Настройка двухфакторной проверки подлинности в Skype для бизнеса Server
Сводка: Настройте двухфакторную проверку подлинности в Skype для бизнеса Server.
В следующих разделах приведена пошаговая процедура настройки двухфакторной проверки подлинности для развертывания. Дополнительные сведения о двухфакторной проверке подлинности см. в разделе Включение Office 365 многофакторной проверки подлинности для администраторов в сети — Запись пользователя сетки.
Настройка корневого центра сертификации на предприятии для проверки подлинности с помощью смарт-карт
Ниже описан порядок действий по настройке корневого ЦС предприятия для проверки подлинности с помощью смарт-карт.
Сведения об установке корневого ЦС предприятия см. в разделе Установка корневого центра сертификации предприятия.
Войдите на компьютер ЦС предприятия с учетной записью администратора домена.
Запустите приложение System Manager и убедитесь в том, что установлена роль регистрации сертификатов через Интернет.
В меню Администрирование откройте консоль управления Центр сертификации.
В области навигации разверните элемент Центр сертификации.
Щелкните правой кнопкой Шаблоны сертификатов и выберите Создать, затем Выдаваемый шаблон сертификата.
Выберите Агент подачи заявок, Пользователь со смарт-картой и Вход со смарт-картой.
Нажмите ОК.
Щелкните Шаблоны сертификатов правой кнопкой мыши.
Выберите Управление.
Откройте свойства шаблона пользователя смарт-карты.
Перейдите на вкладку Безопасность.
Задайте указанные ниже разрешения.
Добавьте учетные записи отдельных пользователей Active Directory с разрешениями на чтение и подачу заявок (разрешить).
Добавьте группу безопасности с пользователями смарт-карт, обладающую разрешениями на чтение и подачу заявок (разрешить).
Добавьте группу пользователей домена с разрешениями на чтение и подачу заявок (разрешить).
Настройка Windows 8 для виртуальных смарт-карт
Одним их факторов, которые следует учитывать при развертывании двухфакторной проверки подлинности и технологии смарт-карт, является его стоимость. Windows 8 предоставляет ряд новых возможностей безопасности, и одной из наиболее интересных новых функций является поддержка виртуальных смарт-карт.
Если компьютеры оборудованы микросхемами доверенного платформенного модуля (TPM), соответствующими спецификации версии 1.2, организации могут пользоваться преимуществами регистрации по смарт-картам без дополнительных капиталовложений в оборудование. Дополнительные сведения см. в статье Использование виртуальных смарт-карт с Windows 8.
Настройка конфигурации Windows 8 для виртуальных смарт-карт
Войдите на компьютер с Windows 8, используя учетные данные пользователя с поддержкой Skype для бизнеса.
На начальном экране Windows 8 переместите курсор в нижний правый угол.
Выберите параметр Поиск и выполните поиск по запросуCommand Prompt.
Щелкните Командная строка правой кнопкой мыши, затем выберите Запуск от имени администратора.
Откройте консоль управления TPM, выполнив следующую команду:
Tpm.msc
Убедитесь в том, что спецификация вашего TPM имеет версию 1.2 или выше.
Примечание.
При появлении диалогового окна с сообщением, что совместимый TPM не найден, убедитесь в том, что ваш компьютер имеет совместимый модуль TPM и что он включен в BIOS компьютера.
Закройте консоль управления TPM
Создайте новую виртуальную смарт-карту, введя в командную строку следующую команду:
TpmVscMgr create /name MyVSC /pin default /adminkey random /generate
Примечание.
Чтобы сообщить настраиваемое значение ПИН-кода, используйте ключ командной строки /pin.
- Откройте консоль управления компьютером, введя в командную строку следующую команду:
CompMgmt.msc
В консоли управления компьютером выберите Управление устройствами.
Разверните элемент Устройства чтения смарт-карт.
Убедитесь в том, что создание нового устройства для чтения виртуальной смарт-карты успешно завершено.
Регистрация пользователей для проверки подлинности по смарт-карте
Зарегистрировать пользователей для проверки подлинности с помощью смарт-карты можно двумя способами. Простой вариант — поручить пользователям самостоятельно зарегистрироваться с помощью функции регистрации через Интернет, в то время как сложный связан с использованием агента регистрации. В этом разделе рассматривается процедура самостоятельной регистрации для использования сертификатов смарт-карт.
Дополнительные сведения о регистрации от имени пользователей в качестве агента регистрации см. в разделе Регистрация для сертификатов от имени других пользователей.
