A hibrid modern hitelesítés áttekintése és előfeltételei helyszíni Skype Vállalati verzió és Exchange-kiszolgálókkal való használatához

  • Cikk

Ez a cikk Microsoft 365 Nagyvállalati verzió és Office 365 Nagyvállalati verzió egyaránt vonatkozik.

A modern hitelesítés az identitáskezelés egy olyan módszere, amely biztonságosabb felhasználói hitelesítést és engedélyezést biztosít. Elérhető a helyszíni Skype Vállalati verzió kiszolgáló és a helyszíni Exchange-kiszolgáló, valamint a megosztott tartományú Skype Vállalati verzió hibrid Office 365 hibrid telepítéseihez. Ez a cikk az előfeltételekkel, a modern hitelesítés beállításával/letiltásával kapcsolatos dokumentumokra, valamint a kapcsolódó ügyféladatokra (például Outlook- és Skype-ügyfelekre) hivatkozik.

Mi az a modern hitelesítés?

A modern hitelesítés az ügyfél (például a laptop vagy a telefon) és a kiszolgáló közötti hitelesítési és engedélyezési módszerek kombinációjának gyűjtőkifejezése, valamint néhány olyan biztonsági intézkedés, amely a már ismert hozzáférési szabályzatokra támaszkodik. Tartalma:

  • Hitelesítési módszerek: Többtényezős hitelesítés (MFA); intelligens kártyás hitelesítés; ügyféltanúsítvány-alapú hitelesítés
  • Engedélyezési módszerek: A Microsoft nyílt hitelesítés (OAuth) implementálása
  • Feltételes hozzáférési szabályzatok: Mobilalkalmazás-kezelés (MAM) és Microsoft Entra feltételes hozzáférés

A felhasználói identitások modern hitelesítéssel történő kezelése számos különböző eszközt biztosít a rendszergazdáknak az erőforrások biztonságossá tételéhez, és biztonságosabb identitáskezelési módszereket kínál a helyszíni (Exchange és Skype Vállalati verzió), hibrid Exchange és Skype Vállalati verzió hibrid/felosztásos tartományok esetében is.

Mivel Skype Vállalati verzió szorosan együttműködik az Exchange-dzsel, a bejelentkezési viselkedést Skype Vállalati verzió ügyfélfelhasználókra hatással lesz az Exchange modern hitelesítési állapota. Akkor is alkalmazható, ha Skype Vállalati verzió osztott tartományú hibrid architektúrával rendelkezik, amelyben a helyszíni Skype Vállalati verzió online és Skype Vállalati verzió is rendelkezik, és a felhasználók mindkét helyen találhatók.

A Office 365 modern hitelesítéséről további információt az ügyfélalkalmazások támogatásának Office 365 többtényezős hitelesítés című témakörben talál.

Fontos

2017 augusztusától minden olyan új Office 365 bérlő, amely Skype Vállalati verzió online-t és Exchange Online-t tartalmaz, alapértelmezés szerint engedélyezve lesz a modern hitelesítés. A meglévő bérlők alapértelmezett MA-állapota nem változik, de minden új bérlő automatikusan támogatja a korábban felsorolt identitásfunkciók kibővített készletét. Az ma állapotának ellenőrzéséhez tekintse meg a helyszíni környezet modern hitelesítési állapotának ellenőrzése című szakaszt .

Milyen változások történnek a modern hitelesítés használatakor?

Ha modern hitelesítést használ helyszíni Skype Vállalati verzió vagy Exchange-kiszolgálóval, továbbra is a helyszínen hitelesíti a felhasználókat, de az erőforrásokhoz (például fájlokhoz vagy e-mailekhez) való hozzáférés engedélyezésének története megváltozik. Ez az oka annak, hogy bár a modern hitelesítés az ügyfelek és a kiszolgálók közötti kommunikációról szól, az MA konfigurálása során végrehajtott lépések azt eredményezik, hogy az evoSTS (az Microsoft Entra ID által használt biztonsági jogkivonat-szolgáltatás) hitelesítési kiszolgálóként van beállítva a Skype Vállalati verzió és a helyszíni Exchange-kiszolgáló számára.

Az evoSTS módosítása lehetővé teszi a helyszíni kiszolgálók számára, hogy kihasználják az OAuth (jogkivonat-kiállítás) előnyeit az ügyfelek engedélyezéséhez, valamint lehetővé teszik a helyszíni rendszer számára a felhőben gyakran használt biztonsági módszerek használatát (például a többtényezős hitelesítést). Emellett az evoSTS olyan jogkivonatokat is kibocsát, amelyek lehetővé teszik, hogy a felhasználók a kérés részeként jelszó megadása nélkül kérhessenek hozzáférést az erőforrásokhoz. Függetlenül attól, hogy a felhasználók hol találhatók (online vagy helyszíni), és függetlenül attól, hogy melyik helyen található a szükséges erőforrás, az EvoSTS lesz a felhasználók és ügyfelek engedélyezésének alapja a modern hitelesítés konfigurálása után.

