllowADALForNonLyncIndependentOfLync deve ser definida para configuração adequada para clientes da área de trabalho do Windows.