Visão geral da Autenticação Moderna Híbrida e pré-requisitos para usá-la com servidores locais do Skype for Business e do Exchange

  • Artigo

Este artigo se aplica tanto ao Microsoft 365 Enterprise quanto ao Office 365 Enterprise.

A Autenticação Moderna é um método de gerenciamento de identidades que oferece autenticação e autorização de usuários mais seguras. Ele está disponível para Office 365 implantações híbridas de Skype for Business servidor local e servidor do Exchange local e híbridos de Skype for Business de domínio dividido. Este artigo vincula-se a documentos relacionados sobre pré-requisitos, configuração/desabilitação da autenticação moderna e a algumas informações relacionadas de cliente (ex. Clientes do Outlook e Skype).

O que é autenticação moderna?

A autenticação moderna é um termo guarda-chuva para uma combinação de métodos de autenticação e autorização entre um cliente (por exemplo, seu laptop ou seu telefone) e um servidor, bem como algumas medidas de segurança que dependem de políticas de acesso que você já pode estar familiarizado. Isso inclui:

  • Métodos de autenticação: MFA (autenticação multifator); autenticação smart cartão; autenticação baseada em certificado do cliente
  • Métodos de autorização: implementação da Open Authorization (OAuth) pela Microsoft
  • Políticas de acesso condicional: MAM (Gerenciamento de Aplicativos Móveis) e acesso condicional Microsoft Entra

O gerenciamento das identidades de usuário com a autenticação moderna proporciona aos administradores muitas ferramentas diferentes que podem ser usadas para a proteção de recursos e oferece métodos mais seguros de gerenciamento de identidades, tanto para o ambiente no local (Exchange e Skype for Business), quanto para os ambientes do Exchange híbrido e do Skype for Business híbrido/com domínio dividido.

Como Skype for Business trabalha em estreita colaboração com o Exchange, o comportamento de entrada Skype for Business usuários cliente será afetado pela status de autenticação moderna do Exchange. Também é aplicável se você tiver uma arquitetura híbrida de domínio dividido Skype for Business, na qual você tem Skype for Business Online e Skype for Business local, com usuários hospedados em ambos os locais.

Para obter mais informações sobre a autenticação moderna no Office 365, consulte Office 365 Suporte ao Aplicativo cliente – autenticação multifator.

Importante

A partir de agosto de 2017, todos os locatários do novo Office 365 que incluíam o Skype for Business online e o Exchange online passaram a ter a autenticação moderna habilitada por padrão. Os locatários pré-existentes não terão uma alteração em seu estado de MA padrão, mas todos os novos locatários dão suporte automaticamente ao conjunto expandido de recursos de identidade que você vê listados anteriormente. Para verificar seu status de AM, confira a seção Verificar o status da autenticação moderna do seu ambiente no local.

O que muda quando eu uso a autenticação moderna?

Quando você usa a autenticação moderna com o Skype for Business ou Exchange Server no local, você continua autenticando os usuários no local, mas a forma de autorizar seu acesso aos recursos (como arquivos ou emails) muda. É por isso que, embora a autenticação moderna seja sobre comunicação de cliente e servidor, as etapas tomadas durante a configuração de MA resultam em evoSTS (um Serviço de Token de Segurança usado por Microsoft Entra ID) sendo definido como Servidor de Auth para Skype for Business e servidor do Exchange local.

A mudança para o evoSTS permite que seus servidores no local tirem proveito do OAuth (emissão de token) para autorizar seus clientes, além de permitir que o seu local utilize métodos de segurança que são comuns na nuvem (como a autenticação multifator). Além disso, o evoSTS emite tokens que permitem que os usuários solicitem acesso aos recursos sem fornecer sua senha como parte da solicitação. Não importa onde seus usuários estejam hospedados (online ou local) e não importa qual local hospede o recurso necessário, o EvoSTS se tornaria o núcleo de autorizar usuários e clientes quando a autenticação moderna for configurada.

Por exemplo, se um cliente Skype for Business precisar acessar o exchange server para obter informações de calendário em nome de um usuário, ele usará a MSAL (Biblioteca de Autenticação da Microsoft) para fazê-lo. O MSAL é uma biblioteca de códigos projetada para disponibilizar recursos protegidos em seu diretório para aplicativos cliente usando tokens de segurança OAuth. O MSAL trabalha com o OAuth para verificar declarações e trocar tokens (em vez de senhas), para conceder a um usuário acesso a um recurso. No passado, a autoridade em uma transação como esta - o servidor que sabe como validar declarações de usuário e emitir os tokens necessários - pode ter sido um Serviço de Token de Segurança local ou até mesmo Serviços de Federação do Active Directory (AD FS). No entanto, a autenticação moderna centraliza essa autoridade usando Microsoft Entra ID.

Isso também significa que, embora o servidor do Exchange e Skype for Business ambientes possam ser totalmente locais, o servidor autorizador está online e seu ambiente local deve ter a capacidade de criar e manter uma conexão com sua assinatura Office 365 na Nuvem (e o Microsoft Entra instância que sua assinatura usa como diretório).