Ha például egy Skype Vállalati verzió-ügyfélnek hozzá kell férnie az Exchange-kiszolgálóhoz, hogy naptáradatokat kapjon egy felhasználó nevében, a Microsoft Authentication Libraryt (MSAL) használja erre. Az MSAL egy kódtár, amelynek célja, hogy az OAuth biztonsági jogkivonatokat használó ügyfélalkalmazások számára elérhetővé tegye a címtárban lévő biztonságos erőforrásokat. Az MSAL az OAuth-tal együttműködve ellenőrzi a jogcímeket, és jogkivonatokat cserél (nem jelszavakat), hogy hozzáférést biztosítson a felhasználónak egy erőforráshoz. A múltban az ilyen tranzakciókban szereplő szolgáltató – a kiszolgáló, amely tudja, hogyan érvényesítheti a felhasználói jogcímeket és adja ki a szükséges jogkivonatokat – lehet, hogy helyszíni biztonságijogkivonat-szolgáltatás, vagy akár Active Directory összevonási szolgáltatások (AD FS). A modern hitelesítés azonban Microsoft Entra ID használatával központosítja ezt a szolgáltatót.

Ez azt is jelenti, hogy annak ellenére, hogy az Exchange-kiszolgáló és a Skype Vállalati verzió környezetek teljes egészében helyszíniek lehetnek, az engedélyező kiszolgáló online állapotban van, és a helyszíni környezetnek képesnek kell lennie arra, hogy kapcsolatot hozzon létre és tartson fenn a Office 365-előfizetéséhez a felhőben (és a Microsoft Entra példányt, amelyet az előfizetés címtárként használ).

Mi nem változik? Akár hibrid, akár Skype Vállalati verzió és Helyszíni Exchange-kiszolgálót használ, minden felhasználónak először hitelesítenie kell magát a helyszínen. A modern hitelesítés hibrid implementációjában a Lyncdiscovery és az Autodiscovery egyaránt a helyszíni kiszolgálóra mutat.

Fontos

Ha ismernie kell a ma által támogatott Skype Vállalati verzió topológiákat, az itt található.

A helyszíni környezet modern hitelesítési állapotának ellenőrzése

Mivel a modern hitelesítés megváltoztatja az OAuth/S2S alkalmazásakor használt engedélyezési kiszolgálót, tudnia kell, hogy a modern hitelesítés engedélyezve van-e vagy le van-e tiltva a helyszíni Skype Vállalati verzió és Exchange-környezetekben. Az Exchange-kiszolgálókon az alábbi PowerShell-parancs futtatásával ellenőrizheti az állapotot:

Get-OrganizationConfig | ft OAuth*

Ha az OAuth2ClientProfileEnabled tulajdonság értéke Hamis, akkor a modern hitelesítés le van tiltva.

A parancsmaggal kapcsolatos Get-OrganizationConfig további információkért lásd: Get-OrganizationConfig.

A Skype Vállalati verzió-kiszolgálókat a következő PowerShell-parancs futtatásával ellenőrizheti:

Get-CSOAuthConfiguration

Ha a parancs üres OAuthServers tulajdonságot ad vissza, vagy ha a ClientADALAuthOverride tulajdonság értéke nem Engedélyezett, akkor a modern hitelesítés le van tiltva.

További információ a Get-CsOAuthConfiguration parancsmagról: Get-CsOAuthConfiguration.

Megfelel a modern hitelesítési előfeltételeknek?

A folytatás előtt ellenőrizze és ellenőrizze ezeket az elemeket a listáról:

  • Skype Vállalati verzió adott

    • Minden kiszolgálón 2017. májusi összegző frissítésnek (CU5) kell rendelkeznie a 2015-ös vagy újabb Skype Vállalati kiszolgáló
      • Kivétel – A túlélőképességi ág berendezése (SBA) az aktuális verzión lehet (a Lync 2013-on alapul)
    • A SIP-tartomány összevont tartományként lesz hozzáadva a Office 365
    • Minden SFB-előtérnek kimenő internetkapcsolattal kell rendelkeznie, Office 365 hitelesítési URL-címekhez (TCP 443) és jól ismert tanúsítványgyökerű CRL-ekhez (TCP 80) a Office 365 URL-címek és IP-címtartományok "Microsoft 365 Common and Office" szakaszának 56. és 125. sorában.

