Información sobre la configuración AllowAdalForNonLyncIndependentOfLync en Skype Empresarial, Lync 2013 y Exchange Online
Introducción
Este artículo contiene información sobre la configuración AllowAdalForNonLyncIndependentOfLync en Skype Empresarial 2016, Skype Empresarial 2015, Lync 2013 y Exchange Online. En este artículo también se describe qué implementaciones de Exchange Online y Skype Empresarial requieren esta configuración.
Más información
La información de este artículo ayuda a los administradores de TI y Microsoft 365 en los siguientes escenarios:
- Configurar Lync 2013 y Skype Empresarial usuarios que se hospedarán en Skype Empresarial Server 2015 o Lync Server 2013 local.
- Configuración de buzones en Exchange Online en Microsoft 365 mediante autenticación moderna y autenticación multifactor (MFA) con OAuth.
En estos escenarios, la funcionalidad disponible en el entorno anterior es la siguiente:
- Los clientes Skype Empresarial Desktop y Lync 2013 se conectan a Skype Empresarial Server mediante NTLM o el protocolo de autenticación Kerberos, un nombre de usuario y una contraseña o la autenticación integrada de Windows.
- Después de iniciar sesión, Skype Empresarial o Lync 2013 se conecta al buzón del usuario en Exchange Online mediante Exchange Web Services (EWS). Aunque el servicio EWS anuncia la configuración de OAuth (el URI de autorización), el cliente lo omite y vuelve a un inicio de sesión que no es de MFA mediante un canal OrgID. Esto limita los protocolos de inicio de sesión a un nombre de usuario y una contraseña o a la autenticación integrada de Windows.
La nueva configuración AllowAdalForNonLyncIndependentOfLync permite a Skype Empresarial clientes de Escritorio o Lync 2013 desbloquear MFA en Exchange Online en situaciones en las que el administrador de TI debe aplicar MFA en Exchange Online. Puede aplicar esta nueva configuración mediante directiva de grupo en el Registro de Windows o como una configuración de directiva de punto de conexión en banda en el servidor de Skype Empresarial.
Después de aplicar esta configuración al equipo cliente, la funcionalidad del entorno es la siguiente:
- Los clientes de Skype Empresarial Desktop o Lync 2013 se conectan a Skype Empresarial Server mediante NTLM o el protocolo de autenticación Kerberos. En concreto, se necesitará un nombre de usuario y una contraseña o autenticación integrada de Windows para una conexión correcta (como antes).
- Después de iniciar sesión, Skype Empresarial o Lync 2013 se conecta a Exchange Web Services (EWS). Si el servicio EWS anuncia la configuración de OAuth (URI de autorización), el cliente usa MFA. Además, si es necesaria una actualización de credenciales, se le pedirá al usuario a través del cuadro de diálogo Autenticación moderna.
Nota:
Esta configuración no es necesaria para topologías solo en la nube o si Exchange y Skype Empresarial están configurados para un entorno híbrido que tenga habilitada la autenticación moderna. Para obtener información detallada sobre las topologías, consulte Skype Empresarial topologías compatibles con la autenticación moderna.
En algunos casos (en concreto, topologías mixed 1, mixed 3 y mixed 5, como se describe en Skype Empresarial topologías compatibles con la autenticación moderna), debe establecer correctamente la clave del Registro AllowADALForNonLynIndependentOfLync para los clientes de escritorio de Windows.
Importante
Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del registro para efectuar la restauración en caso de producirse problemas.
Advertencia
Es posible que se produzcan problemas graves si modifica el Registro de forma incorrecta mediante el Editor del Registro u otro método. Estos problemas pueden requerir la reinstalación del sistema operativo. Microsoft no puede garantizar la solución de estos problemas. Modifique el Registro bajo su propia responsabilidad.
Use cualquiera de los métodos siguientes para aplicar la configuración AllowAdalForNonLyncIndependentOfLync .
Método 1: Usar directiva de grupo
Nota:
La opción para habilitar esta configuración a través de directiva de grupo solo está disponible después de aplicar la actualización pública (PU) de julio de 2015.
Para Skype Empresarial o clientes de Lync 2013 15.0* (solo disponible desde la PU de septiembre de 2015):
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync
Para Skype Empresarial o clientes de Lync 2013 16.0*:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync
A continuación, aplique la configuración de clave del Registro AllowAdalForNonLyncIndependentOfLync :
"AllowAdalForNonLyncIndependentOfLync"=dword:00000001
Método 2: como una configuración en banda en el servidor Lync
Nota:
Esta opción solo está disponible a través de la PU de septiembre.
Para habilitar la configuración en banda en el servidor Lync, ejecute el siguiente cmdlet:
$a = New-CsClientPolicyEntry -name AllowAdalForNonLyncIndependentOfLync -value "True"
Set-CsClientPolicy -Identity Global -PolicyEntry @{Add=$a}
Importante
Para habilitar la autenticación moderna para aplicaciones de Office 2013 en un dispositivo basado en Windows, debe establecer la siguiente clave adicional del Registro.
| Clave del Registro | Tipo | Valor |
|---|---|---|
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL |
REG_DWORD | 1 |
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version |
REG_DWORD | 1 |
Para obtener más información sobre la configuración EnableADAL, vaya al siguiente sitio web de Microsoft:
Habilitar la autenticación moderna para Office 2013 en dispositivos Windows
Para obtener más información sobre la versión de cliente de Skype Empresarial Desktop para el flujo de autenticación moderna (actualización de julio), consulte el siguiente artículo de Knowledge Base:
3054946 14 de julio de 2015, actualización de Lync 2013 (Skype Empresarial) (KB3054946)
Notas
- El método 2 está disponible para los clientes que tienen la actualización de Lync 2013 (Skype Empresarial) publicada en septiembre de 2015 o después de 2015.
- La misma actualización de septiembre (o una versión posterior) tiene correcciones más relacionadas con la autenticación moderna. Los clientes deben planear la actualización a ella después de publicarla.
¿Aún necesita ayuda? Visite Comunidad Microsoft.