Sdílet prostřednictvím

Přehled hybridního moderního ověřování a požadavky na jeho použití s místními servery Skypu pro firmy a Exchange

  • Článek

Tento článek se vztahuje na Microsoft 365 Enterprise i Office 365 Enterprise.

Moderní ověřování je metoda správy identit, která nabízí bezpečnější ověřování a autorizaci uživatelů. Je k dispozici pro hybridní nasazení office 365 místního serveru Skypu pro firmy a serveru Exchange v místním prostředí a hybridy Skypu pro firmy s rozdělenou doménou. Tento článek odkazuje na související dokumenty o požadavcích, nastavení nebo zakázání moderního ověřování a na některé související informace o klientech (např. Klienti Outlook a Skype).

Co je moderní ověřování?

Moderní ověřování je zastřešující pojem pro kombinaci metod ověřování a autorizace mezi klientem (například přenosným počítačem nebo telefonem) a serverem a také některá bezpečnostní opatření, která spoléhají na zásady přístupu, které už možná znáte. Zahrnuje:

  • Metody ověřování: Vícefaktorové ověřování (MFA); ověřování čipovými kartami; Ověřování na základě klientských certifikátů
  • Metody autorizace: Implementace otevřené autorizace (OAuth) od Microsoftu
  • Zásady podmíněného přístupu: Správa mobilních aplikací (MAM) a podmíněný přístup Microsoft Entra

Správa identit uživatelů pomocí moderního ověřování poskytuje správcům mnoho různých nástrojů, které můžou používat, pokud jde o zabezpečení prostředků, a nabízí bezpečnější metody správy identit v místním prostředí (Exchange a Skype pro firmy), hybridním Exchange a hybridním nebo rozděleným doménám Skypu pro firmy.

Vzhledem k tomu, že Skype pro firmy úzce spolupracuje s Exchangem, bude chování uživatelů klienta Skypu pro firmy ovlivněno stavem moderního ověřování Exchange. Platí také v případě, že máte hybridní architekturu Skypu pro firmy s rozdělenou doménou , ve které máte Online Skype pro firmy i místní Skype pro firmy a uživatelé jsou v obou umístěních.

Další informace o moderním ověřování v Office 365 najdete v článku Podpora klientských aplikací Office 365 – vícefaktorové ověřování.

Důležité

Od srpna 2017 budou mít všichni noví tenanti Office 365, kteří zahrnují Online Skype pro firmy a Exchange Online, ve výchozím nastavení povolené moderní ověřování. U již existujících tenantů nedojde ke změně výchozího stavu ma, ale všichni noví tenanti automaticky podporují rozšířenou sadu funkcí identit, které jsou uvedené výše. Pokud chcete zkontrolovat stav ma, projděte si část Kontrola stavu moderního ověřování místního prostředí .

Co se změní, když použiju moderní ověřování?

Při použití moderního ověřování s místním Skypem pro firmy nebo serverem Exchange stále ověřujete uživatele místně, ale příběh autorizace jejich přístupu k prostředkům (jako jsou soubory nebo e-maily) se mění. To je důvod, proč i když se moderní ověřování týká komunikace mezi klientem a serverem, výsledkem kroků provedených během konfigurace MA je nastavení evoSTS (služba tokenů zabezpečení, kterou používá Microsoft Entra ID) jako ověřovací server pro Skype pro firmy a místní exchange server.

Změna na evoSTS umožňuje místním serverům využívat výhod OAuth (vystavování tokenů) k autorizaci klientů a také místnímu prostředí používat metody zabezpečení běžné v cloudu (například vícefaktorové ověřování). Kromě toho evoSTS vydává tokeny, které uživatelům umožňují požadovat přístup k prostředkům bez zadání hesla v rámci žádosti. Bez ohledu na to, kde jsou vaši uživatelé (online nebo místní) a bez ohledu na to, které umístění je hostitelem potřebného prostředku, se EvoSTS stane jádrem autorizace uživatelů a klientů po nakonfigurování moderního ověřování.

