Поделиться через

Настройка двухфакторной проверки подлинности в Skype для бизнеса Server

  • Статья

Сводка: Настройте двухфакторную проверку подлинности в Skype для бизнеса Server.

В следующих разделах приведена пошаговая процедура настройки двухфакторной проверки подлинности для развертывания. Дополнительные сведения о двухфакторной проверке подлинности см. в разделе Включение Office 365 многофакторной проверки подлинности для администраторов в сети — Запись пользователя сетки.

Настройка корневого центра сертификации на предприятии для проверки подлинности с помощью смарт-карт

Ниже описан порядок действий по настройке корневого ЦС предприятия для проверки подлинности с помощью смарт-карт.

Сведения об установке корневого ЦС предприятия см. в разделе Установка корневого центра сертификации предприятия.

  1. Войдите на компьютер ЦС предприятия с учетной записью администратора домена.

  2. Запустите приложение System Manager и убедитесь в том, что установлена роль регистрации сертификатов через Интернет.

  3. В меню Администрирование откройте консоль управления Центр сертификации.

  4. В области навигации разверните элемент Центр сертификации.

  5. Щелкните правой кнопкой Шаблоны сертификатов и выберите Создать, затем Выдаваемый шаблон сертификата.

  6. Выберите Агент подачи заявок, Пользователь со смарт-картой и Вход со смарт-картой.

  7. Нажмите ОК.

  8. Щелкните Шаблоны сертификатов правой кнопкой мыши.

  9. Выберите Управление.

  10. Откройте свойства шаблона пользователя смарт-карты.

  11. Перейдите на вкладку Безопасность.

  12. Задайте указанные ниже разрешения.

    • Добавьте учетные записи отдельных пользователей Active Directory с разрешениями на чтение и подачу заявок (разрешить).

    • Добавьте группу безопасности с пользователями смарт-карт, обладающую разрешениями на чтение и подачу заявок (разрешить).

    • Добавьте группу пользователей домена с разрешениями на чтение и подачу заявок (разрешить).

Настройка Windows 8 для виртуальных смарт-карт

Одним их факторов, которые следует учитывать при развертывании двухфакторной проверки подлинности и технологии смарт-карт, является его стоимость. Windows 8 предоставляет ряд новых возможностей безопасности, и одной из наиболее интересных новых функций является поддержка виртуальных смарт-карт.

Если компьютеры оборудованы микросхемами доверенного платформенного модуля (TPM), соответствующими спецификации версии 1.2, организации могут пользоваться преимуществами регистрации по смарт-картам без дополнительных капиталовложений в оборудование. Дополнительные сведения см. в статье Использование виртуальных смарт-карт с Windows 8.

Настройка конфигурации Windows 8 для виртуальных смарт-карт

  1. Войдите на компьютер с Windows 8, используя учетные данные пользователя с поддержкой Skype для бизнеса.

  2. На начальном экране Windows 8 переместите курсор в нижний правый угол.

  3. Выберите параметр Поиск и выполните поиск по запросуCommand Prompt.

  4. Щелкните Командная строка правой кнопкой мыши, затем выберите Запуск от имени администратора.

  5. Откройте консоль управления TPM, выполнив следующую команду:

    Tpm.msc

  6. Убедитесь в том, что спецификация вашего TPM имеет версию 1.2 или выше.

    Примечание.

    При появлении диалогового окна с сообщением, что совместимый TPM не найден, убедитесь в том, что ваш компьютер имеет совместимый модуль TPM и что он включен в BIOS компьютера.

  7. Закройте консоль управления TPM

  8. Создайте новую виртуальную смарт-карту, введя в командную строку следующую команду:

TpmVscMgr create /name MyVSC /pin default /adminkey random /generate

Примечание.

Чтобы сообщить настраиваемое значение ПИН-кода, используйте ключ командной строки /pin.

  1. Откройте консоль управления компьютером, введя в командную строку следующую команду:
CompMgmt.msc

  1. В консоли управления компьютером выберите Управление устройствами.

  2. Разверните элемент Устройства чтения смарт-карт.

  3. Убедитесь в том, что создание нового устройства для чтения виртуальной смарт-карты успешно завершено.

Регистрация пользователей для проверки подлинности по смарт-карте

Зарегистрировать пользователей для проверки подлинности с помощью смарт-карты можно двумя способами. Простой вариант — поручить пользователям самостоятельно зарегистрироваться с помощью функции регистрации через Интернет, в то время как сложный связан с использованием агента регистрации. В этом разделе рассматривается процедура самостоятельной регистрации для использования сертификатов смарт-карт.

Дополнительные сведения о регистрации от имени пользователей в качестве агента регистрации см. в разделе Регистрация для сертификатов от имени других пользователей.

Порядок регистрации пользователей для проверки подлинности с помощью смарт-карты

  1. Войдите на рабочую станцию Windows 8, используя учетные данные пользователя с поддержкой Skype для бизнеса.

