添加链接 注册    登录
link之家
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
直爽的棒棒糖  ·  上海科技影都建设发展“十四五”规划·  1 月前    · 
光明磊落的春卷  ·  奔驰CLA,A级,还是C级,和3系呢? - 知乎·  1 年前    · 
淡定的炒饭  ·  浪子霸总小说_史克浪子的小说_心机浪子小说 ...·  1 年前    · 
性感的猴子  ·  宫晓瑄一一在电影《天堂的张望》中成功扮演了主 ...·  1 年前    · 
才高八斗的橙子  ·  龙域猎手 - 🌈️包子漫畫·  1 年前    · 
link之家  ›  在 Skype for Business Server 中管理双重身份验证 - Skype for Business Server 2015 | Microsoft Learn
https://learn.microsoft.com/zh-cn/skypeforbusiness/manage/authentication/two-factor-authentication
越狱的排球
6 月前

总结: 在 Skype for Business Server 中管理双重身份验证。

双重身份验证要求用户提供两种形式的身份验证或身份识别,即用户名/密码组合以及令牌或证书,从而提供了更高的安全性。 这也称为“你拥有的东西,你知道的东西”。

使用证书进行双重身份验证的一个典型示例是使用智能卡。 智能卡包含与用户帐户相关联的证书,可对照服务器上存储的用户和证书信息进行验证。 通过将用户信息(用户名和密码)与提供的证书进行比较,服务器将验证凭据并验证用户身份。

配置Skype for Business Server环境以支持双重身份验证时,请考虑以下主题。

客户端支持

Lync Server 2013 累积汇报:2013 年 7 月桌面客户端和 Skype for Business 客户端是目前唯一支持双重身份验证的客户端。

建议客户使用专用Skype for Business Server与 Edge、控制器和用户池部署双重身份验证。 若要为用户启用被动身份验证,必须为其他角色和服务禁用其他身份验证方法,包括:

服务器角色 要禁用的身份验证类型

除非在服务级别禁用这些身份验证类型,否则一旦在您的部署中启用双重身份验证,所有其他版本的客户端将无法成功登录。

Skype for Business 服务发现

内部和/或外部客户端用于发现Skype for Business服务的 DNS 记录应配置为解析为未启用双重身份验证的Skype for Business服务器。 使用此配置时,未启用双重身份验证的Skype for Business池的用户无需输入 PIN 进行身份验证,而启用了双重身份验证的Skype for Business池的用户将需要输入其 PIN 才能进行身份验证。

Exchange 身份验证

为 Microsoft Exchange 部署了双重身份验证的客户可能会发现客户端中的某些功能不可用。 此行为是设计使然,因为 Skype for Business 客户端不支持对依赖于 Exchange 集成的功能进行双因素身份验证。

Skype for Business配置为利用统一联系人存储功能的用户会在使用双重身份验证登录后发现其联系人不再可用。

在启用双重身份验证之前,应使用 Invoke-CsUcsRollback cmdlet 从统一联系人存储中删除现有用户联系人并将其存储在 Skype for Business Server 中。

在Skype for Business环境中配置了技能搜索功能的客户会发现,当为双重身份验证启用Skype for Business时,此功能不起作用。 这是设计使然,因为 Microsoft SharePoint 当前不支持双重身份验证。

有许多部署注意事项涉及保存Skype for Business凭据,这可能会影响配置为使用双重身份验证的用户。

删除保存的凭据

在首次尝试使用双重身份验证进行签名之前,用户应使用 Skype for Business 客户端中的 “删除我的登录信息 ”选项,并从 %localappdata%\Microsoft\Office\15.0\Skype for Business 中删除其 SIP 配置文件文件夹。

DisableNTCredentials

使用 Kerberos 或 NTLM 身份验证方法时,会自动使用用户的 Windows 凭据进行身份验证。 在启用了 Kerberos 和/或 NTLM 进行身份验证的典型Skype for Business Server部署中,用户每次登录时都不必输入其凭据。

如果在提示用户输入其 PIN 之前无意中提示用户输入凭据,则可能通过组策略在客户端计算机上无意中配置了 DisableNTCredentials 注册表项。

若要防止输入凭据的其他提示,请在本地工作站上创建以下注册表项,或使用Skype for Business管理模板使用 组策略 应用于给定池的所有用户:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync

REG_DWORD:DisableNTCredentials

值:0x0

SavePassword

当用户首次登录到Skype for Business时,系统会提示用户保存其密码。 如果选中此选项,则允许用户将客户端证书存储在个人证书存储中,并将用户的 Windows 凭据存储在本地计算机的凭据管理器中。

将 Skype for Business 配置为支持双重身份验证时,应禁用 SavePassword 注册表设置。 若要防止用户保存其密码,请在本地工作站上更改以下注册表项,或使用Skype for Business管理模板,使用 组策略 应用于给定池的所有用户:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync

REG_DWORD:SavePassword

值:0x0

AD FS 2.0 令牌重播

AD FS 2.0 提供了一项功能称为“令牌重播检测”,借助该功能,可以检测并丢弃多个使用相同令牌的令牌请求。 启用此功能时,令牌重播检测可确保从不多次使用相同令牌,从而保护 WS 联合被动配置文件和 SAML WebSSO 配置文件中身份验证请求的完整性。

在高度关注安全的环境(例如使用展台时)中,应启用此功能。 有关令牌重播检测的详细信息,请参阅 AD FS 2.0 安全规划和部署的最佳做法

来宾用户访问

这些主题未涉及配置 ADFS 代理或反向代理以支持从外部网络Skype for Business双重身份验证。

在 Skype for Business Server 中配置双因素身份验证

 
推荐文章
直爽的棒棒糖  ·  上海科技影都建设发展“十四五”规划
1 月前
光明磊落的春卷  ·  奔驰CLA,A级,还是C级,和3系呢? - 知乎
1 年前
淡定的炒饭  ·  浪子霸总小说_史克浪子的小说_心机浪子小说 - 抖音
1 年前
性感的猴子  ·  宫晓瑄一一在电影《天堂的张望》中成功扮演了主治医生“刘霞”,时尚,风尚大片,好看视频
1 年前
才高八斗的橙子  ·  龙域猎手 - 🌈️包子漫畫
1 年前
今天看啥   ·   Py中国   ·   codingpro   ·   藏经阁   ·   小百科   ·   link之家   ·   卧龙AI搜索
删除内容请联系邮箱 2879853325@qq.com
link之家 - 链接快照平台
© 2024 ~ 沪ICP备11025650号