Panoramica dell'autenticazione moderna ibrida e dei prerequisiti per l'uso con i server di Skype for Business ed Exchange locali

  • Articolo

Questo articolo si riferisce sia a Microsoft 365 Enterprise che a Office 365 Enterprise.

L'autenticazione moderna è un metodo di gestione delle identità che offre un servizio di autenticazione e autorizzazione utente più sicuro. È disponibile per Office 365 distribuzioni ibride di Skype for Business server locale ed Exchange server locale e Skype for Business ibridi con dominio diviso. Questo articolo è collegato a documenti correlati relativi ai prerequisiti, alla configurazione/disabilitazione dell'autenticazione moderna e ad alcune delle informazioni relative al client (ad esempio client Outlook e Skype).

Che cos’è l’autenticazione moderna

L'autenticazione moderna è un termine generico per una combinazione di metodi di autenticazione e autorizzazione tra un client (ad esempio, il portatile o il telefono) e un server, nonché alcune misure di sicurezza che si basano su criteri di accesso con cui si potrebbe già avere familiarità. Esso include:

  • Metodi di autenticazione: autenticazione a più fattori (MFA); autenticazione con smart card; autenticazione basata su certificati client
  • Metodi di autorizzazione: implementazione Microsoft dell’autorizzazione OAuth (Open Authorization)
  • Criteri di accesso condizionale: Gestione applicazioni mobili (MAM) e accesso condizionale Microsoft Entra

La gestione delle identità utente con l'autenticazione moderna offre agli amministratori numerosi strumenti da usare per la protezione delle risorse e metodi più sicuri di gestione delle identità in locale (Exchange e Skype for Business), Exchange ibrido e gli scenari ibridi o con domini separati di Skype for Business.

Poiché Skype for Business funziona a stretto contatto con Exchange, il comportamento di accesso Skype for Business utenti client sarà influenzato dallo stato di autenticazione moderno di Exchange. È applicabile anche se si dispone di un'architettura ibrida di Skype for Business dominio diviso, in cui sono presenti sia Skype for Business Online che Skype for Business in locale, con gli utenti ospitati in entrambe le posizioni.

Per altre informazioni sull'autenticazione moderna in Office 365, vedere Office 365 Supporto dell'app client - Autenticazione a più fattori.

Importante

Dal mese di agosto 2017 tutti i nuovi tenant di Office 365 che includono Skype for Business Online ed Exchange Online hanno l'autenticazione moderna abilitata per impostazione predefinita. I tenant preesistenti non avranno una modifica nel relativo stato di mazione predefinita, ma tutti i nuovi tenant supportano automaticamente il set espanso di funzionalità di identità visualizzate in precedenza. Per controllare lo stato di autenticazione moderna, vedere la sezione Verifica dello stato di autenticazione moderna in ambiente locale.

Che cosa cambia con l’uso dell'autenticazione moderna

Se si usa l'autenticazione moderna con il server locale di Skype for Business o Exchange, si effettua ancora l’autenticazione degli utenti in locale, tuttavia la modalità di autorizzazione dell’accesso alle risorse, ad esempio i file o i messaggi di posta elettronica, cambia. Per questo motivo, anche se l'autenticazione moderna riguarda la comunicazione client e server, i passaggi eseguiti durante la configurazione di MA comportano l'impostazione di evoSTS (un servizio token di sicurezza usato da Microsoft Entra ID) come server di autenticazione per Skype for Business ed Exchange server locale.

La modifica eseguita in evoSTS consente ai server locali di sfruttare le funzionalità OAuth (emissione di token) per l'autorizzazione dei client e inoltre consente loro di usare i metodi di sicurezza comuni nel cloud, ad esempio l'autenticazione a più fattori. Inoltre, evoSTS genera token che consentono agli utenti di richiedere l'accesso alle risorse senza specificare la password come parte della richiesta. Indipendentemente dalla posizione in cui gli utenti sono ospitati (online o locale) e indipendentemente dalla posizione in cui ospita la risorsa necessaria, EvoSTS diventerebbe il nucleo dell'autorizzazione di utenti e client dopo la configurazione dell'autenticazione moderna.

Ad esempio, se un client Skype for Business deve accedere al server Exchange per ottenere informazioni sul calendario per conto di un utente, a tale scopo usa Microsoft Authentication Library (MSAL). MSAL è una libreria di codice progettata per rendere disponibili le risorse protette nella directory per le applicazioni client tramite token di sicurezza OAuth. MSAL funziona con OAuth per verificare le attestazioni e scambiare token (anziché password), per concedere a un utente l'accesso a una risorsa. In passato, l'autorità in una transazione come questa, ovvero il server che sa come convalidare le attestazioni utente ed emettere i token necessari, potrebbe essere stata un servizio token di sicurezza in locale o anche Active Directory Federation Services. Tuttavia, l'autenticazione moderna centralizza tale autorità usando Microsoft Entra ID.

Ciò significa anche che, anche se il server Exchange e gli ambienti Skype for Business potrebbero essere interamente locali, il server di autorizzazione è online e l'ambiente locale deve avere la possibilità di creare e gestire una connessione alla sottoscrizione Office 365 nel cloud (e al Microsoft Entra dell'istanza usata dalla sottoscrizione come directory).

