שתף באמצעות

מבט כולל על אימות מודרני היברידי ודרישות מוקדמות לשימוש בו עם שרתי Skype for Business מקומיים ו- Exchange

  • מאמר

מאמר זה חל הן על Microsoft 365 Enterprise והן Office 365 Enterprise.

אימות מודרני הוא שיטה לניהול זהויות המציעה אימות ואישור מאובטחים יותר של משתמשים. הוא זמין עבור פריסות Office 365 היברידיות של שרת Skype for Business מקומי ו- Exchange Server מקומי, ו- Skype for Business היברידיות. מאמר זה מקשר למסמכים קשורים לגבי דרישות מוקדמות, הגדרה/השבתה של אימות מודרני, ולמידע על חלק מהלקוח הקשור (לדוגמה, לקוחות Outlook ו- Skype).

מהו אימות מודרני?

אימות מודרני הוא מונח כללי עבור שילוב של שיטות אימות ואישור בין לקוח (לדוגמה, המחשב הנישא או הטלפון שלך) לבין שרת, וכן אמצעי אבטחה מסוימים שכוללים מדיניות גישה שייתכן שאתה כבר מכיר. הוא כולל:

  • שיטות אימות: אימות רב גורמי (MFA); אימות כרטיס חכם; אימות מבוסס אישור לקוח
  • שיטות הרשאה: יישום Open Authorization (OAuth) של Microsoft
  • מדיניות גישה מותנית: ניהול אפליקציות למכשירים ניידים (MAM) Microsoft Entra מותנה

ניהול זהויות משתמשים באמצעות אימות מודרני מעניק למנהלי מערכת כלים רבים ושונות לשימוש כשמדובר באבטחת משאבים ומציע שיטות ניהול זהויות מאובטחות יותר לתרחישים מקומיים (Exchange ו- Skype for Business), Exchange היברידי ו- Skype for Business היברידי/מפוצל-תחום.

מאחר Skype for Business פועל באופן דומה עם Exchange, אופן הפעולה של Skype for Business משתמשי הלקוח יושפע מצב האימות המודרני של Exchange. הדבר חל גם אם יש לך ארכיטקטורה היברידית של Skype for Business- split-domain, שבה יש לך הן Skype for Business Online והן Skype for Business מקומי, כאשר משתמשים בבית בשני המיקומים.

לקבלת מידע נוסף אודות אימות מודרני ב- Office 365, ראה Office 365 לקוח תמיכה ביישום הלקוח - אימות רב-גורמי.

חשוב

החל מאוגוסט 2017, כל Office 365 הדיירים החדשים הכוללים את Skype for Business באינטרנט ו- Exchange Online יכלול אימות מודרני מופעל כברירת מחדל. לדיירים קיימים מראש לא יהיה שינוי במצב MA המהווה ברירת מחדל, אך כל הדיירים החדשים תומכים באופן אוטומטי בקבוצה המורחבת של תכונות הזהות שאתה רואה בעבר. כדי לבדוק את מצב ה- MA שלך, עיין בסעיף בדוק את מצב האימות המודרני של הסביבה המקומית שלך.

אילו שינויים משתנים כאשר אני משתמש באימות מודרני?

בעת שימוש באימות מודרני עם שרת Skype for Business מקומי או שרת Exchange, אתה עדיין מאמת משתמשים באופן מקומי, אך הסיפור של מתן הרשאת הגישה שלהם למשאבים (כגון קבצים או הודעות דואר אלקטרוני) משתנה. זו הסיבה לכך, למרות שאימות מודרני הוא על תקשורת לקוח ושרת, השלבים שבוצעו במהלך קביעת התצורה של MA התוצאה evoSTS (שירות אסימון אבטחה המשמש את Microsoft Entra מזהה) מוגדר כ- Auth Server עבור Skype for Business ו- Exchange Server מקומי.

השינוי ב- evoSTS מאפשר לשרתים המקומיים שלך לנצל את היתרונות של OAuth (הנפקת אסימון) עבור אישור הלקוחות שלך, וכן מאפשר לשימוש המקומי שלך בשיטות אבטחה נפוצות בענן (כגון אימות רב-גורמי). בנוסף, evoSTS בעיות אסימונים המאפשרים למשתמשים לבקש גישה למשאבים מבלי לספק את הסיסמה שלהם כחלק מהבקשה. לא משנה היכן המשתמשים שלך נמצאים בבית (של מקוונים או מקומיים), ולא משנה איזה מיקום מארח את המשאב הדרוש, EvoSTS יהפוך לליבה של משתמשים והלקוחות המאשרים לאחר קביעת התצורה של האימות המודרני.

