有关 Skype for Business、Lync 2013 和 Exchange Online 中 AllowAdalForNonLyncIndependentOfLync 设置的信息
简介
本文包含有关 Skype for Business 2016、Skype for Business 2015、Lync 2013 和 Exchange Online 中的 AllowAdalForNonLyncIndependentOfLync 设置的信息。 本文还介绍了哪些Exchange Online和Skype for Business部署需要此设置。
更多信息
本文中的信息可帮助 IT 和 Microsoft 365 管理员在以下情况下使用:
- 设置 Lync 2013 并Skype for Business用户驻留在本地 Skype for Business Server 2015 或 Lync Server 2013。
- 使用新式身份验证和多重身份验证在 Microsoft 365 中的 Exchange Online 中设置邮箱, (MFA) OAuth。
在这些方案中,上一个环境中的可用功能如下所示:
- Skype for Business桌面和 Lync 2013 客户端使用 NTLM 或 Kerberos 身份验证协议、用户名和密码或 Windows 集成身份验证连接到 Skype for Business Server。
- 登录后,Skype for Business或 Lync 2013 使用 Exchange Web Services (EWS) 连接到 Exchange Online 中的用户邮箱。 尽管 EWS 服务 (授权 URI) 播发 OAuth 设置,但客户端会忽略这一点,并使用 OrgID 通道回退到非 MFA 登录。 这会将登录协议限制为用户名和密码或 Windows 集成身份验证。
新的 AllowAdalForNonLyncIndependentOfLync 设置允许Skype for Business桌面或 Lync 2013 客户端在Exchange Online取消阻止 MFA,而 IT 管理员必须在Exchange Online上强制实施 MFA。 可以使用 Windows 注册表中的组策略或作为Skype for Business服务器上的带内终结点策略设置来应用此新设置。
将此设置应用到客户端计算机后,环境功能如下所示:
- Skype for Business桌面或 Lync 2013 客户端使用 NTLM 或 Kerberos 身份验证协议连接到Skype for Business Server。 具体而言,需要用户名和密码或 Windows 集成身份验证才能成功连接 (,就像以前) 一样。
- 登录后,Skype for Business或 Lync 2013 将连接到 Exchange Web Services (EWS) 。 如果 EWS 服务) (授权 URI 播发 OAuth 设置,则客户端将使用 MFA。 此外,如果需要刷新凭据,系统会通过“新式身份验证”对话框提示用户。
注意
对于仅限云的拓扑,或者如果 Exchange 和 Skype for Business 都为启用了新式身份验证的混合环境配置,则不需要此设置。 有关拓扑的详细信息,请参阅新式身份验证支持的Skype for Business拓扑。
在某些情况下, (混合 1、混合 3 和混合 5 拓扑(如新式身份验证) 支持的Skype for Business拓扑中所述),你必须为 Windows 桌面客户端正确设置 AllowADALForNonLynIndependentOfLync 注册表项。
重要
请仔细遵循本部分中的步骤进行操作。 对注册表修改不当可能会导致严重问题。 修改之前,备份注册表以便在发生问题时进行还原。
警告
如果使用注册表编辑器或使用其他方法错误地修改了注册表,则可能会发生严重问题。 这些问题可能需要重新安装操作系统才能解决。 Microsoft 不能保证可以解决这些问题。 修改注册表的风险由您自行承担。
使用以下方法之一来应用 AllowAdalForNonLyncIndependentOfLync 设置。
方法 1:使用组策略
注意
只有在应用 2015 年 7 月公共更新 (PU) 后,才能通过组策略启用此设置。
对于 Skype for Business 或 Lync 2013 客户端,15.0* (从 2015 年 9 月 PU 起仅) :
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync
对于 Skype for Business 或 Lync 2013 客户端 16.0*:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync
然后,应用 AllowAdalForNonLyncIndependentOfLync 注册表项设置:
“AllowAdalForNonLyncIndependentOfLync”=dword:00000001
方法 2:作为 Lync 服务器上的带内设置
注意
此选项只能通过 9 月 PU 使用。
若要在 Lync 服务器上启用带内设置,请运行以下 cmdlet:
$a = New-CsClientPolicyEntry -name AllowAdalForNonLyncIndependentOfLync -value "True"
Set-CsClientPolicy -Identity Global -PolicyEntry @{Add=$a}
重要
若要在基于 Windows 的设备上为 Office 2013 应用程序启用新式身份验证,必须设置以下附加注册表项。
| 注册表项 | 类型 | 值 |
|---|---|---|
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL |
REG_DWORD | 1 |
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version |
REG_DWORD | 1 |
有关 EnableADAL 设置的详细信息,请转到以下 Microsoft 网站:
在 Windows 设备上启用适用于 Office 2013 的新式验证
有关新式身份验证流Skype for Business桌面客户端版本 (7 月更新) 的详细信息,请参阅以下知识库文章:
3054946 2015 年 7 月 14 日,Lync 2013 更新 (Skype for Business) (KB3054946)
注意
- 方法 2 适用于在 2015 年 9 月或之后发布了 Lync 2013 (Skype for Business) 更新的客户。
- 同一个 9 月更新 (或更高版本) 具有更多与新式身份验证相关的修补程序。 客户应在发布后计划升级到它。
仍然需要帮助? 请转到 Microsoft 社区。