Visão geral da Autenticação Moderna Híbrida e pré-requisitos para usá-la com servidores locais do Skype for Business e do Exchange

  • Artigo
  • 12 minutos para o fim da leitura

Este artigo se aplica tanto ao Microsoft 365 Enterprise quanto ao Office 365 Enterprise.

A Autenticação Moderna é um método de gerenciamento de identidades que oferece autenticação e autorização de usuários mais seguras. Ele está disponível para implantações Office 365 híbridas do servidor Skype for Business local e do Exchange Server local e híbridos de domínio Skype for Business divisão. Este artigo vincula-se a documentos relacionados sobre pré-requisitos, configuração/desabilitação da autenticação moderna e algumas das informações relacionadas do cliente (por exemplo, clientes do Outlook e do Skype).

O que é autenticação moderna?

Autenticação moderna é um termo guarda-chuva para uma combinação de métodos de autenticação e autorização entre um cliente (por exemplo, seu laptop ou seu celular) e um servidor, além de algumas medidas de segurança que confiam em políticas de acesso com as quais talvez você já esteja familiarizado. Ela inclui:

  • Métodos de autenticação: Autenticação Multifator (MFA); autenticação de cartão inteligente; autenticação baseada em certificado do cliente
  • Métodos de autorização: implementação da Open Authorization (OAuth) pela Microsoft
  • Políticas de acesso condicional: Gerenciamento de Aplicativos Móveis (MAM) e Acesso Condicional ao Azure Active Directory (Azure AD)

O gerenciamento das identidades de usuário com a autenticação moderna proporciona aos administradores muitas ferramentas diferentes que podem ser usadas para a proteção de recursos e oferece métodos mais seguros de gerenciamento de identidades, tanto para o ambiente no local (Exchange e Skype for Business), quanto para os ambientes do Exchange híbrido e do Skype for Business híbrido/com domínio dividido.

Como Skype for Business funciona em conjunto com o Exchange, o comportamento de logon Skype for Business usuários cliente serão afetados pelo status de autenticação moderna do Exchange. Também será aplicável se você tiver uma arquitetura híbrida de domínio dividido do Skype for Business, na qual você tem o Skype for Business Online e o Skype for Business local, com usuários hospedados em ambos os locais.

Para obter mais informações sobre a autenticação moderna no Office 365, consulte Office 365 suporte ao aplicativo cliente – autenticação multifator.

Importante

A partir de agosto de 2017, todos os locatários do novo Office 365 que incluíam o Skype for Business online e o Exchange online passaram a ter a autenticação moderna habilitada por padrão. Os locatários pré-existentes não tiveram uma alteração no seu estado de AM padrão, mas todos os novos locatários são compatíveis automaticamente com o conjunto de recursos de identidade ampliados que você pode ver listado acima. Para verificar seu status de AM, confira a seção Verificar o status da autenticação moderna do seu ambiente no local.

O que muda quando eu uso a autenticação moderna?

Quando você usa a autenticação moderna com o Skype for Business ou Exchange Server no local, você continua autenticando os usuários no local, mas a forma de autorizar seu acesso aos recursos (como arquivos ou emails) muda. Por esta razão, embora a autenticação moderna trate da comunicação entre cliente e servidor, as etapas utilizadas na configuração da AM resultam na configuração do evoSTS (um Serviço de Token de Segurança usado pelo Azure AD) como Auth Server do Skype for Business e do Exchange Server no local.

A mudança para o evoSTS permite que seus servidores no local tirem proveito do OAuth (emissão de token) para autorizar seus clientes, além de permitir que o seu local utilize métodos de segurança que são comuns na nuvem (como a autenticação multifator). Além disso, o evoSTS emite tokens que permitem que os usuários solicitem acesso aos recursos sem fornecer sua senha como parte da solicitação. Independentemente de onde seus usuários estejam abrigados (online ou no local) e de qual dos locais hospede o recurso necessário, o evoSTS se tornará o núcleo da autorização de usuários e clientes após a autenticação moderna ter sido configurada.

Por exemplo, se um cliente Skype for Business precisar acessar o Exchange Server para obter informações de calendário em nome de um usuário, ele usará a MSAL (Biblioteca de Autenticação da Microsoft) para fazer isso. A MSAL é uma biblioteca de códigos projetada para disponibilizar recursos protegidos em seu diretório para aplicativos cliente usando tokens de segurança OAuth. A MSAL funciona com o OAuth para verificar declarações e trocar tokens (em vez de senhas) para conceder a um usuário acesso a um recurso. No passado, a autoridade em uma transação como esta, o servidor que sabe como validar declarações de usuário e emitir os tokens necessários, poderia ter sido um Serviço de Token de Segurança local ou até mesmo Serviços de Federação do Active Directory (AD FS). A autenticação moderna, porém, centraliza essa autoridade usando o Azure AD.

