Partager via

Skype for Business topologies supported with Modern Authentication

  • Article

Cet article répertorie les topologies en ligne et locales prises en charge avec l’authentification moderne dans Skype Entreprise, ainsi que les fonctionnalités de sécurité qui s’appliquent à chaque topologie.

Authentification moderne dans Skype Entreprise

Skype Entreprise peut utiliser les avantages de sécurité de l’authentification moderne. Étant donné que Skype Entreprise fonctionne en étroite collaboration avec Exchange, le comportement de connexion que les utilisateurs du client Skype Entreprise voient est également affecté par l’état de ma d’Exchange. Ceci s'applique également si vous possédez un hybride de Skype Entreprise à domaine séparé. Il s’agit de nombreuses parties mobiles, mais l’objectif est de visualiser facilement la liste des topologies prises en charge.

En ce qui concerne Skype Entreprise, Skype Entreprise Online, Exchange Server et Exchange Online, quelles topologies sont prises en charge avec MA ?

Topologies de MA prises en charge dans Skype Entreprise

Il existe potentiellement deux applications serveur et deux charges de travail Microsoft 365 ou Office 365, impliquées dans les topologies Skype Entreprise utilisées par MA.

  • Serveur Skype Entreprise (CU 5) local

  • Skype Entreprise Online (SFBO)

  • Exchange Server local

  • Exchange Server Online (EXO)

Une autre partie importante de MA est de savoir où l’authentification (authN) et l’autorisation (authZ) des utilisateurs ont lieu. Les deux options possibles sont les suivantes :

  • ID Microsoft Entra, en ligne dans microsoft cloud

  • Serveur d'Active Directory Federation (ADFS) local

Il ressemble donc un peu à ceci, avec EXO et SFBO dans le cloud avec l’ID Microsoft Entra, et Exchange Server (EXCH) et Skype Entreprise Server (SFB) local.

Exemple de l'ensemble des applications (Exchange et Skype Entreprise), des charges de travail (EXO et SFBO) et des serveurs d'autorisation (ADFS et evoSTS) qui peuvent être impliqués lors de l'activation de MA.

Voici les topologies prises en charge. Notez la clé pour les graphiques :

  • Si l’icône est grisée ou grisée, elle n’est pas utilisée dans le scénario.

  • EXO correspond à Exchange Online.

  • SFBO correspond à Skype Entreprise Online.

  • EXCH correspond à Exchange local.

  • SFB correspond à Skype Entreprise local.

  • Les serveurs d’autorisation sont représentés par des triangles, par exemple, l’ID Microsoft Entra est un triangle avec un cloud derrière lui.

  • Les flèches pointent vers le serveur d’autorisation qui sera utilisé lorsque les clients essaieront d’atteindre la ressource de serveur spécifiée.

Pour commencer, nous allons aborder l'authentification moderne avec Skype Entreprise dans les topologies locales uniquement et dans le cloud uniquement.

Important

Êtes-vous prêt à configurer l'authentification moderne dans Skype Entreprise Online ? Les étapes d’activation de cette fonctionnalité sont décrites ici.

Nom de la topologie
 Exemple
 Description%
 Pris en charge
Dans le cloud uniquement
 Prise en charge de SFB avec topologie MA, cloud uniquement. Utilisateurs hébergés/boîtes aux lettres situés : En ligne
 MA est activée pour EXO et SFBO.
Par conséquent, le serveur d’autorisation est l’ID Microsoft Entra.
Authentification multifacteur (MFA), authentification basée sur un certificat client (CBA), accès conditionnel (CA)/Gestion des applications mobiles (GAM) avec Intune. *
En local uniquement
 Prise en charge de SFB avec topologie MA, localement uniquement. Utilisateurs hébergés/boîtes aux lettres situés : Local
 MA est activée pour SFB local.
Le serveur d'autorisation est donc ADFS.
Pour plus d’informations sur la configuration, consultez cet article.
MFA (Windows Desktop uniquement - les clients mobiles ne sont pas pris en charge). Aucune fonctionnalité d'intégration Exchange.

