Moderne Hybridauthentifizierung, Übersicht und Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern

  • Artikel

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Die moderne Authentifizierung ist eine Methode zur Identitätsverwaltung, die eine sicherere Benutzerauthentifizierung und Autorisierung bietet. Sie ist für Office 365 Hybridbereitstellungen von lokalen Skype for Business Server und Lokalen Exchange-Server sowie hybriden Skype for Business-Domänen verfügbar. Dieser Artikel enthält Links zu verwandten Dokumenten zu Voraussetzungen, zum Einrichten/Deaktivieren der modernen Authentifizierung und zu einigen der zugehörigen Clientinformationen (z. B. Outlook- und Skype-Clients).

Was ist moderne Authentifizierung?

Moderne Authentifizierung ist ein Oberbegriff für eine Kombination aus Authentifizierungs- und Autorisierungsmethoden zwischen einem Client (z. B. Ihrem Laptop oder Ihrem Smartphone) und einem Server sowie für einige Sicherheitsmaßnahmen, die auf Zugriffsrichtlinien basieren, mit denen Sie möglicherweise bereits vertraut sind. Sie umfasst Folgendes:

  • Authentifizierungsmethoden: Mehrstufige Authentifizierung (MFA); Smart Karte-Authentifizierung; clientzertifikatbasierte Authentifizierung
  • Autorisierungsmethoden: Microsoft-Implementierung von OAuth (Open Authorization)
  • Richtlinien für bedingten Zugriff: Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) und Microsoft Entra bedingter Zugriff

Die Verwaltung von Benutzeridentitäten mit moderner Authentifizierung gibt Administratoren viele verschiedene Tools an die Hand, wenn es um die Sicherung von Ressourcen geht, und bietet sicherere Methoden der Identitätsverwaltung sowohl für lokale (Exchange und Skype for Business) als auch für Exchange-Hybrid- und Skype for Business Hybrid-Szenarien und Szenarien mit geteilter Domäne.

Da Skype for Business eng mit Exchange zusammenarbeiten, wird das Anmeldeverhalten Skype for Business Clientbenutzern von der modernen Authentifizierungs-status von Exchange beeinflusst. Dies gilt auch, wenn Sie über eine Skype for Business Hybridarchitektur mit geteilter Domäne verfügen, in der Sie sowohl Skype for Business Online als auch lokal Skype for Business haben, wobei Die Benutzer an beiden Standorten verwaltet werden.

Weitere Informationen zur modernen Authentifizierung in Office 365 finden Sie unter Office 365 Client-App-Unterstützung – Mehrstufige Authentifizierung.

Wichtig

Seit August 2017 ist die moderne Authentifizierung (MA) auf allen neuen Office 365-Mandanten, die Skype for Business Online und Exchange Online umfassen, standardmäßig aktiviert. Bereits vorhandene Mandanten haben keine Änderung ihres Ma-Standardzustands, aber alle neuen Mandanten unterstützen automatisch den erweiterten Satz von Identitätsfeatures, die Sie zuvor aufgeführt haben. Um Ihren MA-Status zu überprüfen, lesen Sie den Abschnitt Überprüfen Sie den Status der modernen Authentifizierung Ihrer lokalen Umgebung.

Was ändert sich, wenn ich die moderne Authentifizierung verwende?

Wenn Sie die moderne Authentifizierung mit lokalen Skype for Business- oder Exchange-Servern verwenden, authentifizieren Sie immer noch lokale Benutzer, aber die Vorgehensweise bei der Autorisierung ihres Zugriffs auf Ressourcen (wie Dateien oder E-Mails) ändert sich. Dies ist der Grund dafür, dass bei der modernen Authentifizierung die Client- und Serverkommunikation erfolgt, die schritte beim Konfigurieren von MA dazu führen, dass evoSTS (ein von Microsoft Entra ID verwendeter Sicherheitstokendienst) als Authentifizierungsserver für Skype for Business- und Exchange-Server lokal festgelegt wird.

Die Umstellung auf evoSTS ermöglicht es Ihren lokalen Servern, die Vorteile von OAuth (Token-Ausgabe) für die Autorisierung Ihrer Clients zu nutzen, und ermöglicht es Ihren lokalen Servern außerdem, in der Cloud übliche Sicherheitsmethoden (wie die mehrstufige Authentifizierung) zu verwenden. Darüber hinaus gibt der evoSTS Token aus, die es Benutzern gestatten, Zugriff auf Ressourcen anzufordern, ohne Ihr Kennwort als Teil der Anforderung anzugeben. Unabhängig davon, wo Ihre Benutzer verwaltet werden (online oder lokal), und unabhängig davon, welcher Standort die benötigte Ressource hostet, würde EvoSTS zum Kern der Autorisierung von Benutzern und Clients werden, sobald die moderne Authentifizierung konfiguriert ist.

