Introducción a la autenticación moderna híbrida y requisitos previos para el uso en Skype Empresarial y los servidores de Exchange locales

  • Artículo

Este artículo se aplica tanto a Microsoft 365 Enterprise como a Office 365 Enterprise.

La autenticación moderna es un método de administración de identidades que ofrece autenticación y autorización de usuarios más seguras. Está disponible para Office 365 implementaciones híbridas de Skype Empresarial servidor local y exchange local, y híbridos de Skype Empresarial de dominio dividido. En este artículo se proporcionan vínculos a documentos relacionados sobre requisitos previos, configuración o deshabilitación de la autenticación moderna y a parte de la información relacionada del cliente (por ejemplo, clientes de Outlook y Skype).

¿Qué es la autenticación moderna?

La autenticación moderna es un término general para una combinación de métodos de autenticación y autorización entre un cliente (por ejemplo, el portátil o el teléfono) y un servidor, así como algunas medidas de seguridad que se basan en directivas de acceso con las que podría estar familiarizado. Incluye:

  • Métodos de autenticación: autenticación multifactor (MFA); autenticación de tarjeta inteligente; autenticación basada en certificados de cliente
  • Métodos de autorización: la implementación de Microsoft de Open Authorization (OAuth).
  • Directivas de acceso condicional: Administración de aplicaciones móviles (MAM) y Microsoft Entra acceso condicional

La administración de identidades de usuario con la autenticación moderna ofrece a los administradores distintas herramientas para la protección de los recursos y ofrece métodos más seguros de administración de identidades para escenarios locales (Exchange y Skype Empresarial), implementaciones híbridas de Exchange y dominios divididos o híbridos de Skype Empresarial.

Dado que Skype Empresarial funciona estrechamente con Exchange, el comportamiento de inicio de sesión Skype Empresarial los usuarios cliente se verán afectados por el estado de autenticación moderno de Exchange. También es aplicable si tiene una arquitectura híbrida de dominio dividido Skype Empresarial, en la que tiene Skype Empresarial En línea y Skype Empresarial local, con usuarios hospedados en ambas ubicaciones.

Para obtener más información sobre la autenticación moderna en Office 365, consulte compatibilidad con aplicaciones cliente de Office 365: autenticación multifactor.

Importante

A partir de agosto de 2017, todos los nuevos espacios empresariales de Office 365 que incluyen Skype Empresarial online y Exchange online tienen la autenticación moderna habilitada de manera predeterminada. Los inquilinos preexistedos no tendrán un cambio en su estado de MA predeterminado, pero todos los nuevos inquilinos admiten automáticamente el conjunto ampliado de características de identidad que se muestran anteriormente. Para comprobar el estado de su MA, vea la sección Comprobar el estado de la autenticación moderna de su entorno local.

¿Qué cambia cuando uso la autenticación moderna?

Cuando se usa la autenticación moderna con un servidor de Exchange o Skype Empresarial local, la autenticación de los usuarios sigue siendo local, pero la forma de autorizar su acceso a los recursos (como archivos o correos electrónicos) cambia. Por este motivo, aunque la autenticación moderna se trata de la comunicación entre el cliente y el servidor, los pasos realizados durante la configuración de MA dan como resultado que evoSTS (un servicio de token de seguridad usado por Microsoft Entra ID) se establezca como servidor de autenticación para Skype Empresarial y servidor exchange local.

El cambio a evoSTS permite que los servidores locales usen OAuth (emisión de tokens) para autorizar a los clientes, y también el uso de métodos de seguridad comunes en la nube (igual que la autenticación multifactor). Además, el evoSTS emite tokens que permiten que los usuarios soliciten el acceso a los recursos sin proporcionar su contraseña como parte de la solicitud. Independientemente de dónde estén hospedados los usuarios (de forma local o en línea) y no importa qué ubicación hospede el recurso necesario, EvoSTS se convertiría en el núcleo de la autorización de usuarios y clientes una vez configurada la autenticación moderna.

Por ejemplo, si un cliente de Skype Empresarial necesita acceder al servidor Exchange para obtener información de calendario en nombre de un usuario, usa la Biblioteca de autenticación de Microsoft (MSAL) para hacerlo. MSAL es una biblioteca de código diseñada para que los recursos protegidos del directorio estén disponibles para las aplicaciones cliente mediante tokens de seguridad de OAuth. MSAL funciona con OAuth para comprobar las notificaciones y para intercambiar tokens (en lugar de contraseñas), para conceder a un usuario acceso a un recurso. En el pasado, la autoridad de una transacción como esta (el servidor que sabe cómo validar las notificaciones de usuario y emitir los tokens necesarios) podría haber sido un servicio de token de seguridad local o incluso Servicios de federación de Active Directory (AD FS). Sin embargo, la autenticación moderna centraliza esa autoridad mediante Microsoft Entra ID.

Esto también significa que, aunque el servidor de Exchange y los entornos de Skype Empresarial puedan ser totalmente locales, el servidor de autorización está en línea y el entorno local debe tener la capacidad de crear y mantener una conexión con la suscripción de Office 365 en la nube (y el Microsoft Entra instancia de que la suscripción usa como directorio).

