Megosztás a következőn keresztül:

Hibrid modern hitelesítés áttekintése és előfeltételei helyszíni Skype Vállalati verziós és Exchange-kiszolgálókkal való használatához

  • Cikk

Ez a cikk a Microsoft 365 Nagyvállalati verzióra és az Office 365 Nagyvállalati verzióra egyaránt vonatkozik.

A modern hitelesítés az identitáskezelés egy olyan módszere, amely biztonságosabb felhasználói hitelesítést és engedélyezést biztosít. Elérhető a helyszíni Skype Vállalati kiszolgáló és a helyszíni Exchange-kiszolgáló office 365-ös hibrid telepítéseihez, valamint a skype vállalati verzió hibrid hibridjeihez. Ez a cikk az előfeltételekkel, a modern hitelesítés beállításával/letiltásával kapcsolatos dokumentumokra, valamint a kapcsolódó ügyféladatokra (például Outlook- és Skype-ügyfelekre) hivatkozik.

Mi az a modern hitelesítés?

A modern hitelesítés az ügyfél (például a laptop vagy a telefon) és a kiszolgáló közötti hitelesítési és engedélyezési módszerek kombinációjának gyűjtőkifejezése, valamint néhány olyan biztonsági intézkedés, amely a már ismert hozzáférési szabályzatokra támaszkodik. Tartalma:

  • Hitelesítési módszerek: Többtényezős hitelesítés (MFA); intelligens kártyás hitelesítés; ügyféltanúsítvány-alapú hitelesítés
  • Engedélyezési módszerek: A Microsoft nyílt hitelesítés (OAuth) implementálása
  • Feltételes hozzáférési szabályzatok: Mobilalkalmazás-kezelés (MAM) és Microsoft Entra feltételes hozzáférés

A felhasználói identitások modern hitelesítéssel történő kezelése számos különböző eszközt biztosít a rendszergazdáknak az erőforrások biztonságossá tételéhez, és biztonságosabb identitáskezelési módszereket kínál a helyszíni (Exchange és Skype Vállalati verzió), a hibrid Exchange és a Skype Vállalati verzió hibrid/felosztásos tartományos forgatókönyveihez.

Mivel a Skype Vállalati verzió szorosan együttműködik az Exchange-dzsel, a Skype Vállalati verzió ügyfélfelhasználóinak bejelentkezési viselkedésére hatással lesz az Exchange modern hitelesítési állapota. Akkor is alkalmazható, ha a Skype Vállalati verzió megosztott tartományra osztott hibrid architektúrájával rendelkezik, amelyben a Skype Vállalati online verzió és a helyszíni Skype Vállalati verzió is rendelkezik, és a felhasználók mindkét helyen találhatók.

Az Office 365 modern hitelesítéséről további információt az Office 365 Ügyfélalkalmazások támogatása – Többtényezős hitelesítés című témakörben talál.

Fontos

2017 augusztusától minden új Office 365-bérlő, amely tartalmazza a Skype Vállalati online verziót és az Exchange Online-t, alapértelmezés szerint engedélyezve lesz a modern hitelesítés. A meglévő bérlők alapértelmezett MA-állapota nem változik, de minden új bérlő automatikusan támogatja a korábban felsorolt identitásfunkciók kibővített készletét. Az ma állapotának ellenőrzéséhez tekintse meg a helyszíni környezet modern hitelesítési állapotának ellenőrzése című szakaszt .

Milyen változások történnek a modern hitelesítés használatakor?

Ha modern hitelesítést használ a helyszíni Skype Vállalati verzióval vagy Exchange-kiszolgálóval, továbbra is a helyszínen hitelesíti a felhasználókat , de az erőforrásokhoz (például fájlokhoz vagy e-mailekhez) való hozzáférés engedélyezésének története megváltozik. Ezért, bár a modern hitelesítés az ügyfelek és a kiszolgálók közötti kommunikációról szól, az MA-eredmények konfigurálásának lépései az evoSTS-ben (a Microsoft Entra ID által használt biztonsági jogkivonat-szolgáltatásban) hitelesítési kiszolgálóként lesznek beállítva a Skype Vállalati verzióhoz és az Exchange-kiszolgálóhoz a helyszínen.

Az evoSTS módosítása lehetővé teszi a helyszíni kiszolgálók számára, hogy kihasználják az OAuth (jogkivonat-kiállítás) előnyeit az ügyfelek engedélyezéséhez, valamint lehetővé teszik a helyszíni rendszer számára a felhőben gyakran használt biztonsági módszerek használatát (például a többtényezős hitelesítést). Emellett az evoSTS olyan jogkivonatokat is kibocsát, amelyek lehetővé teszik, hogy a felhasználók a kérés részeként jelszó megadása nélkül kérhessenek hozzáférést az erőforrásokhoz. Függetlenül attól, hogy a felhasználók hol találhatók (online vagy helyszíni), és függetlenül attól, hogy melyik helyen található a szükséges erőforrás, az EvoSTS lesz a felhasználók és ügyfelek engedélyezésének alapja a modern hitelesítés konfigurálása után.

