Omówienie nowoczesnego uwierzytelniania hybrydowego i wymagania wstępne dotyczące korzystania z niego z lokalnymi serwerami Skype dla firm i exchange

  • Artykuł

Ten artykuł dotyczy zarówno Microsoft 365 Enterprise, jak i Office 365 Enterprise.

Nowoczesne uwierzytelnianie to metoda zarządzania tożsamościami, która oferuje bezpieczniejsze uwierzytelnianie użytkowników i autoryzację. Jest ona dostępna dla Office 365 wdrożeń hybrydowych Skype dla firm serwera lokalnego i lokalnego serwera Exchange oraz hybrydowych Skype dla firm domeny podzielonej. Ten artykuł zawiera linki do powiązanych dokumentów dotyczących wymagań wstępnych, konfiguracji/wyłączania nowoczesnego uwierzytelniania oraz niektórych powiązanych informacji dotyczących klienta (np. klientów programu Outlook i Skype).

Co to jest nowoczesne uwierzytelnianie?

Nowoczesne uwierzytelnianie jest terminem parasolowym dla kombinacji metod uwierzytelniania i autoryzacji między klientem (na przykład laptopem lub telefonem) a serwerem, a także niektórych środków bezpieczeństwa, które opierają się na zasadach dostępu, które mogą już być znane. Oto co obejmuje:

  • Metody uwierzytelniania: uwierzytelnianie wieloskładnikowe (MFA); uwierzytelnianie za pomocą karty inteligentnej; uwierzytelnianie oparte na certyfikatach klienta
  • Metody autoryzacji: implementacja otwartej autoryzacji (OAuth) firmy Microsoft
  • Zasady dostępu warunkowego: zarządzanie aplikacjami mobilnymi (MAM) i dostęp warunkowy Microsoft Entra

Zarządzanie tożsamościami użytkowników przy użyciu nowoczesnego uwierzytelniania zapewnia administratorom wiele różnych narzędzi do użycia w przypadku zabezpieczania zasobów i oferuje bezpieczniejsze metody zarządzania tożsamościami zarówno w środowisku lokalnym (Exchange, jak i Skype dla firm), hybrydowym programie Exchange i Skype dla firm scenariuszach hybrydowych/podzielonych domen.

Ponieważ Skype dla firm ściśle współpracuje z programem Exchange, na zachowanie logowania Skype dla firm użytkowników klienckich będzie mieć wpływ nowoczesny stan uwierzytelniania programu Exchange. Ma to również zastosowanie, jeśli masz Skype dla firm hybrydową architekturę domeny podzielonej, w której masz zarówno Skype dla firm Online, jak i Skype dla firm lokalnie, a użytkownicy są hostami w obu lokalizacjach.

Aby uzyskać więcej informacji na temat nowoczesnego uwierzytelniania w Office 365, zobacz Office 365 Obsługa aplikacji klienckich — uwierzytelnianie wieloskładnikowe.

Ważna

Od sierpnia 2017 r. wszystkie nowe dzierżawy Office 365, które obejmują Skype dla firm online i exchange online, będą domyślnie włączone nowoczesne uwierzytelnianie. Istniejące dzierżawy nie będą miały zmiany w domyślnym stanie ma, ale wszystkie nowe dzierżawy automatycznie obsługują rozszerzony zestaw funkcji tożsamości, które zostały wyświetlone wcześniej. Aby sprawdzić stan ma, zobacz sprawdzanie stanu nowoczesnego uwierzytelniania środowiska lokalnego .

Jakie zmiany korzystania z nowoczesnego uwierzytelniania?

W przypadku korzystania z nowoczesnego uwierzytelniania przy użyciu lokalnego Skype dla firm lub serwera Exchange nadal uwierzytelniasz użytkowników lokalnie, ale zmienia się historia autoryzowania ich dostępu do zasobów (takich jak pliki lub wiadomości e-mail). Dlatego mimo że nowoczesne uwierzytelnianie dotyczy komunikacji z klientem i serwerem, kroki wykonywane podczas konfigurowania programu MA powodują, że funkcja evoSTS (usługa tokenu zabezpieczającego używana przez Tożsamość Microsoft Entra) jest ustawiana jako serwer uwierzytelniania dla Skype dla firm i lokalnego serwera exchange.

Zmiana na evoSTS umożliwia serwerom lokalnym korzystanie z uwierzytelniania OAuth (wystawiania tokenów) w celu autoryzowania klientów, a także umożliwia lokalnym korzystanie z metod zabezpieczeń typowych w chmurze (takich jak uwierzytelnianie wieloskładnikowe). Ponadto evoSTS wystawia tokeny, które umożliwiają użytkownikom żądanie dostępu do zasobów bez podawania hasła w ramach żądania. Niezależnie od tego, gdzie znajdują się użytkownicy (online lub lokalnie) i niezależnie od tego, która lokalizacja hostuje potrzebny zasób, platforma EvoSTS stanie się rdzeniem autoryzacji użytkowników i klientów po skonfigurowaniu nowoczesnego uwierzytelniania.

