Skype for Business topologies supported with Modern Authentication
この記事では、Skype for Business の先進認証でサポートされているオンライントポロジとオンプレミス トポロジと、各トポロジに適用されるセキュリティ機能について説明します。
Skype for Business での先進認証
Skype for Business では、先進認証のセキュリティ上の利点を使用できます。 Skype for Business は Exchange と緊密に連携するため、Skype for Business クライアント ユーザーに表示されるサインイン動作も、Exchange の MA 状態の影響を受けます。 これは、Skype for Business の分割ドメイン ハイブリッドを利用している場合にも適用されます。 これは多数の可動部分ですが、ここでの目的は、サポートされているトポロジの一覧を簡単に視覚化できます。
Skype for Business、Skype for Business Online、Exchange Server、Exchange Online の場合に、どのトポロジが MA でサポートされますか?
Skype for Business でサポートされる MA トポロジ
MA で使用される Skype for Business トポロジには、2 つのサーバー アプリケーションと、2 つの Microsoft 365 または Office 365 ワークロードが含まれる可能性があります。
オンプレミスの Skype for Business サーバー (CU 5)
Skype for Business Online (SFBO)
Exchange Server オンプレミス
Exchange Server Online (EXO)
MA のもう 1 つの重要な部分は、ユーザーの認証 (authN) と承認 (authZ) が行われる場所を把握することです。 次の 2 つのオプションがあります。
Microsoft Entra ID(Microsoft Cloud のオンライン)
Active Directory フェデレーション サーバー (ADFS) オンプレミス
そのため、クラウド内の EXO と SFBO と Microsoft Entra ID、Exchange Server (EXCH) と Skype for Business サーバー (SFB) オンプレミスでは、少しこのように見えます。
サポートされるトポロジを以下に示します。 グラフィックスのキーに注意してください。
アイコンが淡色表示または灰色の場合、シナリオでは使用されません。
EXO は Exchange Online です。
SFBO は Skype for Business Online です。
EXCH は Exchange オンプレミスです。
SFB は Skype for Business オンプレミスです。
承認サーバーは三角形で表されます。たとえば、Microsoft Entra ID は、その背後にクラウドがある三角形です。
矢印は、クライアントが指定されたサーバー リソースに到達しようとしたときに使用される承認サーバーを指します。
最初に、オンプレミスのみ、クラウドのみの両方のトポロジの Skype for Business での MA について見ていきましょう。
Important
Skype for Business Online で先進認証を設定する準備はできましたか? この機能を有効にする手順は 次のとおりです。
| トポロジの名前 |
例 |
説明 |
サポート対象 |
|---|---|---|---|
| クラウドのみ |
ホーム/メールボックスが配置されているユーザー: オンライン |
MA は EXO と SFBO の両方でオンです。 そのため、承認サーバーは Microsoft Entra ID です。 |
多要素認証 (MFA)、クライアント証明書ベースの認証 (CBA)、Intune での条件付きアクセス (CA)/モバイル アプリケーション管理 (MAM)。 * |
| オンプレミスのみ |
ホーム/メールボックスが配置されているユーザー: オンプレミス |
MA が SFB オンプレミスでオンになります。 このため、認証サーバーは ADFS です。 構成の詳細については、この記事を参照してください。 |
MFA (Windows デスクトップのみ - モバイル クライアントはサポートされていません)。 Exchange 統合機能はありません。 この方法はお勧めしません。 こちらを参照してください。 https://aka.ms/ModernAuthOverview
|
Important
プロンプトの数を減らせるように、Skype for Business と Exchange (およびその他のオンライン上の同等製品) にわたり MA の状態が同じであることを推奨します。
混合トポロジでは、SFB 分割ドメインのハイブリッドの組み合わせが含まれます。 現在サポートされている混合トポロジを以下に示します。
| トポロジの名前 |
例 |
説明 |
サポート対象 |
|---|---|---|---|
| 混合 1 |
ユーザーの所属/メールボックスの場所: EXO および SFB |
MA は SFB に対して有効になっていません。このトポロジで使用できる SFB MA 機能はありません。 |
SFB の MA 機能はサポート対象外です。 |
| 混合 2 |
ユーザーの所属/メールボックスの場所: EXCH および SFB |
MA は SFBO のみでオンになります。 承認サーバーは、SFBO に所属するユーザーの Microsoft Entra ID ですが、オンプレミスの EXCH の場合は AD です。 |
MFA、CBA、Intune での CA/MAM。* |
| 混合 3 |
ユーザーの所属/メールボックスの場所: EXO + SFB または EXCH + SFB |
このトポロジでは利用できる SFB の MA 機能はありません |
SFB の MA 機能はサポート対象外です。 |
| 混合 4 |
ユーザーの所属/メールボックスの場所: EXCH + SFBO または EXCH + SFB |
MA は SFBO 用であるため、承認サーバーは SFBO に所属するユーザーの Microsoft Entra ID です。 SFB と EXO のオンプレミス ユーザーは AD を使用します。 |
オンライン ユーザー用のみの MFA、CBA、Intune での CA/MAM。* |
| 混合 5 |
ユーザーの所属/メールボックスの場所: EXO + SFBO、EXO + SFB、EXCH + SFBO、または EXCH + SFB |
MA は EXO と SFBO の両方でオンになっているため、承認サーバーは SFBO に所属するユーザーの Microsoft Entra ID です。EXCH および SFB のオンプレミス ユーザーは AD を使用します。 |
オンライン ユーザー用のみの MFA、CBA、Intune での CA/MAM。* |
| 混合 6 |
ユーザーの所属/メールボックスの場所: EXO + SFBO、EXO + SFB、EXCH + SFBO、または EXCH + SFB |
MA はどこにでもあるため、承認サーバーはすべてのユーザーに対して Microsoft Entra ID です。 (オンラインとオンプレミス) デプロイ手順については、「 https://aka.ms/ModernAuthOverview 」を参照してください。 |
すべてのユーザーの MFA、CBA、CA/MAM (Intune 経由)。 |
* - MFA には、Windows Desktop、MAC、iOS、Android デバイス、Windows Phone が含まれます。CBA には、Windows Desktop、iOS、および Android デバイスが含まれています。Intune を使用した CA/MAM には、Android デバイスと iOS デバイスが含まれます。
Important
一部の場合において、ユーザーに対して複数のプロンプトが表示される可能性があることに注意してください。これは特に、すべてのバージョンの混合トポロジでの場合と同様に、クライアントで必要され要求されるすべてのサーバー リソースにわたり MA の状態が同じではない場合に発生します。
Important
また、Windows デスクトップ クライアントの適切な構成のために AllowADALForNonLyncIndependentOfLync レジストリ キーを設定する必要がある場合もあります (具体的には 1、3、5 が混在しています)。