Порядок регистрации пользователей для проверки подлинности с помощью смарт-карты
Войдите на рабочую станцию Windows 8, используя учетные данные пользователя с поддержкой Skype для бизнеса.
Запустите браузер Internet Explorer.
Перейдите на страницу веб-регистрации центра сертификации (например, https://MyCA.contoso.com/certsrv).
Примечание.
В браузере Internet Explorer 10 эту страницу, возможно, потребуется открыть в режиме совместимости.
На странице приветствия выберите Запросить сертификат.
Затем выберите Расширенный запрос.
Выберите Создать и выдать запрос к этому ЦС.
В разделе Шаблон сертификата выберите Пользователь смарт-карты и введите в полях расширенного запроса сертификата следующие значения.
В разделе Параметры ключа задайте следующие значения.
Установите переключатель в положение Создать новый набор ключей.
Для параметра Поставщик служб шифрования выберите значение Базовый поставщик криптографии смарт-карт (Microsoft).
Для параметра Использование ключа выберите значение Обмен (единственное доступное значение).
В поле Размер ключа введите значение 2048.
Убедитесь в том, что флажок Автоматическое имя контейнера ключа установлен.
Оставьте остальные флажки снятыми.
В разделе Дополнительные параметры задайте следующие значения.
Для параметра Формат запроса выберите значение CMC.
Для параметра Алгоритм хэширования выберите значение sha1.
В поле Понятное имя введите Сертификатmardcard.
Если используется физическое устройство считывания смарт-карт, вставьте смарт-карту в устройство.
Нажмите кнопку Отправить для отправки запроса сертификата.
Когда будет предложено, введите ПИН-код, использовавшийся при создании виртуальной смарт-карты.
Примечание.
Значение ПИН-кода виртуальной интеллектуальной карта по умолчанию — "12345678".
После выдачи сертификата щелкните Установить этот сертификат для завершения процедуры регистрации.
Примечание.
Если запрос сертификата завершается ошибкой "Этот веб-браузер не поддерживает создание запросов сертификатов", существует три возможных способа решения проблемы:
- Включите режим совместимости в Обозреватель Интернета.
- Включите параметр Включить параметры интрасети в Интернете Обозреватель.
- Выберите параметр "Выбрать уровень безопасности по умолчанию для всех зон" на вкладке "Безопасность" в меню параметров Internet Explorer.
Настройка служб федерации Active Directory (AD FS 2.0)
В этом разделе рассматривается настройка служб федерации Active Directory (AD FS 2.0) для поддержки многофакторной проверки подлинности. Сведения об установке AD FS 2.0 см. в разделах Пошаговое руководство по AD FS 2.0 и Практическое руководство.
Примечание.
При установке AD FS 2.0 не добавляйте роль службы федерации Active Directory с помощью диспетчера серверов Windows. Вместо этого скачайте и установите службы федерации Active Directory (AD FS).
Настройка AD FS для двухфакторной проверки подлинности
Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.
Запустите Windows PowerShell.
Введите в командной строке Windows PowerShell следующую команду:
add-pssnapin Microsoft.Adfs.PowerShell
- Установите партнерское отношение с каждым сервером, на котором будет разрешена пассивная проверка подлинности; для этого выполните следующую команду, указав имя сервера в конкретном развертывании:
Add-ADFSRelyingPartyTrust -Name SfBPool01-PassiveAuth -MetadataURL https://SfBpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml
Запустите консоль управления AD FS 2.0 в меню "Средства администрирования".
Разверните узел Отношения>доверия с проверяющей стороной.
Убедитесь, что для Skype для бизнеса Server создано новое доверие.
С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения авторизации:
$IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth
-IssuanceAuthorizationRules $IssuanceAuthorizationRules
- С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения преобразования:
$IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'
Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules
В консоли управления AD FS 2.0 щелкните отношение доверия с проверяющей стороной правой кнопкой мыши и выберите команду редактирования правил утверждений.
Перейдите на вкладку правил разрешения выпуска и убедитесь в том, что новое правило разрешения успешно создано.
Перейдите на вкладку правил преобразования выпуска и убедитесь в том, что новое правило преобразования успешно создано.
Настройка AD FS 2.0 для поддержки проверки подлинности клиента
Чтобы разрешить в AD FS 2.0 поддержку проверки подлинности с использованием смарт-карт, можно настроить два указанных ниже типа проверки подлинности.
Проверка подлинности на основе форм
Проверка подлинности клиента по протоколу TLS
На основе проверки подлинности по формам можно разработать веб-страницу, где подлинность пользователей будет проверяться по имени и паролю или по смарт-карте и PIN‑коду. В этой статье рассматривается преимущественно реализация проверки подлинности клиента по протоколу TLS с помощью AD FS 2.0. Дополнительные сведения о типах проверки подлинности AD FS 2.0 см. в статье AD FS 2.0: Изменение типа локальной проверки подлинности.
Настройка AD FS 2.0 для поддержки проверки подлинности клиента
Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.
Запустите проводник.
Перейдите в папку C:\inetpub\adfs\ls
Сделайте резервную копию файла web.config.
Откройте файл web.config с помощью Блокнота.
В строке меню выберите Правка, затем Найти.
Выполните поиск по запросу <localAuthenticationTypes>.
Обратите внимание, что здесь будут перечислены четыре типа проверки подлинности, по одному на строку.
Переместите строку, содержащую тип проверки подлинности TLSClient, в начало списка в разделе.
Сохраните и закройте файл web.config.
Запустите командную строку с повышенными привилегиями.
Перезапустите службу IIS, выполнив следующую команду:
IISReset /Restart /NoForce
Настройка пассивной проверки подлинности в Skype для бизнеса Server
В следующем разделе описывается настройка Skype для бизнеса Server для поддержки пассивной проверки подлинности. После включения двухфакторной проверки подлинности пользователям потребуется использовать физический или виртуальный интеллектуальный карта и действительный ПИН-код для входа с помощью клиента Skype для бизнеса.
Примечание.
Заказчикам настоятельно рекомендуется включить пассивную проверку подлинности для регистратора и веб-служб на уровне служб. Включение пассивной проверки подлинности включена для регистратора и веб-служб на глобальном уровне с большой вероятностью приводит к сбоям проверки подлинности пользователей, входящих не с поддерживаемых клиентов для настольных компьютеров, во всей организации.
Конфигурация веб-служб
Ниже описана процедура создания настраиваемой конфигурации веб-служб для директоров, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.
Порядок создания настраиваемой конфигурации веб-служб
Войдите на сервер переднего плана Skype для бизнеса Server с помощью учетной записи администратора Skype для бизнеса.
Запустите командную консоль Skype для бизнеса Server.
В командной строке командной строки командной консоли Skype для бизнеса Server создайте конфигурацию веб-службы для каждого сервера Director, Enterprise Pool и Standard Edition, которая будет включена для пассивной проверки подлинности, выполнив следующую команду:
New-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml
Осторожностью
Значением полного доменного имени WsFedPassiveMetadataUri является имя службы федерации сервера AD FS 2.0. Значение имени службы федерации можно найти в консоли управления AD FS 2.0, щелкнув Служба в области навигации правой кнопкой мыши и затем выбрав Изменить свойства службы федерации.
- Проверьте правильность значений UseWsFedPassiveAuth и WsFedPassiveMetadataUri, выполнив следующую команду:
Get-CsWebServiceConfiguration -identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri
- Для клиентов пассивная проверка подлинности является наименее предпочтительным способом проверки подлинности WebTicket. Для всех директоров, корпоративных пулов и серверов Standard Edition, на которых будет включена пассивная проверка подлинности, все остальные типы проверки подлинности должны быть отключены в веб-службах Skype для бизнеса с помощью следующего командлета:
Set-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE
- Убедитесь в том, что все остальные типы проверки подлинности успешно отключены, выполнив следующую команду:
Get-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth
Конфигурация прокси-сервера
Если проверка подлинности сертификата отключена для веб-служб Skype для бизнеса, клиент Skype для бизнеса будет использовать менее предпочтительный тип проверки подлинности, например Kerberos или NTLM, для проверки подлинности в службе регистратора. Проверка подлинности по сертификату и в этом случае необходима для извлечения WebTicket клиентом, однако для службы регистратора необходимо отключить Kerberos и NTLM.
Ниже описана процедура создания настраиваемой конфигурации прокси-сервера для пограничных пулов, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.
Порядок создания настраиваемой конфигурации прокси-сервера
- В командной строке командной консоли Skype для бизнеса Server создайте конфигурацию прокси-сервера для каждого Skype для бизнеса Server пограничного пула, корпоративного пула и сервера Standard Edition, который будет включен для пассивной проверки подлинности, выполнив следующие команды:
New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
New-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com" -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
- Убедитесь, что все остальные типы проверки подлинности прокси-сервера успешно отключены, выполнив следующую команду:
Get-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com" | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth
См. также
Управление двухфакторной проверкой подлинности в Skype для бизнеса Server