¿Qué no cambia? Tanto si está en un entorno híbrido de dominio dividido como si usa Skype Empresarial y el servidor de Exchange local, todos los usuarios deben autenticarse en primer lugar localmente. En una implementación híbrida de la autenticación moderna, Lyncdiscovery y Autodiscovery apuntan al servidor local.

Importante

Si necesita averiguar las topologías específicas de Skype Empresarial compatibles con MA, están documentadas aquí.

Comprobar el estado de la autenticación moderna de su entorno local

Dado que la autenticación moderna cambia el servidor de autorización que se usa cuando los servicios aplican OAuth/S2S, debe saber si la autenticación moderna está habilitada o deshabilitada para los entornos locales Skype Empresarial y Exchange. Para comprobar el estado de los servidores de Exchange, ejecute el siguiente comando de PowerShell:

Get-OrganizationConfig | ft OAuth*

Si el valor de la propiedad OAuth2ClientProfileEnabled es False, la autenticación moderna está deshabilitada.

Para obtener más información sobre el Get-OrganizationConfig cmdlet, vea Get-OrganizationConfig.

Para comprobar los servidores de Skype Empresarial, ejecute el siguiente comando de PowerShell:

Get-CSOAuthConfiguration

Si el comando devuelve una propiedad OAuthServers vacía o si el valor de la propiedad ClientADALAuthOverride no es Allowed, se deshabilita la autenticación moderna.

Para obtener más información sobre el Get-CsOAuthConfiguration cmdlet, vea Get-CsOAuthConfiguration.

¿Cumple los requisitos previos de la autenticación moderna?

Verifique y compruebe estos elementos antes de continuar:

  • Específico de Skype Empresarial

    • Todos los servidores deben tener la actualización acumulativa de mayo de 2017 (CU5) para Skype Empresarial Server 2015 o posterior
      • Excepción: Aplicación de sucursal con funciones de supervivencia (SBA) puede estar en la versión actual (basada en Lync 2013)
    • El dominio SIP se ha agregado como un dominio federado en Office 365
    • Todos los front-end sfb deben tener conexiones salientes a Internet, para Office 365 direcciones URL de autenticación (TCP 443) y CRL raíz de certificado conocido (TCP 80) enumeradas en las filas 56 y 125 de la sección "Microsoft 365 Common and Office" de Office 365 direcciones URL e intervalos de direcciones IP.

  • Skype Empresarial en un entorno híbrido de Office 365

    • Una implementación de Skype Empresarial Server 2019 con todos los servidores que ejecuten Skype Empresarial Server 2019.
    • Una implementación de Skype Empresarial Server 2015 con todos los servidores que ejecuten Skype Empresarial Server 2015.
    • Una implementación con un máximo de dos versiones de servidor distintas, como se muestra a continuación:
      • Skype Empresarial Server 2015
      • Skype Empresarial Server 2019
    • Todos los servidores de Skype Empresarial deben tener instaladas las últimas actualizaciones acumulativas, consulte Actualizaciones de Skype Empresarial Server para buscar y administrar todas las actualizaciones disponibles.
    • No hay lync server 2010 o 2013 en el entorno híbrido.

Nota:

Si los servidores front-end de Skype Empresarial usan un servidor proxy para el acceso a Internet, el número de puerto y la IP del servidor proxy deben especificarse en la sección de configuración del archivo web.config para cada front-end.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Importante

Asegúrese de suscribirse a la fuente RSS de Intervalos de direcciones IP y URL de Office 365 para mantenerse al día con las listas más recientes de direcciones URL necesarias.

  • Específico de Exchange Server

    • Usa Exchange Server 2013 CU19 o posterior, Exchange Server 2016 CU8 o posterior, o Exchange Server 2019 CU1 o posterior.
    • No hay ningún servidor Exchange 2010 en el entorno.
    • No se ha configurado la descarga de SSL. Se admiten la terminación SSL y el re-cifrado.
    • En caso de que su entorno use una infraestructura de servidor proxy para permitir que los servidores se conecten a Internet, asegúrese de que todos los servidores de Exchange tengan el servidor proxy definido en la propiedad InternetWebProxy.

  • Implementación local de Exchange Server en un entorno híbrido de Office 365

    • Si usa Exchange Server 2013, al menos un servidor debe tener instalados los roles de servidor Buzón y Acceso de cliente. Aunque es posible instalar los roles buzón y acceso de cliente en servidores independientes, se recomienda encarecidamente instalar ambos roles en el mismo servidor para proporcionar más confiabilidad y un rendimiento mejorado.
    • Si usa Exchange Server 2016 o una versión posterior, al menos un servidor debe tener instalado el rol de servidor Buzón.
    • No hay ningún servidor Exchange 2007 o 2010 en el entorno híbrido.
    • Todos los servidores de Exchange deben tener instaladas las actualizaciones acumulativas más recientes. Consulte Actualización de Exchange a la Novedades acumulativa más reciente para buscar y administrar todas las actualizaciones disponibles.

