Delen via


Overzicht van hybride moderne verificatie en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijven- en Exchange-servers

Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.

Moderne verificatie is een methode voor identiteitsbeheer die veiligere gebruikersverificatie en autorisatie biedt. Het is beschikbaar voor hybride implementaties van Office 365 van Skype voor Bedrijven-server on-premises en Exchange-server on-premises, en split-domain Skype voor Bedrijven-hybriden. Dit artikel bevat koppelingen naar gerelateerde documenten over vereisten, het instellen/uitschakelen van moderne verificatie en naar enkele van de gerelateerde clientgegevens (zoals Outlook- en Skype-clients).

Wat is moderne verificatie?

Moderne verificatie is een overkoepelende term voor een combinatie van verificatie- en autorisatiemethoden tussen een client (bijvoorbeeld uw laptop of uw telefoon) en een server, evenals enkele beveiligingsmaatregelen die afhankelijk zijn van toegangsbeleid waarmee u mogelijk al bekend bent. Deze omvat:

  • Verificatiemethoden: Meervoudige verificatie (MFA); smartcardverificatie; clientverificatie op basis van certificaten
  • Autorisatiemethoden: De implementatie van Open Authorization (OAuth) door Microsoft
  • Beleid voor voorwaardelijke toegang: Mobile Application Management (MAM) en Microsoft Entra Conditional Access

Het beheren van gebruikersidentiteiten met moderne verificatie biedt beheerders veel verschillende hulpprogramma's om te gebruiken als het gaat om het beveiligen van resources en biedt veiligere methoden voor identiteitsbeheer voor zowel on-premises (Exchange en Skype voor Bedrijven), hybride Exchange- en Hybride/split-domeinscenario's van Skype voor Bedrijven.

Omdat Skype voor Bedrijven nauw samenwerkt met Exchange, worden gebruikers van de Skype voor Bedrijven-client beïnvloed door de moderne verificatiestatus van Exchange. Dit is ook van toepassing als u een hybride skype voor Bedrijven-architectuur met gesplitste domeinen hebt, waarin u zowel Skype voor Bedrijven Online als Skype voor Bedrijven on-premises hebt, met gebruikers op beide locaties.

Zie Ondersteuning voor Office 365-client-app - Meervoudige verificatie voor meer informatie over moderne verificatie in Office 365.

Belangrijk

Vanaf augustus 2017 is moderne verificatie standaard ingeschakeld voor alle nieuwe Office 365-tenants met Skype voor Bedrijven Online en Exchange Online. Bestaande tenants hebben geen wijziging in hun standaard MA-status, maar alle nieuwe tenants ondersteunen automatisch de uitgebreide set identiteitsfuncties die u eerder ziet. Als u de MA-status wilt controleren, raadpleegt u de sectie De moderne verificatiestatus van uw on-premises omgeving controleren.

Wat verandert er wanneer ik moderne verificatie gebruik?

Wanneer u moderne verificatie gebruikt met on-premises Skype voor Bedrijven of Exchange-server, bent u nog steeds bezig met het verifiëren van gebruikers on-premises, maar het verhaal van het autoriseren van hun toegang tot resources (zoals bestanden of e-mailberichten) verandert. Dit is de reden waarom, hoewel moderne verificatie betrekking heeft op client- en servercommunicatie, de stappen die worden uitgevoerd tijdens het configureren van MA ertoe leiden dat evoSTS (een beveiligingstokenservice die wordt gebruikt door Microsoft Entra ID) wordt ingesteld als verificatieserver voor Skype voor Bedrijven en Exchange-server on-premises.

Met de wijziging in evoSTS kunnen uw on-premises servers profiteren van OAuth (tokenuitgifte) voor het autoriseren van uw clients en kunnen uw on-premises beveiligingsmethoden gebruiken die gebruikelijk zijn in de cloud (zoals Multi-Factor Authentication). Daarnaast geeft de evoSTS tokens uit waarmee gebruikers toegang tot resources kunnen aanvragen zonder hun wachtwoord op te geven als onderdeel van de aanvraag. Ongeacht waar uw gebruikers zich bevinden (online of on-premises), en ongeacht welke locatie de benodigde resource host, zou EvoSTS de kern worden van het autoriseren van gebruikers en clients zodra moderne verificatie is geconfigureerd.

