Overzicht van hybride moderne verificatie en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijven- en Exchange-servers

Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.

Moderne verificatie is een methode voor identiteitsbeheer die veiligere gebruikersverificatie en autorisatie biedt. Het is beschikbaar voor Office 365 hybride implementaties van Skype voor Bedrijven server on-premises en Exchange-server on-premises, en split-domain Skype voor Bedrijven hybrids. Dit artikel bevat koppelingen naar gerelateerde documenten over vereisten, het instellen/uitschakelen van moderne verificatie en naar enkele van de gerelateerde clientgegevens (zoals Outlook- en Skype-clients).

Wat is moderne verificatie?

Moderne verificatie is een overkoepelende term voor een combinatie van verificatie- en autorisatiemethoden tussen een client (bijvoorbeeld uw laptop of uw telefoon) en een server, evenals enkele beveiligingsmaatregelen die afhankelijk zijn van toegangsbeleid waarmee u mogelijk al bekend bent. Deze omvat:

  • Verificatiemethoden: Meervoudige verificatie (MFA); smartcardverificatie; clientverificatie op basis van certificaten
  • Autorisatiemethoden: De implementatie van Open Authorization (OAuth) door Microsoft
  • Beleid voor voorwaardelijke toegang: Mam (Mobile Application Management) en Microsoft Entra voorwaardelijke toegang

Het beheren van gebruikersidentiteiten met moderne verificatie biedt beheerders veel verschillende hulpprogramma's om te gebruiken als het gaat om het beveiligen van resources en biedt veiligere methoden voor identiteitsbeheer voor zowel on-premises (Exchange en Skype voor Bedrijven), hybride Exchange- en Skype voor Bedrijven hybride/split-domeinscenario's.

Omdat Skype voor Bedrijven nauw samenwerkt met Exchange, wordt het aanmeldingsgedrag Skype voor Bedrijven clientgebruikers beïnvloed door de moderne verificatiestatus van Exchange. Dit is ook van toepassing als u een Skype voor Bedrijven hybride architectuur voor gesplitste domeinen hebt, waarin u zowel Skype voor Bedrijven Online als Skype voor Bedrijven on-premises hebt, met gebruikers op beide locaties.

Zie Office 365 Client App Support - Multi-Factor Authentication voor meer informatie over moderne verificatie in Office 365.

Belangrijk

Vanaf augustus 2017 is moderne verificatie standaard ingeschakeld voor alle nieuwe Office 365 tenants met Skype voor Bedrijven online en Exchange Online. Bestaande tenants hebben geen wijziging in hun standaard MA-status, maar alle nieuwe tenants ondersteunen automatisch de uitgebreide set identiteitsfuncties die hierboven wordt vermeld. Als u de MA-status wilt controleren, raadpleegt u de sectie De moderne verificatiestatus van uw on-premises omgeving controleren.

Wat verandert er wanneer ik moderne verificatie gebruik?

Wanneer u moderne verificatie gebruikt met on-premises Skype voor Bedrijven of Exchange-server, bent u nog steeds bezig met het verifiëren van gebruikers on-premises, maar het verhaal van het autoriseren van hun toegang tot resources (zoals bestanden of e-mailberichten) verandert. Dit is de reden waarom, hoewel moderne verificatie betrekking heeft op client- en servercommunicatie, de stappen die worden uitgevoerd tijdens het configureren van MA ertoe leiden dat evoSTS (een beveiligingstokenservice die wordt gebruikt door Microsoft Entra ID) wordt ingesteld als verificatieserver voor Skype voor Bedrijven en Exchange-server on-premises.

Met de wijziging in evoSTS kunnen uw on-premises servers profiteren van OAuth (tokenuitgifte) voor het autoriseren van uw clients en kunnen uw on-premises beveiligingsmethoden gebruiken die gebruikelijk zijn in de cloud (zoals Multi-Factor Authentication). Daarnaast geeft de evoSTS tokens uit waarmee gebruikers toegang tot resources kunnen aanvragen zonder hun wachtwoord op te geven als onderdeel van de aanvraag. Ongeacht waar uw gebruikers zich bevinden (online of on-premises), en ongeacht welke locatie de benodigde resource host, wordt EvoSTS de kern van het autoriseren van gebruikers en clients zodra moderne verificatie is geconfigureerd.

