Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Lync 2013 et Authentification à deux facteurs

Posted by Teruin laurent sur août 2, 2013


Microsoft via la mise en disposition du Cumulative Update du mois de Juillet permet de mettre en place une authentification à deux facteurs avec le client Lync 2013. Ce qui devrait tout naturellement renforcer la sécurité d’accès d’un client et d’une technologie par définition mobile et par conséquent exposée.

On pourra donc dans peu de temps (le temps de tester quand même ;-) utiliser une combinaison Nomd’utilisateur/Mot de passe et Token d’accès. Cependant il est noté que pour ce faire, vous devrez posséder :

  • Des clients Lync 2013 possédant le CU du mois de Juillet
  • Des serveurs Lync 2013 (Edge, Directeur, et frontaux) possédant également le CU du mois de Juillet.

Pour que l’authentification à deux facteurs fonctionne, il faudra également désactiver l’ensemble des autres authentifications ce qui dans la plupart de cas risque de tout simplement n’être pas possible sauf à considérer la mise en place d’une infrastructure dédiée.


Précautions à prendre avant la mise en place

Désactiver le stockage unifié des contacts avec Microsoft Exchange 2013.

Les autres limitations connues sont le fait que la gestion de contacts unifiés n’est pas disponible avec Exchange 2013 et que si vous envisagez de mettre en place l’authentification à deux facteurs, vous devrez au préalable exécuter la commande Invoke-CSUcsRoollback pour supprimer les contacts existant du stockage unifiée pour les stocker dans Lync.

Supprimer les informations de connexion stockées localement

Lorsque Lync 2010 se connecte à un serveur frontal spécifique, il met en cache ce point de terminaison pour rendre le processus plus rapide à l’avenir Avant de mettre en place l’authentification a deux facteurs vous devrez supprimer sur les postes de travail exécutant le client Lync, les informations de connexions en cache depuis le client Lync 2013


Vous devez également supprimer le profil Sip local de l’utilisateur se trouvant normalement dans le répertoire %localappdata%\Microsoft\Office\15.0\Lync.

Supprimer les informations de connexion NT par GPO

La méthode d’authentification Kerberos ou NTLM permet d’utiliser automatiquement les informations d’identification Windows des utilisateurs lors de la phase d’authentification.

Dans le cadre d’un déploiement Lync 2013 faisant appel au protocole Kerberos, NTLM ou aux deux protocoles, les utilisateurs n’ont pas besoin de décliner leur identité à chaque connexion, sauf si vous les obligez de façon explicite à le faire. La clé de Registre DisableNTCredentials détermine si les utilisateurs sont tenus ou non d’entrer leurs informations d’identification à chaque connexion.

Pour éviter de demander ces informations aux utilisateurs, donnez la valeur 0 à la clé de Registre suivante :

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
    REG_DWORD: DisableNTCredentials
    Value: 0x0

Mot de passe sauvegardé

Lorsqu’un utilisateur Lync se connecte pour la première fois alors, il se voit proposer l’option de sauvegarder son mot de passe. Cette option doit être désactivée en modifiant la clef de registre suivante :

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Value: 0x0

Activation dans l’environnet ADFS de la protection Token replay

Afin de protéger le fait qu’un utilisateur mal intentionné puisse rejouer un token vous devez activer la protection de Token replay dans l’environnement ADFS. Pour plus d’information merci de vous reporter a l’article de la base de connaissance suivante : http://go.microsoft.com/fwlink/p/?LinkId=309215.

Pour avoir étudié les documentations techniques de mise en place, la solution n’est envisageable uniquement sur un environnent dédié (Front/ Director et Reverse proxy). Malgré cela, certaines sociétés ayant des normes de sécurités importantes y trouveront surement leurs comptes. ;-)

Cordialement
Laurent TERUIN

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :