Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo se aplica tanto ao Microsoft 365 Enterprise quanto ao Office 365 Enterprise.
A Autenticação Moderna é um método de gerenciamento de identidades que oferece autenticação e autorização de usuários mais seguras. Está disponível para Office 365 implementações híbridas do servidor Skype for Business no local e do servidor Exchange no local e Skype for Business híbridos de domínio dividido. Este artigo liga-se a documentos relacionados sobre pré-requisitos, configuração/desativação da autenticação moderna e a algumas das informações relacionadas do cliente (por exemplo, clientes do Outlook e do Skype).
- O que é autenticação moderna?
- O que muda quando eu uso a autenticação moderna?
- Verifique o status da autenticação moderna do seu ambiente no local
- Você cumpre os pré-requisitos da autenticação moderna?
- O que mais preciso saber antes de começar?
O que é autenticação moderna?
A autenticação moderna é um termo para uma combinação de métodos de autenticação e autorização entre um cliente (por exemplo, o seu portátil ou telemóvel) e um servidor, bem como algumas medidas de segurança que dependem de políticas de acesso com as quais já esteja familiarizado. Isso inclui:
- Métodos de autenticação: Autenticação multifator (MFA); autenticação inteligente card; autenticação baseada em certificados de cliente
- Métodos de autorização: implementação da Open Authorization (OAuth) pela Microsoft
- Políticas de acesso condicional: Gestão de Aplicações Móveis (MAM) e Acesso Condicional Microsoft Entra
O gerenciamento das identidades de usuário com a autenticação moderna proporciona aos administradores muitas ferramentas diferentes que podem ser usadas para a proteção de recursos e oferece métodos mais seguros de gerenciamento de identidades, tanto para o ambiente no local (Exchange e Skype for Business), quanto para os ambientes do Exchange híbrido e do Skype for Business híbrido/com domínio dividido.
Uma vez que Skype for Business funciona em estreita colaboração com o Exchange, o comportamento de início de sessão Skype for Business utilizadores cliente será afetado pela autenticação moderna status do Exchange. Também é aplicável se tiver uma arquitetura híbrida de domínio dividido Skype for Business, na qual tem Skype for Business Online e Skype for Business no local, com utilizadores armazenados em ambas as localizações.
Para obter mais informações sobre a autenticação moderna no Office 365, veja Office 365 Client App Support - Multi-factor authentication (Suporte da Aplicação Cliente do Office 365 – Autenticação multifator).
Importante
A partir de agosto de 2017, todos os locatários do novo Office 365 que incluíam o Skype for Business online e o Exchange online passaram a ter a autenticação moderna habilitada por padrão. Os inquilinos pré-existentes não terão uma alteração no estado de MA predefinido, mas todos os novos inquilinos suportam automaticamente o conjunto expandido de funcionalidades de identidade que vê listado anteriormente. Para verificar seu status de AM, confira a seção Verificar o status da autenticação moderna do seu ambiente no local.
O que muda quando eu uso a autenticação moderna?
Quando você usa a autenticação moderna com o Skype for Business ou Exchange Server no local, você continua autenticando os usuários no local, mas a forma de autorizar seu acesso aos recursos (como arquivos ou emails) muda. É por isso que, embora a autenticação moderna tenha a ver com a comunicação do cliente e do servidor, os passos realizados durante a configuração do MA resultam na definição de evoSTS (um Serviço de Tokens de Segurança utilizado pelo Microsoft Entra ID) como Servidor de Autenticação para Skype for Business e servidor exchange no local.
A mudança para o evoSTS permite que seus servidores no local tirem proveito do OAuth (emissão de token) para autorizar seus clientes, além de permitir que o seu local utilize métodos de segurança que são comuns na nuvem (como a autenticação multifator). Além disso, o evoSTS emite tokens que permitem que os usuários solicitem acesso aos recursos sem fornecer sua senha como parte da solicitação. Independentemente de onde os seus utilizadores estejam alojados (online ou no local) e independentemente da localização que aloje o recurso necessário, o EvoSTS tornar-se-ia o núcleo da autorização de utilizadores e clientes assim que a autenticação moderna fosse configurada.