לדוגמה, אם לקוח Skype for Business צריך לגשת לשרת Exchange כדי לקבל פרטי לוח שנה בשם משתמש, הוא משתמש בספריית האימות של Microsoft (MSAL) כדי לעשות זאת. MSAL היא ספריית קוד שנועדה להפוך משאבים מאובטחים במדריך הכתובות שלך לזמינים ליישומי לקוח המשתמשים באסימוני אבטחה של OAuth. MSAL פועלת עם OAuth כדי לאמת תביעות ולבצע חילופי אסימונים (במקום סיסמאות), כדי להעניק למשתמש גישה למשאב. בעבר, הרשות בטרנזקציה כמו זו - השרת שיודע כיצד לאמת דרישות משתמש ולהנפית את האסימונים הדרושים - אולי היה שירות אסימון אבטחה מקומי, או אפילו Active Directory Federation Services. עם זאת, אימות מודרני מרכז סמכות זו באמצעות Microsoft Entra מזהה.

כמו כן, משמעות הדבר היא של אף שסביבות שרת Exchange ו- Skype for Business שלך עשויות להיות מקומיות לחלוטין, השרת המורשה נמצא במצב מקוון והסביבה המקומית שלך חייבת לכלול את היכולת ליצור ולתחזק חיבור למנוי Office 365 שלך בענן (ול- Microsoft Entra מופע שבו המנוי שלך משתמש כמדריך הכתובות שלו).

מה לא משתנה? בין אם אתה נמצא בתצורה היברידית של תחום מפוצל או Skype for Business בשרת Exchange מקומי, כל המשתמשים חייבים תחילה לבצע אימות מקומי. ביישום היברידי של אימות מודרני, גילוי Lync וגילוי אוטומטי להצביע על השרת המקומי.

חשוב

אם עליך לדעת אילו טופולוגיות Skype for Business עם MA, טופולוגיות אלה יתעדו כאן.

בדוק את מצב האימות המודרני של הסביבה המקומית שלך

מאחר ואימות מודרני משנה את שרת ההרשאה המשמש כאשר שירותים מחילים OAuth/S2S, עליך לדעת אם אימות מודרני זמין או לא זמין עבור הסביבות המקומיות של Skype for Business ו- Exchange. באפשרותך לבדוק את המצב בשרתי Exchange שלך על-ידי הפעלת הפקודה הבאה של PowerShell:

Get-OrganizationConfig | ft OAuth*

אם הערך של המאפיין OAuth2ClientProfileEnabled הוא False, האימות המודרני אינו זמין.

לקבלת מידע נוסף אודות ה- Get-OrganizationConfig cmdlet, ראה Get-OrganizationConfig.

באפשרותך לבדוק את שרתי Skype for Business שלך על-ידי הפעלת הפקודה הבאה של PowerShell:

Get-CSOAuthConfiguration

אם הפקודה מחזירה מאפיין OAuthServers ריק, או אם הערך של המאפיין ClientADALAuthOverride אינו מותר, אימות מודרני אינו זמין.

לקבלת מידע נוסף אודות ה Get-CsOAuthConfiguration - cmdlet, ראה Get-CsOAuthConfiguration.

האם אתה עומד בדרישות מוקדמות לאימות מודרני?

אמת וסמן פריטים אלה מחוץ לרשימה לפני שתמשיך:

  • Skype for Business ספציפיות

    • כל השרתים חייבים לכלול עדכון מצטבר (CU5) במאי 2017 עבור Skype for Business Server 2015 ואילך
      • חריגה - מכשיר ענף של יציבות (SBA) יכול להיכלל בגירסה הנוכחית (בהתבסס על Lync 2013)
    • תחום SIP שלך נוסף כתחום מאוחד ב- Office 365
    • כל החזיתות של SFB חייבות לכלול חיבורים יוצאים לאינטרנט, לכתובות URL לאימות Office 365 (TCP 443) וכתובות URL ידועות של בסיס אישורים (TCP 80) המפורטות בשורות 56 ו- 125 של המקטע 'Microsoft 365 Common and Office' של כתובות URL וכתובות IP של Office 365.