Als een Skype voor Bedrijven client bijvoorbeeld toegang moet hebben tot Exchange-server om agendagegevens namens een gebruiker op te halen, gebruikt deze hiervoor de Microsoft Authentication Library (MSAL). MSAL is een codebibliotheek die is ontworpen om beveiligde resources in uw directory beschikbaar te maken voor clienttoepassingen met behulp van OAuth-beveiligingstokens. MSAL werkt met OAuth om claims te verifiëren en tokens uit te wisselen (in plaats van wachtwoorden), om een gebruiker toegang te verlenen tot een resource. In het verleden was de instantie in een transactie zoals deze, de server die weet hoe gebruikersclaims moeten worden gevalideerd en de benodigde tokens moeten worden verleend, mogelijk een on-premises beveiligingstokenservice of zelfs Active Directory Federation Services. Moderne verificatie centraliseert die instantie echter met behulp van Microsoft Entra ID.

Dit betekent ook dat, hoewel uw Exchange-server en Skype voor Bedrijven omgevingen volledig on-premises zijn, de autorisatieserver online is en uw on-premises omgeving de mogelijkheid moet hebben om een verbinding met uw Office 365 abonnement in de cloud te maken en te onderhouden (en de Microsoft Entra exemplaar dat uw abonnement gebruikt als map).

Wat verandert er niet? Of u zich nu in een hybride gesplitst domein bevindt of Skype voor Bedrijven en Exchange-server on-premises gebruikt, alle gebruikers moeten zich eerst on-premises verifiëren. In een hybride implementatie van moderne verificatie verwijzen Lyncdiscovery en Autodiscovery beide naar uw on-premises server.

Belangrijk

Als u de specifieke Skype voor Bedrijven topologieën wilt weten die worden ondersteund met MA, wordt dat hier beschreven.

De moderne verificatiestatus van uw on-premises omgeving controleren

Omdat moderne verificatie de autorisatieserver wijzigt die wordt gebruikt wanneer services OAuth/S2S toepassen, moet u weten of moderne verificatie is ingeschakeld of uitgeschakeld voor uw on-premises Skype voor Bedrijven en Exchange-omgevingen. U kunt de status op uw Exchange-servers controleren door de volgende PowerShell-opdracht uit te voeren:

Get-OrganizationConfig | ft OAuth*

Als de waarde van de eigenschap OAuth2ClientProfileEnabledOnwaar is, wordt moderne verificatie uitgeschakeld.

Zie Get-OrganizationConfig voor meer informatie over de Get-OrganizationConfig cmdlet.

U kunt uw Skype voor Bedrijven servers controleren door de volgende PowerShell-opdracht uit te voeren:

Get-CSOAuthConfiguration

Als de opdracht een lege OAuthServers-eigenschap retourneert of als de waarde van de eigenschap ClientADALAuthOverride niet is toegestaan, wordt moderne verificatie uitgeschakeld.

Zie Get-CsOAuthConfiguration voor meer informatie over de Get-CsOAuthConfiguration cmdlet.

Voldoet u aan de vereisten voor moderne verificatie?

Controleer en controleer deze items uit de lijst voordat u doorgaat:

  • Skype voor Bedrijven specifiek

    • Alle servers moeten de cumulatieve update van mei 2017 (CU5) hebben voor Skype voor Bedrijven Server 2015 of hoger
      • Uitzondering : SBA (Survivability Branch Appliance) kan de huidige versie hebben (gebaseerd op Lync 2013)
    • Uw SIP-domein wordt toegevoegd als een federatief domein in Office 365
    • Alle SFB Front Ends moeten uitgaande verbindingen naar internet hebben om te Office 365 verificatie-URL's (TCP 443) en bekende basis-CRL's voor certificaten (TCP 80) die worden vermeld in rij 56 en 125 van de sectie Microsoft 365 Common en Office van Office 365 URL's en IP-adresbereiken.
  • on-premises Skype voor Bedrijven in een hybride Office 365-omgeving