Por exemplo, se um cliente Skype for Business precisar de aceder ao servidor Exchange para obter informações de calendário em nome de um utilizador, utiliza a Biblioteca de Autenticação da Microsoft (MSAL) para o fazer. A MSAL é uma biblioteca de código concebida para disponibilizar recursos protegidos no seu diretório para aplicações cliente com tokens de segurança OAuth. A MSAL trabalha com o OAuth para verificar afirmações e trocar tokens (em vez de palavras-passe), para conceder a um utilizador acesso a um recurso. No passado, a autoridade numa transação como esta – o servidor que sabe como validar afirmações de utilizador e emitir os tokens necessários – pode ter sido um Serviço de Tokens de Segurança no local ou até mesmo Serviços de Federação do Active Directory (AD FS). No entanto, a autenticação moderna centraliza essa autoridade ao utilizar Microsoft Entra ID.
Isto também significa que, embora o servidor Exchange e os ambientes Skype for Business possam estar totalmente no local, o servidor de autorização está online e o seu ambiente no local tem de ter a capacidade de criar e manter uma ligação à sua subscrição Office 365 na Cloud (e no Microsoft Entra instância que a sua subscrição utiliza como o respetivo diretório).
O que não muda? Não importa se você está em um híbrido de domínio dividido ou usando o Skype for Business e o Exchange Server no local: todos os usuários devem em primeiro lugar autenticar no local. Em uma implementação híbrida da autenticação moderna, tanto a Lyncdiscovery quanto a Autodiscovery apontam para um servidor no local.
Importante
Se você precisar saber quais são as topologias específicas do Skype for Business compatíveis com a AM, essa informação está documentada aqui.
Verificar o status da autenticação moderna do seu ambiente no local
Uma vez que a autenticação moderna altera o servidor de autorização utilizado quando os serviços aplicam OAuth/S2S, precisa de saber se a autenticação moderna está ativada ou desativada para os seus ambientes do Exchange e Skype for Business no local. Você pode verificar o status dos seus servidores do Exchange executando o seguinte comando do PowerShell:
Get-OrganizationConfig | ft OAuth*
Se o valor da propriedade OAuth2ClientProfileEnabled for False, isso significa que a autenticação moderna está desabilitada.
Para obter mais informações sobre o Get-OrganizationConfig cmdlet, consulte Get-OrganizationConfig.
Você pode fazer uma verificação dos seus servidores do Skype for Business executando o seguinte comando do PowerShell:
Get-CSOAuthConfiguration
Se o comando devolver uma propriedade OAuthServers vazia ou se o valor da propriedade ClientADALAuthOverride não for Permitido, a autenticação moderna será desativada.
Para obter mais informações sobre o Get-CsOAuthConfiguration cmdlet, veja Get-CsOAuthConfiguration.
Você cumpre os pré-requisitos da autenticação moderna?
Verifique e marque esses itens na sua lista de verificação antes de continuar:
Específicos para o Skype for Business
- Todos os servidores devem ter a atualização cumulativa de maio de 2017 (CU5) do Skype for Business Server 2015 ou posterior
- Exceção: o Survivability Branch Appliance (SBA) pode estar na versão atual (baseada no Lync 2013)
- Seu domínio SIP foi adicionado como um domínio Federado no Office 365
- Todos os Front-Ends do SFB têm de ter ligações de saída para a Internet, para Office 365 URLs de Autenticação (TCP 443) e CRLs de raiz de certificado bem conhecidos (TCP 80) listados nas Linhas 56 e 125 da secção "Microsoft 365 Common and Office" dos Office 365 URLs e intervalos de endereços IP.
