Overzicht van hybride moderne verificatie en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijven en Exchange-servers

Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.

Moderne verificatie is een methode voor identiteitsbeheer die veiligere gebruikersverificatie en -autorisatie biedt. Het is beschikbaar voor Office 365 hybride implementaties van Skype voor Bedrijven on-premises server en Exchange-server on-premises, en Skype voor Bedrijven hybriden met gesplitst domein. In dit artikel vindt u koppelingen naar verwante documenten over vereisten, het instellen/uitschakelen van moderne verificatie en enkele van de gerelateerde clientgegevens (bijvoorbeeld Outlook- en Skype-clients).

Wat is moderne verificatie?

Moderne verificatie is een overkoepelende term voor een combinatie van verificatie- en autorisatiemethoden tussen een client (bijvoorbeeld uw laptop of uw telefoon) en een server, evenals enkele beveiligingsmaatregelen die afhankelijk zijn van toegangsbeleid dat u mogelijk al kent. Deze omvat:

  • Verificatiemethoden: Meervoudige verificatie (MFA); smartcardverificatie; verificatie op basis van clientcertificaten
  • Autorisatiemethoden: Microsoft's implementatie van Open Authorization (OAuth)
  • Beleid voor voorwaardelijke toegang: Mam (Mobile Application Management) en voorwaardelijke toegang van Azure Active Directory (Azure AD)

Het beheren van gebruikersidentiteiten met moderne verificatie biedt beheerders veel verschillende hulpprogramma's om te gebruiken bij het beveiligen van resources en biedt veiligere methoden voor identiteitsbeheer voor zowel on-premises (Exchange en Skype voor Bedrijven), hybride Exchange- en Skype voor Bedrijven hybride/gesplitste domeinscenario's.

Omdat Skype voor Bedrijven nauw samenwerkt met Exchange, wordt het aanmeldingsgedrag Skype voor Bedrijven clientgebruikers beïnvloed door de moderne verificatiestatus van Exchange. Het is ook van toepassing als u een Skype voor Bedrijven hybride architectuur voor gesplitst domein hebt, waarin u zowel Skype voor Bedrijven Online als Skype voor Bedrijven on-premises hebt, met gebruikers die zich op beide locaties bevinden.

Zie Office 365 Client App Support - Multi-Factor Authentication voor meer informatie over moderne verificatie in Office 365.

Belangrijk

Vanaf augustus 2017 is moderne verificatie standaard ingeschakeld voor alle nieuwe Office 365-tenants die Skype voor Bedrijven online en Exchange Online bevatten. Bestaande tenants hebben geen wijziging in hun standaard MA-status, maar alle nieuwe tenants ondersteunen automatisch de uitgebreide set identiteitsfuncties die u hierboven ziet. Zie de sectie Moderne verificatiestatus van uw on-premises omgeving controleren om de MA-status te controleren.

Wat verandert er wanneer ik moderne verificatie gebruik?

Wanneer u moderne verificatie gebruikt met on-premises Skype voor Bedrijven of Exchange-server, bent u nog steeds gebruikers on-premises aan het verifiëren, maar het verhaal van het autoriseren van hun toegang tot resources (zoals bestanden of e-mailberichten) verandert. Dit is de reden waarom, hoewel moderne verificatie gaat over client- en servercommunicatie, de stappen die worden uitgevoerd tijdens het configureren van MA ertoe leiden dat evoSTS (een beveiligingstokenservice die wordt gebruikt door Azure AD) wordt ingesteld als verificatieserver voor Skype voor Bedrijven en Exchange-server on-premises.

Door de wijziging in evoSTS kunnen uw on-premises servers gebruikmaken van OAuth (tokenuitgifte) voor het autoriseren van uw clients en kunt u uw on-premises beveiligingsmethoden gebruiken die gebruikelijk zijn in de cloud (zoals Multi-Factor Authentication). Daarnaast geeft het evoSTS tokens uit waarmee gebruikers toegang tot resources kunnen aanvragen zonder hun wachtwoord op te geven als onderdeel van de aanvraag. Ongeacht waar uw gebruikers zich bevinden (online of on-premises) en ongeacht welke locatie de benodigde resource host, wordt EvoSTS de kern van het autoriseren van gebruikers en clients zodra moderne verificatie is geconfigureerd.