Pokud například klient Skypu pro firmy potřebuje přístup k serveru Exchange, aby získal informace kalendáře jménem uživatele, použije k tomu knihovnu Microsoft Authentication Library (MSAL). MSAL je knihovna kódu navržená tak, aby se zabezpečené prostředky v adresáři zpřístupnily klientským aplikacím pomocí tokenů zabezpečení OAuth. MSAL spolupracuje s OAuth při ověřování deklarací identity a výměně tokenů (místo hesel) a uděluje uživateli přístup k prostředku. V minulosti byla autoritou v transakci, jako je tato – server, který ví, jak ověřovat deklarace identity uživatelů a vydávat potřebné tokeny – místní služba tokenů zabezpečení nebo dokonce služba Active Directory Federation Services. Moderní ověřování ale centralizuje danou autoritu pomocí ID Microsoft Entra.

To také znamená, že i když váš server Exchange a prostředí Skypu pro firmy můžou být zcela místní, autorizační server je online a vaše místní prostředí musí mít možnost vytvořit a udržovat připojení k vašemu předplatnému Office 365 v cloudu (a instanci Microsoft Entra, kterou vaše předplatné používá jako adresář).

Co se nezmění? Ať už jste v hybridním prostředí s rozdělenou doménou nebo používáte Skype pro firmy a místní exchange server, všichni uživatelé se musí nejprve ověřit v místním prostředí. V hybridní implementaci moderního ověřování odkazuje Lyncdiscovery i Automatická konfigurace na váš místní server.

Důležité

Pokud potřebujete znát konkrétní topologie Skypu pro firmy podporované s ma, je to zdokumentované přímo tady.

Kontrola stavu moderního ověřování místního prostředí

Vzhledem k tomu, že moderní ověřování mění autorizační server používaný v případě, že služby používají OAuth/S2S, musíte vědět, jestli je moderní ověřování povolené nebo zakázané pro místní prostředí Skypu pro firmy a Exchange. Stav na serverech Exchange můžete zkontrolovat spuštěním následujícího příkazu PowerShellu:

Get-OrganizationConfig | ft OAuth*

Pokud je hodnota vlastnosti OAuth2ClientProfileEnabledFalse, moderní ověřování je zakázané.

Další informace o rutině najdete v Get-OrganizationConfig tématu Get-OrganizationConfig.

Servery Skypu pro firmy můžete zkontrolovat spuštěním následujícího příkazu PowerShellu:

Get-CSOAuthConfiguration

Pokud příkaz vrátí prázdnou vlastnost OAuthServers nebo pokud hodnota vlastnosti ClientADALAuthOverride není povolená, moderní ověřování je zakázané.

Další informace o rutině najdete v Get-CsOAuthConfiguration tématu Get-CsOAuthConfiguration.

Splňujete požadavky na moderní ověřování?

Než budete pokračovat, ověřte a zaškrtněte tyto položky ze seznamu:

  • Specifické pro Skype pro firmy

    • Všechny servery musí mít kumulativní aktualizaci z května 2017 (CU5) pro Server Skypu pro firmy 2015 nebo novější.
      • Výjimka – Zařízení SBA (Survivability Branch) může být v aktuální verzi (na základě Lyncu 2013)
    • Vaše doména SIP se přidá jako federovaná doména v Office 365
    • Všechny front-endy SFB musí mít odchozí připojení k internetu, k adresám URL pro ověřování Office 365 (TCP 443) a dobře známým kořenovým certifikátům CRL (TCP 80) uvedeným v řádcích 56 a 125 v části "Microsoft 365 Common and Office" v části Adresy URL a rozsahy IP adres Office 365.