Als een Skype voor Bedrijven-client bijvoorbeeld toegang moet hebben tot exchange-server om agendagegevens namens een gebruiker op te halen, gebruikt deze hiervoor de Microsoft Authentication Library (MSAL). MSAL is een codebibliotheek die is ontworpen om beveiligde resources in uw directory beschikbaar te maken voor clienttoepassingen met behulp van OAuth-beveiligingstokens. MSAL werkt met OAuth om claims te verifiëren en tokens uit te wisselen (in plaats van wachtwoorden), om een gebruiker toegang te verlenen tot een resource. In het verleden was de instantie in een transactie zoals deze, de server die weet hoe gebruikersclaims moeten worden gevalideerd en de benodigde tokens moeten worden verleend, mogelijk een on-premises beveiligingstokenservice of zelfs Active Directory Federation Services. Moderne verificatie centraliseert die instantie echter met behulp van Microsoft Entra ID.

Dit betekent ook dat, hoewel uw Exchange-server en Skype voor Bedrijven-omgevingen mogelijk volledig on-premises zijn, de autorisatieserver online is en uw on-premises omgeving de mogelijkheid moet hebben om een verbinding te maken en te onderhouden met uw Office 365-abonnement in de cloud (en het Microsoft Entra-exemplaar dat uw abonnement als map gebruikt).

Wat verandert er niet? Of u zich nu in een hybride gesplitst domein bevindt of Skype voor Bedrijven en Exchange-server on-premises gebruikt, alle gebruikers moeten zich eerst on-premises verifiëren. In een hybride implementatie van moderne verificatie verwijzen Lyncdiscovery en Autodiscovery beide naar uw on-premises server.

Belangrijk

Als u wilt weten welke specifieke Skype voor Bedrijven-topologieën worden ondersteund met MA, wordt dat hier beschreven.

De moderne verificatiestatus van uw on-premises omgeving controleren

Omdat moderne verificatie de autorisatieserver wijzigt die wordt gebruikt wanneer services OAuth/S2S toepassen, moet u weten of moderne verificatie is ingeschakeld of uitgeschakeld voor uw on-premises Skype voor Bedrijven- en Exchange-omgevingen. U kunt de status op uw Exchange-servers controleren door de volgende PowerShell-opdracht uit te voeren:

Get-OrganizationConfig | ft OAuth*

Als de waarde van de eigenschap OAuth2ClientProfileEnabledOnwaar is, wordt moderne verificatie uitgeschakeld.

Zie Get-OrganizationConfig voor meer informatie over de Get-OrganizationConfig cmdlet.

U kunt uw Skype voor Bedrijven-servers controleren door de volgende PowerShell-opdracht uit te voeren:

Get-CSOAuthConfiguration

Als de opdracht een lege OAuthServers-eigenschap retourneert of als de waarde van de eigenschap ClientADALAuthOverride niet is toegestaan, wordt moderne verificatie uitgeschakeld.

Zie Get-CsOAuthConfiguration voor meer informatie over de Get-CsOAuthConfiguration cmdlet.

Voldoet u aan de vereisten voor moderne verificatie?

Controleer en controleer deze items uit de lijst voordat u doorgaat:

  • Specifiek voor Skype voor Bedrijven

    • Alle servers moeten beschikken over de cumulatieve update van mei 2017 (CU5) voor Skype voor Bedrijven Server 2015 of hoger
      • Uitzondering : SBA (Survivability Branch Appliance) kan de huidige versie hebben (gebaseerd op Lync 2013)
    • Uw SIP-domein wordt toegevoegd als een federatief domein in Office 365
    • Alle SFB Front Ends moeten uitgaande verbindingen hebben naar internet, naar Office 365-verificatie-URL's (TCP 443) en bekende basis-CRL's voor certificaten (TCP 80) die worden vermeld in rij 56 en 125 van de sectie Microsoft 365 Common en Office van URL's en IP-adresbereiken van Office 365.
  • Skype voor Bedrijven on-premises in een hybride Office 365-omgeving

