Planejando a autenticação de dois fatores no Lync Server 2013
Tópico última modificação: 06/04/2015
A seguir está uma lista de considerações de implantação ao configurar um ambiente do Microsoft Lync Server 2013 para dar suporte à autenticação de dois fatores.
Suporte de Cliente
O Lync 2013 Cumulative Atualizações for Lync Server 2013: julho de 2013 desktop client and all mobile clients currently support two-factor authentication.
Requisitos de topologia
Os clientes são altamente incentivados a implantar a autenticação de dois fatores usando o Lync Server 2013 dedicado com Atualizações cumulativo para o Lync Server 2013: borda de julho de 2013, diretor e pools de usuários. Para habilitar a autenticação passiva para usuários do Lync, outros métodos de autenticação devem ser desabilitados para outras funções e serviços, incluindo o seguinte:
| Tipo de configuração | Tipo de serviço | Função do servidor | Tipo de autenticação a ser desabilitada |
|---|---|---|---|
Serviço Web |
WebServer |
Diretor |
Kerberos, NTLM e Certificado |
Serviço Web |
WebServer |
Front-End |
Kerberos, NTLM e Certificado |
Proxy |
EdgeServer |
Borda |
Kerberos e NTLM |
Proxy |
Registrador |
Front-End |
Kerberos e NTLM |
A menos que esses tipos de autenticação estejam desabilitados no nível de serviço, todas as outras versões do cliente do Lync não poderão entrar com êxito depois que a autenticação de dois fatores estiver habilitada em sua implantação.
Descoberta de Serviço do Lync
Os registros DNS usados por clientes internos e/ou externos para descobrir serviços do Lync devem ser configurados para serem resolvidos para um servidor do Lync que não esteja habilitado para autenticação de dois fatores. Com essa configuração, os usuários de Pools do Lync que não estão habilitados para autenticação de dois fatores não precisarão inserir um PIN para autenticar, enquanto os usuários de Pools do Lync habilitados para autenticação de dois fatores precisarão inserir seu PIN para autenticação.
Autenticação do Exchange
Os clientes que implantaram a autenticação de dois fatores para o Microsoft Exchange podem descobrir que determinados recursos no cliente do Lync estão indisponíveis. Isso é atualmente por design, pois o cliente do Lync não dá suporte à autenticação de dois fatores para recursos que dependem da integração do Exchange.
Contatos do Lync
Os usuários do Lync configurados para aproveitar o recurso Repositório unificado de Contatos descobrirão que seus contatos não estarão mais disponíveis depois de entrar com a autenticação de dois fatores.
Você deve usar o cmdlet Invoke-CsUcsRollback para remover contatos de usuário existentes do Repositório unificado de contatos e armazená-los no Lync Server 2013 antes de habilitar a autenticação de dois fatores.
Pesquisa de Habilidades
Os clientes que configuraram o recurso pesquisa de habilidades em seu ambiente do Lync descobrirão que esse recurso não funciona quando o Lync está habilitado para autenticação de dois fatores. Isso ocorre devido ao projeto, já que o Microsoft SharePoint não é compatível com a autenticação de dois fatores.
Credenciais do Lync
Há várias considerações de implantação envolvendo credenciais salvas do Lync que podem afetar os usuários configurados para usar a autenticação de dois fatores.
Exclusão de Credenciais Salvas
Os usuários cliente da área de trabalho devem usar a opção Excluir minhas informações de entrada no cliente do Lync e excluir sua pasta de perfil SIP de %localappdata%\Microsoft\Office\15.0\Lync antes de tentar entrar pela primeira vez usando a autenticação de dois fatores.
DisableNTCredentials
Com o método de autenticação Kerberos ou NTLM, as credenciais do Windows do usuário são usadas automaticamente para fins de autenticação. Em uma implantação típica do Lync Server 2013 em que Kerberos e/ou NTLM estão habilitados para autenticação, os usuários não devem precisar inserir suas credenciais sempre que entrarem.
Se as credenciais dos usuários forem inadvertidamente solicitadas antes de ser necessário informar o PIN, a chave de registro DisableNTCredentials pode estar configurada por engano nos computadores clientes, possivelmente através de uma Política de Grupo.
Para evitar o prompt adicional de credenciais, crie a seguinte entrada de registro na estação de trabalho local ou use o modelo administrativo do Lync para aplicar a todos os usuários para um determinado pool usando Política de Grupo:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
REG_DWORD: DisableNTCredentials
Value: 0x0
SavePassword
Quando um usuário entra no Lync pela primeira vez, o usuário é solicitado a salvar sua senha. Em caso positivo, o certificado de cliente do usuário fica armazenado no armazenamento de certificado pessoal e as credenciais do Windows do usuário ficam armazenadas no Gerenciador de Credenciais do computador local.
A configuração do Registro SavePassword deve ser desabilitada quando o Lync estiver configurado para dar suporte à autenticação de dois fatores. Para impedir que os usuários salvem suas senhas, altere a seguinte entrada do Registro na estação de trabalho local ou use o modelo administrativo do Lync para aplicar a todos os usuários para um determinado pool usando Política de Grupo:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Value: 0x0
AD FS 2.0 Token Replay
O AD FS 2.0 oferece um recurso chamado detecção de repetição de token, pelo qual é possível detectar várias solicitações de token que usam o mesmo token a fim de descartá-las. Quanto este recurso está habilitado, a detecção de repetição de token protege a integridade das solicitações de autenticação tanto no perfil passivo do WS-Federation quanto no perfil de SAML WebSSO, certificando-se de que o mesmo token nunca é usado mais de uma vez.
Esse recurso deve ser habilitado em situações em que há grandes preocupações com a segurança, como quando se usa quiosques. Para obter mais informações sobre a detecção de reprodução de token, consulte Práticas recomendadas para planejamento seguro e implantação do AD FS 2.0 em https://go.microsoft.com/fwlink/p/?LinkId=309215.
Acesso de usuários externos
A configuração de um Proxy do AD FS ou proxy reverso para dar suporte à autenticação de dois fatores do Lync de redes externas não é abordada nestes tópicos.