Isso também significa que, embora seus ambientes do Exchange Server e do Skype for Business possam estar totalmente no local, o servidor de autorização estará online, e seu ambiente local deve ter a capacidade de criar e manter uma conexão com sua assinatura do Office 365 na nuvem (e a instância do Azure AD que sua assinatura usa como diretório).

O que não muda? Não importa se você está em um híbrido de domínio dividido ou usando o Skype for Business e o Exchange Server no local: todos os usuários devem em primeiro lugar autenticar no local. Em uma implementação híbrida da autenticação moderna, tanto a Lyncdiscovery quanto a Autodiscovery apontam para um servidor no local.

Importante

Se você precisar saber quais são as topologias específicas do Skype for Business compatíveis com a AM, essa informação está documentada aqui.

Verificar o status da autenticação moderna do seu ambiente no local

Como a autenticação moderna altera o servidor de autorização usado quando os serviços aplicam o OAuth/S2S, você precisa saber se a autenticação moderna está habilitada ou desabilitada para seus ambientes locais Skype for Business e Exchange. Você pode verificar o status dos seus servidores do Exchange executando o seguinte comando do PowerShell:

Get-OrganizationConfig | ft OAuth*

Se o valor da propriedade OAuth2ClientProfileEnabled for False, isso significa que a autenticação moderna está desabilitada.

Para obter mais informações sobre o cmdlet Get-OrganizationConfig, confira Get-OrganizationConfig.

Você pode fazer uma verificação dos seus servidores do Skype for Business executando o seguinte comando do PowerShell:

Get-CSOAuthConfiguration

Se o comando retornar uma propriedade OAuthServers vazia ou se o valor da propriedade ClientADALAuthOverride não for Allowed, isso significa que a autenticação moderna está desabilitada.

Para obter mais informações sobre o cmdlet Get-CsOAuthConfiguration, veja Get-CsOAuthConfiguration.

Você cumpre os pré-requisitos da autenticação moderna?

Verifique e marque esses itens na sua lista de verificação antes de continuar:

  • Específicos para o Skype for Business

    • Todos os servidores devem ter a atualização cumulativa de maio de 2017 (CU5) do Skype for Business Server 2015 ou posterior
      • Exceção: o Survivability Branch Appliance (SBA) pode estar na versão atual (baseada no Lync 2013)
    • Seu domínio SIP foi adicionado como um domínio Federado no Office 365
    • Todos os Front-Ends SFB devem ter conexões de saída para a Internet, com URLs de Autenticação do Office 365 (TCP 443) e CRLs raiz de certificado conhecidas (TCP 80) listadas nas Linhas 56 e 125 da seção 'Microsoft 365 Common and Office' de URLs do Office 365 e intervalos de endereços IP.

  • Skype for Business no local em um ambiente híbrido do Office 365

    • Uma implantação do Skype for Business 2019 com todos os servidores executando o Skype for Business 2019.
    • Uma implantação do Skype for Business 2015 com todos os servidores executando o Skype for Business 2015.
    • Uma implantação com um máximo de duas versões de servidor diferentes conforme listado abaixo:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • Todos os servidores do Skype for Business devem ter as atualizações cumulativas mais recentes instaladas. Consulte as atualizações de servidor do Skype for Business para localizar e gerenciar todas as atualizações disponíveis.
    • Não existe nenhum Lync Server 2010 ou 2013 no ambiente híbrido.

Observação

Se os servidores de front-end do seu Skype for Business usam um servidor proxy para ter acesso à internet, o IP e o número da Porta do servidor proxy devem ser inseridos na seção de configuração do arquivo web.config para cada front-end.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Importante

Certifique-se de assinar um feed RSS para as faixas de endereços de IP e URLs do Office 365 para se manter atualizado quanto às listas mais recentes dos URLs obrigatórios.

  • Específicos para o Exchange Server

    • Você deve estar usando o Exchange Server 2013 CU19 e acima, o Exchange Server 2016 CU8 e acima ou o Exchange Server 2019 CU1 e acima.
    • Não existe nenhum Exchange Server 2010 no ambiente.
    • O SSL Offloading não está configurado. Há suporte para terminação SSL e nova criptografia.
    • Caso o seu ambiente utilize uma infraestrutura de servidor proxy para permitir que os servidores se conectem à internet, certifique-se de que todos os servidores do Exchange tenham um servidor proxy definido na propriedade InternetWebProxy.

  • Exchange Server no local em um ambiente híbrido do Office 365

    • Se você está usando o Exchange Server 2013, pelo menos um dos servidores deve ter as funções de servidor de Caixa de Correio e de Acesso para Cliente instaladas. Embora seja possível instalar as funções caixa de correio e acesso ao cliente em servidores separados, é altamente recomendável que você instale ambas as funções no mesmo servidor para fornecer mais confiabilidade e desempenho aprimorado.
    • Se você está usando a versão do Exchange Server 2016 ou posterior, pelo menos um dos servidores deve ter a função de servidor de Caixa de Correio instalada.
    • Não existe nenhum Exchange Server 2007 ou 2010 no ambiente híbrido.
    • Todos os servidores do Exchange devem ter as atualizações cumulativas mais recentes instaladas. Consulte o artigo Atualizar o Exchange com as atualizações cumulativas mais recentes para localizar e gerenciar todas as atualizações disponíveis.