Caratteristiche che non cambiano Sia che ci si trovi in una versione ibrida con dominio separato o che si usino i server di Skype for Business e di Exchange in locale, tutti gli utenti devono prima autenticarsi in locale. In un'implementazione ibrida dell'autenticazione moderna, Lyncdiscovery e AutoDiscovery puntano entrambi al server locale.

Importante

Se è necessario conoscere le topologie specifiche di Skype for Business supportate dall’autenticazione moderna, vedere qui.

Controllare lo stato dell’autenticazione moderna nell’ambiente locale

Poiché l'autenticazione moderna modifica il server di autorizzazione usato quando i servizi applicano OAuth/S2S, è necessario sapere se l'autenticazione moderna è abilitata o disabilitata per gli ambienti Skype for Business ed Exchange locali. Per controllare lo stato dei server Exchange eseguire il comando di PowerShell seguente:

Get-OrganizationConfig | ft OAuth*

Se il valore della proprietà OAuth2ClientProfileEnabled è Falso, l'autenticazione moderna è disabilitata.

Per altre informazioni sul Get-OrganizationConfig cmdlet, vedere Get-OrganizationConfig.

Per controllare lo stato dei server di Skype for Business eseguire il comando di PowerShell seguente:

Get-CSOAuthConfiguration

Se il comando restituisce una proprietà OAuthServers vuota o se il valore della proprietà ClientADALAuthOverride non è Consentito, l'autenticazione moderna è disabilitata.

Per altre informazioni sul Get-CsOAuthConfiguration cmdlet, vedere Get-CsOAuthConfiguration.

Come soddisfare i prerequisiti di autenticazione moderna

Prima di procedere, verificare questi elementi nell’elenco:

  • Informazioni specifiche per Skype for Business

    • Tutti i server devono aver eseguito gli aggiornamenti cumulativi di maggio 2017 (CU5) per Skype for Business Server 2015 o versione successiva
      • Eccezione: Survivable Branch Appliance (SBA) può avere la versione corrente (basata su Lync 2013)
    • Il dominio SIP viene aggiunto come dominio federato in Office 365
    • Tutti i front-end SFB devono avere connessioni in uscita a Internet, per Office 365 URL di autenticazione (TCP 443) e CRL radice del certificato noti (TCP 80) elencati nelle righe 56 e 125 della sezione "Microsoft 365 Common and Office" degli URL di Office 365 e degli intervalli di indirizzi IP.

  • Skype for Business in locale in un ambiente ibrido di Office 365

    • Distribuzione di Skype for Business Server 2019 con tutti i server che eseguono Skype for Business Server 2019.
    • Distribuzione di Skype for Business Server 2015 con tutti i server che eseguono Skype for Business Server 2015.
    • Distribuzione con un massimo di due versioni del server differenti, come indicato di seguito:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • Tutti i server di Skype for Business devono avere installato gli aggiornamenti cumulativi più recenti, vedere Aggiornamenti dei server di Skype for Business per trovare e gestire tutti gli aggiornamenti disponibili.
    • Nell'ambiente ibrido non è presente Lync Server 2010 o 2013.

Nota

Se i server front-end di Skype for Business usano un server proxy per l'accesso a Internet, l'IP del server proxy e il numero di porta usati devono essere immessi nella sezione di configurazione del file web.config per ogni front-end.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Importante

Assicurarsi di sottoscrivere il feed RSS per URL e intervalli di indirizzi IP di Office 365 per rimanere aggiornati con gli elenchi più recenti di URL necessari.

  • Informazioni specifiche per Exchange Server

    • È possibile usare Exchange Server 2013 CU19 e versioni successive, Exchange Server 2016 CU8 e versioni successive o Exchange Server 2019 CU1 e versioni successive.
    • Nell'ambiente non è presente exchange server 2010.
    • La ripartizione del carico SSL non è configurata. Sono supportate la terminazione SSL e la re-crittografia.
    • Nel caso l’ambiente utilizzi un'infrastruttura del server proxy per consentire ai server di connettersi a Internet, assicurarsi che tutti i server di Exchange abbiano il server proxy definito nella proprietà InternetWebProxy.

  • Exchange Server in locale in un ambiente ibrido di Office 365

    • Se si usa Exchange Server 2013, almeno un server deve avere installato i ruoli del server Cassette postali e Accesso client. Anche se è possibile installare i ruoli Cassette postali e Accesso client in server separati, è consigliabile installare entrambi i ruoli nello stesso server per garantire maggiore affidabilità e prestazioni migliorate.
    • Se si usa Exchange Server 2016 o versione successiva, almeno un server deve avere installato il ruolo del server Cassette postali.
    • Nell'ambiente ibrido non è presente Exchange Server 2007 o 2010.
    • Per tutti i server Exchange devono essere installati gli aggiornamenti cumulativi più recenti. Vedere Aggiornare Exchange alla Aggiornamenti cumulativa più recente per trovare e gestire tutti gli aggiornamenti disponibili.