Nous ne recommandons pas cette approche. Veuillez consulter ici : https://aka.ms/ModernAuthOverview

Important

Il est recommandé que l'état de MA soit le même pour Skype Entreprise et Exchange (ainsi que pour leurs homologues en ligne) afin de réduire le nombre d'invites.

Les topologies mixtes impliquent des combinaisons d'hybrides de SFB à domaine séparé. Les topologies mixtes actuellement prises en charge sont les suivantes :

Nom de la topologie
 Exemple
 Description%
 Pris en charge
Mixte 1
 Prise en charge de la topologie SFB avec MA, mixte 1 (EXO + SFB).
Utilisateurs hébergés/boîtes aux lettres situées : EXO et SFB
 Ma n’est pas activé pour SFB ; aucune fonctionnalité MA SFB n’est disponible dans cette topologie.
Aucune fonctionnalité MA pour SFB.
Mixte 2
 Prise en charge de la topologie mixte MA-S4B 2, SFBO plus MA exécuté avec EXCH sur site.
Utilisateurs hébergés/boîtes aux lettres situées : EXCH et SFBO
 MA est activée uniquement pour SFBO. Le serveur d’autorisation est l’ID Microsoft Entra pour les utilisateurs hébergés dans SFBO, mais AD pour EXCH local.
MFA, CBA, CA/MAM avec Intune.*
Mixte 3
 Prise en charge de MA avec SFB, EXO avec MA local, plus EXCH et SFB sur site.
Utilisateurs hébergés/boîtes aux lettres situées : EXO + SFB ou EXCH + SFB
 Aucune fonctionnalité MA SFB n'est disponible pour cette topologie
 Aucune fonctionnalité MA pour SFB.
Mixte 4
 Prise en charge de MA avec SFB, SFBO avec MA local, plus EXCH et SFB
Utilisateurs hébergés/boîtes aux lettres situées : EXCH + SFBO ou EXCH + SFB
MA étant activé pour SFBO, le serveur d’autorisation est l’ID Microsoft Entra pour les utilisateurs hébergés dans SFBO. Les utilisateurs locaux dans SFB et EXO utilisent AD.
MFA, CBA, CA/MAM avec Intune pour les utilisateurs en ligne uniquement.*
Mixte 5
 Prise en charge de MA dans SFB, EXO avec MA, SFBO avec MA, EXCH et SFB sur site.
Utilisateurs hébergés/boîtes aux lettres situées : EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB
 MA est activé à la fois dans EXO et SFBO. Par conséquent, le serveur d’autorisation est l’ID Microsoft Entra pour les utilisateurs hébergés dans SFBO ; les utilisateurs locaux dans EXCH et SFB utilisent AD.
MFA, CBA, CA/MAM avec Intune pour les utilisateurs en ligne uniquement.*
Mixte 6
 Dans une topologie Mixte 6, l'authentification moderne est activée dans les quatre emplacements possibles, situation idéale en matière d'authentification moderne.
Utilisateurs hébergés/boîtes aux lettres situées : EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB
 Ma est sur n’importe où. Par conséquent, le serveur d’autorisation est l’ID Microsoft Entra pour tous les utilisateurs. (en ligne et localement)
Consultez https://aka.ms/ModernAuthOverview pour connaître les étapes de déploiement.
MFA, CBA et CA/GAM (via Intune) pour tous les utilisateurs.

* - L’authentification multifacteur inclut les appareils Windows Desktop, MAC, iOS, Android et Windows Phone ; L’authentification basée sur les certificats inclut les appareils Windows Desktop, iOS et Android ; Ca/GAM avec Intune, inclut les appareils Android et iOS.

Important

Il est très important de noter que les utilisateurs peuvent voir plusieurs invites dans certains cas, notamment lorsque l'état de MA n'est pas le même sur toutes les ressources dont les clients peuvent avoir besoin, comme c'est le cas pour toutes les versions des topologies mixtes.

Important

Notez également que dans certains cas (mixed 1, 3 et 5 spécifiquement), une clé de Registre AllowADALForNonLyncIndependentOfLync doit être définie pour une configuration appropriée pour les clients De bureau Windows.