    • Een Implementatie van Skype voor Bedrijven Server 2019 met alle servers waarop Skype voor Bedrijven Server 2019 wordt uitgevoerd.
    • Een Implementatie van Skype voor Bedrijven Server 2015 met alle servers met Skype voor Bedrijven Server 2015.
    • Een implementatie met maximaal twee verschillende serverversies, zoals hieronder wordt vermeld:
      • Skype voor Bedrijven Server 2015
      • Skype voor Bedrijven Server 2019
    • Op alle Skype voor Bedrijven-servers moeten de meest recente cumulatieve updates zijn geïnstalleerd. Zie Skype voor Bedrijven Server-updates om alle beschikbare updates te vinden en te beheren.
    • De hybride omgeving bevat geen Lync Server 2010 of 2013.

Opmerking

Als uw front-endservers van Skype voor Bedrijven een proxyserver gebruiken voor internettoegang, moeten het ip-adres en poortnummer van de proxyserver worden ingevoerd in de configuratiesectie van het web.config-bestand voor elke front-end.

  • C:\Program Files\Skype voor Bedrijven Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype voor Bedrijven Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Belangrijk

Zorg ervoor dat u zich abonneert op de RSS-feed voor Office 365-URL's en IP-adresbereiken om op de hoogte te blijven van de meest recente vermeldingen van vereiste URL's.

  • Exchange Server-specifiek

    • U gebruikt Exchange Server 2013 CU19 en hoger, Exchange Server 2016 CU8 en hoger of Exchange Server 2019 CU1 en hoger.
    • Er is geen Exchange Server 2010 in de omgeving.
    • SSL-offloading is niet geconfigureerd. SSL-beëindiging en herversleuteling worden ondersteund.
    • Als uw omgeving gebruikmaakt van een proxyserverinfrastructuur om servers verbinding te laten maken met internet, moet u ervoor zorgen dat op alle Exchange-servers de proxyserver is gedefinieerd in de eigenschap InternetWebProxy .
  • Exchange Server on-premises in een hybride Office 365-omgeving

    • Als u Exchange Server 2013 gebruikt, moet op ten minste één server de serverfuncties Postvak en Clienttoegang zijn geïnstalleerd. Hoewel het mogelijk is om de rollen Postvak en Clienttoegang op afzonderlijke servers te installeren, raden we u ten zeerste aan beide rollen op dezelfde server te installeren om meer betrouwbaarheid en betere prestaties te bieden.
    • Als u Exchange Server 2016 of hoger gebruikt, moet de functie Postvakserver op ten minste één server zijn geïnstalleerd.
    • Er is geen Exchange-server 2007 of 2010 in de hybride omgeving.
    • Op alle Exchange-servers moeten de meest recente cumulatieve updates zijn geïnstalleerd. Zie Exchange upgraden naar de meest recente cumulatieve updates om alle beschikbare updates te zoeken en te beheren.
  • Exchange-client- en protocolvereisten

    De beschikbaarheid van moderne verificatie wordt bepaald door de combinatie van de client, het protocol en de configuratie. Als moderne verificatie niet wordt ondersteund door de client, het protocol en/of de configuratie, blijft de client verouderde verificatie gebruiken.

    De volgende clients en protocollen ondersteunen moderne verificatie met on-premises Exchange wanneer moderne verificatie is ingeschakeld in de omgeving:

    Cliënten Primair protocol Opmerkingen
    Outlook 2013 en hoger
    MAPI via HTTP
    MAPI via HTTP moet zijn ingeschakeld in Exchange om moderne verificatie met deze clients te kunnen gebruiken (ingeschakeld of True voor nieuwe installaties van Exchange 2013 Service Pack 1 en hoger); Zie Hoe moderne verificatie werkt voor Office 2013- en Office 2016-client-apps voor meer informatie.
    Zorg ervoor dat u de minimaal vereiste build van Outlook uitvoert; Zie Meest recente updates voor versies van Outlook die gebruikmaken van Windows Installer (MSI).
    Outlook 2016 voor Mac en hoger
    Exchange-webservices

    Outlook voor iOS en Android
    Microsoft-synchronisatietechnologie
    Zie Hybride moderne verificatie gebruiken met Outlook voor iOS en Android voor meer informatie.
    Exchange ActiveSync-clients (bijvoorbeeld iOS11 Mail)
    Exchange ActiveSync
    Voor Exchange ActiveSync-clients die moderne verificatie ondersteunen, moet u het profiel opnieuw maken om over te schakelen van basisverificatie naar moderne verificatie.