Jeśli na przykład klient Skype dla firm musi uzyskać dostęp do serwera Exchange, aby uzyskać informacje o kalendarzu w imieniu użytkownika, używa w tym celu biblioteki microsoft authentication library (MSAL). BIBLIOTEKA MSAL to biblioteka kodu przeznaczona do udostępniania zabezpieczonych zasobów w katalogu aplikacjom klienckim przy użyciu tokenów zabezpieczających protokołu OAuth. Biblioteka MSAL współpracuje z usługą OAuth w celu weryfikowania oświadczeń i wymiany tokenów (zamiast haseł), aby udzielić użytkownikowi dostępu do zasobu. W przeszłości urząd w transakcji takiej jak ta — serwer, który wie, jak weryfikować oświadczenia użytkowników i wystawiać wymagane tokeny — mógł być lokalną usługą tokenu zabezpieczającego, a nawet Active Directory Federation Services. Jednak nowoczesne uwierzytelnianie scentralizuje ten urząd przy użyciu Tożsamość Microsoft Entra.

Oznacza to również, że nawet jeśli serwer programu Exchange i środowiska Skype dla firm mogą być całkowicie lokalne, serwer autoryzacji jest w trybie online, a środowisko lokalne musi mieć możliwość tworzenia i utrzymywania połączenia z subskrypcją Office 365 w chmurze (oraz wystąpieniem Microsoft Entra używanym przez subskrypcję jako katalog).

Co się nie zmienia? Niezależnie od tego, czy korzystasz z hybrydowej domeny podzielonej, czy używasz lokalnego serwera Skype dla firm i programu Exchange, wszyscy użytkownicy muszą najpierw uwierzytelnić się lokalnie. W przypadku hybrydowej implementacji nowoczesnego uwierzytelniania wykrywanie programu Lyncdiscovery i wykrywanie automatyczne wskazują serwer lokalny.

Ważna

Jeśli musisz znać konkretne topologie Skype dla firm obsługiwane przez ma, to jest to udokumentowane tutaj.

Sprawdzanie stanu nowoczesnego uwierzytelniania środowiska lokalnego

Ponieważ nowoczesne uwierzytelnianie zmienia serwer autoryzacji używany podczas stosowania usług OAuth/S2S, musisz wiedzieć, czy nowoczesne uwierzytelnianie jest włączone lub wyłączone dla lokalnych środowisk Skype dla firm i exchange. Stan na serwerach programu Exchange można sprawdzić, uruchamiając następujące polecenie programu PowerShell:

Get-OrganizationConfig | ft OAuth*

Jeśli wartość właściwości OAuth2ClientProfileEnabled to False, nowoczesne uwierzytelnianie jest wyłączone.

Aby uzyskać więcej informacji na temat Get-OrganizationConfig polecenia cmdlet, zobacz Get-OrganizationConfig.

Serwery Skype dla firm można sprawdzić, uruchamiając następujące polecenie programu PowerShell:

Get-CSOAuthConfiguration

Jeśli polecenie zwraca pustą właściwość OAuthServers lub jeśli wartość właściwości ClientADALAuthOverride nie jest dozwolona, nowoczesne uwierzytelnianie jest wyłączone.

Aby uzyskać więcej informacji na temat Get-CsOAuthConfiguration polecenia cmdlet, zobacz Get-CsOAuthConfiguration.

Czy spełniasz wymagania wstępne dotyczące nowoczesnego uwierzytelniania?

Przed kontynuowaniem sprawdź i sprawdź te elementy z listy:

  • Skype dla firm specyficzne

    • Wszystkie serwery muszą mieć aktualizację zbiorczą (CU5) z maja 2017 r. dla Skype dla firm Server 2015 r. lub nowszej
      • Wyjątek — urządzenie survivability Branch (SBA) może być w bieżącej wersji (na podstawie programu Lync 2013)
    • Domena SIP jest dodawana jako domena federacyjna w Office 365
    • Wszystkie frontony SFB muszą mieć połączenia wychodzące z Internetem, aby Office 365 adresy URL uwierzytelniania (TCP 443) i dobrze znane główne listy CRL certyfikatów (TCP 80) wymienione w wierszach 56 i 125 sekcji "Microsoft 365 Common and Office" w Office 365 adresów URL i zakresów adresów IP.

