Moderne Hybridauthentifizierung, Übersicht und Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern

  • Artikel

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Die moderne Authentifizierung ist eine Methode zur Identitätsverwaltung, die eine sicherere Benutzerauthentifizierung und Autorisierung bietet. Sie ist für Office 365 Hybridbereitstellungen von lokalen Skype for Business Server und Lokalen Exchange-Server sowie hybriden Skype for Business-Domänen verfügbar. Dieser Artikel enthält Links zu verwandten Dokumenten zu Voraussetzungen, zum Einrichten/Deaktivieren der modernen Authentifizierung und zu einigen der zugehörigen Clientinformationen (z. B. Outlook- und Skype-Clients).

Was ist moderne Authentifizierung?

Die moderne Authentifizierung ist ein Überbegriff für eine Kombination von Authentifizierungs- und Autorisierungsmethoden zwischen einem Client (z.B. Ihrem Laptop oder Ihrem Smartphone) und einem Server sowie für einige Sicherheitsmaßnahmen, die auf Zugriffsrichtlinien beruhen, mit denen Sie vielleicht bereits vertraut sind. Sie umfasst Folgendes:

  • Authentifizierungsmethoden: Mehrstufige Authentifizierung (MFA); Smart Karte-Authentifizierung; clientzertifikatbasierte Authentifizierung
  • Autorisierungsmethoden: Microsoft-Implementierung von OAuth (Open Authorization)
  • Richtlinien für bedingten Zugriff: Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) und Microsoft Entra bedingter Zugriff

Die Verwaltung von Benutzeridentitäten mit moderner Authentifizierung gibt Administratoren viele verschiedene Tools an die Hand, wenn es um die Sicherung von Ressourcen geht, und bietet sicherere Methoden der Identitätsverwaltung sowohl für lokale (Exchange und Skype for Business) als auch für Exchange-Hybrid- und Skype for Business Hybrid-Szenarien und Szenarien mit geteilter Domäne.

Da Skype for Business eng mit Exchange zusammenarbeiten, wird das Anmeldeverhalten Skype for Business Clientbenutzern von der modernen Authentifizierungs-status von Exchange beeinflusst. Dies gilt auch, wenn Sie über eine Skype for Business Hybridarchitektur mit geteilter Domäne verfügen, in der Sie sowohl über Skype for Business Online als auch über Skype for Business lokal verfügen, wobei Die Benutzer an beiden Standorten verwaltet werden.

Weitere Informationen zur modernen Authentifizierung in Office 365 finden Sie unter Office 365 Client-App-Unterstützung – Mehrstufige Authentifizierung.

Wichtig

Seit August 2017 ist die moderne Authentifizierung (MA) auf allen neuen Office 365-Mandanten, die Skype for Business Online und Exchange Online umfassen, standardmäßig aktiviert. Bereits vorhandene Mandanten haben keine Änderung in Ihrem Standard-MA-Status, aber alle neuen Mandanten unterstützen automatisch den erweiterten Satz von Identitätsfeatures, die oben aufgelistet sind. Um Ihren MA-Status zu überprüfen, lesen Sie den Abschnitt Überprüfen Sie den Status der modernen Authentifizierung Ihrer lokalen Umgebung.

Was ändert sich, wenn ich die moderne Authentifizierung verwende?

Wenn Sie die moderne Authentifizierung mit lokalen Skype for Business- oder Exchange-Servern verwenden, authentifizieren Sie immer noch lokale Benutzer, aber die Vorgehensweise bei der Autorisierung ihres Zugriffs auf Ressourcen (wie Dateien oder E-Mails) ändert sich. Dies ist der Grund, warum bei der modernen Authentifizierung die Kommunikation zwischen Clients und Servern erfolgt, führen die schritte beim Konfigurieren von MA dazu, dass evoSTS (ein von Microsoft Entra ID verwendeter Sicherheitstokendienst) als Authentifizierungsserver für Skype for Business und lokalen Exchange-Server festgelegt wird.