  • Requisitos de protocolo y el cliente de Exchange

    La disponibilidad de la autenticación moderna viene determinada por la combinación del cliente, el protocolo y la configuración. Si la autenticación moderna no es compatible con el cliente, el protocolo o la configuración, el cliente sigue usando la autenticación heredada.

    Los siguientes clientes y protocolos admiten la autenticación moderna con Exchange local cuando la autenticación moderna está habilitada en el entorno:

    Clientes Protocolo principal Notas
    Outlook 2013 y versiones posteriores
    		 MAPI sobre HTTP
    		 MAPI a través de HTTP debe estar habilitado en Exchange para poder usar la autenticación moderna con estos clientes (habilitado o True para las nuevas instalaciones de Exchange 2013 Service Pack 1 y versiones posteriores); Para obtener más información, vea Cómo funciona la autenticación moderna para las aplicaciones cliente de Office 2013 y Office 2016.
    Asegúrese de que ejecuta la compilación mínima necesaria de Outlook; vea Actualizaciones más recientes para las versiones de Outlook que usan Windows Installer (MSI).
    Outlook 2016 para Mac y versiones posteriores
    		 Servicios Web de Exchange
    Outlook para iOS y Android
    		 Tecnología de sincronización de Microsoft
    		 Consulte Usar la autenticación moderna híbrida con Outlook para iOS y Android para más información.
    Exchange ActiveSync clientes (por ejemplo, correo de iOS11)
    		 Exchange ActiveSync
    		 Para los clientes de Exchange ActiveSync que son compatibles con la autenticación moderna, debe volver a crear el perfil para cambiar de la autenticación básica a la autenticación moderna.

    Los clientes o protocolos que no aparecen (por ejemplo, POP3) no admiten la autenticación moderna con Exchange local y siguen usando mecanismos de autenticación heredados incluso después de habilitar la autenticación moderna en el entorno.

  • Requisitos previos generales

    • Los escenarios de bosque de recursos requieren una confianza bidireccional con el bosque de cuentas para asegurarse de que se realizan búsquedas de SID adecuadas durante las solicitudes de autenticación moderna híbrida.

    • Si usa AD FS, debe tener Windows 2012 R2 AD FS 3.0 y superior para la federación.

    • Las configuraciones de identidad son cualquiera de los tipos admitidos por Microsoft Entra Connect, como la sincronización de hash de contraseñas, la autenticación de paso a través y el STS local compatible con Office 365.

    • Tiene Microsoft Entra Connect configurado y funcionando para la replicación y sincronización de usuarios.

      Nota:

      A las cuentas de usuario que no estén sincronizadas con Microsoft Entra Identity no se les proporcionará un token de autorización a través de la autenticación moderna híbrida. Una vez que la aplicación local está configurada para usar evoSTS como punto de conexión de autorización predeterminado, estas cuentas de usuario que no están sincronizadas encontrarán problemas con su acceso a la aplicación si la configuración adecuada no está disponible.

    • Ha comprobado que la configuración híbrida está configurada con el modo de Topología híbrida de Exchange clásico entre el entorno local y el de Office 365. La declaración oficial del soporte para la implementación híbrida de Exchange indica que debe tener la CU actual o la CU actual -1.

      Nota:

      La autenticación moderna híbrida no es compatible con el Agente híbrido.

    • Asegúrese de que un usuario de prueba local y un usuario de prueba híbrido hospedado en Office 365 puedan iniciar sesión en el cliente de escritorio de Skype Empresarial (si desea usar la autenticación moderna con Skype) y Microsoft Outlook (si desea usar la autenticación moderna con Exchange).

    • Asegúrese de que la configuración SignInOptions de Microsoft Office no esté configurada en su configuración más restrictiva. Para obtener más información, vea Cómo permitir que Office se conecte a Internet.

¿Qué más necesito saber antes de comenzar?

  • Todos los escenarios para los servidores locales implican la configuración de la autenticación moderna local (de hecho, para Skype Empresarial hay una lista de topologías admitidas) para que el servidor responsable de la autenticación y autorización esté en microsoft cloud (el servicio de token de seguridad de Microsoft Entra ID, denominado "evoSTS"), y la actualización Microsoft Entra ID sobre las direcciones URL o espacios de nombres que usa la instalación local de Skype Empresarial o Exchange. Por lo tanto, los servidores locales ocupan una dependencia en la nube de Microsoft. Llevar a cabo esta acción podría considerarse una configuración de la "autenticación híbrida".
  • En este artículo se vinculan a otros usuarios que le ayudan a elegir topologías de autenticación modernas admitidas (solo necesarias para Skype Empresarial) y artículos de procedimientos que describen los pasos de instalación, o pasos para deshabilitar la autenticación moderna, para Exchange local y Skype Empresarial local. Marque esta página como favorita en el explorador si va a necesitar una base de inicio para usar la autenticación moderna en el entorno de servidor.