- Todos os servidores devem ter a atualização cumulativa de maio de 2017 (CU5) do Skype for Business Server 2015 ou posterior
Skype for Business no local em um ambiente híbrido do Office 365
- Uma implantação do Skype for Business 2019 com todos os servidores executando o Skype for Business 2019.
- Uma implantação do Skype for Business 2015 com todos os servidores executando o Skype for Business 2015.
- Uma implantação com um máximo de duas versões de servidor diferentes conforme listado abaixo:
- Skype for Business Server 2015
- Skype for Business Server 2019
- Todos os servidores do Skype for Business devem ter as atualizações cumulativas mais recentes instaladas. Consulte as atualizações de servidor do Skype for Business para localizar e gerenciar todas as atualizações disponíveis.
- Não existe nenhum Lync Server 2010 ou 2013 no ambiente híbrido.
Observação
Se os servidores de front-end do seu Skype for Business usam um servidor proxy para ter acesso à internet, o IP e o número da Porta do servidor proxy devem ser inseridos na seção de configuração do arquivo web.config para cada front-end.
- C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
- C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
<system.net>
<defaultProxy>
<proxy
proxyaddress="https://192.168.100.60:8080"
bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>
Importante
Certifique-se de assinar um feed RSS para as faixas de endereços de IP e URLs do Office 365 para se manter atualizado quanto às listas mais recentes dos URLs obrigatórios.
Específicos para o Exchange Server
- Você deve estar usando o Exchange Server 2013 CU19 e acima, o Exchange Server 2016 CU8 e acima ou o Exchange Server 2019 CU1 e acima.
- Não existe nenhum exchange server 2010 no ambiente.
- O SSL Offloading não está configurado. A terminação SSL e a reencriptografia são suportadas.
- Caso o seu ambiente utilize uma infraestrutura de servidor proxy para permitir que os servidores se conectem à internet, certifique-se de que todos os servidores do Exchange tenham um servidor proxy definido na propriedade InternetWebProxy.
Exchange Server no local em um ambiente híbrido do Office 365
- Se estiver a utilizar o Exchange Server 2013, pelo menos um servidor tem de ter as funções de servidor de Acesso de Cliente e Caixa de Correio instaladas. Embora seja possível instalar as funções caixa de correio e acesso de cliente em servidores separados, recomendamos vivamente que instale ambas as funções no mesmo servidor para fornecer mais fiabilidade e um melhor desempenho.
- Se estiver a utilizar o Exchange Server 2016 ou versão posterior, pelo menos um servidor tem de ter a função de servidor caixa de correio instalada.
- Não existe nenhum Exchange Server 2007 ou 2010 no ambiente Híbrido.
- Todos os servidores exchange têm de ter as atualizações cumulativas mais recentes instaladas. Consulte Atualizar o Exchange para a Atualizações Cumulativa mais recente para localizar e gerir todas as atualizações disponíveis.
Requisitos de cliente e de protocolo do Exchange
A disponibilidade da autenticação moderna é determinada pela combinação do cliente, protocolo e configuração. Se a autenticação moderna não for suportada pelo cliente, protocolo e/ou configuração, o cliente continuará a utilizar a autenticação legada.
Os seguintes clientes e protocolos suportam a autenticação moderna com o Exchange no local quando a autenticação moderna é ativada no ambiente:
Clientes Protocolo principal Observações Outlook 2013 e posterior MAPI sobre HTTP O MAPI através de HTTP tem de estar ativado no Exchange para poder utilizar a autenticação moderna com estes clientes (ativado ou Verdadeiro para novas instalações do Exchange 2013 Service Pack 1 e superior); Para obter mais informações, consulte How modern authentication works for Office 2013 and Office 2016 client apps (Como funciona a autenticação moderna para aplicações cliente do Office 2013 e Office 2016).