Die Umstellung auf evoSTS ermöglicht es Ihren lokalen Servern, die Vorteile von OAuth (Token-Ausgabe) für die Autorisierung Ihrer Clients zu nutzen, und ermöglicht es Ihren lokalen Servern außerdem, in der Cloud übliche Sicherheitsmethoden (wie die mehrstufige Authentifizierung) zu verwenden. Darüber hinaus gibt der evoSTS Token aus, die es Benutzern gestatten, Zugriff auf Ressourcen anzufordern, ohne Ihr Kennwort als Teil der Anforderung anzugeben. Unabhängig davon, wo Ihre Benutzer verwaltet werden (online oder lokal), und unabhängig davon, an welchem Standort sich die benötigte Ressource befindet, wird EvoSTS zum wichtigsten Element der Autorisierung von Benutzern und Clients, sobald die moderne Authentifizierung konfiguriert ist.

Wenn beispielsweise ein Skype for Business Client auf exchange server zugreifen muss, um Kalenderinformationen im Namen eines Benutzers abzurufen, verwendet er dazu die Microsoft Authentication Library (MSAL). MSAL ist eine Codebibliothek, die dafür entwickelt wurde, gesicherte Ressourcen in Ihrem Verzeichnis mithilfe von OAuth-Sicherheitstoken für Clientanwendungen verfügbar zu machen. MSAL arbeitet mit OAuth zusammen, um Ansprüche zu überprüfen und Token (anstelle von Kennwörtern) auszutauschen, um einem Benutzer Zugriff auf eine Ressource zu gewähren. In der Vergangenheit war die Autorität in einer Transaktion wie dieser - der Server, der weiß, wie Benutzeransprüche überprüft und die erforderlichen Token ausstellen - ein Sicherheitstokendienst lokal oder sogar Active Directory-Verbunddienste (AD FS). Bei der modernen Authentifizierung wird diese Autorität jedoch zentralisiert, indem Microsoft Entra-ID verwendet wird.

Dies bedeutet auch, dass ihr Exchange-Server und Skype for Business Umgebungen möglicherweise vollständig lokal sind, der Autorisierungsserver online ist und Ihre lokale Umgebung in der Lage sein muss, eine Verbindung mit Ihrem Office 365-Abonnement in der Cloud (und dem Microsoft Entra instance , das Ihr Abonnement als Verzeichnis verwendet).

Was ändert sich nicht? Unabhängig davon, ob Sie sich in einer Hybridumgebung mit geteilter Domäne befinden oder Skype for Business und Exchange Server lokal verwenden, müssen alle Benutzer zuerst lokal authentifiziert werden. In einer hybriden Implementierung moderner Authentifizierung weisen Lyncdiscovery und Autodiscovery beide auf Ihren lokalen Server hin.

Wichtig

Wenn Sie die spezifischen Skype for Business-Topologien wissen möchten, die bei MA unterstützt werden, ist das hier dokumentiert.

Überprüfen Sie den Status der modernen Authentifizierung Ihrer lokalen Umgebung

Da die moderne Authentifizierung den Autorisierungsserver ändert, der verwendet wird, wenn Dienste OAuth/S2S anwenden, müssen Sie wissen, ob die moderne Authentifizierung für Ihre lokalen Skype for Business- und Exchange-Umgebungen aktiviert oder deaktiviert ist. Sie können den Status auf Ihren Exchange-Servern überprüfen, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-OrganizationConfig | ft OAuth*

Wenn der Wert der Eigenschaft OAuth2ClientProfileEnabledfalsch ist, ist die moderne Authentifizierung deaktiviert.

Weitere Informationen zum Cmdlet "Get-OrganizationConfig" finden Sie unter Get-OrganizationConfig.

Sie können Ihre Skype for Business-Server überprüfen, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-CSOAuthConfiguration

Wenn der Befehl eine leere OAuthServers-Eigenschaft zurückgibt oder wenn der Wert der Eigenschaft ClientADALAuthOverride nicht zulässig ist, wird die moderne Authentifizierung deaktiviert.

Weitere Informationen zum Cmdlet "Get-CsOAuthConfiguration" finden Sie unter Get-CsOAuthConfiguration.

Erfüllen Sie die Voraussetzungen für die moderne Authentifizierung?

Überprüfen Sie diese Punkte und streichen Sie sie von Ihrer Liste, bevor Sie fortfahren:

  • Für Skype for Business

    • Auf allen Servern muss Mai 2017 Kumulatives Update (CU5) für Skype for Business Server 2015 oder höher vorhanden sein
      • Ausnahme – Survivability Branch Appliance (SBA) kann auf der aktuellen Version vorhanden sein (basierend auf Lync 2013)
    • Ihre SIP-Domäne wird als Verbunddomäne in Office 365 hinzugefügt
    • Alle SFB-Front-Ends müssen ausgehende Verbindungen mit dem Internet, mit Office 365 Authentifizierungs-URLs (TCP 443) und bekannten Zertifikatstamm-CRLs (TCP 80) aufweisen, die in den Zeilen 56 und 125 des Abschnitts "Microsoft 365 Common and Office" von Office 365 URLs und IP-Adressbereichen aufgeführt sind.