  • Skype dla firm lokalnie w środowisku Office 365 hybrydowej

    • Wdrożenie Skype dla firm Server 2019 r. ze wszystkimi serwerami z systemem Skype dla firm Server 2019 r.
    • Wdrożenie Skype dla firm Server 2015 r. ze wszystkimi serwerami z systemem Skype dla firm Server 2015 r.
    • Wdrożenie z maksymalnie dwiema różnymi wersjami serwera, jak pokazano poniżej:
      • Skype dla firm serwer 2015
      • Skype dla firm serwer 2019
    • Wszystkie serwery Skype dla firm muszą mieć zainstalowane najnowsze aktualizacje zbiorcze. Zobacz Skype dla firm Server aktualizacje, aby znaleźć wszystkie dostępne aktualizacje i zarządzać nimi.
    • W środowisku hybrydowym nie ma programu Lync Server 2010 ani 2013.

Uwaga

Jeśli serwery frontonu Skype dla firm używają serwera proxy na potrzeby dostępu do Internetu, adres IP serwera proxy i numer portu muszą zostać wprowadzone w sekcji konfiguracji pliku web.config dla każdego frontonu.

  • C:\Program Files\Skype dla firm Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype dla firm Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Ważna

Pamiętaj, aby subskrybować kanał informacyjny RSS dla Office 365 adresów URL i zakresów adresów IP, aby być na bieżąco z najnowszymi listami wymaganych adresów URL.

  • Exchange Server specyficzne

    • Używasz programu Exchange Server 2013 CU19 lub nowszego, programu Exchange Server 2016 CU8 lub nowszego lub Exchange Server cu1 2019 lub nowszego.
    • W środowisku nie ma programu Exchange Server 2010.
    • Odciążanie protokołu SSL nie jest skonfigurowane. Obsługiwane jest kończenie I ponowne szyfrowanie protokołu SSL.
    • W przypadku, gdy środowisko korzysta z infrastruktury serwera proxy, aby umożliwić serwerom łączenie się z Internetem, upewnij się, że wszystkie serwery exchange mają serwer proxy zdefiniowany we właściwości InternetWebProxy .

  • Exchange Server lokalnie w środowisku Office 365 hybrydowej

    • Jeśli używasz programu Exchange Server 2013 r., co najmniej jeden serwer musi mieć zainstalowane role skrzynki pocztowej i serwera dostępu klienta. Chociaż można zainstalować role Skrzynka pocztowa i Dostęp klienta na oddzielnych serwerach, zdecydowanie zalecamy zainstalowanie obu ról na tym samym serwerze, aby zapewnić większą niezawodność i lepszą wydajność.
    • Jeśli używasz programu Exchange Server 2016 lub nowszej wersji, co najmniej jeden serwer musi mieć zainstalowaną rolę serwera skrzynki pocztowej.
    • W środowisku hybrydowym nie ma programu Exchange Server 2007 ani 2010.
    • Wszystkie serwery programu Exchange muszą mieć zainstalowane najnowsze aktualizacje zbiorcze. Zobacz Uaktualnianie programu Exchange do najnowszej Aktualizacje skumulowanej, aby znaleźć wszystkie dostępne aktualizacje i zarządzać nimi.

  • Wymagania dotyczące klienta i protokołu programu Exchange

    Dostępność nowoczesnego uwierzytelniania zależy od kombinacji klienta, protokołu i konfiguracji. Jeśli nowoczesne uwierzytelnianie nie jest obsługiwane przez klienta, protokół i/lub konfigurację, klient nadal używa starszego uwierzytelniania.

    Następujący klienci i protokoły obsługują nowoczesne uwierzytelnianie za pomocą lokalnego programu Exchange po włączeniu nowoczesnego uwierzytelniania w środowisku:

    Klientów Protokół podstawowy Uwagi
    Outlook 2013 i nowsze
    		 MAPI za pośrednictwem protokołu HTTP
    		 Interfejs MAPI za pośrednictwem protokołu HTTP musi być włączony w programie Exchange w celu korzystania z nowoczesnego uwierzytelniania z tymi klientami (włączone lub true dla nowych instalacji programu Exchange 2013 z dodatkiem Service Pack 1 lub nowszym); Aby uzyskać więcej informacji, zobacz Jak działa nowoczesne uwierzytelnianie dla aplikacji klienckich pakietu Office 2013 i Office 2016.
    Upewnij się, że używasz minimalnej wymaganej kompilacji programu Outlook. zobacz Najnowsze aktualizacje wersji programu Outlook korzystających z Instalatora Windows (MSI).
    Outlook 2016 dla komputerów Mac i nowsze
    		 Usługi sieci Web programu Exchange
    Outlook dla systemów iOS i Android
    		 Technologia synchronizacji firmy Microsoft
    		 Aby uzyskać więcej informacji, zobacz Korzystanie z nowoczesnego uwierzytelniania hybrydowego w programie Outlook dla systemów iOS i Android .
    Exchange ActiveSync klientów (na przykład poczta systemu iOS11)
    		 Exchange ActiveSync
    		 Aby Exchange ActiveSync klientów, którzy obsługują nowoczesne uwierzytelnianie, należy ponownie utworzyć profil, aby przełączyć się z uwierzytelniania podstawowego na nowoczesne uwierzytelnianie.