  • Requisiti del client e del protocollo di Exchange

    La disponibilità dell'autenticazione moderna è determinata dalla combinazione del client, del protocollo e della configurazione. Se l'autenticazione moderna non è supportata dal client, dal protocollo e/o dalla configurazione, il client continua a usare l'autenticazione legacy.

    I client e i protocolli seguenti supportano l'autenticazione moderna con Exchange locale quando l'autenticazione moderna è abilitata nell'ambiente:

    Client Protocollo principale Note
    Outlook 2013 e versioni successive
    		 MAPI su HTTP
    		 MAPI su HTTP deve essere abilitato all'interno di Exchange per usare l'autenticazione moderna con questi client (abilitato o True per le nuove installazioni di Exchange 2013 Service Pack 1 e versioni successive); Per altre informazioni, vedere Funzionamento dell'autenticazione moderna per le app client di Office 2013 e Office 2016.
    Assicurarsi di eseguire la build minima richiesta di Outlook; vedere Aggiornamenti più recenti per le versioni di Outlook che usano Windows Installer (MSI).
    Outlook 2016 per Mac e versioni successive
    		 Servizi Web Exchange
    Outlook per iOS e Android
    		 Tecnologia di sincronizzazione Microsoft
    		 Per altre informazioni, vedere Utilizzo dell'autenticazione moderna ibrida con Outlook per iOS e Android.
    Exchange ActiveSync client (ad esempio, iOS11 Mail)
    		 Exchange ActiveSync
    		 Nei client Exchange ActiveSync che supportano l'autenticazione moderna, è necessario ricreare il profilo per passare dall'autenticazione di base all'autenticazione moderna.

    I client e/o i protocolli non elencati (ad esempio POP3) non supportano l'autenticazione moderna con Exchange locale e continuano a usare meccanismi di autenticazione legacy anche dopo l'abilitazione dell'autenticazione moderna nell'ambiente.

  • Prerequisiti generali

    • Gli scenari della foresta di risorse richiedono un trust bidirezionale con la foresta di account per garantire che vengano eseguite ricerche SID appropriate durante le richieste di autenticazione moderna ibride.

    • Se si usa AD FS (Active Directory Federation Services), per la federazione è necessario Windows 2012 R2 AD FS 3.0 e versioni successive.

    • Le configurazioni delle identità sono uno dei tipi supportati da Microsoft Entra Connect, ad esempio la sincronizzazione dell'hash delle password, l'autenticazione pass-through e il servizio token di sicurezza locale supportato da Office 365.

    • È stato Microsoft Entra Connect configurato e funzionante per la replica e la sincronizzazione degli utenti.

      Nota

      A tutti gli account utente non sincronizzati con identità Microsoft Entra non verrà fornito un token di autorizzazione tramite l'autenticazione moderna ibrida. Dopo che l'applicazione locale è configurata per l'uso di evoSTS come endpoint di autorizzazione predefinito, questi account utente non sincronizzati riscontrano problemi con l'accesso all'applicazione se la configurazione appropriata non è disponibile.

    • È stato verificato che la distribuzione ibrida sia configurata con la modalità di topologia ibrida classica di Exchange tra l'ambiente locale e Office 365. Le istruzioni del supporto ufficiale per la distribuzione ibrida di Exchange indicano che è necessario avere CU o CU1 corrente.

      Nota

      L'autenticazione moderna ibrida non è compatibile con l’Agente ibrido.

    • Assicurarsi che sia un utente di test locale che un utente di test ibrido ospitati in Office 365 possano accedere al client desktop Skype for Business (se si vuole usare l'autenticazione moderna con Skype) e Microsoft Outlook (se si vuole usare l'autenticazione moderna con Exchange).

    • Assicurarsi che l'impostazione SignInOptions in Microsoft Office non sia configurata per l'impostazione più restrittiva. Per altre informazioni, vedere Come consentire a Office di connettersi a Internet.

Altre informazioni necessarie per iniziare

  • Tutti gli scenari per i server locali prevedono la configurazione dell'autenticazione moderna in locale (infatti, per Skype for Business è disponibile un elenco di topologie supportate) in modo che il server responsabile dell'autenticazione e dell'autorizzazione si trova in Microsoft Cloud (servizio token di sicurezza di Microsoft Entra ID, denominato 'evoSTS') e aggiornamento Microsoft Entra ID sugli URL o sugli spazi dei nomi usati dall'installazione locale di Skype for Business o Exchange. Di conseguenza, i server locali assumono una dipendenza cloud Microsoft. Questa operazione potrebbe essere considerata come la configurazione dell’"autenticazione ibrida".
  • Questo articolo include collegamenti ad altri utenti che consentono di scegliere topologie di autenticazione moderna supportate (necessarie solo per Skype for Business) e articoli sulle procedure che descrivono i passaggi di installazione o i passaggi per disabilitare l'autenticazione moderna per Exchange locale e Skype for Business locale. Aggiungere questa pagina ai Preferiti del browser per avere un riferimento di base per l'uso dell'autenticazione moderna nell'ambiente server.