  • Lokales Skype for Business in einer Office 365-Hybridumgebung

    • Eine Skype for Business Server 2019-Bereitstellung mit allen Servern, auf denen Skype for Business Server 2019 ausgeführt wird.
    • Eine Skype for Business Server 2015-Bereitstellung mit allen Servern, auf denen Skype for Business Server 2015 ausgeführt wird.
    • Eine Bereitstellung mit maximal zwei unterschiedlichen Serverversionen, wie unten aufgelistet:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • Alle Skype for Business-Server müssen über die neuesten kumulativen Updates verfügen. Weitere Informationen finden Sie unter Skype for Business Server-Updates, um alle verfügbaren Updates zu finden und zu verwalten.
    • Es gibt kein Lync Server 2010 oder 2013 in der Hybridumgebung.

Hinweis

Wenn Ihre Skype for Business-Front-End-Server einen Proxyserver für den Internet Zugriff verwenden, müssen die IP-Adresse und die Portnummer des Proxyservers im Konfigurationsabschnitt der Datei "web.config" für jedes Front-End eingegeben werden.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Wichtig

Achten Sie darauf, dass Sie den RSS-Feed für URLs und IP-Adressbereiche für Office 365 abonnieren, um mit den neuesten Auflistungen der erforderlichen URLs auf dem Laufenden zu bleiben.

  • Für Exchange Server

    • Sie verwenden entweder Exchange Server 2013 CU19 und höher, Exchange Server 2016 CU8 und höher oder Exchange Server 2019 CU1 und höher.
    • Es gibt kein Exchange Server 2010 in der Umgebung.
    • Die SSL-Abladung ist nicht konfiguriert. SSL-Terminierung und erneute Verschlüsselung werden unterstützt.
    • Für den Fall, dass Ihre Umgebung eine Proxyserver-Infrastruktur einsetzt, damit Server eine Verbindung mit dem Internet herstellen können, stellen Sie sicher, dass alle Exchange-Server über den Proxyserver verfügen, der in der Eigenschaft InternetWebProxy definiert ist.

  • Lokaler Exchange-Server in einer Office 365-Hybridumgebung

    • Wenn Sie Exchange Server 2013 verwenden, müssen auf mindestens einem Server die Serverrollen „Postfach“ und „Clientzugriff“ installiert sein. Es ist zwar möglich, die Postfach- und Clientzugriffsrollen auf separaten Servern zu installieren, es wird jedoch dringend empfohlen, beide Rollen auf demselben Server zu installieren, um mehr Zuverlässigkeit und verbesserte Leistung zu gewährleisten.
    • Wenn Sie Exchange Server 2016 oder eine spätere Version verwenden, muss auf mindestens einem Server die Serverrolle „Postfach“ installiert sein.
    • Es gibt kein Exchange Server 2007 oder 2010 in der Hybridumgebung.
    • Alle Exchange-Server müssen über die neuesten kumulativen Updates verfügen. Weitere Informationen finden Sie unter Upgrade von Exchange auf die neuesten kumulativen Updates, um alle verfügbaren Updates zu finden und zu verwalten.

  • Exchange-Client- und Protokollanforderungen

    Die Verfügbarkeit der modernen Authentifizierung wird durch die Kombination aus Client, Protokoll und Konfiguration bestimmt. Wenn die moderne Authentifizierung vom Client, dem Protokoll und/oder der Konfiguration nicht unterstützt wird, verwendet der Client weiterhin die Legacyauthentifizierung.