Als een Skype voor Bedrijven-client bijvoorbeeld toegang moet hebben tot de Exchange-server om agendagegevens namens een gebruiker op te halen, wordt hiervoor de Microsoft Authentication Library (MSAL) gebruikt. MSAL is een codebibliotheek die is ontworpen om beveiligde resources in uw directory beschikbaar te maken voor clienttoepassingen met behulp van OAuth-beveiligingstokens. MSAL werkt met OAuth om claims te verifiëren en tokens uit te wisselen (in plaats van wachtwoorden), om een gebruiker toegang te verlenen tot een resource. In het verleden was de instantie in een transactie zoals deze, de server die weet hoe gebruikersclaims moeten worden gevalideerd en de benodigde tokens uitgeven, mogelijk on-premises een beveiligingstokenservice of zelfs Active Directory Federation Services. Moderne verificatie centraliseert deze instantie echter met behulp van Azure AD.

Dit betekent ook dat hoewel uw Exchange-server en Skype voor Bedrijven-omgevingen volledig on-premises kunnen zijn, de autoriserende server online is en uw on-premises omgeving de mogelijkheid moet hebben om verbinding te maken en te onderhouden met uw Office 365-abonnement in de cloud (en het Azure AD exemplaar dat uw abonnement als map gebruikt).

Wat verandert er niet? Ongeacht of u zich in een hybride domein bevindt of Skype voor Bedrijven en Exchange-server on-premises gebruikt, moeten alle gebruikers zich eerst on-premises verifiëren. In een hybride implementatie van moderne verificatie verwijzen Lyncdiscovery en Autodiscovery beide naar uw on-premises server.

Belangrijk

Als u de specifieke Skype voor Bedrijven topologieën wilt weten die worden ondersteund met MA, wordt dit hier beschreven.

De moderne verificatiestatus van uw on-premises omgeving controleren

Omdat moderne verificatie de autorisatieserver wijzigt die wordt gebruikt wanneer services OAuth/S2S toepassen, moet u weten of moderne verificatie is in- of uitgeschakeld voor uw on-premises Skype voor Bedrijven- en Exchange-omgevingen. U kunt de status op uw Exchange-servers controleren door de volgende PowerShell-opdracht uit te voeren:

Get-OrganizationConfig | ft OAuth*

Als de waarde van de eigenschap OAuth2ClientProfileEnabledFalse is, wordt moderne verificatie uitgeschakeld.

Zie Get-OrganizationConfig voor meer informatie over de cmdlet Get-OrganizationConfig.

U kunt uw Skype voor Bedrijven servers controleren door de volgende PowerShell-opdracht uit te voeren:

Get-CSOAuthConfiguration

Als de opdracht een lege OAuthServers-eigenschap retourneert of als de waarde van de eigenschap ClientADALAuthOverride niet is toegestaan, is moderne verificatie uitgeschakeld.

Zie Get-CsOAuthConfiguration voor meer informatie over de cmdlet Get-CsOAuthConfiguration.

Voldoet u aan de vereisten voor moderne verificatie?

Controleer deze items en controleer deze uit de lijst voordat u doorgaat:

  • Skype voor Bedrijven specifiek

    • Alle servers moeten een cumulatieve update van mei 2017 (CU5) hebben voor Skype voor Bedrijven Server 2015 of later
      • Uitzondering : SBA (Survivability Branch Appliance) kan worden gebruikt in de huidige versie (op basis van Lync 2013)
    • Uw SIP-domein wordt toegevoegd als federatief domein in Office 365
    • Alle SFB Front Ends moeten verbindingen hebben die uitgaand zijn naar internet, met Office 365 verificatie-URL's (TCP 443) en bekende basis-CRL's (TCP 80) van certificaten die worden vermeld in rijen 56 en 125 van de sectie 'Microsoft 365 Common and Office' van Office 365 URL's en IP-adresbereiken.
  • on-premises Skype voor Bedrijven in een hybride Office 365-omgeving