Ha például egy Skype Vállalati verziós ügyfélnek hozzá kell férnie az Exchange-kiszolgálóhoz, hogy naptáradatokat kapjon egy felhasználó nevében, ehhez a Microsoft Authentication Libraryt (MSAL) használja. Az MSAL egy kódtár, amelynek célja, hogy az OAuth biztonsági jogkivonatokat használó ügyfélalkalmazások számára elérhetővé tegye a címtárban lévő biztonságos erőforrásokat. Az MSAL az OAuth-tal együttműködve ellenőrzi a jogcímeket, és jogkivonatokat cserél (nem jelszavakat), hogy hozzáférést biztosítson a felhasználónak egy erőforráshoz. A múltban egy ilyen tranzakcióban szereplő szolgáltató – a kiszolgáló, amely tudja, hogyan érvényesítheti a felhasználói jogcímeket és adja ki a szükséges jogkivonatokat – lehet, hogy egy helyszíni biztonságijogkivonat-szolgáltatás, vagy akár az Active Directory összevonási szolgáltatások. A modern hitelesítés azonban a Microsoft Entra ID használatával központosítja ezt a szolgáltatót.

Ez azt is jelenti, hogy bár az Exchange-kiszolgáló és a Skype Vállalati verziós környezetek teljes egészében helyszíniek lehetnek, az engedélyező kiszolgáló online állapotban van, és a helyszíni környezetnek képesnek kell lennie arra, hogy kapcsolatot hozzon létre és tartson fenn az Office 365-előfizetéséhez a felhőben (és az előfizetése által címtárként használt Microsoft Entra-példányhoz).

Mi nem változik? Akár hibrid megosztott tartományt használ, akár a Skype Vállalati verziót és az Exchange-kiszolgálót használja a helyszínen, minden felhasználónak először hitelesítenie kell magát a helyszínen. A modern hitelesítés hibrid implementációjában a Lyncdiscovery és az Autodiscovery egyaránt a helyszíni kiszolgálóra mutat.

Fontos

Ha ismernie kell az ma által támogatott Skype Vállalati verziós topológiákat, az itt található.

A helyszíni környezet modern hitelesítési állapotának ellenőrzése

Mivel a modern hitelesítés megváltoztatja az OAuth/S2S alkalmazásakor használt engedélyezési kiszolgálót, tudnia kell, hogy a modern hitelesítés engedélyezve van-e vagy le van-e tiltva a helyszíni Skype Vállalati verziós és Exchange-környezetekben. Az Exchange-kiszolgálókon az alábbi PowerShell-parancs futtatásával ellenőrizheti az állapotot:

Get-OrganizationConfig | ft OAuth*

Ha az OAuth2ClientProfileEnabled tulajdonság értéke Hamis, akkor a modern hitelesítés le van tiltva.

A parancsmaggal kapcsolatos Get-OrganizationConfig további információkért lásd: Get-OrganizationConfig.

A Skype Vállalati verzió kiszolgálóit a következő PowerShell-parancs futtatásával ellenőrizheti:

Get-CSOAuthConfiguration

Ha a parancs üres OAuthServers tulajdonságot ad vissza, vagy ha a ClientADALAuthOverride tulajdonság értéke nem Engedélyezett, akkor a modern hitelesítés le van tiltva.

További információ a Get-CsOAuthConfiguration parancsmagról: Get-CsOAuthConfiguration.

Megfelel a modern hitelesítési előfeltételeknek?

A folytatás előtt ellenőrizze és ellenőrizze ezeket az elemeket a listáról:

  • Skype Vállalati verzió –specifikus

    • Minden kiszolgálóhoz 2017. májusi összegző frissítésnek (CU5) kell tartoznia a Skype Vállalati kiszolgáló 2015-ös vagy újabb verziójához
      • Kivétel – A túlélőképességi ág berendezése (SBA) az aktuális verzión lehet (a Lync 2013-on alapul)
    • Az SIP-tartomány összevont tartományként lesz hozzáadva az Office 365-ben
    • Minden SFB-előtérnek rendelkeznie kell kimenő internetkapcsolattal, az Office 365 hitelesítési URL-címekkel (TCP 443) és az Office 365 URL-címeinek és IP-címtartományainak "Microsoft 365 Common and Office" szakaszának 56. és 125. sorában felsorolt, jól ismert tanúsítványgyökerű CRL-ekkel (TCP 80).