  • Místní Skype pro firmy v hybridním prostředí Office 365

    • Nasazení Serveru Skypu pro firmy 2019 se všemi servery, na kterých běží Server Skypu pro firmy 2019
    • Nasazení Serveru Skypu pro firmy 2015 se všemi servery, na kterých běží Server Skypu pro firmy 2015.
    • Nasazení s maximálně dvěma různými verzemi serveru, jak je uvedeno níže:
      • Server Skypu pro firmy 2015
      • Server Skypu pro firmy 2019
    • Všechny servery Skypu pro firmy musí mít nainstalované nejnovější kumulativní aktualizace. Informace o vyhledání a správě všech dostupných aktualizací najdete v tématu Aktualizace serveru Skypu pro firmy .
    • V hybridním prostředí není Lync Server 2010 ani 2013.

Poznámka

Pokud front-endové servery Skypu pro firmy používají proxy server pro přístup k internetu, musí být použitá IP adresa proxy serveru a číslo portu zadána v části konfigurace souboru web.config pro každý front-end.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Důležité

Nezapomeňte se přihlásit k odběru informačního kanálu RSS pro adresy URL a rozsahy IP adres Office 365 , abyste měli aktuální informace o nejnovějších výpisech požadovaných adres URL.

  • Specifické pro Exchange Server

    • Používáte Exchange Server 2013 CU19 a novější, Exchange Server 2016 CU8 a novější nebo Exchange Server 2019 CU1 a novější.
    • V prostředí není exchange server 2010.
    • Přesměrování zpracování SSL není nakonfigurováno. Podporuje se ukončení protokolu SSL a opětovné šifrování.
    • V případě, že vaše prostředí využívá infrastrukturu proxy serveru, aby serverům umožnilo připojení k internetu, ujistěte se, že všechny servery Exchange mají proxy server definovaný ve vlastnosti InternetWebProxy .

  • Místní Exchange Server v hybridním prostředí Office 365

    • Pokud používáte Exchange Server 2013, musí mít aspoň jeden server nainstalované role serveru Poštovní schránka a Klientský přístup. I když je možné nainstalovat role Poštovní schránka a Klientský přístup na samostatné servery, důrazně doporučujeme nainstalovat obě role na stejný server, abyste zajistili větší spolehlivost a lepší výkon.
    • Pokud používáte Exchange Server 2016 nebo novější verzi, musí mít aspoň jeden server nainstalovanou roli poštovního serveru.
    • V hybridním prostředí není exchange server 2007 ani 2010.
    • Všechny servery Exchange musí mít nainstalované nejnovější kumulativní aktualizace. Informace o vyhledání a správě všech dostupných aktualizací najdete v tématu Upgrade Exchange na nejnovější kumulativní aktualizace.

  • Požadavky na klienta a protokol Exchange

    Dostupnost moderního ověřování je určena kombinací klienta, protokolu a konfigurace. Pokud klient, protokol nebo konfigurace moderní ověřování nepodporuje, bude klient dál používat starší ověřování.

    Následující klienti a protokoly podporují moderní ověřování s místním Exchangem, pokud je v prostředí povolené moderní ověřování:

    Klienti Primární protokol Poznámky
    Outlook 2013 a novější
    		 MAPI přes HTTP
    		 Aby bylo možné používat moderní ověřování s těmito klienty, musí být v systému Exchange povoleno rozhraní MAPI přes HTTP (povoleno nebo True pro nové instalace Exchange 2013 Service Pack 1 a novějších); Další informace najdete v článku Jak funguje moderní ověřování v klientských aplikacích Office 2013 a Office 2016.
    Ujistěte se, že používáte minimální požadovaný build Outlooku. Viz Nejnovější aktualizace pro verze Outlooku, které používají Instalační službu systému Windows (MSI).
    Outlook 2016 pro Mac a novější
    		 Webové služby Exchange
    Outlook pro iOS a Android
    		 Synchronizační technologie Microsoftu
    		 Další informace najdete v tématu Použití hybridního moderního ověřování v Outlooku pro iOS a Android .
    Klienti Exchange ActiveSync (například iOS11 Pošta)
    		 Exchange ActiveSync
    		 U klientů Exchange ActiveSync, kteří podporují moderní ověřování, musíte profil znovu vytvořit, aby bylo možné přepnout ze základního ověřování na moderní ověřování.