O que não muda? Não importa se você está em um híbrido de domínio dividido ou usando o Skype for Business e o Exchange Server no local: todos os usuários devem em primeiro lugar autenticar no local. Em uma implementação híbrida da autenticação moderna, tanto a Lyncdiscovery quanto a Autodiscovery apontam para um servidor no local.

Importante

Se você precisar saber quais são as topologias específicas do Skype for Business compatíveis com a AM, essa informação está documentada aqui.

Verificar o status da autenticação moderna do seu ambiente no local

Como a autenticação moderna altera o servidor de autorização usado quando os serviços aplicam o OAuth/S2S, você precisa saber se a autenticação moderna está habilitada ou desabilitada para seus ambientes locais Skype for Business e Exchange. Você pode verificar o status dos seus servidores do Exchange executando o seguinte comando do PowerShell:

Get-OrganizationConfig | ft OAuth*

Se o valor da propriedade OAuth2ClientProfileEnabled for False, isso significa que a autenticação moderna está desabilitada.

Para obter mais informações sobre o Get-OrganizationConfig cmdlet, consulte Get-OrganizationConfig.

Você pode fazer uma verificação dos seus servidores do Skype for Business executando o seguinte comando do PowerShell:

Get-CSOAuthConfiguration

Se o comando retornar uma propriedade OAuthServers vazia ou se o valor da propriedade ClientADALAuthOverride não for permitido, a autenticação moderna será desabilitada.

Para obter mais informações sobre o Get-CsOAuthConfiguration cmdlet, consulte Get-CsOAuthConfiguration.

Você cumpre os pré-requisitos da autenticação moderna?

Verifique e marque esses itens na sua lista de verificação antes de continuar:

  • Específicos para o Skype for Business

    • Todos os servidores devem ter a atualização cumulativa de maio de 2017 (CU5) do Skype for Business Server 2015 ou posterior
      • Exceção: o Survivability Branch Appliance (SBA) pode estar na versão atual (baseada no Lync 2013)
    • Seu domínio SIP foi adicionado como um domínio Federado no Office 365
    • Todos os Front Ends do SFB devem ter conexões de saída para a Internet, para Office 365 URLs de Autenticação (TCP 443) e CRLs raiz de certificado bem conhecidas (TCP 80) listadas nas Linhas 56 e 125 da seção 'Microsoft 365 Common and Office' de Office 365 URLs e intervalos de endereço IP.

  • Skype for Business no local em um ambiente híbrido do Office 365

    • Uma implantação do Skype for Business 2019 com todos os servidores executando o Skype for Business 2019.
    • Uma implantação do Skype for Business 2015 com todos os servidores executando o Skype for Business 2015.
    • Uma implantação com um máximo de duas versões de servidor diferentes conforme listado abaixo:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • Todos os servidores do Skype for Business devem ter as atualizações cumulativas mais recentes instaladas. Consulte as atualizações de servidor do Skype for Business para localizar e gerenciar todas as atualizações disponíveis.
    • Não há nenhum Lync Server 2010 ou 2013 no ambiente híbrido.

Observação

Se os servidores de front-end do seu Skype for Business usam um servidor proxy para ter acesso à internet, o IP e o número da Porta do servidor proxy devem ser inseridos na seção de configuração do arquivo web.config para cada front-end.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Importante

Certifique-se de assinar um feed RSS para as faixas de endereços de IP e URLs do Office 365 para se manter atualizado quanto às listas mais recentes dos URLs obrigatórios.

  • Específicos para o Exchange Server

    • Você deve estar usando o Exchange Server 2013 CU19 e acima, o Exchange Server 2016 CU8 e acima ou o Exchange Server 2019 CU1 e acima.
    • Não há nenhum servidor do Exchange 2010 no ambiente.
    • O SSL Offloading não está configurado. Há suporte para terminação e reencritação de SSL.
    • Caso o seu ambiente utilize uma infraestrutura de servidor proxy para permitir que os servidores se conectem à internet, certifique-se de que todos os servidores do Exchange tenham um servidor proxy definido na propriedade InternetWebProxy.

  • Exchange Server no local em um ambiente híbrido do Office 365

    • Se você estiver usando Exchange Server 2013, pelo menos um servidor deve ter as funções de servidor caixa de correio e acesso ao cliente instaladas. Embora seja possível instalar as funções Caixa de Correio e Acesso ao Cliente em servidores separados, recomendamos que você instale ambas as funções no mesmo servidor para fornecer mais confiabilidade e melhor desempenho.
    • Se você estiver usando o Exchange Server 2016 ou versão posterior, pelo menos um servidor deverá ter a função de servidor da caixa de correio instalada.
    • Não há nenhum servidor do Exchange 2007 ou 2010 no ambiente híbrido.
    • Todos os servidores do Exchange devem ter as atualizações cumulativas mais recentes instaladas. Consulte Atualizar o Exchange para o Atualizações Cumulativo mais recente para localizar e gerenciar todas as atualizações disponíveis.