    Klienci i/lub protokoły, których nie ma na liście (na przykład POP3), nie obsługują nowoczesnego uwierzytelniania w lokalnym programie Exchange i nadal korzystają ze starszych mechanizmów uwierzytelniania nawet po włączeniu nowoczesnego uwierzytelniania w środowisku.

  • Ogólne wymagania wstępne

    • Scenariusze lasu zasobów wymagają dwukierunkowego zaufania z lasem konta, aby zapewnić, że podczas żądań nowoczesnego uwierzytelniania hybrydowego są wykonywane odpowiednie wyszukiwania identyfikatorów SID.

    • Jeśli używasz usług AD FS, należy mieć windows 2012 R2 AD FS 3.0 i nowsze dla federacji.

    • Konfiguracje tożsamości to dowolne typy obsługiwane przez program Microsoft Entra Connect, takie jak synchronizacja skrótów haseł, uwierzytelnianie przekazywane i lokalny usługa STS obsługiwana przez Office 365.

    • Program Microsoft Entra Connect został skonfigurowany i działa na potrzeby replikacji i synchronizacji użytkowników.

      Uwaga

      Wszystkie konta użytkowników, które nie są zsynchronizowane z Microsoft Entra Identity, nie otrzymają tokenu autoryzacji za pośrednictwem nowoczesnego uwierzytelniania hybrydowego. Gdy aplikacja lokalna zostanie skonfigurowana do używania narzędzia evoSTS jako domyślnego punktu końcowego autoryzacji, te konta użytkowników, które nie są synchronizowane, napotkają problemy z dostępem do aplikacji, jeśli odpowiednia konfiguracja nie jest dostępna.

    • Sprawdzono, że konfiguracja hybrydowa jest skonfigurowana przy użyciu klasycznego trybu topologii hybrydowej programu Exchange między środowiskiem lokalnym i Office 365. Oficjalna instrukcja pomocy technicznej dla hybrydowego programu Exchange mówi, że musisz mieć bieżącą cu lub bieżącą cu - 1.

      Uwaga

      Nowoczesne uwierzytelnianie hybrydowe nie jest obsługiwane w przypadku agenta hybrydowego.

    • Upewnij się, że zarówno lokalny użytkownik testowy, jak i użytkownik testów hybrydowych, który jest używany w Office 365, mogą zalogować się do klienta klasycznego Skype dla firm (jeśli chcesz używać nowoczesnego uwierzytelniania za pomocą programu Skype) i programu Microsoft Outlook (jeśli chcesz używać nowoczesnego uwierzytelniania w programie Exchange).

    • Upewnij się, że ustawienie SignInOptions w pakiecie Microsoft Office nie jest skonfigurowane do najbardziej restrykcyjnego ustawienia. Aby uzyskać więcej informacji, zobacz Jak zezwolić pakietowi Office na łączenie się z Internetem.

Co jeszcze muszę wiedzieć przed rozpoczęciem?

  • Wszystkie scenariusze dotyczące serwerów lokalnych obejmują skonfigurowanie nowoczesnego uwierzytelniania lokalnego (w rzeczywistości dla Skype dla firm istnieje lista obsługiwanych topologii), dzięki czemu serwer odpowiedzialny za uwierzytelnianie i autoryzację znajduje się w chmurze firmy Microsoft (usługa tokenu zabezpieczającego Tożsamość Microsoft Entra o nazwie "evoSTS") i aktualizowanie Tożsamość Microsoft Entra o adresach URL lub przestrzeniach nazw używanych przez lokalną instalację Skype dla firm lub programu Exchange. W związku z tym serwery lokalne przyjmują zależność chmury firmy Microsoft. Wykonanie tej akcji można rozważyć skonfigurowanie "uwierzytelniania hybrydowego".
  • Ten artykuł zawiera linki do innych osób, które pomagają wybrać obsługiwane topologie nowoczesnego uwierzytelniania (niezbędne tylko dla Skype dla firm) oraz artykuły z instrukcjami, które przedstawiają kroki konfiguracji lub kroki wyłączania nowoczesnego uwierzytelniania w przypadku lokalnego i Skype dla firm lokalnego programu Exchange. Wybierz tę stronę jako ulubioną w przeglądarce, jeśli potrzebujesz bazy głównej do korzystania z nowoczesnego uwierzytelniania w środowisku serwera.