    Die folgenden Clients und Protokolle unterstützen die moderne Authentifizierung mit lokalem Exchange, wenn die moderne Authentifizierung in der Umgebung aktiviert ist:

    Clients Primary-Protokoll Notizen
    Outlook 2013 und höher
    		 MAPI über HTTP
    		 MAPI über HTTP muss in Exchange aktiviert sein, um die moderne Authentifizierung mit diesen Clients verwenden zu können (aktiviert oder True für neue Installationen von Exchange 2013 Service Pack 1 und höher); Weitere Informationen finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps.
    Stellen Sie sicher, dass Sie den mindestens erforderlichen Build von Outlook ausführen. Lesen Sie Neueste Updates für Outlook-Versionen, die Windows Installer (MSI) verwenden.
    Outlook 2016 für Mac und höher
    		 Exchange-Webdienste
    Outlook für iOS und Android
    		 Microsoft-Synchronisierungstechnologie
    		 Weiter Informationen finden Sie unter Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android.
    Exchange ActiveSync Clients (z. B. iOS11 Mail)
    		 Exchange ActiveSync
    		 Bei Exchange ActiveSync-Clients, die die moderne Authentifizierung unterstützen, müssen Sie das Profil neu erstellen, um von der Standardauthentifizierung zur modernen Authentifizierung zu wechseln.

    Clients und/oder Protokolle, die nicht aufgeführt sind (z. B. POP3), unterstützen keine moderne Authentifizierung mit lokalem Exchange und verwenden weiterhin Legacyauthentifizierungsmechanismen, auch wenn die moderne Authentifizierung in der Umgebung aktiviert ist.

  • Allgemeine Voraussetzungen

    • Ressourcengesamtstrukturszenarien erfordern eine bidirektionale Vertrauensstellung mit der Kontogesamtstruktur, um sicherzustellen, dass bei modernen Hybridauthentifizierungsanforderungen geeignete SID-Lookups ausgeführt werden.

    • Wenn Sie AD FS verwenden, sollten Sie Windows 2012 R2 AD FS 3.0 und höher für Verbund verwenden.

    • Ihre Identitätskonfigurationen sind alle von Microsoft Entra Connect unterstützten Typen, z. B. Kennworthashsynchronisierung, Passthrough-Authentifizierung und lokale STS, die von Office 365 unterstützt werden.

    • Sie haben Microsoft Entra Connect konfiguriert und funktioniert für die Benutzerreplikation und -synchronisierung.

    • Sie haben überprüft, dass "hybrid" mit dem Modus "Klassische Exchange-Hybridtopologie" zwischen der lokalen und der Office 365-Umgebung konfiguriert ist. Offizieller Support-Statement für Exchange Hybrid sagt: Sie müssen entweder den aktuellen CU oder CU-1 haben.

      Hinweis

      Die moderne Hybridauthentifizierung wird beim Hybrid-Agent nicht unterstützt.

    • Stellen Sie sicher, dass sowohl ein lokal verwalteter Testbenutzer als auch ein Hybrid-Testbenutzer, der in Office 365 verwaltet wird, sich beim Skype for Business-Desktop-Client (wenn Sie die moderne Authentifizierung mit Skype verwenden möchten) und Microsoft Outlook (wenn Sie die moderne Authentifizierung mit Exchange verwenden möchten) anmelden können.

    • Stellen Sie sicher, dass die Einstellung SignInOptions in Microsoft Office nicht auf die restriktivste Einstellung konfiguriert ist. Weitere Informationen finden Sie unter Zulassen einer Verbindung mit dem Internet durch Office.

Was muss ich noch wissen, bevor ich beginne?

  • Alle Szenarien für lokale Server umfassen die Einrichtung einer modernen lokalen Authentifizierung (für Skype for Business es eine Liste unterstützter Topologien gibt), sodass sich der für die Authentifizierung und Autorisierung zuständige Server in der Microsoft Cloud befindet (Microsoft Entra-ID-Sicherheitstokendienst ,evoSTS' genannt) und aktualisiert wird. Microsoft Entra-ID zu den URLs oder Namespaces, die von Ihrer lokalen Installation von Skype for Business oder Exchange verwendet werden. Daher sind die lokalen Server von Microsoft Cloud abhängig. Diese Aktion kann als "Hybridauthentifizierung" konfiguriert werden.
  • In diesem Artikel finden Sie Links zu anderen Artikeln, die Sie bei der Auswahl unterstützter moderner Authentifizierungstopologien (nur für Skype for Business erforderlich) unterstützen, sowie Anleitungsartikel, die die Einrichtungsschritte bzw. die Schritte zur Deaktivierung der modernen Authentifizierung für lokales Exchange und lokales Skype for Business erläutern. Markieren Sie diese Seite als Favoritenseite in Ihrem Browser, wenn Sie einen Startpunkt für die Verwendung moderner Authentifizierung in Ihrer Serverumgebung benötigen.