    • Een Skype voor Bedrijven Server 2019-implementatie met alle servers waarop Skype voor Bedrijven Server 2019 wordt uitgevoerd.
    • Een Skype voor Bedrijven Server 2015-implementatie met alle servers waarop Skype voor Bedrijven Server 2015 wordt uitgevoerd.
    • Een implementatie met maximaal twee verschillende serverversies, zoals hieronder wordt vermeld:
      • Skype voor Bedrijven Server 2015
      • Skype voor Bedrijven Server 2019
    • Op alle Skype voor Bedrijven servers moeten de meest recente cumulatieve updates zijn geïnstalleerd. Zie Skype voor Bedrijven Server updates om alle beschikbare updates te vinden en te beheren.
    • Er is geen Lync Server 2010 of 2013 in de hybride omgeving.

Opmerking

Als uw Skype voor Bedrijven front-endservers een proxyserver gebruiken voor internettoegang, moeten het IP- en poortnummer van de proxyserver worden ingevoerd in de configuratiesectie van het web.config-bestand voor elke front-end.

  • C:\Program Files\Skype voor Bedrijven Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype voor Bedrijven Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Belangrijk

Abonneer u op de RSS-feed voor Office 365 URL's en IP-adresbereiken om op de hoogte te blijven van de meest recente vermeldingen van vereiste URL's.

  • Exchange Server specifiek

    • U gebruikt Exchange Server 2013 CU19 en hoger, Exchange Server 2016 CU8 en hoger of Exchange Server 2019 CU1 en hoger.
    • Er is geen Exchange-server 2010 in de omgeving.
    • SSL-offloading is niet geconfigureerd. SSL-beëindiging en opnieuw versleutelen worden ondersteund.
    • Als uw omgeving gebruikmaakt van een proxyserverinfrastructuur om servers verbinding te laten maken met internet, moet u ervoor zorgen dat voor alle Exchange-servers de proxyserver is gedefinieerd in de eigenschap InternetWebProxy .
  • on-premises Exchange Server in een hybride Office 365-omgeving

    • Als u Exchange Server 2013 gebruikt, moet op ten minste één server de serverfuncties Postvak en Clienttoegang zijn geïnstalleerd. Hoewel het mogelijk is om de rollen Postvak- en Clienttoegang op afzonderlijke servers te installeren, raden we u ten zeerste aan beide rollen op dezelfde server te installeren om meer betrouwbaarheid en verbeterde prestaties te bieden.
    • Als u Exchange Server 2016 of nieuwere versie gebruikt, moet ten minste één server de functie Postvakserver hebben geïnstalleerd.
    • Er is geen Exchange-server 2007 of 2010 in de hybride omgeving.
    • Op alle Exchange-servers moeten de meest recente cumulatieve updates zijn geïnstalleerd. Zie Exchange upgraden naar de meest recente cumulatieve Updates om alle beschikbare updates te vinden en te beheren.
  • Exchange-client- en protocolvereisten

    De beschikbaarheid van moderne verificatie wordt bepaald door de combinatie van de client, het protocol en de configuratie. Als moderne verificatie niet wordt ondersteund door de client, het protocol en/of de configuratie, blijft de client verouderde verificatie gebruiken.

    De volgende clients en protocollen ondersteunen moderne verificatie met on-premises Exchange wanneer moderne verificatie is ingeschakeld in de omgeving:

    Clients Primair protocol Opmerkingen
    Outlook 2013 en later
    MAPI via HTTP
    MAPI via HTTP moet zijn ingeschakeld in Exchange om moderne verificatie met deze clients te kunnen gebruiken (ingeschakeld of waar voor nieuwe installaties van Exchange 2013 Service Pack 1 en hoger); Zie Hoe moderne verificatie werkt voor Office 2013- en Office 2016-client-apps voor meer informatie.
    Zorg ervoor dat u de minimaal vereiste build van Outlook uitvoert; zie de nieuwste updates voor versies van Outlook die gebruikmaken van Windows Installer (MSI).
    Outlook 2016 voor Mac en later
    Exchange-webservices