  • Requisitos de cliente e de protocolo do Exchange

    A disponibilidade da autenticação moderna é determinada pela combinação do cliente, do protocolo e da configuração. Se a autenticação moderna não for compatível com o cliente, o protocolo e/ou a configuração, o cliente continuará a usar a autenticação herdada.

    Os seguintes clientes e protocolos dão suporte à autenticação moderna com o Exchange local quando a autenticação moderna está habilitada no ambiente:

    Clientes Protocolo principal Observações
    Outlook 2013 e posterior
    		 MAPI sobre HTTP
    		 O MAPI sobre HTTP deve ser habilitado no Exchange para usar a autenticação moderna com esses clientes (habilitado ou True para novas instalações do Exchange 2013 Service Pack 1 e superior); para obter mais informações, consulte Como funciona a autenticação moderna para aplicativos cliente do Office 2013 e do Office 2016.
    Certifique-se de estar rodando o build mínimo obrigatório do Outlook; confira as Atualizações mais recentes das versões do Outlook que utilizam o Windows Installer (MSI).
    Outlook 2016 para Mac e posterior
    		 Serviços de Web do Exchange
    Outlook para iOS e Android
    		 Tecnologia de sincronização da Microsoft
    		 Confira o artigo Como usar a autenticação moderna híbrida com o Outlook para iOS e Android para obter mais informações.
    Exchange ActiveSync clientes (por exemplo, Email do iOS11)
    		 Exchange ActiveSync
    		 Para os clientes do Exchange ActiveSync compatíveis com a autenticação moderna, é preciso recriar o perfil para migrar da autenticação básica para a autenticação moderna.

    Os clientes e/ou protocolos que não estão listados (por exemplo, POP3) não dão suporte à autenticação moderna com o Exchange local e continuam a usar mecanismos de autenticação herdados mesmo depois que a autenticação moderna é habilitada no ambiente.

  • Pré-requisitos gerais

    • Os cenários de floresta de recursos exigirão uma relação de confiança bidirecional com a floresta de conta para garantir que as pesquisas de SID apropriadas sejam executadas durante solicitações de autenticação moderna híbrida.

    • Se você usa o AD FS, é preciso ter o Windows 2012 R2 AD FS 3.0 e acima para os serviços de federação.

    • Suas configurações de identidade devem ser de um dos tipos suportados pelo Azure AD Connect, como a sincronização de criptografia de senha, a autenticação pass-through e um STS no local suportado pelo Office 365.

    • Você deve ter o Azure AD Connect configurado e funcionando para a replicação e sincronização de usuários.

    • Você deve ter verificado que o híbrido foi configurado usando o modo de Topologia Híbrida Clássica do Exchange entre os seus ambientes no local e o Office 365. Uma declaração oficial de suporte do híbrido do Exchange afirma que você deve ter a CU atual ou a CU -1 atual.

      Observação

      A autenticação moderna híbrida não é compatível com o Agente Híbrido.

    • Certifique-se de que tanto um usuário de teste no local quanto um usuário de teste híbrido abrigado no Office 365 podem entrar no cliente de desktop do Skype for Business (se você quiser usar a autenticação moderna com o Skype) e no Microsoft Outlook (se você quiser usar a autenticação moderna com o Exchange).

    • Verifique se a configuração SignInOptions no Microsoft Office não está definida para sua configuração mais restritiva. Para obter mais informações, consulte Como permitir que o Office se conecte à Internet.

O que mais preciso saber antes de começar?

  • Todos os cenários de servidores locais envolvem a configuração da autenticação moderna no local (na verdade, para o Skype for Business existe uma lista de topologias suportadas) de forma que o servidor responsável pela autenticação e autorização esteja na nuvem da Microsoft (o serviço de tokens de segurança do Azure AD, chamado "evoSTS") e a atualização do Azure AD quanto aos URLs ou namespaces usados pela sua instalação local do Skype for Business ou do Exchange. Portanto, os servidores no local devem aceitar uma dependência da nuvem da Microsoft. O fato de se adotar essa medida pode ser considerado como uma configuração de “autorização híbrida”.
  • Este artigo contém links para outros que irão ajudá-lo a escolher as topologias compatíveis com a autenticação moderna (necessárias apenas para o Skype for Business) e para artigos do tipo “como fazer” que descrevem as etapas de configuração, ou as etapas para desabilitar a autenticação moderna para o Exchange no local e o Skype for Business no local. Adicione esta página aos favoritos do seu navegador se você acha que irá precisar de uma base inicial para utilizar a autenticação moderna no seu ambiente de servidor.