Wenn beispielsweise ein Skype for Business Client auf exchange server zugreifen muss, um Kalenderinformationen im Namen eines Benutzers abzurufen, verwendet er dazu die Microsoft Authentication Library (MSAL). MSAL ist eine Codebibliothek, die dafür entwickelt wurde, gesicherte Ressourcen in Ihrem Verzeichnis mithilfe von OAuth-Sicherheitstoken für Clientanwendungen verfügbar zu machen. MSAL arbeitet mit OAuth zusammen, um Ansprüche zu überprüfen und Token (anstelle von Kennwörtern) auszutauschen, um einem Benutzer Zugriff auf eine Ressource zu gewähren. In der Vergangenheit war die Autorität in einer Transaktion wie dieser - der Server, der weiß, wie Benutzeransprüche überprüft und die erforderlichen Token ausstellen - ein Sicherheitstokendienst lokal oder sogar Active Directory-Verbunddienste (AD FS). Die moderne Authentifizierung zentralisiert diese Autorität jedoch mithilfe von Microsoft Entra ID.

Dies bedeutet auch, dass der Autorisierungsserver online ist Skype for Business und ihre lokale Umgebung eine Verbindung mit Ihrem Office 365-Abonnement in der Cloud (und dem Microsoft Entra instance , das Ihr Abonnement als Verzeichnis verwendet).

Was ändert sich nicht? Unabhängig davon, ob Sie sich in einer Hybridumgebung mit geteilter Domäne befinden oder Skype for Business und Exchange Server lokal verwenden, müssen alle Benutzer zuerst lokal authentifiziert werden. In einer hybriden Implementierung moderner Authentifizierung weisen Lyncdiscovery und Autodiscovery beide auf Ihren lokalen Server hin.

Wichtig

Wenn Sie die spezifischen Skype for Business-Topologien wissen möchten, die bei MA unterstützt werden, ist das hier dokumentiert.

Überprüfen Sie den Status der modernen Authentifizierung Ihrer lokalen Umgebung

Da die moderne Authentifizierung den Autorisierungsserver ändert, der verwendet wird, wenn Dienste OAuth/S2S anwenden, müssen Sie wissen, ob die moderne Authentifizierung für Ihre lokalen Skype for Business- und Exchange-Umgebungen aktiviert oder deaktiviert ist. Sie können den Status auf Ihren Exchange-Servern überprüfen, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-OrganizationConfig | ft OAuth*

Wenn der Wert der Eigenschaft OAuth2ClientProfileEnabledfalsch ist, ist die moderne Authentifizierung deaktiviert.

Weitere Informationen zum Get-OrganizationConfig Cmdlet finden Sie unter Get-OrganizationConfig.

Sie können Ihre Skype for Business-Server überprüfen, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-CSOAuthConfiguration

Wenn der Befehl eine leere OAuthServers-Eigenschaft zurückgibt oder der Wert der ClientADALAuthOverride-Eigenschaft nicht Zulässig ist, ist die moderne Authentifizierung deaktiviert.

Weitere Informationen zum Get-CsOAuthConfiguration Cmdlet finden Sie unter Get-CsOAuthConfiguration.

Erfüllen Sie die Voraussetzungen für die moderne Authentifizierung?

Überprüfen Sie diese Punkte und streichen Sie sie von Ihrer Liste, bevor Sie fortfahren:

  • Für Skype for Business

    • Auf allen Servern muss Mai 2017 Kumulatives Update (CU5) für Skype for Business Server 2015 oder höher vorhanden sein
      • Ausnahme – Survivability Branch Appliance (SBA) kann auf der aktuellen Version vorhanden sein (basierend auf Lync 2013)
    • Ihre SIP-Domäne wird als Verbunddomäne in Office 365 hinzugefügt
    • Alle SFB-Front-Ends müssen ausgehende Verbindungen mit dem Internet, mit Office 365 Authentifizierungs-URLs (TCP 443) und bekannten Zertifikatstamm-CRLs (TCP 80) aufweisen, die in den Zeilen 56 und 125 des Abschnitts "Microsoft 365 Common and Office" von Office 365 URLs und IP-Adressbereichen aufgeführt sind.

