Skype for Business und "Conditional Access"

Eigentlich ist Skype for Business eine sehr einfache Applikation, die auf dem Client nicht wirklich viele Daten vorhält und daher im Gegensatz zu ActiveSync-Clients oder gar Notebooks eher unkritisch ist. Auch Instant Messages sind flüchtig und und Konferenzinhalte oder Audio/Video sowieso nicht gespeichert. Dennoch werden auch Mobilgeräte immer leistungsfähiger und können von Schadcode befallen werden, der dann Daten ausleitet. Insofern kann es in Firmen mit einem erhöhten Schutzbedarf auch Forderungen geben, dass nur bestimmte "zugelassende" Clients mit einer Skype for Business Umgebung kommunizieren dürfen.

Ich freue mich über jedes Feedback zu anderen Produkten, Lösungen oder eventuell sogar Beispielen mit Erfahrungsberichten.

Ich habe mir mal die Mühe gemacht, etwas zu recherchieren und die verschiedenen Optionen aufzulisten.

Edge mit SkypeShield

Eine Option ist natürlich den Weg über den Edge-Server zu reglementieren. Skype for Business kann pro Benutzer nur steuern, ob "Remote Access" oder "Mobility" möglich ist oder nicht. Dies beschränkt sich On-Prem aber nicht auf einzelne Geräte sondern nur auf den Benutzer.

Es gibt aber z.B. Produkte wie SkypeShield, die genau diese fehlende Funktion nachrüsten.

Wenn nicht der Zugriff generell sondern eher die Inhalte und bestimmte Beziehungen unterbunden werden sollten, dann gibt es andere Produkte wie z.B:

Edge ohne Remote Access

Ich habe schon geschrieben, dass Sie auf dem Edge-Server als auch pro Benutzer die Funktion „Remote Access“ unterbinden können. Damit können sich die Client nicht mehr von extern anmelden. Ebenso kann man die „Mobility“ abschalten (Pro User) und damit generell die Mobilclients unterbinden.

Der Weg über den Edge Server kann man aber so verbauen, wenn man im Umkehrschluss dafür sorgt, dass die Mobile App auf dem Client per VPN mit dem internen Server kommuniziert. Das wäre ein Weg ohne 3rd Party auf dem Skype Edge Server aber müsste die MDM-Lösung bereit stellen, die dann das VPN nur auf „erlaubten Geräten“ aufbauen kann.

Entsprechend kann niemand über den Edge Server "remote" arbeiten aber intern ist eine Anmeldung natürlich möglich.

Umweg „WebServices Filter“

Die „modernen Skype for Business Clients“ nutzen nicht mehr alleine der Edge-Server sondern die UCWA-Schnittstelle, also einen HTTPS-Zugriff auf die WebServices des Skype for Business Pools. Insofern kann man natürlich auch den Filter hier ansetzen.

Viele Lösungen arbeiten hier so, dass die „verwalteten Geräte“ einen eigenen „UserAgent“ oder anderen Header im http-Request senden und der Reverse Proxy zur Veröffentlichung der WebDienste dieses Feld erkennt und nutzt, um zwischen „eigenen“ und „fremden“ Geräten zu unterscheiden. Eventuell ist auch dies eine Option, um den Zugriff auf Skype for Business „On-Prem“ auf erlaubte Endgeräte zu beschränken. Wenn der Client UCWA nicht erreichen kann, kann er sich auch nicht anmelden. Hier ist natürlich die MDM-Lösung und der Reverse Proxy zu prüfen, wie diese harmonieren.

„Conditional Access“ (Aktuell wohl nur Online und mit Intune)

Nicht verschweigen wollte ich natürlich den Stand bezüglich Office 365, auch wenn dies noch kein Szenario bei ihnen sein könnte. Hier gibt es den „Conditional Access“ um den Zugriff auf Dienste zu beschränken.

So geht es “On-Prem noch nicht.

Modern Auth On-Premises

Es gibt aber mittlerweile die Funktion “Modern Authentication” auch „On-Prem“. Hierbei wird der Skype for Business Server aber derart umgestellt, dass die Anwender sich nicht mehr mit Benutzername/Kennwort oder Zertifikat am Service selbst anmelden, sondern der Skype vor Business Server den Client zu einem ADFS-Server (Active Directory Federation Server) senden, damit sich dieser dort ein Token für den Zugriff holt und dann wieder zurück kommt.

Dies erfordert aber relative neue Office Clients, da die Umstellung “global” ist und damit jede Applikation betrifft, die sich an Skype for Business anmeldet. Der Trick hierbei ist, dass die Verifikation des Clients auf „Compliance“ nicht mehr durch Skype for Business oder Exchange erfolgt, sondern allein durch den ADFS-Server, der natürlich entsprechend verfügbar bereitgestellt werden sollte.

Auch hier ist natürlich die Frage wie der ADFS-Server in der lokalen Umgebung das dann durchführen kann, z.B.: indem es eine „MultiFaktorAuth“ gibt, und neben Benutzername und Kennwort dann ein Client Zertifikat der zweite Faktor ist. Hier ist dann die Frage, wie das Client Zertifikat „nur“ auf die Geräte kommt, die ihren Anforderungen entsprechend. Damit sind wir dann wieder beim MDM-Thema und dessen Möglichkeiten.

Zwischenstand

Sie sehen selbst, dass es eine „fertig Antwort mit Lösung“ nicht wirklich gibt und es nicht nur eine Checkbox in der Konfiguration von Skype for Business ist.

Exchange hat eine optionale „Quarantäne“, in der Geräte erst einmal landen, ehe Sie vom Administrator dann „approved“ werden. Das ist aber auch nur ein Schutz von „fremden“ Geräten aber sagt nichts über den „Compliance-Status“ der zugelassenen Geräte aus. Ohne eine passende MDM-Lösung kommt man hier also auch nicht wirklich weiter.

Skype for Business hat keine Quarantäne aber ein Skype Client repliziert im Gegensatz zu ActiveSync ja auch nicht wirklich umfangreiche Daten. Sie werden also nicht umhin kommen, z.B.: im Rahmen eines Projekts zu verifizieren, welche der Lösungen in ihrem Fall hinsichtlich Leistung, Verfügbarkeit und Preis „passend“ ist.

Weitere Links