  2. Запустите браузер Internet Explorer.

  3. Перейдите на страницу веб-регистрации центра сертификации (например, https://MyCA.contoso.com/certsrv).

    Примечание.

    В браузере Internet Explorer 10 эту страницу, возможно, потребуется открыть в режиме совместимости.

  4. На странице приветствия выберите Запросить сертификат.

  5. Затем выберите Расширенный запрос.

  6. Выберите Создать и выдать запрос к этому ЦС.

  7. В разделе Шаблон сертификата выберите Пользователь смарт-карты и введите в полях расширенного запроса сертификата следующие значения.

  • В разделе Параметры ключа задайте следующие значения.

    • Установите переключатель в положение Создать новый набор ключей.

    • Для параметра Поставщик служб шифрования выберите значение Базовый поставщик криптографии смарт-карт (Microsoft).

    • Для параметра Использование ключа выберите значение Обмен (единственное доступное значение).

    • В поле Размер ключа введите значение 2048.

    • Убедитесь в том, что флажок Автоматическое имя контейнера ключа установлен.

    • Оставьте остальные флажки снятыми.

  • В разделе Дополнительные параметры задайте следующие значения.

    • Для параметра Формат запроса выберите значение CMC.

    • Для параметра Алгоритм хэширования выберите значение sha1.

    • В поле Понятное имя введите Сертификатmardcard.

  1. Если используется физическое устройство считывания смарт-карт, вставьте смарт-карту в устройство.

  2. Нажмите кнопку Отправить для отправки запроса сертификата.

  3. Когда будет предложено, введите ПИН-код, использовавшийся при создании виртуальной смарт-карты.

    Примечание.

    Значение ПИН-кода виртуальной интеллектуальной карта по умолчанию — "12345678".

  4. После выдачи сертификата щелкните Установить этот сертификат для завершения процедуры регистрации.

    Примечание.

    Если запрос сертификата завершается ошибкой "Этот веб-браузер не поддерживает создание запросов сертификатов", существует три возможных способа решения проблемы:

    • Включите режим совместимости в Обозреватель Интернета.
    • Включите параметр Включить параметры интрасети в Интернете Обозреватель.
    • Выберите параметр "Выбрать уровень безопасности по умолчанию для всех зон" на вкладке "Безопасность" в меню параметров Internet Explorer.

Настройка служб федерации Active Directory (AD FS 2.0)

В этом разделе рассматривается настройка служб федерации Active Directory (AD FS 2.0) для поддержки многофакторной проверки подлинности. Сведения об установке AD FS 2.0 см. в разделах Пошаговое руководство по AD FS 2.0 и Практическое руководство.

Примечание.

При установке AD FS 2.0 не добавляйте роль службы федерации Active Directory с помощью диспетчера серверов Windows. Вместо этого скачайте и установите службы федерации Active Directory (AD FS).

Настройка AD FS для двухфакторной проверки подлинности

  1. Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.

  2. Запустите Windows PowerShell.

  3. Введите в командной строке Windows PowerShell следующую команду:

add-pssnapin Microsoft.Adfs.PowerShell
  1. Установите партнерское отношение с каждым сервером, на котором будет разрешена пассивная проверка подлинности; для этого выполните следующую команду, указав имя сервера в конкретном развертывании:
Add-ADFSRelyingPartyTrust -Name SfBPool01-PassiveAuth -MetadataURL https://SfBpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml

  1. Запустите консоль управления AD FS 2.0 в меню "Средства администрирования".

  2. Разверните узел Отношения>доверия с проверяющей стороной.

  3. Убедитесь, что для Skype для бизнеса Server создано новое доверие.

  4. С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения авторизации:

$IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");'

Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth
-IssuanceAuthorizationRules $IssuanceAuthorizationRules
  1. С помощью Windows PowerShell и следующих команд создайте и назначьте для отношения доверия с проверяющей стороны правило утверждения преобразования:
$IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'

Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules

  1. В консоли управления AD FS 2.0 щелкните отношение доверия с проверяющей стороной правой кнопкой мыши и выберите команду редактирования правил утверждений.

  2. Перейдите на вкладку правил разрешения выпуска и убедитесь в том, что новое правило разрешения успешно создано.

  3. Перейдите на вкладку правил преобразования выпуска и убедитесь в том, что новое правило преобразования успешно создано.

Настройка AD FS 2.0 для поддержки проверки подлинности клиента

Чтобы разрешить в AD FS 2.0 поддержку проверки подлинности с использованием смарт-карт, можно настроить два указанных ниже типа проверки подлинности.

