Partilhar via

Skype for Business topologies supported with Modern Authentication

  • Artigo

Este artigo lista as topologias online e no local que são suportadas com a Autenticação Moderna no Skype para Empresas e as funcionalidades de segurança que se aplicam a cada topologia.

Autenticação moderna no Skype for Business

O Skype para Empresas pode utilizar vantagens de segurança da Autenticação Moderna. Uma vez que o Skype para Empresas funciona em estreita colaboração com o Exchange, o comportamento de início de sessão que os utilizadores do cliente do Skype para Empresas veem também será afetado pelo estado ma do Exchange. Isso também será aplicável caso você tenha um híbrido de domínio dividido do Skype for Business. São inúmeras partes móveis, mas o objetivo aqui é uma lista fácil de visualizar de topologias suportadas.

Se considerarmos o Skype for Business, o Skype for Business Online, o Exchange Server e o Exchange Online, quais topologias são compatíveis com a autenticação moderna?

Topologias de autenticação moderna compatíveis com o Skype for Business

Existem potencialmente duas aplicações de servidor e duas cargas de trabalho do Microsoft 365 ou office 365, envolvidas em topologias do Skype para Empresas utilizadas pelo MA.

  • Servidor do Skype para Empresas (CU 5) no local

  • Skype for Business Online (SFBO)

  • Exchange Server local

  • Exchange Server Online (EXO)

Outra parte importante do MA é saber onde ocorrem a autenticação (authN) e a autorização (authZ) dos utilizadores. As duas opções são:

  • Microsoft Entra ID, online na Microsoft Cloud

  • Active Directory Federation Server (ADFS) local

Assim, tem um aspeto semelhante ao seguinte, com EXO e SFBO na Cloud com o Microsoft Entra ID e o Exchange Server (EXCH) e o Servidor Skype para Empresas (SFB) no local.

Um exemplo de todos os aplicativos (Exchange e Skype for Business) e cargas de trabalho (EXO e SFBO), e ambos os servidores de autorização (ADFS e evoSTS) que podem ser envolvidos ao ativar o MA.

Aqui estão as topologias compatíveis. Tenha em atenção a chave dos gráficos:

  • Se o ícone estiver desativado ou cinzento, não será utilizado no cenário.

  • EXO é o Exchange Online.

  • SFBO é o Skype for Business Online.

  • EXCH é o Exchange local.

  • SFB é o Skype for Business local.

  • Os servidores de autorização são representados por triângulos, por exemplo, o ID do Microsoft Entra é um triângulo com uma nuvem por trás.

  • As setas apontam para o servidor de autorização que será utilizado quando os clientes tentarem aceder ao recurso de servidor especificado.

Primeiro, vamos tratar da autorização moderna com o Skype for Business em topologias apenas locais e apenas na nuvem.

Importante

Está pronto para configurar a autenticação moderna no Skype for Business Online? Os passos para ativar esta funcionalidade encontram-se aqui.

Nome da topologia
 Exemplo
 Descrição
 Compatível
Somente na nuvem
 SFB suportado com topologia de MA, Apenas cloud.Utilizadores em casa/caixas de correio localizadas: Online
 A autenticação moderna está ativada tanto para o EXO quanto para o SFBO.
Por conseguinte, o servidor de autorização é o Microsoft Entra ID.
Autenticação multifator (MFA), Autenticação baseada em certificado de cliente (CBA), Acesso Condicional (AC)/Gestão de Aplicações Móveis (MAM) com o Intune. *
Somente local
 SFB suportado com topologia de MA, apenas no local.Utilizadores em casa/caixas de correio localizadas: no local
 A autenticação moderna está ativada para o SFB local.
Portanto, o servidor de autorização é o ADFS.
Para obter detalhes de configuração, veja este artigo.
MFA (apenas Para Ambiente de Trabalho do Windows – os clientes móveis não são suportados). Nenhum recurso de integração do Exchange.

Não recomendamos esta abordagem. Veja aqui: https://aka.ms/ModernAuthOverview

Importante

Recomenda-se que o estado da autenticação moderna seja o mesmo no Skype for Business e no Exchange (e suas contrapartes online) para a redução do número de prompts.

As topologias mistas envolvem combinações de híbridos de domínio dividido do SFB. Estas são as topologias mistas compatíveis no momento:

Nome da topologia
 Exemplo
 Descrição
 Compatível
Mista 1
 SFB suportado com topologia de MA, Misto 1 (EXO + SFB).
Usuários hospedados/caixas de correio localizadas: EXO e SFB
 O MA não está ativado para SFB; não existem funcionalidades do SFB MA disponíveis nesta topologia.
Nenhum recurso de autenticação moderna para o SFB.
Mista 2
 Ma suportado com S4B Mixed topology 2, SFBO mais MA trabalhando com EXCH no local.
Usuários hospedados/caixas de correio localizadas: EXCH e SFBO
 A autenticação moderna está ativada somente para o SFB. O servidor de autorização é o ID do Microsoft Entra para os utilizadores que se encontra no SFBO, mas o AD para EXCH no local.
MFA, CBA, CA/MAM com o Intune.*
Mista 3
 MA suportado com SFB, EXO com MA ativado, além de EXCH e SFB no local.
Usuários hospedados/caixas de correio localizadas: EXO + SFB ou EXCH + SFB
 Nenhum recurso de autenticação moderna do SFB disponível nesta topologia
 Nenhum recurso de autenticação moderna para o SFB.
Mista 4
 MA suportado com SFB, SFBO com MA ativado, além de EXCH e SFB.
Usuários hospedados/caixas de correio localizadas: EXCH +SFBO ou EXCH + SFB
O MA está ativado para o SFBO, pelo que o servidor de autorização é o ID do Microsoft Entra para os utilizadores com o SFBO. Os utilizadores no local no SFB e exO utilizam o AD.
MFA, CBA, CA/MAM com o Intune somente para os usuários online.*
Mista 5
 O MA suportado no SFB, EXO com MA e SFBO com MA e EXCH e SFB no local.
Usuários hospedados/caixas de correio localizadas: EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB
 O MA está ativado no EXO e no SFBO, pelo que o servidor de autorização é o ID do Microsoft Entra para utilizadores alojados no SFBO; os utilizadores no local no EXCH e no SFB utilizam o AD.
MFA, CBA, CA/MAM com o Intune somente para os usuários online.*
Misto 6
 Numa topologia Mista 6, a Autenticação Moderna está ativada em todas as quatro localizações possiíveis – a situação ideal no que diz respeito à Autenticação Moderna.
Usuários hospedados/caixas de correio localizadas: EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB
 O MA está em todo o lado, pelo que o servidor de autorização é o ID do Microsoft Entra para todos os utilizadores. (online e no local)
Veja https://aka.ms/ModernAuthOverview os passos de implementação.
MFA, CBA e AC/MAM (via Intune) para todos os utilizadores.

* - A MFA inclui Windows Desktop, MAC, iOS, dispositivos Android e Windows Phones; A CBA inclui dispositivos Windows Desktop, iOS e Android; A AC/MAM com o Intune inclui dispositivos Android e iOS.

Importante

É muito importante observar que os usuários podem ver vários prompts em alguns casos, particularmente onde o estado da autenticação moderna não é o mesmo em todos os recursos do servidor que os clientes podem precisar e solicitar. É o caso com todas as versões das topologias Mistas.

Importante

Tenha também em atenção que, em alguns casos (especificamente, 1, 3 e 5) uma chave de registo AllowADALForNonLyncIndependentOfLync tem de ser definida para uma configuração adequada para Clientes de Ambiente de Trabalho do Windows.