  • Skype for Business בסביבה מקומית בסביבה Office 365 היברידית

    • פריסה Skype for Business Server 2019 עם כל השרתים שפועל בהם Skype for Business Server 2019.
    • פריסת Skype for Business Server 2015 עם כל השרתים שבהם פועל Skype for Business Server 2015.
    • פריסה עם שתי גירסאות שרת שונות מרביות, כמפורט להלן:
      • Skype for Business Basic 2015
      • Skype for Business Basic 2019
    • כל Skype for Business השרתים חייבים להיות מותקנים בעדכונים המצטברים האחרונים, ראה Skype for Business Server כדי למצוא ולנהל את כל העדכונים הזמינים.
    • אין Lync Server 2010 או 2013 בסביבה ההיברידית.

הערה

אם השרתים Skype for Business החזיתיים משתמשים בשרת Proxy לצורך גישה לאינטרנט, יש להזין את כתובת ה- IP של שרת ה- Proxy ואת מספר היציאה המשמשים במקטע התצורה של קובץ ה- web.config עבור כל חזית.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

חשוב

הקפד להירשם כמנוי להזנת ה- RSS עבור Office 365 URL וטווחי כתובות IP כדי להישאר מעודכן עם לוחות ההודעה העדכניים ביותר של כתובות URL נדרשות.

  • Exchange Server ספציפיות

    • אתה משתמש ב- Exchange Server 2013 CU19 ותדר מעלה, Exchange Server 2016 CU8 ותחליף את Exchange Server 2019 CU1 ותחליף אותו.
    • אין שרת Exchange 2010 בסביבה.
    • תצורת העברת SSL לא נקבעה. סיום SSL והצפנה מחדש נתמכים.
    • במקרה שהסביבה שלך משתמשת בתשתית שרת Proxy כדי לאפשר לשרתים להתחבר לאינטרנט, ודא שכל שרתי Exchange הגדירו את שרת ה- Proxy במאפיין InternetWebProxy .

  • Exchange Server בסביבה מקומית בסביבה Office 365 היברידית

    • אם אתה משתמש ב- Exchange Server 2013, תפקיד שרת אחד לפחות חייב להיות מותקן בשרת תיבת דואר וגישה ללקוח. על אף שניתן להתקין את התפקידים 'תיבת דואר' ו'גישת לקוח' בשרתים נפרדים, מומלץ מאוד להתקין את שני התפקידים באותו שרת כדי לספק מהימנות רבה יותר וביצועים משופרים.
    • אם אתה משתמש ב- Exchange Server 2016 או בגירסה מתקדמת יותר, לפחות שרת אחד חייב להיות מותקן בתפקיד שרת תיבת הדואר.
    • אין שרת Exchange 2007 או 2010 בסביבה ההיברידית.
    • כל שרתי Exchange חייבים להיות מותקנים העדכונים המצטברים האחרונים. ראה שדרוג Exchange לעדכון המצטבר האחרון עדכונים למצוא ולנהל את כל העדכונים הזמינים.

  • דרישות לקוח ופרוטוקול של Exchange

    הזמינות של אימות מודרני נקבעת לפי השילוב של הלקוח, הפרוטוקול והתצורה. אם אימות מודרני אינו נתמך על-ידי הלקוח, הפרוטוקול ו/או התצורה, הלקוח ממשיך להשתמש באימות מדור קודם.

    הלקוחות והפרוטוקולים הבאים תומכים באימות מודרני עם Exchange מקומי כאשר אימות מודרני זמין בסביבה:

    לקוחות פרוטוקול ראשי הערות
    Outlook 2013 ואילך
    		 MAPI באמצעות HTTP
    		 יש להפוך MAPI באמצעות HTTP לזמין בתוך Exchange כדי להשתמש באימות מודרני עם לקוחות אלה (זמין או True עבור התקנות חדשות של Exchange 2013 Service Pack 1 ואילך); לקבלת מידע נוסף, ראה כיצד פועל אימות מודרני עבור יישומי לקוח של Office 2013 ו- Office 2016.
    ודא שאתה מפעיל את גירסת ה- Build המינימלית הנדרשת של Outlook; ראה העדכונים האחרונים עבור גירסאות של Outlook המשתמשות ב- Windows Installer (MSI).
    Outlook 2016 עבור Mac ואילך
    		 שירותי אינטרנט של Exchange
    Outlook עבור iOS ו- Android
    		 טכנולוגיית הסינכרון של Microsoft
    		 ראה שימוש באימות מודרני היברידי עם Outlook עבור iOS ו- Android לקבלת מידע נוסף.
    Exchange ActiveSync לקוחות (לדוגמה, iOS11 Mail)
    		 Exchange ActiveSync
    		 עבור Exchange ActiveSync התומכים באימות מודרני, עליך ליצור מחדש את הפרופיל כדי לעבור מאימות בסיסי לאימות מודרני.

