Planification de l’authentification à deux facteurs dans Lync Server 2013
Rubrique Dernière modification : 2015-04-06
Voici une liste des considérations relatives au déploiement lors de la configuration d’un environnement Microsoft Lync Server 2013 pour prendre en charge l’authentification à deux facteurs.
Prise en charge des clients
Les mises à jour cumulatives Lync 2013 pour le client de bureau Lync Server 2013 : juillet 2013 et tous les clients mobiles prennent actuellement en charge l’authentification à deux facteurs.
Conditions requises pour la topologie
Les clients sont vivement encouragés à déployer l’authentification à deux facteurs à l’aide de Lync Server 2013 dédié avec des mises à jour cumulatives pour Lync Server 2013 : Edge, Director et User Pools de juillet 2013. Pour activer l’authentification passive pour les utilisateurs Lync, d’autres méthodes d’authentification doivent être désactivées pour d’autres rôles et services, notamment les suivants :
| Type de configuration | Type de service | Rôle serveur | Type d’authentification à désactiver |
|---|---|---|---|
Service web |
WebServer |
Directeur |
Kerberos, NTLM et par certificat |
Service web |
WebServer |
Serveur frontal |
Kerberos, NTLM et par certificat |
Proxy |
EdgeServer |
Edge |
Kerberos et NTLM |
Proxy |
Serveur d’inscriptions avancé |
Serveur frontal |
Kerberos et NTLM |
Sauf si ces types d’authentification sont désactivés au niveau du service, toutes les autres versions du client Lync ne pourront pas se connecter correctement une fois l’authentification à deux facteurs activée dans votre déploiement.
Découverte de service Lync
Les enregistrements DNS utilisés par les clients internes et/ou externes pour découvrir les services Lync doivent être configurés pour être résolus en serveur Lync qui n’est pas activé pour l’authentification à deux facteurs. Avec cette configuration, les utilisateurs des pools Lync qui ne sont pas activés pour l’authentification à deux facteurs ne seront pas tenus d’entrer un code confidentiel pour s’authentifier, tandis que les utilisateurs des pools Lync activés pour l’authentification à deux facteurs devront entrer leur code confidentiel pour s’authentifier.
Authentification Exchange
Les clients qui ont déployé l’authentification à deux facteurs pour Microsoft Exchange peuvent constater que certaines fonctionnalités du client Lync ne sont pas disponibles. Cela est actuellement de conception, car le client Lync ne prend pas en charge l’authentification à deux facteurs pour les fonctionnalités qui dépendent de l’intégration d’Exchange.
Lync Contacts
Les utilisateurs Lync configurés pour tirer parti de la fonctionnalité Magasin de contacts unifié constatent que leurs contacts ne sont plus disponibles après s’être connectés avec l’authentification à deux facteurs.
Vous devez utiliser l’applet de commande Invoke-CsUcsRollback pour supprimer les contacts utilisateur existants du magasin de contacts unifié et les stocker dans Lync Server 2013 avant d’activer l’authentification à deux facteurs.
Recherche de compétences
Les clients qui ont configuré la fonctionnalité Recherche de compétences dans leur environnement Lync constatent que cette fonctionnalité ne fonctionne pas lorsque Lync est activé pour l’authentification à deux facteurs. Ce comportement est normal, car Microsoft SharePoint ne prend pas en charge l’authentification à deux facteurs pour le moment.
Informations d’identification Lync
Il existe un certain nombre de considérations de déploiement impliquant des informations d’identification Lync enregistrées qui peuvent avoir un impact sur les utilisateurs qui sont configurés pour utiliser l’authentification à deux facteurs.
Suppression des informations d’identification enregistrées
Les utilisateurs du client de bureau doivent utiliser l’option Supprimer mes informations de connexion dans le client Lync et supprimer leur dossier de profil SIP de %localappdata%\Microsoft\Office\15.0\Lync avant de tenter de se connecter pour la première fois à l’aide de l’authentification à deux facteurs.
DisableNTCredentials
Lorsque la méthode d’authentification Kerberos ou NTLM est utilisée, les informations d’identification Windows de l’utilisateur sont utilisées automatiquement pour l’authentification. Dans un déploiement Lync Server 2013 classique où Kerberos et/ou NTLM sont activés pour l’authentification, les utilisateurs ne doivent pas avoir à entrer leurs informations d’identification chaque fois qu’ils se connectent.
Si les utilisateurs sont invités à entrer leurs informations d’identification avant leur code confidentiel, la clé de Registre DisableNTCredentials est peut être configurée involontairement sur les ordinateurs clients, éventuellement par le biais de la stratégie de groupe.
Pour empêcher l’invite supplémentaire d’informations d’identification, créez l’entrée de Registre suivante sur la station de travail locale ou utilisez le modèle d’administration Lync pour appliquer à tous les utilisateurs d’un pool donné à l’aide de stratégie de groupe :
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
REG_DWORD: DisableNTCredentials
Valeur : 0x0
SavePassword
Lorsqu’un utilisateur se connecte à Lync pour la première fois, il est invité à enregistrer son mot de passe. Lorsqu’elle est sélectionnée, cette option permet le stockage du certificat client de l’utilisateur dans le magasin de certificats personnel et des informations d’identification Windows de l’utilisateur dans le Gestionnaire d’informations d’identification de l’ordinateur local.
Le paramètre de Registre SavePassword doit être désactivé lorsque Lync est configuré pour prendre en charge l’authentification à deux facteurs. Pour empêcher les utilisateurs d’enregistrer leurs mots de passe, modifiez l’entrée de Registre suivante sur la station de travail locale ou utilisez le modèle d’administration Lync pour appliquer à tous les utilisateurs d’un pool donné à l’aide de stratégie de groupe :
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Valeur : 0x0
Relecture des jetons d’AD FS 2.0
La fonctionnalité d’AD FS 2.0 de détection de relecture des jetons détecte et rejette les demandes de jeton multiples effectuées à l’aide d’un même jeton. Lorsqu’elle est activée, elle protège l’intégrité des demandes d’authentification dans le profil passif WS-Federation et le profil SAML WebSSO en vérifiant que le même jeton n’est pas utilisé plusieurs fois.
Cette fonctionnalité doit être activée dans les cas dans lesquels la sécurité constitue un aspect essentiel, par exemple, dans le cadre de l’utilisation des kiosques. Pour plus d’informations sur la détection de relecture de jetons, consultez Les meilleures pratiques pour la planification et le déploiement sécurisés d’AD FS 2.0 sur https://go.microsoft.com/fwlink/p/?LinkId=309215.
Accès des utilisateurs externes
La configuration d’un proxy AD FS ou d’un proxy inverse pour prendre en charge l’authentification à deux facteurs Lync à partir de réseaux externes n’est pas abordée dans ces rubriques.