    Outlook voor iOS en Android
    Microsoft-synchronisatietechnologie
    Zie Hybride moderne verificatie gebruiken met Outlook voor iOS en Android voor meer informatie.
    Exchange ActiveSync-clients (bijvoorbeeld iOS11 Mail)
    Exchange ActiveSync
    Voor Exchange ActiveSync clients die moderne verificatie ondersteunen, moet u het profiel opnieuw maken om over te schakelen van basisverificatie naar moderne verificatie.

    Clients en/of protocollen die niet worden vermeld (bijvoorbeeld POP3) bieden geen ondersteuning voor moderne verificatie met on-premises Exchange en blijven verouderde verificatiemechanismen gebruiken, zelfs nadat moderne verificatie is ingeschakeld in de omgeving.

  • Algemene vereisten

    • Voor resourceforestscenario's is een tweerichtingsvertrouwensrelatie met het accountforest vereist om ervoor te zorgen dat de juiste SID-zoekacties worden uitgevoerd tijdens hybride moderne verificatieaanvragen.

    • Als u AD FS gebruikt, moet u Windows 2012 R2 AD FS 3.0 en hoger voor federatie hebben.

    • Uw identiteitsconfiguraties zijn alle typen die worden ondersteund door Azure AD Connect, zoals wachtwoord-hashsynchronisatie, passthrough-verificatie en on-premises STS die worden ondersteund door Office 365.

    • U hebt Azure AD Verbinding maken geconfigureerd en werkt voor gebruikersreplicatie en -synchronisatie.

    • U hebt gecontroleerd of hybride is geconfigureerd met de klassieke Exchange-modus voor hybride topologie tussen uw on-premises en Office 365 omgeving. Officiële ondersteuningsverklaring voor Exchange Hybrid zegt dat u de huidige CU of huidige CU - 1 moet hebben.

      Opmerking

      Hybride moderne verificatie wordt niet ondersteund met de hybride agent.

    • Zorg ervoor dat zowel een on-premises testgebruiker als een hybride testgebruiker die zich in Office 365 bevindt, zich kan aanmelden bij de Skype voor Bedrijven desktopclient (als u moderne verificatie met Skype wilt gebruiken) en Microsoft Outlook (als u moderne verificatie met Exchange wilt gebruiken).

    • Zorg ervoor dat de instelling SignInOptions in Microsoft Office niet is geconfigureerd voor de meest beperkende instelling. Zie How to allow Office to connect to the internet. (Office verbinding laten maken met internet) voor meer informatie.

Wat moet ik nog meer weten voordat ik begin?

  • Alle scenario's voor on-premises servers omvatten het instellen van moderne verificatie on-premises (in feite voor Skype voor Bedrijven er een lijst met ondersteunde topologieën is), zodat de server die verantwoordelijk is voor verificatie en autorisatie zich in de Microsoft Cloud bevindt (de beveiligingstokenservice van Azure AD, genaamd 'evoSTS'), en het bijwerken van Azure AD over de URL's of naamruimten die worden gebruikt door uw on-premises installatie van Skype voor Bedrijven of Exchange. Daarom nemen on-premises servers een Microsoft Cloud-afhankelijkheid over. Het uitvoeren van deze actie kan worden beschouwd als het configureren van 'hybride verificatie'.
  • In dit artikel vindt u koppelingen naar anderen die u helpen bij het kiezen van ondersteunde moderne verificatietopologieën (alleen nodig voor Skype voor Bedrijven) en artikelen met instructies waarin de installatiestappen of stappen voor het uitschakelen van moderne verificatie voor Exchange on-premises en Skype voor Bedrijven on-premises worden beschreven. Maak deze pagina favoriet in uw browser als u een basis nodig hebt voor het gebruik van moderne verificatie in uw serveromgeving.