  • Requisitos de cliente e de protocolo do Exchange

    A disponibilidade da autenticação moderna é determinada pela combinação do cliente, protocolo e configuração. Se a autenticação moderna não for suportada pelo cliente, protocolo e/ou configuração, o cliente continuará a usar a autenticação herdada.

    Os seguintes clientes e protocolos dão suporte à autenticação moderna com o Exchange local quando a autenticação moderna está habilitada no ambiente:

    Clientes Protocolo principal Observações
    Outlook 2013 e posterior
    		 MAPI sobre HTTP
    		 O MAPI sobre HTTP deve ser habilitado no Exchange para usar a autenticação moderna com esses clientes (habilitados ou True para novas instalações do Exchange 2013 Service Pack 1 e superior); para obter mais informações, confira Como funciona a autenticação moderna para aplicativos cliente do Office 2013 e office 2016.
    Verifique se você está executando o build mínimo necessário do Outlook; consulte Atualizações mais recentes para versões do Outlook que usam o MSI (Windows Installer).
    Outlook 2016 para Mac e posterior
    		 Serviços de Web do Exchange
    Outlook para iOS e Android
    		 Tecnologia de sincronização da Microsoft
    		 Confira o artigo Como usar a autenticação moderna híbrida com o Outlook para iOS e Android para obter mais informações.
    Exchange ActiveSync clientes (por exemplo, iOS11 Mail)
    		 Exchange ActiveSync
    		 Para os clientes do Exchange ActiveSync compatíveis com a autenticação moderna, é preciso recriar o perfil para migrar da autenticação básica para a autenticação moderna.

    Clientes e/ou protocolos que não estão listados (por exemplo, POP3) não dão suporte à autenticação moderna com o Exchange local e continuam a usar mecanismos de autenticação herdados mesmo depois que a autenticação moderna estiver habilitada no ambiente.

  • Pré-requisitos gerais

    • Os cenários de floresta de recursos exigem uma confiança bidirecional com a floresta de contas para garantir que as pesquisas adequadas de SID sejam executadas durante solicitações de autenticação moderna híbrida.

    • Se você usa o AD FS, é preciso ter o Windows 2012 R2 AD FS 3.0 e acima para os serviços de federação.

    • Suas configurações de identidade são qualquer um dos tipos compatíveis com Microsoft Entra Connect, como sincronização de hash de senha, autenticação de passagem e STS local com suporte por Office 365.

    • Você tem Microsoft Entra Conectar configurado e funcionando para replicação e sincronização do usuário.

      Observação

      As contas de usuário que não forem sincronizadas com Microsoft Entra Identity não receberão um token de autorização por meio da Autenticação Moderna Híbrida. Depois que o aplicativo local estiver configurado para usar o evoSTS como o ponto de extremidade de autorização padrão, essas contas de usuário não sincronizadas encontrarão problemas com o acesso ao aplicativo se a configuração apropriada não estiver disponível.

    • Você deve ter verificado que o híbrido foi configurado usando o modo de Topologia Híbrida Clássica do Exchange entre os seus ambientes no local e o Office 365. Uma declaração oficial de suporte do híbrido do Exchange afirma que você deve ter a CU atual ou a CU -1 atual.

      Observação

      A autenticação moderna híbrida não é compatível com o Agente Híbrido.

    • Certifique-se de que um usuário de teste local e um usuário de teste híbrido hospedado em Office 365, possam entrar no cliente da área de trabalho Skype for Business (se você quiser usar a autenticação moderna com o Skype) e o Microsoft Outlook (se você quiser usar a autenticação moderna com o Exchange).

    • Verifique se a configuração SignInOptions no Microsoft Office não está configurada para sua configuração mais restritiva. Para obter mais informações, consulte Como permitir que o Office se conecte à Internet.

O que mais preciso saber antes de começar?

  • Todos os cenários para servidores locais envolvem a configuração da autenticação moderna local (na verdade, para Skype for Business há uma lista de topologias com suporte) para que o servidor responsável pela autenticação e autorização esteja no Microsoft Cloud (serviço de token de segurança do Microsoft Entra ID, chamado 'evoSTS') e atualizando Microsoft Entra ID sobre as URLs ou namespaces usados pela instalação local de Skype for Business ou Exchange. Portanto, os servidores no local devem aceitar uma dependência da nuvem da Microsoft. O fato de se adotar essa medida pode ser considerado como uma configuração de “autorização híbrida”.
  • Este artigo é vinculado a outras pessoas que ajudam você a escolher topologias de autenticação moderna com suporte (necessárias apenas para Skype for Business) e artigos de instruções que descrevem as etapas de instalação ou etapas para desabilitar a autenticação moderna, para o Exchange local e Skype for Business local. Adicione esta página aos favoritos do seu navegador se você acha que irá precisar de uma base inicial para utilizar a autenticação moderna no seu ambiente de servidor.