Certifique-se de que está a executar a compilação mínima necessária do Outlook; consulte Atualizações mais recentes para versões do Outlook que utilizam o Windows Installer (MSI).Outlook 2016 para Mac e posterior Serviços de Web do Exchange Outlook para iOS e Android Tecnologia de sincronização da Microsoft Confira o artigo Como usar a autenticação moderna híbrida com o Outlook para iOS e Android para obter mais informações. Exchange ActiveSync clientes (por exemplo, Correio iOS11) Exchange ActiveSync Para os clientes do Exchange ActiveSync compatíveis com a autenticação moderna, é preciso recriar o perfil para migrar da autenticação básica para a autenticação moderna. Os clientes e/ou protocolos que não estão listados (por exemplo, POP3) não suportam a autenticação moderna com o Exchange no local e continuam a utilizar mecanismos de autenticação legados mesmo após a autenticação moderna ser ativada no ambiente.
Pré-requisitos gerais
Os cenários de floresta de recursos requerem uma fidedignidade bidirecional com a floresta de contas para garantir que as pesquisas de SID adequadas são realizadas durante pedidos de autenticação moderna híbrida.
Se você usa o AD FS, é preciso ter o Windows 2012 R2 AD FS 3.0 e acima para os serviços de federação.
As configurações de identidade são qualquer um dos tipos suportados pelo Microsoft Entra Connect, como a sincronização do hash de palavras-passe, a autenticação pass-through e o STS no local suportados pelo Office 365.
Tem Microsoft Entra Ligar configurado e a funcionar para replicação e sincronização de utilizadores.
Observação
Quaisquer contas de utilizador que não estejam sincronizadas com a Identidade Microsoft Entra não receberão um token de autorização através da Autenticação Moderna Híbrida. Assim que a aplicação no local estiver configurada para utilizar o evoSTS como ponto final de autorização predefinido, estas contas de utilizador que não estão sincronizadas encontrarão problemas com o respetivo acesso à aplicação se a configuração adequada não estiver disponível.
Você deve ter verificado que o híbrido foi configurado usando o modo de Topologia Híbrida Clássica do Exchange entre os seus ambientes no local e o Office 365. Uma declaração oficial de suporte do híbrido do Exchange afirma que você deve ter a CU atual ou a CU -1 atual.
Observação
A autenticação moderna híbrida não é compatível com o Agente Híbrido.
Certifique-se de que um utilizador de teste no local e um utilizador de teste híbrido armazenado no Office 365 podem iniciar sessão no cliente de ambiente de trabalho Skype for Business (se quiser utilizar a autenticação moderna com o Skype) e o Microsoft Outlook (se quiser utilizar a autenticação moderna com o Exchange).
Certifique-se de que a definição SignInOptions no Microsoft Office não está configurada para a definição mais restritiva. Para obter mais informações, consulte Como permitir que o Office se ligue à Internet.
O que mais preciso saber antes de começar?
- Todos os cenários para servidores no local envolvem a configuração da autenticação moderna no local (na verdade, para Skype for Business existe uma lista de topologias suportadas) para que o servidor responsável pela autenticação e autorização esteja na Microsoft Cloud (serviço de tokens de segurança do Microsoft Entra ID, denominado "evoSTS" ) e atualização Microsoft Entra ID sobre os URLs ou espaços de nomes utilizados pela instalação no local do Skype for Business ou do Exchange. Portanto, os servidores no local devem aceitar uma dependência da nuvem da Microsoft. O fato de se adotar essa medida pode ser considerado como uma configuração de “autorização híbrida”.
- Este artigo liga-se a outras pessoas que o ajudam a escolher topologias de autenticação modernas suportadas (necessárias apenas para Skype for Business) e artigos de procedimentos que descrevem os passos de configuração ou passos para desativar a autenticação moderna para o Exchange no local e Skype for Business no local. Adicione esta página aos favoritos do seu navegador se você acha que irá precisar de uma base inicial para utilizar a autenticação moderna no seu ambiente de servidor.