  • helyszíni Skype Vállalati verzió hibrid Office 365 környezetben

    • Egy Skype Vállalati kiszolgáló 2019-ben üzemelő példány a 2019 Skype Vállalati kiszolgáló rendszerű összes kiszolgálóval.
    • Egy Skype Vállalati kiszolgáló 2015-ös üzembe helyezés a 2015-ös Skype Vállalati kiszolgáló összes kiszolgálóval.
    • Legfeljebb két különböző kiszolgálóverzióval rendelkező üzemelő példány az alábbiak szerint:
      • Skype vállalati kiszolgáló 2015
      • Skype vállalati kiszolgáló 2019
    • Minden Skype Vállalati verzió kiszolgálón telepítve kell lennie a legújabb összegző frissítéseknek. Az összes elérhető frissítés megkereséséhez és kezeléséhez tekintse meg Skype Vállalati kiszolgáló frissítéseket.
    • Hibrid környezetben nincs Lync Server 2010 vagy 2013.

Megjegyzés:

Ha az Skype Vállalati verzió előtér-kiszolgálók proxykiszolgálót használnak az internet-hozzáféréshez, a használt proxykiszolgáló IP-címét és portszámát minden előtérhez meg kell adni a web.config fájl konfigurációs szakaszában.

  • C:\Program Files\Skype Vállalati kiszolgáló 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype Vállalati kiszolgáló 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Fontos

Mindenképpen iratkozzon fel Office 365 URL-címek és IP-címtartományok RSS-hírcsatornájára, hogy naprakész maradjon a szükséges URL-címek legújabb listájával.

  • Exchange Server adott

    • Az Exchange Server 2013 CU19 és újabb, az Exchange Server 2016 CU8 és újabb, illetve a Exchange Server 2019 CU1 vagy újabb verziót használja.
    • A környezetben nincs Exchange Server 2010.
    • Az SSL-kiszervezés nincs konfigurálva. Az SSL-lezárás és az újratitkosítás támogatott.
    • Ha a környezet proxykiszolgáló-infrastruktúrát használ az internethez való csatlakozás engedélyezéséhez, győződjön meg arról, hogy minden Exchange-kiszolgáló rendelkezik az InternetWebProxy tulajdonságban definiált proxykiszolgálóval.

  • helyszíni Exchange Server hibrid Office 365 környezetben

    • Ha Exchange Server 2013-at használ, legalább egy kiszolgálón telepítve kell lennie a Postaláda- és ügyfélelérési kiszolgálói szerepköröknek. Bár a postaláda- és ügyfél-hozzáférési szerepkörök külön kiszolgálókra is telepíthetők, határozottan javasoljuk, hogy mindkét szerepkört ugyanarra a kiszolgálóra telepítse, hogy nagyobb megbízhatóságot és jobb teljesítményt biztosítson.
    • Ha az Exchange Server 2016-os vagy újabb verzióját használja, legalább egy kiszolgálón telepítve kell lennie a Postaláda-kiszolgáló szerepkörnek.
    • Hibrid környezetben nincs Exchange Server 2007 vagy 2010.
    • Minden Exchange-kiszolgálón telepítve kell lennie a legújabb összegző frissítéseknek. Az összes elérhető frissítés megkereséséhez és kezeléséhez lásd: Az Exchange frissítése a legújabb összegző Frissítések.

  • Az Exchange ügyfél- és protokollkövetelményei

    A modern hitelesítés rendelkezésre állását az ügyfél, a protokoll és a konfiguráció kombinációja határozza meg. Ha az ügyfél, a protokoll és/vagy a konfiguráció nem támogatja a modern hitelesítést, akkor az ügyfél továbbra is örökölt hitelesítést használ.

    A következő ügyfelek és protokollok támogatják a modern hitelesítést a helyszíni Exchange-dzsel, ha a modern hitelesítés engedélyezve van a környezetben:

    Ügyfelek Elsődleges protokoll Megjegyzések
    Outlook 2013 és újabb verziók
    		 MAPI HTTP-kapcsolaton keresztül
    		 A MAPI HTTP-kapcsolaton keresztüli használatát engedélyezni kell az Exchange-en belül, hogy modern hitelesítést használhasson ezekkel az ügyfelekkel (az Exchange 2013 Service Pack 1 és újabb verzióinak új telepítései esetén engedélyezve vagy igaz). további információ: A modern hitelesítés működése az Office 2013-hoz és az Office 2016-ügyfélalkalmazásokhoz.
    Győződjön meg arról, hogy az Outlook minimálisan szükséges buildet futtatja; lásd: A Windows Installert (MSI) használó Outlook-verziók legújabb frissítései.
    Mac Outlook 2016 és újabb verziók
    		 Webes Exchange-szolgáltatások
    iOS és Android Outlook
    		 Microsoft szinkronizálási technológia
    		 További információt a Hibrid modern hitelesítés használata az iOS és az Android Outlookkal című témakörben talál.
    Exchange ActiveSync protokoll ügyfelek (például iOS11 Posta)
    		 Exchange ActiveSync
    		 A modern hitelesítést támogató Exchange ActiveSync protokoll-ügyfelek esetében újra létre kell hoznia a profilt, hogy az alapszintű hitelesítésről a modern hitelesítésre váltson.

