Oversigt over hybrid moderne godkendelse og forudsætninger for at bruge den med Skype for Business- og Exchange-servere i det lokale miljø

Denne artikel gælder både for Microsoft 365 Enterprise og Office 365 Enterprise.

Moderne godkendelse er en metode til identitetsstyring, der tilbyder mere sikker brugergodkendelse og -godkendelse. Den er tilgængelig til Office 365 hybridinstallationer af Skype for Business server i det lokale miljø og Exchange-serveren i det lokale miljø samt hybrider med Skype for Business med opdelt domæne. Denne artikel indeholder links til relaterede dokumenter om forudsætninger, konfiguration/deaktivering af moderne godkendelse og til nogle af de relaterede klientoplysninger (f.eks. Outlook- og Skype-klienter).

• Hvad er moderne godkendelse?
• Hvilke ændringer ændres, når jeg bruger moderne godkendelse?
• Kontrollér den moderne godkendelsesstatus for dit lokale miljø
• Opfylder du moderne godkendelsesbetingelser?
• Hvad skal jeg ellers vide, før jeg begynder?

Hvad er moderne godkendelse?

Moderne godkendelse er et paraplyord for en kombination af godkendelses- og godkendelsesmetoder mellem en klient (f.eks. din bærbare computer eller din telefon) og en server samt nogle sikkerhedsforanstaltninger, der er afhængige af adgangspolitikker, som du måske allerede kender. Den indeholder:

• Godkendelsesmetoder: Multifactor-godkendelse (MFA); chipkortgodkendelse; klientcertifikatbaseret godkendelse
• Autorisationsmetoder: Microsofts implementering af Open Authorization (OAuth)
• Politikker for betinget adgang: Administration af mobilapps (MAM) og Microsoft Entra betinget adgang

Administration af brugeridentiteter med moderne godkendelse giver administratorer mange forskellige værktøjer til at beskytte ressourcer og tilbyder mere sikre metoder til identitetsstyring i både det lokale miljø (Exchange og Skype for Business), Exchange-hybrid og Skype for Business hybrid-/split-domænescenarier.

Da Skype for Business arbejder tæt sammen med Exchange, påvirkes logonfunktionsmåden Skype for Business klientbrugere af den moderne godkendelsesstatus for Exchange. Det gælder også, hvis du har en Skype for Business hybridarkitektur med opdelt domæne, hvor du både har Skype for Business Online og Skype for Business i det lokale miljø, hvor brugerne er placeret begge steder.

Du kan få flere oplysninger om moderne godkendelse i Office 365 under understøttelse af Office 365 klientapp – multifaktorgodkendelse.

Vigtigt!

Fra august 2017 vil moderne godkendelse være aktiveret for alle nye Office 365 lejere, der omfatter Skype for Business online og Exchange Online. Eksisterende lejere vil ikke have en ændring i deres standard-MA-tilstand, men alle nye lejere understøtter automatisk det udvidede sæt identitetsfunktioner, som du får vist tidligere. Hvis du vil kontrollere din godkendelsesstatus, skal du se afsnittet Kontrollér den moderne godkendelsesstatus for dit lokale miljø .

Hvilke ændringer ændres, når jeg bruger moderne godkendelse?

Når du bruger moderne godkendelse med Skype for Business eller Exchange-server i det lokale miljø, godkender du stadig brugere i det lokale miljø, men historien om godkendelse af deres adgang til ressourcer (f.eks. filer eller mails) ændres. Det er grunden til, at selvom moderne godkendelse handler om klient- og serverkommunikation, medfører de trin, der udføres under konfigurationen af MA, at en sikkerhedstokentjeneste, der bruges af Microsoft Entra ID, angives som Auth Server for Skype for Business og Exchange-server i det lokale miljø.

Ændringen til evoSTS gør det muligt for dine lokale servere at drage fordel af OAuth (tokenudgivelse) til godkendelse af dine klienter, og gør det også muligt for dine lokale myndigheder at bruge sikkerhedsmetoder, der er fælles i cloudmiljøet (f.eks. multifaktorgodkendelse). Derudover fremkalder de tokens til problemer, der giver brugerne mulighed for at anmode om adgang til ressourcer uden at angive deres adgangskode som en del af anmodningen. Uanset hvor dine brugere er placeret (af online eller i det lokale miljø), og uanset hvilken placering der er vært for den nødvendige ressource, bliver EvoSTS kernen i godkendelse af brugere og klienter, når moderne godkendelse er konfigureret.

Hvis en Skype for Business klient f.eks. skal have adgang til Exchange-serveren for at hente kalenderoplysninger på vegne af en bruger, bruger den Microsoft Authentication Library (MSAL) til at gøre det. MSAL er et kodebibliotek, der er designet til at gøre sikre ressourcer i din mappe tilgængelige for klientprogrammer ved hjælp af OAuth-sikkerhedstokens. MSAL arbejder sammen med OAuth om at bekræfte krav og om at udveksle tokens (i stedet for adgangskoder) for at give en bruger adgang til en ressource. Tidligere har autoriteten i en transaktion som denne – den server, der ved, hvordan brugerkrav skal valideres og udsteder de nødvendige tokens – måske været en sikkerhedstokentjeneste i det lokale miljø eller endda Active Directory Federation Services. Moderne godkendelse centraliserer dog denne myndighed ved hjælp af Microsoft Entra ID.

Det betyder også, at selvom din Exchange-server og dine Skype for Business miljøer kan være helt i det lokale miljø, er den godkendende server online, og dit lokale miljø skal have mulighed for at oprette og vedligeholde en forbindelse til dit Office 365 abonnement i cloudmiljøet (og Microsoft Entra instans, som dit abonnement bruger som sin mappe).

Hvad ændres ikke? Uanset om du er i en hybrid med opdelt domæne eller bruger Skype for Business og Exchange-server i det lokale miljø, skal alle brugere først godkende i det lokale miljø. I en hybrid implementering af moderne godkendelse peger Lyncdiscovery og Autodiscovery begge på din lokale server.

Vigtigt!

Hvis du har brug for at kende de specifikke Skype for Business topologier, der understøttes med ma, er det dokumenteret lige her.

Kontrollér den moderne godkendelsesstatus for dit lokale miljø

Da moderne godkendelse ændrer den godkendelsesserver, der bruges, når tjenester anvender OAuth/S2S, skal du vide, om moderne godkendelse er aktiveret eller deaktiveret for dine Skype for Business- og Exchange-miljøer i det lokale miljø. Du kan kontrollere status på dine Exchange-servere ved at køre følgende PowerShell-kommando:

Get-OrganizationConfig | ft OAuth*

Hvis værdien af egenskaben OAuth2ClientProfileEnabled er False, er moderne godkendelse deaktiveret.

Du kan få flere oplysninger om cmdlet'en Get-OrganizationConfig under Get-OrganizationConfig.

Du kan kontrollere dine Skype for Business-servere ved at køre følgende PowerShell-kommando:

Get-CSOAuthConfiguration

Hvis kommandoen returnerer en tom OAuthServers-egenskab , eller hvis værdien af egenskaben ClientADALAuthOverride ikke er tilladt, er moderne godkendelse deaktiveret.

Du kan få flere oplysninger om cmdlet'en Get-CsOAuthConfiguration under Get-CsOAuthConfiguration.

Opfylder du moderne godkendelsesbetingelser?

Kontrollér og markér disse elementer fra listen, før du fortsætter:

• Skype for Business specifik

  • Alle servere skal have en kumulativ opdatering (CU5) fra maj 2017 for Skype for Business Server 2015 eller nyere
    • Undtagelse – SBA (Survivability Branch Appliance) kan være på den aktuelle version (baseret på Lync 2013)
  • Dit SIP-domæne tilføjes som et domæne i organisationsnetværket i Office 365
  • Alle SFB-frontends skal have forbindelser, der er udgående til internettet, for at Office 365 URL-adresser til godkendelse (TCP 443) og velkendte certifikatrod-CRLs (TCP 80), der er angivet i række 56 og 125 i afsnittet 'Microsoft 365 Common and Office' i Office 365 URL-adresser og IP-adresseområder.