  • Lokales Skype for Business in einer Office 365-Hybridumgebung

    • Eine Skype for Business Server 2019-Bereitstellung mit allen Servern, auf denen Skype for Business Server 2019 ausgeführt wird.
    • Eine Skype for Business Server 2015-Bereitstellung mit allen Servern, auf denen Skype for Business Server 2015 ausgeführt wird.
    • Eine Bereitstellung mit maximal zwei unterschiedlichen Serverversionen, wie unten aufgelistet:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • Alle Skype for Business-Server müssen über die neuesten kumulativen Updates verfügen. Weitere Informationen finden Sie unter Skype for Business Server-Updates, um alle verfügbaren Updates zu finden und zu verwalten.
    • Es gibt keine Lync Server 2010 oder 2013 in der Hybridumgebung.

Hinweis

Wenn Ihre Skype for Business-Front-End-Server einen Proxyserver für den Internet Zugriff verwenden, müssen die IP-Adresse und die Portnummer des Proxyservers im Konfigurationsabschnitt der Datei "web.config" für jedes Front-End eingegeben werden.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Wichtig

Achten Sie darauf, dass Sie den RSS-Feed für URLs und IP-Adressbereiche für Office 365 abonnieren, um mit den neuesten Auflistungen der erforderlichen URLs auf dem Laufenden zu bleiben.

  • Für Exchange Server

    • Sie verwenden entweder Exchange Server 2013 CU19 und höher, Exchange Server 2016 CU8 und höher oder Exchange Server 2019 CU1 und höher.
    • Es gibt keinen Exchange Server 2010 in der Umgebung.
    • Die SSL-Abladung ist nicht konfiguriert. SSL-Terminierung und erneute Verschlüsselung werden unterstützt.
    • Für den Fall, dass Ihre Umgebung eine Proxyserver-Infrastruktur einsetzt, damit Server eine Verbindung mit dem Internet herstellen können, stellen Sie sicher, dass alle Exchange-Server über den Proxyserver verfügen, der in der Eigenschaft InternetWebProxy definiert ist.

  • Lokaler Exchange-Server in einer Office 365-Hybridumgebung

    • Wenn Sie Exchange Server 2013 verwenden, müssen auf mindestens einem Server die Serverrollen Postfach und Clientzugriff installiert sein. Es ist zwar möglich, die Postfach- und Clientzugriffsrollen auf separaten Servern zu installieren, es wird jedoch dringend empfohlen, beide Rollen auf demselben Server zu installieren, um mehr Zuverlässigkeit und verbesserte Leistung zu gewährleisten.
    • Wenn Sie Exchange Server 2016 oder höher verwenden, muss die Postfachserverrolle auf mindestens einem Server installiert sein.
    • Es gibt keinen Exchange Server 2007 oder 2010 in der Hybridumgebung.
    • Auf allen Exchange-Servern müssen die neuesten kumulativen Updates installiert sein. Informationen zum Suchen und Verwalten aller verfügbaren Updates finden Sie unter Upgraden von Exchange auf die neueste kumulative Updates.

  • Exchange-Client- und Protokollanforderungen

    Die Verfügbarkeit der modernen Authentifizierung wird durch die Kombination aus Client, Protokoll und Konfiguration bestimmt. Wenn die moderne Authentifizierung vom Client, dem Protokoll und/oder der Konfiguration nicht unterstützt wird, verwendet der Client weiterhin die Legacyauthentifizierung.

    Die folgenden Clients und Protokolle unterstützen die moderne Authentifizierung mit lokalem Exchange, wenn die moderne Authentifizierung in der Umgebung aktiviert ist:

    Clients Primary-Protokoll Notizen
    Outlook 2013 und höher
    		 MAPI über HTTP
    		 MAPI über HTTP muss in Exchange aktiviert sein, um die moderne Authentifizierung mit diesen Clients verwenden zu können (aktiviert oder True für neue Installationen von Exchange 2013 Service Pack 1 und höher); Weitere Informationen finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps.
    Stellen Sie sicher, dass Sie den mindestens erforderlichen Build von Outlook ausführen. Weitere Informationen finden Sie unter Neueste Updates für Versionen von Outlook, die Windows Installer (MSI) verwenden.
    Outlook 2016 für Mac und höher
    		 Exchange-Webdienste
    Outlook für iOS und Android
    		 Microsoft-Synchronisierungstechnologie
    		 Weiter Informationen finden Sie unter Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android.
    Exchange ActiveSync Clients (z. B. iOS11 Mail)
    		 Exchange ActiveSync
    		 Bei Exchange ActiveSync-Clients, die die moderne Authentifizierung unterstützen, müssen Sie das Profil neu erstellen, um von der Standardauthentifizierung zur modernen Authentifizierung zu wechseln.