    A listán nem szereplő ügyfelek és/vagy protokollok (például a POP3) nem támogatják a helyszíni Exchange-hez való modern hitelesítést, és továbbra is régi hitelesítési mechanizmusokat használnak, még akkor is, ha a modern hitelesítés engedélyezve van a környezetben.

  • Általános előfeltételek

    • Az erőforráserdő-forgatókönyvekhez kétirányú megbízhatósági kapcsolatra van szükség a fiókerdővel annak biztosításához, hogy a megfelelő SID-keresések a hibrid modern hitelesítési kérések során történjenek.

    • Ha AD FS-t használ, az összevonáshoz Windows 2012 R2 AD FS 3.0-s vagy újabb verzióval kell rendelkeznie.

    • Az identitáskonfigurációk a Microsoft Entra Connect által támogatott típusok, például a jelszókivonat-szinkronizálás, az átmenő hitelesítés és a Office 365 által támogatott helyszíni STS.

    • A Microsoft Entra Connect konfigurálva van és működik a felhasználói replikációhoz és szinkronizáláshoz.

      Megjegyzés:

      Az Microsoft Entra Identity szolgáltatással nem szinkronizált felhasználói fiókok nem kapnak hitelesítési jogkivonatot hibrid modern hitelesítéssel. Ha a helyszíni alkalmazás úgy van konfigurálva, hogy alapértelmezett engedélyezési végpontként használja az evoSTS-t, a nem szinkronizált felhasználói fiókok problémákba ütköznek az alkalmazáshoz való hozzáféréssel kapcsolatban, ha a megfelelő konfiguráció nem érhető el.

    • Ellenőrizte, hogy a hibrid a helyszíni és a Office 365 környezet közötti klasszikus Hibrid Topológia Exchange-módban van-e konfigurálva. A hibrid Exchange hivatalos támogatási nyilatkozata szerint a jelenlegi CU-nak vagy aktuális CU -1-nek kell lennie.

      Megjegyzés:

      A hibrid ügynök nem támogatja a hibrid modern hitelesítést.

    • Győződjön meg arról, hogy egy helyszíni tesztfelhasználó és egy Office 365 hibrid tesztfelhasználó is bejelentkezhet az Skype Vállalati verzió asztali ügyfélprogramba (ha modern hitelesítést szeretne használni a Skype-tal) és a Microsoft Outlookba (ha modern hitelesítést szeretne használni az Exchange-tel).

    • Győződjön meg arról, hogy a Microsoft Office SignInOptions beállítása nincs a legszigorúbb beállításra konfigurálva. További információ: Az Office internetkapcsolatának engedélyezése.

Mit kell még tudnom a kezdés előtt?

  • A helyszíni kiszolgálók összes forgatókönyve magában foglalja a modern helyszíni hitelesítés beállítását (Skype Vállalati verzió a támogatott topológiák listáját), hogy a hitelesítésért és engedélyezésért felelős kiszolgáló a Microsoft Cloudban (Microsoft Entra ID biztonsági jogkivonat-szolgáltatásában, az "evoSTS"-ben) legyen, és frissítsen Microsoft Entra ID a Skype Vállalati verzió vagy exchange helyszíni telepítése által használt URL-címeket vagy névtereket. Ezért a helyszíni kiszolgálók Microsoft Cloud-függőséget használnak. A művelet végrehajtása a "hibrid hitelesítés" konfigurálásának tekinthető.
  • Ez a cikk olyan egyéb hivatkozásokra mutat, amelyek segítenek a támogatott modern hitelesítési topológiák kiválasztásában (amelyek csak Skype Vállalati verzió szükségesek), valamint útmutató cikkekre, amelyek ismertetik a helyszíni Exchange és a helyszíni Skype Vállalati verzió beállítási lépéseit vagy a modern hitelesítés letiltásának lépéseit. Ezt a lapot kedvencként használhatja a böngészőben, ha szüksége lesz egy otthoni bázisra a modern hitelesítés kiszolgálói környezetben való használatához.