• Skype for Business i det lokale miljø i et hybridt Office 365 miljø

  • En Skype for Business Server 2019-installation med alle servere, der kører Skype for Business Server 2019.
  • En Skype for Business Server 2015-installation med alle servere, der kører Skype for Business Server 2015.
  • En installation med maksimalt to forskellige serverversioner som angivet nedenfor:
    • Skype for Business Server 2015
    • Skype for Business Server 2019
  • Alle Skype for Business servere skal have de nyeste kumulative opdateringer installeret. Se Skype for Business Server opdateringer for at finde og administrere alle tilgængelige opdateringer.
  • Der er ingen Lync Server 2010 eller 2013 i hybridmiljøet.

Bemærk!

Hvis dine Skype for Business frontendservere bruger en proxyserver til internetadgang, skal den anvendte proxyservers IP- og portnummer angives i konfigurationsafsnittet i web.config-filen for hver frontend.

• C:\Programmer\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
• C:\Programmer\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config

<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Vigtigt!

Sørg for at abonnere på RSS-feedet for Office 365 URL-adresser og IP-adresseområder for at holde dig opdateret med de seneste lister over påkrævede URL-adresser.

• Exchange Server specifik

  • Du bruger enten Exchange Server 2013 CU19 og nyere, Exchange Server 2016 CU8 og op eller Exchange Server 2019 CU1 og op.
  • Der er ingen Exchange Server 2010 i miljøet.
  • SSL-aflastning er ikke konfigureret. SSL-afslutning og kryptering igen understøttes.
  • Hvis dit miljø bruger en proxyserverinfrastruktur til at tillade, at servere opretter forbindelse til internettet, skal du sørge for, at alle Exchange-servere har den proxyserver, der er defineret i egenskaben InternetWebProxy .

• Exchange Server i det lokale miljø i et hybridt Office 365 miljø

  • Hvis du bruger Exchange Server 2013, skal mindst én server have serverrollerne Postkasse og Klientadgang installeret. Selvom det er muligt at installere rollerne Postkasse og Klientadgang på separate servere, anbefaler vi på det kraftigste, at du installerer begge roller på den samme server for at give større pålidelighed og forbedret ydeevne.
  • Hvis du bruger Exchange Server 2016 eller nyere version, skal mindst én server have serverrollen Postkasse installeret.
  • Der er ingen Exchange Server 2007 eller 2010 i hybridmiljøet.
  • De seneste kumulative opdateringer skal være installeret på alle Exchange-servere. Se Opgrader Exchange til den nyeste Kumulative Opdateringer for at finde og administrere alle tilgængelige opdateringer.

• Exchange-klient- og protokolkrav

  Tilgængeligheden af moderne godkendelse bestemmes af kombinationen af klienten, protokollen og konfigurationen. Hvis moderne godkendelse ikke understøttes af klienten, protokollen og/eller konfigurationen, fortsætter klienten med at bruge ældre godkendelse.

  Følgende klienter og protokoller understøtter moderne godkendelse med Exchange i det lokale miljø, når moderne godkendelse er aktiveret i miljøet:

  Klienter	Primær protokol	Bemærkninger
  Outlook 2013 og nyere	MAPI via HTTP	MAPI via HTTP skal være aktiveret i Exchange for at kunne bruge moderne godkendelse med disse klienter (aktiveret eller Sand for nye installationer af Exchange 2013 Service Pack 1 og nyere). Du kan få flere oplysninger under Sådan fungerer moderne godkendelse for Office 2013- og Office 2016-klientapps. Sørg for, at du kører det mindst krævede build af Outlook. se Seneste opdateringer til versioner af Outlook, der bruger Windows Installer (MSI).
  Outlook 2016 til Mac og nyere	Exchange-webtjenester
  Outlook til iOS og Android	Microsoft-synkroniseringsteknologi	Se Brug af hybrid moderne godkendelse med Outlook til iOS og Android for at få flere oplysninger.
  Exchange ActiveSync klienter (f.eks. iOS11 Mail)	Exchange ActiveSync	For Exchange ActiveSync klienter, der understøtter moderne godkendelse, skal du genoprette profilen for at skifte fra grundlæggende godkendelse til moderne godkendelse.