    Clients und/oder Protokolle, die nicht aufgeführt sind (z. B. POP3), unterstützen keine moderne Authentifizierung mit lokalem Exchange und verwenden weiterhin Legacyauthentifizierungsmechanismen, auch wenn die moderne Authentifizierung in der Umgebung aktiviert ist.

  • Allgemeine Voraussetzungen

    • Szenarien mit Ressourcengesamtstruktur erfordern eine bidirektionale Vertrauensstellung mit der Kontogesamtstruktur, um sicherzustellen, dass bei modernen Hybridauthentifizierungsanforderungen geeignete SID-Lookups ausgeführt werden.

    • Wenn Sie AD FS verwenden, sollten Sie Windows 2012 R2 AD FS 3.0 und höher für Verbund verwenden.

    • Ihre Identitätskonfigurationen sind alle von Microsoft Entra Connect unterstützten Typen, z. B. Kennworthashsynchronisierung, Passthrough-Authentifizierung und lokale STS, die von Office 365 unterstützt werden.

    • Sie haben Microsoft Entra Connect konfiguriert und funktioniert für die Benutzerreplikation und -synchronisierung.

      Hinweis

      Alle Benutzerkonten, die nicht mit Microsoft Entra Identity synchronisiert werden, erhalten kein Autorisierungstoken über die moderne Hybridauthentifizierung. Sobald die lokale Anwendung so konfiguriert ist, dass evoSTS als Standardautorisierungsendpunkt verwendet wird, treten bei diesen nicht synchronisierten Benutzerkonten Probleme mit dem Zugriff auf die Anwendung auf, wenn keine entsprechende Konfiguration verfügbar ist.

    • Sie haben überprüft, dass "hybrid" mit dem Modus "Klassische Exchange-Hybridtopologie" zwischen der lokalen und der Office 365-Umgebung konfiguriert ist. Offizieller Support-Statement für Exchange Hybrid sagt: Sie müssen entweder den aktuellen CU oder CU-1 haben.

      Hinweis

      Die moderne Hybridauthentifizierung wird beim Hybrid-Agent nicht unterstützt.

    • Stellen Sie sicher, dass sich sowohl ein lokaler Testbenutzer als auch ein hybrider Testbenutzer, der in Office 365 verwaltet wird, beim Skype for Business Desktopclient (wenn Sie die moderne Authentifizierung mit Skype verwenden möchten) und Bei Microsoft Outlook (wenn Sie die moderne Authentifizierung mit Exchange verwenden möchten) anmelden können.

    • Stellen Sie sicher, dass die Einstellung SignInOptions in Microsoft Office nicht für die restriktivste Einstellung konfiguriert ist. Weitere Informationen finden Sie unter Zulassen einer Verbindung mit dem Internet durch Office.

Was muss ich noch wissen, bevor ich beginne?

  • Alle Szenarien für lokale Server umfassen die Einrichtung einer modernen lokalen Authentifizierung (für Skype for Business es eine Liste unterstützter Topologien gibt), sodass sich der für die Authentifizierung und Autorisierung zuständige Server in der Microsoft Cloud befindet (sicherheitstokendienst von Microsoft Entra ID, der als "evoSTS" bezeichnet wird). Microsoft Entra ID zu den URLs oder Namespaces, die von Ihrer lokalen Installation von Skype for Business oder Exchange verwendet werden. Daher sind die lokalen Server von Microsoft Cloud abhängig. Diese Aktion kann als "Hybridauthentifizierung" konfiguriert werden.
  • In diesem Artikel finden Sie Links zu anderen, die Ihnen bei der Auswahl unterstützter moderner Authentifizierungstopologien helfen (nur für Skype for Business erforderlich) und Anleitungen, in denen die Einrichtungsschritte oder Schritte zum Deaktivieren der modernen Authentifizierung für exchange lokal und Skype for Business lokal beschrieben werden. Markieren Sie diese Seite als Favoritenseite in Ihrem Browser, wenn Sie einen Startpunkt für die Verwendung moderner Authentifizierung in Ihrer Serverumgebung benötigen.