Freigeben über

Mit moderner Authentifizierung unterstützte Skype for Business-Topologien

  • Artikel

In diesem Artikel werden die Online- und lokalen Topologien aufgeführt, die von der modernen Authentifizierung in Skype for Business unterstützt werden, sowie Sicherheitsfeatures, die für jede Topologie gelten.

Moderne Authentifizierung in Skype for Business

Skype for Business kann die Sicherheitsvorteile der modernen Authentifizierung nutzen. Da Skype for Business eng mit Exchange zusammenarbeitet, wird das Anmeldeverhalten, das Benutzern des Skype for Business-Clients angezeigt wird, auch vom MA-Status von Exchange beeinflusst. Dies gilt auch, wenn Sie eine hybride Skype for Business-Topologie mit geteilter Domäne verwenden. Das sind zahlreiche bewegliche Teile, aber das Ziel ist hier eine leicht zu visualisierende Liste der unterstützten Topologien.

Welche Topologien werden für moderne Authentifizierung unterstützt, wenn Skype for Business, Skype for Business Online, Exchange Server und Exchange Online genutzt werden?

Unterstützte MA-Topologien in Skype for Business

Es gibt potenziell zwei Serveranwendungen und zwei Microsoft 365- oder Office 365-Workloads, die mit Skype for Business-Topologien verbunden sind, die von MA verwendet werden.

  • Lokales Skype for Business-Server (CU 5)

  • Skype for Business Online (SFBO)

  • Exchange Server (lokal)

  • Exchange Server Online (EXO)

Ein weiterer wichtiger Teil von MA ist die Kenntnis, wo die Authentifizierung (authN) und Autorisierung (authZ) von Benutzern stattfinden. Die folgenden zwei Optionen stehen zur Verfügung:

  • Microsoft Entra ID, online in der Microsoft Cloud

  • Active Directory-Verbundserver (Active Directory Federation Server, AD FS) (lokal)

Es sieht also ein wenig so aus, mit EXO und SFBO in der Cloud mit Microsoft Entra ID und Exchange Server (EXCH) und Skype for Business Server (SFB) lokal.

Ein Beispiel für alle Anwendungen (Exchange und Skype for Business) und Arbeitsauslastungen (EXO und SFBO) sowie für beide Autorisierungsserver (ADFS und evoSTS), die beim Aktivieren von MA beteiligt sein können.

Hier sind die unterstützten Topologien. Beachten Sie den Schlüssel für die Grafiken:

  • Wenn das Symbol abgeblendet oder grau ist, wird es im Szenario nicht verwendet.

  • EXO: Exchange Online

  • SFBO: Skype for Business Online

  • EXCH: Exchange (lokal)

  • SFB: Skype for Business (lokal)

  • Autorisierungsserver werden durch Dreiecke dargestellt, z. B. ist die Microsoft Entra-ID ein Dreieck mit einer Wolke dahinter.

  • Pfeile zeigen auf den Autorisierungsserver, der verwendet wird, wenn Clients versuchen, die angegebene Serverressource zu erreichen.

Betrachten wir zunächst MA mit Skype for Business in rein lokalen Topologien und reinen Cloudtopologien.

Wichtig

Sind Sie bereit, moderne Authentifizierung in Skype for Business Online einzurichten? Die Schritte zum Aktivieren dieses Features finden Sie hier.

Topologiename
 Beispiel
 Beschreibung
 Unterstützt
Nur Cloud
 Unterstützt SFB mit MA-Topologie, nur Cloud. Gehostete Benutzer/Postfächer: Online
 MA ist für EXO und SFBO aktiviert.
Daher ist der Autorisierungsserver Microsoft Entra ID.
Mehrstufige Authentifizierung (MFA), Clientzertifikatbasierte Authentifizierung (CBA), Bedingter Zugriff (CA)/Mobile Application Management (MAM) mit Intune. *
Nur lokal
 Unterstützt SFB mit MA-Topologie, nur lokal. Verwaltete Benutzer/Befinden der Postfächer: Lokal
 MA ist für SFB (lokal) aktiviert.
Daher ist AD FS der Autorisierungsserver.
Konfigurationsdetails finden Sie in diesem Artikel.
MFA (nur Windows Desktop – mobile Clients werden nicht unterstützt). Keine Exchange-Integrationsfunktionen.

Dieser Ansatz wird nicht empfohlen. Weitere Informationen finden Sie hier: https://aka.ms/ModernAuthOverview

Wichtig

Der MA-Status sollte in Skype for Business und Exchange (und deren Onlinependants) gleich sein, um die Anzahl der Eingabeaufforderungen zu verringern.