    Klienti a/nebo protokoly, které nejsou uvedené v seznamu (například POP3), nepodporují moderní ověřování s místním Exchangem a nadále používají starší ověřovací mechanismy i po povolení moderního ověřování v prostředí.

  • Obecné požadavky

    • Scénáře doménové struktury prostředků vyžadují obousměrný vztah důvěryhodnosti s doménovou strukturou účtů, aby se zajistilo správné vyhledávání identifikátorů SID během žádostí o hybridní moderní ověřování.

    • Pokud používáte službu AD FS, měli byste mít pro federaci windows 2012 R2 AD FS 3.0 nebo novější.

    • Konfigurace vaší identity jsou některé z typů podporovaných službou Microsoft Entra Connect, jako je synchronizace hodnot hash hesel, předávací ověřování a místní služba ZABEZPEČENÍ podporovaná v Office 365.

    • Máte microsoft Entra Connect nakonfigurovaný a funkční pro replikaci a synchronizaci uživatelů.

      Poznámka

      Žádné uživatelské účty, které nejsou synchronizované se službou Microsoft Entra Identity, nebudou prostřednictvím hybridního moderního ověřování poskytnuty autorizační tokeny. Jakmile je místní aplikace nakonfigurovaná tak, aby jako výchozí koncový bod autorizace používala evoSTS, budou mít tyto uživatelské účty, které nejsou synchronizované, problémy s přístupem k aplikaci, pokud nebude dostupná odpovídající konfigurace.

    • Ověřili jste, že je mezi místním prostředím a prostředím Office 365 nakonfigurovaný hybridní režim hybridní topologie Exchange Classic. V oficiálním prohlášení o podpoře hybridního Exchange je uvedeno, že musíte mít buď aktuální cu, nebo aktuální CU – 1.

      Poznámka

      Hybridní moderní ověřování není podporováno hybridním agentem.

    • Ujistěte se, že se k desktopovému klientovi Skypu pro firmy (pokud chcete používat moderní ověřování pomocí Skypu) a k Microsoft Outlooku (pokud chcete používat moderní ověřování se Skypem) a k Microsoft Outlooku (pokud chcete používat moderní ověřování s Exchangem), ujistěte se, že se může přihlásit místní testovací uživatel i uživatel s hybridním testem v Office 365.

    • Ujistěte se, že nastavení SignInOptions v Microsoft Office není nakonfigurované na nejvíce omezující nastavení. Další informace najdete v článku Jak povolit office připojení k internetu.

Co dalšího potřebuji vědět, než začnu?

  • Všechny scénáře pro místní servery zahrnují nastavení moderního místního ověřování (ve skutečnosti pro Skype pro firmy existuje seznam podporovaných topologií), aby server zodpovědný za ověřování a autorizaci byl v Microsoft Cloudu (služba tokenů zabezpečení Microsoft Entra ID označovaná jako "evoSTS") a aktualizace MICROSOFT Entra ID o adresách URL nebo oborech názvů používaných vaší místní instalací Skypu pro firmy nebo Exchange. Proto místní servery přebírají závislost na cloudu Microsoftu. Provedení této akce by se dalo považovat za konfiguraci hybridního ověřování.
  • Tento článek obsahuje odkazy na další, které vám pomůžou vybrat podporované topologie moderního ověřování (nezbytné jenom pro Skype pro firmy), a články s návody, které popisují postup nastavení nebo postup zakázání moderního ověřování pro místní Exchange a Místní Skype pro firmy. Pokud budete potřebovat domovskou základnu pro používání moderního ověřování v serverovém prostředí, tuto stránku v prohlížeči si oblíbíte jako oblíbenou.