    • Een Skype voor Bedrijven Server 2019-implementatie met alle servers waarop Skype voor Bedrijven Server 2019 wordt uitgevoerd.
    • Een Skype voor Bedrijven Server 2015-implementatie met alle servers waarop Skype voor Bedrijven Server 2015 wordt uitgevoerd.
    • Een implementatie met maximaal twee verschillende serverversies, zoals hieronder wordt vermeld:
      • Skype voor Bedrijven Server 2015
      • Skype voor Bedrijven Server 2019
    • Voor alle Skype voor Bedrijven servers moeten de meest recente cumulatieve updates zijn geïnstalleerd, raadpleegt u Skype voor Bedrijven Server updates om alle beschikbare updates te zoeken en te beheren.
    • De hybride omgeving bevat geen Lync Server 2010 of 2013.

Opmerking

Als uw Skype voor Bedrijven front-endservers een proxyserver gebruiken voor internettoegang, moeten het IP- en poortnummer van de proxyserver worden ingevoerd in de configuratiesectie van het web.config-bestand voor elke front-end.

  • C:\Program Files\Skype voor Bedrijven Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype voor Bedrijven Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Belangrijk

Zorg ervoor dat u zich abonneert op de RSS-feed voor Office 365 URL's en IP-adresbereiken om op de hoogte te blijven van de meest recente vermeldingen van vereiste URL's.

  • Exchange Server specifiek

    • U gebruikt Exchange Server 2013 CU19 en hoger, Exchange Server 2016 CU8 en hoger of Exchange Server 2019 CU1 en hoger.
    • Er is geen Exchange Server 2010 in de omgeving.
    • SSL-offloading is niet geconfigureerd. SSL-beëindiging en herversleuteling worden ondersteund.
    • Als uw omgeving gebruikmaakt van een proxyserverinfrastructuur om servers verbinding te laten maken met internet, moet u ervoor zorgen dat op alle Exchange-servers de proxyserver is gedefinieerd in de eigenschap InternetWebProxy .
  • on-premises Exchange Server in een hybride Office 365-omgeving

    • Als u Exchange Server 2013 gebruikt, moet op ten minste één server de serverfuncties Postvak en Clienttoegang zijn geïnstalleerd. Hoewel het mogelijk is om de rollen Postvak en Clienttoegang op afzonderlijke servers te installeren, raden we u ten zeerste aan beide rollen op dezelfde server te installeren om meer betrouwbaarheid en betere prestaties te bieden.
    • Als u Exchange Server 2016 of hoger gebruikt, moet ten minste één server de functie Postvakserver hebben geïnstalleerd.
    • Er is geen Exchange-server 2007 of 2010 in de hybride omgeving.
    • Op alle Exchange-servers moeten de meest recente cumulatieve updates zijn geïnstalleerd. Zie Exchange upgraden naar de meest recente cumulatieve Updates om alle beschikbare updates te zoeken en te beheren.
  • Exchange-client- en protocolvereisten

    De beschikbaarheid van moderne verificatie wordt bepaald door de combinatie van de client, het protocol en de configuratie. Als moderne verificatie niet wordt ondersteund door de client, het protocol en/of de configuratie, blijft de client verouderde verificatie gebruiken.

    De volgende clients en protocollen ondersteunen moderne verificatie met on-premises Exchange wanneer moderne verificatie is ingeschakeld in de omgeving:

    Clients Primair protocol Opmerkingen
    Outlook 2013 en hoger
    MAPI via HTTP
    MAPI via HTTP moet zijn ingeschakeld in Exchange om moderne verificatie met deze clients te kunnen gebruiken (ingeschakeld of True voor nieuwe installaties van Exchange 2013 Service Pack 1 en hoger); Zie Hoe moderne verificatie werkt voor Office 2013- en Office 2016-client-apps voor meer informatie.
    Zorg ervoor dat u de minimaal vereiste build van Outlook uitvoert; Zie Meest recente updates voor versies van Outlook die gebruikmaken van Windows Installer (MSI).
    Outlook 2016 voor Mac en hoger
    Exchange-webservices

    Outlook voor iOS en Android
    Microsoft-synchronisatietechnologie
    Zie Hybride moderne verificatie gebruiken met Outlook voor iOS en Android voor meer informatie.
    Exchange ActiveSync clients (bijvoorbeeld iOS11 Mail)
    Exchange ActiveSync
    Voor Exchange ActiveSync clients die moderne verificatie ondersteunen, moet u het profiel opnieuw maken om over te schakelen van basisverificatie naar moderne verificatie.