  • Helyszíni Skype Vállalati verzió hibrid Office 365-környezetben

    • A Skype Vállalati kiszolgáló 2019 központi telepítése a Skype Vállalati kiszolgáló 2019-et futtató összes kiszolgálóval.
    • A Skype Vállalati kiszolgáló 2015 központi telepítése a Skype 2015 Vállalati kiszolgálót futtató összes kiszolgálóval.
    • Legfeljebb két különböző kiszolgálóverzióval rendelkező üzemelő példány az alábbiak szerint:
      • Skype vállalati kiszolgáló 2015
      • Skype vállalati kiszolgáló 2019
    • Minden Skype Vállalati verziós kiszolgálóra telepítve kell lennie a legújabb összegző frissítéseknek. Az összes elérhető frissítés megkereséséhez és kezeléséhez olvassa el a Skype Vállalati kiszolgáló frissítései című témakört.
    • Hibrid környezetben nincs Lync Server 2010 vagy 2013.

Megjegyzés:

Ha a Skype Vállalati verzió előtér-kiszolgálói proxykiszolgálót használnak az internet-hozzáféréshez, a használt proxykiszolgáló IP-címét és portszámát az web.config egyes előtérfájlok konfigurációs szakaszában kell megadni.

  • C:\Program Files\Skype Vállalati kiszolgáló 2015\Webösszetevők\Web ticket\int\web.config
  • C:\Program Files\Skype Vállalati kiszolgáló 2015\Webösszetevők\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Fontos

Mindenképpen iratkozzon fel az Office 365 URL-címeinek és IP-címtartományainak RSS-hírcsatornájára, hogy naprakész maradjon a szükséges URL-címek legújabb listájával.

  • Exchange Server-specifikus

    • Az Exchange Server 2013 CU19 és újabb, az Exchange Server 2016 CU8 és újabb, vagy az Exchange Server 2019 CU1 vagy újabb verziót használja.
    • A környezetben nincs Exchange Server 2010.
    • Az SSL-kiszervezés nincs konfigurálva. Az SSL-lezárás és az újratitkosítás támogatott.
    • Ha a környezet proxykiszolgáló-infrastruktúrát használ az internethez való csatlakozás engedélyezéséhez, győződjön meg arról, hogy minden Exchange-kiszolgáló rendelkezik az InternetWebProxy tulajdonságban definiált proxykiszolgálóval.

  • Helyszíni Exchange Server hibrid Office 365-környezetben

    • Ha Exchange Server 2013-at használ, legalább egy kiszolgálón telepítve kell lennie a Postaláda- és ügyfélelérési kiszolgálói szerepköröknek. Bár a postaláda- és ügyfél-hozzáférési szerepkörök külön kiszolgálókra is telepíthetők, határozottan javasoljuk, hogy mindkét szerepkört ugyanarra a kiszolgálóra telepítse, hogy nagyobb megbízhatóságot és jobb teljesítményt biztosítson.
    • Ha az Exchange Server 2016-os vagy újabb verzióját használja, legalább egy kiszolgálón telepítve kell lennie a Postaláda-kiszolgáló szerepkörnek.
    • Hibrid környezetben nincs Exchange Server 2007 vagy 2010.
    • Minden Exchange-kiszolgálón telepítve kell lennie a legújabb összegző frissítéseknek. Az összes elérhető frissítés megkereséséről és kezeléséről az Exchange frissítése a legújabb összegző frissítésekre című témakörben olvashat.

  • Az Exchange ügyfél- és protokollkövetelményei

    A modern hitelesítés rendelkezésre állását az ügyfél, a protokoll és a konfiguráció kombinációja határozza meg. Ha az ügyfél, a protokoll és/vagy a konfiguráció nem támogatja a modern hitelesítést, akkor az ügyfél továbbra is örökölt hitelesítést használ.

    A következő ügyfelek és protokollok támogatják a modern hitelesítést a helyszíni Exchange-dzsel, ha a modern hitelesítés engedélyezve van a környezetben:

    Ügyfelek Elsődleges protokoll Megjegyzések
    Outlook 2013 és újabb verziók
    		 MAPI HTTP-kapcsolaton keresztül
    		 A MAPI HTTP-kapcsolaton keresztüli használatát engedélyezni kell az Exchange-en belül, hogy modern hitelesítést használhasson ezekkel az ügyfelekkel (az Exchange 2013 Service Pack 1 és újabb verzióinak új telepítései esetén engedélyezve vagy igaz). további információ: A modern hitelesítés működése az Office 2013-hoz és az Office 2016-ügyfélalkalmazásokhoz.
    Győződjön meg arról, hogy az Outlook minimálisan szükséges buildet futtatja; lásd: A Windows Installert (MSI) használó Outlook-verziók legújabb frissítései.
    Mac Outlook 2016 és újabb verziók
    		 Webes Exchange-szolgáltatások
    iOS és Android Outlook
    		 Microsoft szinkronizálási technológia
    		 További információt a Hibrid modern hitelesítés használata az iOS és az Android Outlookkal című témakörben talál.
    Exchange ActiveSync-ügyfelek (például iOS11 Mail)
    		 Exchange ActiveSync
    		 A modern hitelesítést támogató Exchange ActiveSync-ügyfelek esetében újra létre kell hoznia a profilt az alapszintű hitelesítésről a modern hitelesítésre való váltáshoz.

    A listán nem szereplő ügyfelek és/vagy protokollok (például a POP3) nem támogatják a helyszíni Exchange-hez való modern hitelesítést, és továbbra is régi hitelesítési mechanizmusokat használnak, még akkor is, ha a modern hitelesítés engedélyezve van a környezetben.

  • Általános előfeltételek

    • Az erőforráserdő-forgatókönyvekhez kétirányú megbízhatósági kapcsolatra van szükség a fiókerdővel annak biztosításához, hogy a megfelelő SID-keresések a hibrid modern hitelesítési kérések során történjenek.

    • Ha AD FS-t használ, az összevonáshoz Windows 2012 R2 AD FS 3.0-s vagy újabb verzióval kell rendelkeznie.

    • Az identitáskonfigurációk a Microsoft Entra Connect által támogatott típusok, például a jelszókivonat-szinkronizálás, az átmenő hitelesítés és az Office 365 által támogatott helyszíni STS.

    • A Microsoft Entra Connect felhasználói replikációhoz és szinkronizáláshoz van konfigurálva és működik.

      Megjegyzés:

      A Microsoft Entra Identity szolgáltatással nem szinkronizált felhasználói fiókok nem kapnak hitelesítési jogkivonatot a hibrid modern hitelesítésen keresztül. Ha a helyszíni alkalmazás úgy van konfigurálva, hogy alapértelmezett engedélyezési végpontként használja az evoSTS-t, a nem szinkronizált felhasználói fiókok problémákba ütköznek az alkalmazáshoz való hozzáféréssel kapcsolatban, ha a megfelelő konfiguráció nem érhető el.

    • Meggyőződhetett arról, hogy a hibrid a klasszikus Exchange hibrid topológia móddal van konfigurálva a helyszíni és az Office 365-környezet között. A hibrid Exchange hivatalos támogatási nyilatkozata szerint a jelenlegi CU-nak vagy aktuális CU -1-nek kell lennie.

      Megjegyzés:

      A hibrid ügynök nem támogatja a hibrid modern hitelesítést.

    • Győződjön meg arról, hogy egy helyszíni tesztfelhasználó és az Office 365-ben otthon lévő hibrid tesztfelhasználó is bejelentkezhet a Skype Vállalati verzió asztali ügyfélprogramba (ha modern hitelesítést szeretne használni a Skype-tal) és a Microsoft Outlookba (ha modern hitelesítést szeretne használni az Exchange-zel).

    • Győződjön meg arról, hogy a Microsoft Office SignInOptions beállítása nincs a legszigorúbb beállításra konfigurálva. További információ: Az Office internetkapcsolatának engedélyezése.

Mit kell még tudnom a kezdés előtt?

  • A helyszíni kiszolgálók összes forgatókönyve magában foglalja a modern helyszíni hitelesítés beállítását (ami azt illeti, a Skype Vállalati verzióhoz elérhető a támogatott topológiák listája), hogy a hitelesítésért és engedélyezésért felelős kiszolgáló a Microsoft Cloudban (a Microsoft Entra ID biztonsági jogkivonat-szolgáltatásában, az "evoSTS"-ben) legyen, és frissítse a Microsoft Entra-azonosítót a Skype Vállalati verzió vagy az Exchange helyszíni telepítése által használt URL-címekről vagy névterekről. Ezért a helyszíni kiszolgálók Microsoft Cloud-függőséget használnak. A művelet végrehajtása a "hibrid hitelesítés" konfigurálásának tekinthető.
  • Ez a cikk a támogatott modern hitelesítési topológiák kiválasztásában nyújt segítséget (ez csak a Skype Vállalati verzióhoz szükséges), valamint a helyszíni Exchange és a Skype Vállalati verzió beállítási lépéseit vagy a modern hitelesítés letiltásának lépéseit ismertető útmutatókra mutat rá. Ezt a lapot kedvencként használhatja a böngészőben, ha szüksége lesz egy otthoni bázisra a modern hitelesítés kiszolgálói környezetben való használatához.