Topologie di Skype for Business supportate con l'autenticazione moderna

Questo articolo elenca le topologie online e locali supportate con l'autenticazione moderna in Skype for Business e le funzionalità di sicurezza che si applicano a ogni topologia.

Autenticazione moderna in Skype for Business

Skype for Business può usare i vantaggi della sicurezza dell'autenticazione moderna. Poiché Skype for Business interagisce a stretto contatto con Exchange, il comportamento di accesso visualizzato dagli utenti client Skype for Business sarà influenzato anche dallo stato ma di Exchange. Ciò si applica anche se si ha una distribuzione ibrida di skype for Business con dominio diviso. Si tratta di numerose parti in movimento, ma l'obiettivo è quello di visualizzare facilmente l'elenco delle topologie supportate.

Dato Skype for Business, Skype for Business online, Exchange Server ed Exchange online, quali topologie sono supportate con MA?

Topologie MA supportate in Skype for Business

Esistono potenzialmente due applicazioni server e due carichi di lavoro di Microsoft 365 o Office 365, coinvolti nelle topologie di Skype for Business utilizzate da MA.

  • Skype for Business server (CU 5) locale

  • Skype for Business online (SFBO)

  • Exchange Server locale

  • Exchange Server Online (EXO)

Un'altra parte importante di MA è sapere dove avviene l'autenticazione (autenticazione) e l'autorizzazione (autenticazione) degli utenti. Le due opzioni disponibili sono:

  • Microsoft Entra ID, online in the Microsoft Cloud

  • Active Directory Federation Server (ADFS) locale

L'aspetto è simile al seguente, con EXO e SFBO nel cloud con l'ID Microsoft Entra e Exchange Server (EXCH) e il server Skype for Business (SFB) locale.

Esempio di tutte le applicazioni (Exchange e Skype for Business) e i carichi di lavoro (EXO e SFBO) ed entrambi i server di autorizzazione (ADFS ed evoSTS) che possono essere coinvolti quando si attiva MA.

Ecco le topologie supportate. Si noti il tasto per la grafica:

  • Se l'icona è in grigio o in grigio, non viene usata nello scenario.

  • EXO è Exchange Online.

  • SFBO è Skype for Business online.

  • EXCH è Exchange locale.

  • SFB è Skype for Business locale.

  • I server di autorizzazione sono rappresentati da triangoli, ad esempio l'ID Entra di Microsoft è un triangolo con una nuvola dietro di esso.

  • Frecce puntano al server di autorizzazione a cui verranno utilizzati quando i client tentano di raggiungere la risorsa server specificata.

In primo luogo, copriamo ma con Skype for Business sia in topologie locali che solo cloud.

Importante

Sei pronto per configurare l'autenticazione moderna in Skype for Business online? La procedura per abilitare questa funzionalità è qui.

Nome topologia
Esempio
Descrizione
Sostenuto
Solo cloud
SfB supportato con topologia MA, solo cloud. Utenti ospitati/cassette postali che si trovano: Online
MA è attivata sia per EXO che per SFBO.
Di conseguenza, il server di autorizzazione è Microsoft Entra ID.
Autenticazione a più fattori (MFA), autenticazione basata su certificato client (CBA), accesso condizionale (CA)/gestione di applicazioni mobili (MAM) con Intune. *
Solo locale
SfB supportato con topologia MA, solo locale. Utenti ospitati/cassette postali che si trovano: Locale
Ma è attivata per SFB locale.
Pertanto, il server di autorizzazione è ADFS.
Per informazioni dettagliate sulla configurazione, vedere questo articolo.
MFA (solo Desktop Windows: i client mobili non sono supportati). Nessuna funzionalità di integrazione di Exchange.

Questo approccio non è consigliato. Vedi qui: https://aka.ms/ModernAuthOverview

Importante

È consigliabile che lo stato di MA sia lo stesso in Skype for Business ed Exchange (e le loro controparti online) per ridurre il numero di richieste.

Le topologie miste includono combinazioni di ibridi sfb con dominio diviso. Queste sono le topologie miste attualmente supportate:

Nome topologia
Esempio
Descrizione
Sostenuto
Mixed 1
SfB supportato con topologia MA, Mixed 1 (EXO + SFB).
Utenti ospitati/cassette postali che si trovano: EXO e SFB
MA non è abilitato per SFB; in questa topologia non sono disponibili funzionalità SFB MA.
Nessuna funzionalità MA per SFB.
Mixed 2
Ma supportata con S4B Mixed topologia 2, SFBO più MA in uso con EXCH locale.
Utenti ospitati/cassette postali che si trovano: EXCH e SFBO
Ma è attivata solo per SFBO. Il server di autorizzazione è l'ID Microsoft Entra per gli utenti ospitati in SFBO, ma AD per EXCH locale.
MFA, CBA, CA/MAM con Intune.*
Mixed 3
Ma supportato con SFB, EXO con MA on, oltre a EXCH e SFB locale.
Utenti ospitati/cassette postali che si trovano: EXO + SFB o EXCH + SFB
Nessuna funzionalità MA SFB disponibile in questa topologia
Nessuna funzionalità MA per SFB.
Mixed 4
Ma supportato con SFB, SFBO con MA attivato, oltre a EXCH e SFB.
Utenti ospitati/cassette postali che si trovano: EXCH +SFBO o EXCH + SFB
Ma è attivata per SFBO, quindi il server di autorizzazione è l'ID Microsoft Entra per gli utenti ospitati in SFBO. Gli utenti locali in SFB ed EXO usano AD.
MFA, CBA, CA/MAM con Intune solo per gli utenti online.*
Mixed 5
Ma supportato in SFB, EXO con MA e SFBO con MA, e EXCH e SFB in locale.
Utenti ospitati/cassette postali che si trovano: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB
MA è attivata sia in EXO che in SFBO, quindi il server di autorizzazione è Microsoft Entra ID per gli utenti ospitati in SFBO; Gli utenti locali in EXCH e SFB usano Active Directory.
MFA, CBA, CA/MAM con Intune solo per gli utenti online.*
Mixed 6
In una topologia mista a 6, l'autenticazione moderna è attivata in tutte e quattro le posizioni possibili, la situtazione ideale quando si tratta di autenticazione moderna.
Utenti ospitati/cassette postali che si trovano: EXO + SFBO, EXO + SFB, EXCH + SFBO o EXCH + SFB
MA è on everywhere, quindi il server di autorizzazione è Microsoft Entra ID per tutti gli utenti. (online e locale)
Vedere i https://aka.ms/ModernAuthOverview passaggi per la distribuzione.
MFA, CBA e CA/MAM (tramite Intune) per tutti gli utenti.

* - MFA include Windows Desktop, MAC, iOS, dispositivi Android e Windows Phone; CBA include i dispositivi Windows Desktop, iOS e Android; CA/MAM con Intune, include dispositivi Android e iOS.

Importante

È molto importante notare che gli utenti possono vedere più prompt in alcuni casi, in particolare quando lo stato ma non è lo stesso in tutte le risorse del server che i client possono avere bisogno e richiedere, come nel caso di tutte le versioni delle topologie miste.

Importante

Si noti inoltre che in alcuni casi (in particolare Mixed 1, 3 e 5) una chiave del Registro di sistema AllowADALForNonLyncIndependentOfLync deve essere impostata per la configurazione corretta per i client desktop Windows.