Bei gemischten Topologien sind Kombinationen von SFB-Hybriden mit geteilter Domäne beteiligt. Diese gemischten Topologien werden zurzeit unterstützt:

Topologiename
 Beispiel
 Beschreibung
 Unterstützt
Gemischt 1
 Unterstützung für SFB mit MA-Topologie, Gemischt 1 (EXO + SFB).
Verwaltung der Benutzer/Speicherort der Postfächer: EXO und SFB
 MA ist für SFB nicht aktiviert. in dieser Topologie sind keine SFB MA-Features verfügbar.
Keine MA-Funktionen für SFB
Gemischt 2
 Unterstützung für MA mit gemischter S4B-Topologie 2, SFBO plus MA in lokaler Zusammenarbeit mit EXCH.
Verwaltung der Benutzer/Speicherort der Postfächer: EXCH und SFBO
 MA ist nur für SFBO aktiviert. Der Autorisierungsserver ist Microsoft Entra ID für Benutzer, die in SFBO verwaltet werden, aber AD für EXCH lokal.
MFA, CBA, CA/MAM mit IntuneGemischt 3
Gemischt 3
 Unterstützung für MA mit SFB, EXO mit aktiviertem MA plus lokalem EXCH und SFB.
Verwaltung der Benutzer/Speicherort der Postfächer: EXO + SFB oder EXCH + SFB
 In dieser Topologie sind keine MA-Funktionen für SFB verfügbar.
 Keine MA-Funktionen für SFB
Gemischt 4
 Unterstützung für MA mit SFB, SFBO mit aktiviertem MA plus lokalem EXCH und SFB.
Verwaltung der Benutzer/Speicherort der Postfächer: EXCH + SFBO oder EXCH + SFB
MA ist für SFBO aktiviert, daher ist der Autorisierungsserver Microsoft Entra ID für Benutzer, die in SFBO gehostet werden. Lokale Benutzer in SFB und EXO verwenden AD.
MFA, CBA, CA/MAM mit Intune nur für Onlinebenutzer* – MFA umfasst Windows-Desktop, Mac, iOS- und Android-Geräte und Windows Phones. CBA umfasst Windows-Desktop, iOS- und Android-Geräte. CA/MAM mit Intune umfasst Android- und iOS-Geräte.
Gemischt 5
 Unterstützung für MA in SFB, EXO mit MA und SFBO mit MA sowie lokalem EXCH und SFB.
Verwaltung der Benutzer/Speicherort der Postfächer: EXO und SFBO, EXO + SFB, EXCH + SFBO oder EXCH + SFB
 MA ist sowohl in EXO als auch in SFBO aktiviert, daher ist der Autorisierungsserver Microsoft Entra ID für Benutzer, die in SFBO gehostet werden; Lokale Benutzer in EXCH und SFB verwenden AD.
MFA, CBA, CA/MAM mit Intune nur für Onlinebenutzer* – MFA umfasst Windows-Desktop, Mac, iOS- und Android-Geräte und Windows Phones. CBA umfasst Windows-Desktop, iOS- und Android-Geräte. CA/MAM mit Intune umfasst Android- und iOS-Geräte.
Gemischt 6
 In der Topologie „Gemischt 6“ ist moderne Authentifizierung an allen vier möglichen Standorten aktiviert – die ideale Situation im Hinblick auf moderne Authentifizierung.
Verwaltung der Benutzer/Speicherort der Postfächer: EXO und SFBO, EXO + SFB, EXCH + SFBO oder EXCH + SFB
 MA ist überall aktiviert, daher ist der Autorisierungsserver Microsoft Entra ID für alle Benutzer. (online und lokal)
Bereitstellungsschritte finden Sie unter https://aka.ms/ModernAuthOverview .
MFA, CBA und CA/MAM (über Intune) für alle Benutzer.

* – MFA umfasst Windows Desktop, MAC, iOS, Android-Geräte und Windows Phones; CBA umfasst Windows Desktop-, iOS- und Android-Geräte. CA/MAM mit Intune umfasst Android- und iOS-Geräte.

Wichtig

Sehr wichtig ist, dass die Benutzer möglicherweise in manchen Fällen mehrere Eingabeaufforderungen sehen, vor allem, wenn der MA-Status nicht auf allen von den Clients benötigten und angeforderten Serverressourcen gleich ist. Dies gilt für alle Versionen der gemischten Topologien.

Wichtig

Beachten Sie außerdem, dass in einigen Fällen (speziell gemischt 1, 3 und 5) ein AllowADALForNonLyncIndependentOfLync-Registrierungsschlüssel für die ordnungsgemäße Konfiguration für Windows-Desktopclients festgelegt werden muss.