  • Проверка подлинности на основе форм

  • Проверка подлинности клиента по протоколу TLS

На основе проверки подлинности по формам можно разработать веб-страницу, где подлинность пользователей будет проверяться по имени и паролю или по смарт-карте и PIN‑коду. В этой статье рассматривается преимущественно реализация проверки подлинности клиента по протоколу TLS с помощью AD FS 2.0. Дополнительные сведения о типах проверки подлинности AD FS 2.0 см. в статье AD FS 2.0: Изменение типа локальной проверки подлинности.

Настройка AD FS 2.0 для поддержки проверки подлинности клиента

  1. Войдите в систему на компьютере с AD FS 2.0 с помощью учетной записи администратора домена.

  2. Запустите проводник.

  3. Перейдите в папку C:\inetpub\adfs\ls

  4. Сделайте резервную копию файла web.config.

  5. Откройте файл web.config с помощью Блокнота.

  6. В строке меню выберите Правка, затем Найти.

  7. Выполните поиск по запросу <localAuthenticationTypes>.

    Обратите внимание, что здесь будут перечислены четыре типа проверки подлинности, по одному на строку.

  8. Переместите строку, содержащую тип проверки подлинности TLSClient, в начало списка в разделе.

  9. Сохраните и закройте файл web.config.

  10. Запустите командную строку с повышенными привилегиями.

  11. Перезапустите службу IIS, выполнив следующую команду:

IISReset /Restart /NoForce

Настройка пассивной проверки подлинности в Skype для бизнеса Server

В следующем разделе описывается настройка Skype для бизнеса Server для поддержки пассивной проверки подлинности. После включения двухфакторной проверки подлинности пользователям потребуется использовать физический или виртуальный интеллектуальный карта и действительный ПИН-код для входа с помощью клиента Skype для бизнеса.

Примечание.

Заказчикам настоятельно рекомендуется включить пассивную проверку подлинности для регистратора и веб-служб на уровне служб. Включение пассивной проверки подлинности включена для регистратора и веб-служб на глобальном уровне с большой вероятностью приводит к сбоям проверки подлинности пользователей, входящих не с поддерживаемых клиентов для настольных компьютеров, во всей организации.

Конфигурация веб-служб

Ниже описана процедура создания настраиваемой конфигурации веб-служб для директоров, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.

Порядок создания настраиваемой конфигурации веб-служб

  1. Войдите на сервер переднего плана Skype для бизнеса Server с помощью учетной записи администратора Skype для бизнеса.

  2. Запустите командную консоль Skype для бизнеса Server.

  3. В командной строке командной строки командной консоли Skype для бизнеса Server создайте конфигурацию веб-службы для каждого сервера Director, Enterprise Pool и Standard Edition, которая будет включена для пассивной проверки подлинности, выполнив следующую команду:

New-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Осторожностью

Значением полного доменного имени WsFedPassiveMetadataUri является имя службы федерации сервера AD FS 2.0. Значение имени службы федерации можно найти в консоли управления AD FS 2.0, щелкнув Служба в области навигации правой кнопкой мыши и затем выбрав Изменить свойства службы федерации.

  1. Проверьте правильность значений UseWsFedPassiveAuth и WsFedPassiveMetadataUri, выполнив следующую команду:
Get-CsWebServiceConfiguration -identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri
  1. Для клиентов пассивная проверка подлинности является наименее предпочтительным способом проверки подлинности WebTicket. Для всех директоров, корпоративных пулов и серверов Standard Edition, на которых будет включена пассивная проверка подлинности, все остальные типы проверки подлинности должны быть отключены в веб-службах Skype для бизнеса с помощью следующего командлета:
Set-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE
  1. Убедитесь в том, что все остальные типы проверки подлинности успешно отключены, выполнив следующую команду:
Get-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth

Конфигурация прокси-сервера

Если проверка подлинности сертификата отключена для веб-служб Skype для бизнеса, клиент Skype для бизнеса будет использовать менее предпочтительный тип проверки подлинности, например Kerberos или NTLM, для проверки подлинности в службе регистратора. Проверка подлинности по сертификату и в этом случае необходима для извлечения WebTicket клиентом, однако для службы регистратора необходимо отключить Kerberos и NTLM.

Ниже описана процедура создания настраиваемой конфигурации прокси-сервера для пограничных пулов, корпоративных пулов и серверов Standard Edition, для которых будет включена пассивная проверка подлинности.

Порядок создания настраиваемой конфигурации прокси-сервера

  1. В командной строке командной консоли Skype для бизнеса Server создайте конфигурацию прокси-сервера для каждого Skype для бизнеса Server пограничного пула, корпоративного пула и сервера Standard Edition, который будет включен для пассивной проверки подлинности, выполнив следующие команды:
New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False

New-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com" -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
  1. Убедитесь, что все остальные типы проверки подлинности прокси-сервера успешно отключены, выполнив следующую команду:
Get-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com" | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth

См. также

Управление двухфакторной проверкой подлинности в Skype для бизнеса Server

Использование двухфакторной проверки подлинности с клиентом Skype для бизнеса и Skype для бизнеса Server