    Clients en/of protocollen die niet worden vermeld (bijvoorbeeld POP3) ondersteunen geen moderne verificatie met on-premises Exchange en blijven verouderde verificatiemechanismen gebruiken, zelfs nadat moderne verificatie is ingeschakeld in de omgeving.

  • Algemene vereisten

    • Resourceforestscenario's vereisen een tweerichtingsvertrouwensrelatie met het accountforest om ervoor te zorgen dat de juiste SID-zoekacties worden uitgevoerd tijdens hybride moderne verificatieaanvragen.

    • Als u AD FS gebruikt, moet u Windows 2012 R2 AD FS 3.0 en hoger hebben voor federatie.

    • Uw identiteitsconfiguraties zijn alle typen die worden ondersteund door Microsoft Entra Connect, zoals wachtwoord-hashsynchronisatie, passthrough-verificatie en on-premises STS die worden ondersteund door Office 365.

    • U hebt Microsoft Entra Connect geconfigureerd en werkt voor replicatie en synchronisatie van gebruikers.

      Opmerking

      Gebruikersaccounts die niet zijn gesynchroniseerd met Microsoft Entra Identity, krijgen geen autorisatietoken via Hybride moderne verificatie. Zodra de on-premises toepassing is geconfigureerd voor het gebruik van evoSTS als standaardautorisatie-eindpunt, ondervinden deze gebruikersaccounts die niet zijn gesynchroniseerd problemen met hun toegang tot de toepassing als de juiste configuratie niet beschikbaar is.

    • U hebt gecontroleerd of hybride is geconfigureerd met de klassieke exchange-topologiemodus tussen uw on-premises en Office 365 omgeving. De officiële ondersteuningsverklaring voor hybride Exchange zegt dat u de huidige CU of huidige CU - 1 moet hebben.

      Opmerking

      Hybride moderne verificatie wordt niet ondersteund met de hybride agent.

    • Zorg ervoor dat zowel een on-premises testgebruiker als een hybride testgebruiker in Office 365 zich kan aanmelden bij de Skype voor Bedrijven desktopclient (als u moderne verificatie met Skype wilt gebruiken) en Microsoft Outlook (als u moderne verificatie met Exchange wilt gebruiken).

    • Zorg ervoor dat de instelling SignInOptions in Microsoft Office niet is geconfigureerd op de meest beperkende instelling. Zie Office toestaan verbinding te maken met internet voor meer informatie.

Wat moet ik nog meer weten voordat ik begin?

  • Alle scenario's voor on-premises servers omvatten het instellen van moderne verificatie on-premises (in feite is er voor Skype voor Bedrijven er een lijst met ondersteunde topologieën is), zodat de server die verantwoordelijk is voor verificatie en autorisatie zich in de Microsoft Cloud bevindt (Microsoft Entra ID's beveiligingstokenservice, genaamd 'evoSTS'), en het bijwerken van Microsoft Entra ID over de URL's of naamruimten die worden gebruikt door uw on-premises installatie van Skype voor Bedrijven of Exchange. On-premises servers nemen daarom een Microsoft Cloud-afhankelijkheid aan. Het uitvoeren van deze actie kan worden beschouwd als het configureren van 'hybride verificatie'.
  • Dit artikel bevat koppelingen naar andere die u helpen bij het kiezen van ondersteunde moderne verificatietopologieën (alleen nodig voor Skype voor Bedrijven) en artikelen met instructies waarin de installatiestappen of stappen voor het uitschakelen van moderne verificatie voor Exchange on-premises en Skype voor Bedrijven on-premises worden beschreven. Geef deze pagina in uw browser als u een basis nodig hebt voor het gebruik van moderne verificatie in uw serveromgeving.