    Clients en/of protocollen die niet worden vermeld (bijvoorbeeld POP3) bieden geen ondersteuning voor moderne verificatie met on-premises Exchange en blijven verouderde verificatiemechanismen gebruiken, zelfs nadat moderne verificatie is ingeschakeld in de omgeving.

  • Algemene vereisten

    • Resourceforestscenario's vereisen een vertrouwensrelatie in twee richtingen met het accountforest om ervoor te zorgen dat de juiste SID-zoekacties worden uitgevoerd tijdens hybride moderne verificatieaanvragen.

    • Als u AD FS gebruikt, moet u Windows 2012 R2 AD FS 3.0 en hoger hebben voor federatie.

    • Uw identiteitsconfiguraties zijn alle typen die worden ondersteund door Microsoft Entra Connect, zoals wachtwoord-hashsynchronisatie, passthrough-verificatie en on-premises STS die worden ondersteund door Office 365.

    • U hebt Microsoft Entra Connect geconfigureerd en werkt voor replicatie en synchronisatie van gebruikers.

      Opmerking

      Gebruikersaccounts die niet zijn gesynchroniseerd met Microsoft Entra Identity, krijgen geen autorisatietoken via Hybride moderne verificatie. Zodra de on-premises toepassing is geconfigureerd voor het gebruik van evoSTS als standaardautorisatie-eindpunt, ondervinden deze gebruikersaccounts die niet zijn gesynchroniseerd problemen met hun toegang tot de toepassing als de juiste configuratie niet beschikbaar is.

    • U hebt gecontroleerd of hybride is geconfigureerd met de klassieke exchange-topologiemodus tussen uw on-premises en Office 365-omgeving. De officiële ondersteuningsverklaring voor hybride Exchange zegt dat u de huidige CU of huidige CU - 1 moet hebben.

      Opmerking

      Hybride moderne verificatie wordt niet ondersteund met de hybride agent.

    • Zorg ervoor dat zowel een on-premises testgebruiker als een hybride testgebruiker in Office 365 zich kan aanmelden bij de skype voor Bedrijven-desktopclient (als u moderne verificatie met Skype wilt gebruiken) en Microsoft Outlook (als u moderne verificatie met Exchange wilt gebruiken).

    • Zorg ervoor dat de instelling SignInOptions in Microsoft Office niet is geconfigureerd op de meest beperkende instelling. Zie Office toestaan verbinding te maken met internet voor meer informatie.

Wat moet ik nog meer weten voordat ik begin?

  • Alle scenario's voor on-premises servers omvatten het instellen van moderne verificatie on-premises (in feite is er voor Skype voor Bedrijven een lijst met ondersteunde topologieën) zodat de server die verantwoordelijk is voor verificatie en autorisatie zich in de Microsoft Cloud bevindt (de beveiligingstokenservice van Microsoft Entra ID, genaamd 'evoSTS'), en het bijwerken van Microsoft Entra ID over de URL's of naamruimten die worden gebruikt door uw on-premises installatie van Skype voor Bedrijven of Exchange. On-premises servers nemen daarom een Microsoft Cloud-afhankelijkheid aan. Het uitvoeren van deze actie kan worden beschouwd als het configureren van 'hybride verificatie'.
  • Dit artikel bevat koppelingen naar andere die u helpen bij het kiezen van ondersteunde moderne verificatietopologieën (alleen nodig voor Skype voor Bedrijven) en artikelen met instructies waarin de installatiestappen of stappen voor het uitschakelen van moderne verificatie voor Exchange on-premises en Skype voor Bedrijven on-premises worden beschreven. Geef deze pagina in uw browser als u een basis nodig hebt voor het gebruik van moderne verificatie in uw serveromgeving.