  Klienter og/eller protokoller, der ikke er angivet (f.eks. POP3), understøtter ikke moderne godkendelse med Exchange i det lokale miljø og fortsætter med at bruge ældre godkendelsesmetoder, selv efter moderne godkendelse er aktiveret i miljøet.

• Generelle forudsætninger

  • Scenarier med ressourceområder kræver tovejs tillid til kontoområdet for at sikre, at der udføres korrekte SID-opslag under hybride moderne godkendelsesanmodninger.

  • Hvis du bruger AD FS, skal du have Windows 2012 R2 AD FS 3.0 og nyere til sammenslutning.

  • Dine identitetskonfigurationer er en af de typer, der understøttes af Microsoft Entra Opret forbindelse, f.eks. synkronisering af adgangskodehash, pass-through-godkendelse og STS i det lokale miljø, der understøttes af Office 365.

  • Du har Microsoft Entra Opret forbindelse konfigureret og fungerer for brugerreplikering og synkronisering.

    Bemærk!

    Alle brugerkonti, der ikke er synkroniseret til Microsoft Entra Identitet, får ikke tildelt et godkendelsestoken via hybrid moderne godkendelse. Når programmet i det lokale miljø er konfigureret til at bruge evoSTS som standardgodkendelsesslutpunkt, vil de brugerkonti, der ikke er synkroniseret, støde på problemer med deres adgang til programmet, hvis den relevante konfiguration ikke er tilgængelig.

  • Du har kontrolleret, at hybrid er konfigureret ved hjælp af Exchange Klassisk hybridtopologitilstand mellem dit lokale miljø og Office 365 miljø. Officiel supporterklæring til Exchange hybrid siger, at du skal have enten nuværende CU eller nuværende CU - 1.

    Bemærk!

    Hybrid moderne godkendelse understøttes ikke med Hybrid Agent.

  • Sørg for, at både en testbruger i det lokale miljø og en hybridtestbruger, der er placeret i Office 365, kan logge på den Skype for Business desktopklient (hvis du vil bruge moderne godkendelse sammen med Skype) og Microsoft Outlook (hvis du vil bruge moderne godkendelse sammen med Exchange).

  • Sørg for, at indstillingen SignInOptions i Microsoft Office ikke er konfigureret til den mest restriktive indstilling. Du kan få flere oplysninger under Sådan gør du det muligt for Office at oprette forbindelse til internettet.

Hvad skal jeg ellers vide, før jeg begynder?

• Alle scenarierne for lokale servere omfatter konfiguration af moderne godkendelse i det lokale miljø (faktisk for Skype for Business der er en liste over understøttede topologier), så den server, der er ansvarlig for godkendelse og godkendelse, befinder sig i Microsoft Cloud (Microsoft Entra ID sikkerhedstokentjeneste, kaldet 'evoSTS'), og opdatering Microsoft Entra ID om de URL-adresser eller navneområder, der bruges af installationen i det lokale miljø af enten Skype for Business eller Exchange. Derfor påtager lokale servere sig en Microsoft Cloud-afhængighed. Hvis du udfører denne handling, kan det overvejes at konfigurere "hybridgodkendelse".
• Denne artikel indeholder links til andre, der hjælper dig med at vælge understøttede moderne godkendelsestopologier (kun nødvendige for Skype for Business) og vejledningsartikler, der beskriver konfigurationstrinnene eller trin til deaktivering af moderne godkendelse for Exchange i det lokale miljø og Skype for Business i det lokale miljø. Gør denne side til favorit i din browser, hvis du har brug for en hjemmebase til brug af moderne godkendelse i dit servermiljø.

Relaterede emner

• Sådan konfigurerer du Exchange Server i det lokale miljø til at bruge moderne godkendelse
• Skype for Business topologier, der understøttes med moderne godkendelse
• Sådan konfigurerer du Skype for Business i det lokale miljø til at bruge moderne godkendelse
• Fjernelse eller deaktivering af hybrid moderne godkendelse fra Skype for Business og Exchange