    לקוחות ו/או פרוטוקולים שאינם מופיעים ברשימה (לדוגמה, POP3) אינם תומכים באימות מודרני עם Exchange מקומי ו ממשיכים להשתמש במנגנוני אימות מדור קודם גם לאחר הפעלת אימות מודרני בסביבה.

  • דרישות מוקדמות כלליות

    • תרחישים של יער משאבים דורשים אמון דו-כיווני עם יער החשבון כדי להבטיח שבדיקות מידע מתואם של SID מבוצעות במהלך בקשות אימות מודרני היברידי.

    • אם אתה משתמש ב- AD FS, Windows 2012 R2 AD FS 3.0 ואילך אמור להיות ברשותך עבור האיחוד.

    • תצורות הזהויות שלך הן כל אחד מהסוגים הנתמכים על-ידי Microsoft Entra Connect, כגון סינכרון קודי Hash של סיסמאות, אימות מעבר ו- STS מקומי הנתמכים על-ידי Office 365.

    • הגדרת את Microsoft Entra Connect ותצורתם נקבעה לשכפול וסינכרון של משתמשים.

      הערה

      חשבונות משתמשים שאינם מסונכרנים עם זהות Microsoft Entra לא יצוין אסימון הרשאה דרך אימות מודרני היברידי. לאחר שתצורת היישום המקומי תוגדר לשימוש ב- evoSTS כ נקודת הקצה של הרשאת ברירת המחדל, חשבונות משתמשים אלה שאינם מסונכרנים יתקלו בבעיות עם הגישה שלהם ליישום אם התצורה המתאימה אינה זמינה.

    • אימתת שהתצורה ההיברידית נקבעה באמצעות מצב טופולוגיה היברידית של Exchange קלאסי בין הסביבה המקומית Office 365 שלך. הצהרת התמיכה הרשמית עבור Exchange היברידי מציינת כי דרושה לך CU נוכחי או CU נוכחי - 1.

      הערה

      אימות מודרני היברידי אינו נתמך עם הסוכן ההיברידי.

    • ודא שגם משתמש בבדיקה מקומית וגם משתמש בדיקה היברידית ב- Office 365 יכולים להיכנס ללקוח שולחן העבודה של Skype for Business (אם ברצונך להשתמש באימות מודרני עם Skype) וב- Microsoft Outlook (אם ברצונך להשתמש באימות מודרני עם Exchange).

    • ודא שההגדרה SignInOptions ב- Microsoft Office אינה מוגדרת להגדרה המגבילה ביותר שלו. לקבלת מידע נוסף, ראה כיצד לאפשר ל- Office להתחבר לאינטרנט.

מה עוד עליי לדעת לפני שאני מתחיל?

  • כל התרחישים עבור שרתים מקומיים כרוכים בהגדרת אימות מודרני מקומי (למעשה, עבור Skype for Business יש רשימה של טופולוגיות נתמכות) כך שהשרת האחראי לאימות ולאישור נמצא בשירות אסימון האבטחה של Microsoft (שירות אסימון האבטחה של Microsoft Entra מזהה, שנקרא 'evoSTS') ועדכון Microsoft Entra מזהה אודות כתובות ה- URL או מרחבי השמות המשמשים את ההתקנה המקומית של Skype for Business או Exchange. לכן, שרתים מקומיים לוקחים על תלות בענן של Microsoft. ביצוע פעולה זו עשוי להיחשב לקביעת התצורה של 'אימות היברידי'.
  • מאמר זה מקשר לאנשים אחרים שיעזרו לך לבחור טופולוגיות אימות מודרני נתמכות (הדרושות רק עבור Skype for Business) ומאמרי 'כיצד לבצע' המתארים את שלבי ההגדרה, או שלבים להפיכת אימות מודרני ללא זמין, עבור Exchange מקומי Skype for Business מקומי. הוסף דף זה למועדפים בדפדפן שלך אם דרוש לך בסיס ביתי לשימוש באימות מודרני בסביבות השרת שלך.