Compartilhar via

Visão geral da Autenticação Moderna Híbrida e pré-requisitos para usá-la com servidores locais do Skype for Business e do Exchange

  • Artigo

Este artigo se aplica tanto ao Microsoft 365 Enterprise quanto ao Office 365 Enterprise.

A Autenticação Moderna é um método de gerenciamento de identidades que oferece autenticação e autorização de usuários mais seguras. Está disponível para implementações híbridas do Office 365 do servidor do Skype para Empresas no local e do servidor Exchange no local e híbridos do Skype para Empresas de domínio dividido. Este artigo liga-se a documentos relacionados sobre pré-requisitos, configuração/desativação da autenticação moderna e a algumas das informações relacionadas do cliente (por exemplo, clientes do Outlook e do Skype).

O que é autenticação moderna?

A autenticação moderna é um termo para uma combinação de métodos de autenticação e autorização entre um cliente (por exemplo, o seu portátil ou telemóvel) e um servidor, bem como algumas medidas de segurança que dependem de políticas de acesso com as quais já esteja familiarizado. Isso inclui:

  • Métodos de autenticação: Autenticação multifator (MFA); autenticação de smart card; autenticação baseada em certificados de cliente
  • Métodos de autorização: implementação da Open Authorization (OAuth) pela Microsoft
  • Políticas de acesso condicional: Gestão de Aplicações Móveis (MAM) e Acesso Condicional do Microsoft Entra

O gerenciamento das identidades de usuário com a autenticação moderna proporciona aos administradores muitas ferramentas diferentes que podem ser usadas para a proteção de recursos e oferece métodos mais seguros de gerenciamento de identidades, tanto para o ambiente no local (Exchange e Skype for Business), quanto para os ambientes do Exchange híbrido e do Skype for Business híbrido/com domínio dividido.

Uma vez que o Skype para Empresas funciona em estreita colaboração com o Exchange, o comportamento de início de sessão dos utilizadores cliente do Skype para Empresas será afetado pelo estado de autenticação moderno do Exchange. Também é aplicável se tiver uma arquitetura híbrida de domínio dividido do Skype para Empresas, na qual tem o Skype para Empresas Online e o Skype para Empresas no local, com utilizadores armazenados em ambas as localizações.

Para obter mais informações sobre a autenticação moderna no Office 365, consulte Suporte da Aplicação Cliente do Office 365 – Autenticação multifator.

Importante

A partir de agosto de 2017, todos os locatários do novo Office 365 que incluíam o Skype for Business online e o Exchange online passaram a ter a autenticação moderna habilitada por padrão. Os inquilinos pré-existentes não terão uma alteração no estado de MA predefinido, mas todos os novos inquilinos suportam automaticamente o conjunto expandido de funcionalidades de identidade que vê listado anteriormente. Para verificar seu status de AM, confira a seção Verificar o status da autenticação moderna do seu ambiente no local.

O que muda quando eu uso a autenticação moderna?

Quando você usa a autenticação moderna com o Skype for Business ou Exchange Server no local, você continua autenticando os usuários no local, mas a forma de autorizar seu acesso aos recursos (como arquivos ou emails) muda. É por isso que, embora a autenticação moderna tenha a ver com a comunicação do cliente e do servidor, os passos realizados durante a configuração do MA resultam na definição de evoSTS (um Serviço de Tokens de Segurança utilizado pelo Microsoft Entra ID) como Servidor de Autenticação para Skype para Empresas e servidor exchange no local.

A mudança para o evoSTS permite que seus servidores no local tirem proveito do OAuth (emissão de token) para autorizar seus clientes, além de permitir que o seu local utilize métodos de segurança que são comuns na nuvem (como a autenticação multifator). Além disso, o evoSTS emite tokens que permitem que os usuários solicitem acesso aos recursos sem fornecer sua senha como parte da solicitação. Independentemente de onde os seus utilizadores estejam alojados (online ou no local) e independentemente da localização que aloje o recurso necessário, o EvoSTS tornar-se-ia o núcleo da autorização de utilizadores e clientes assim que a autenticação moderna fosse configurada.

Por exemplo, se um cliente do Skype para Empresas precisar de aceder ao servidor Exchange para obter informações de calendário em nome de um utilizador, utiliza a Biblioteca de Autenticação da Microsoft (MSAL) para o fazer. A MSAL é uma biblioteca de código concebida para disponibilizar recursos protegidos no seu diretório para aplicações cliente com tokens de segurança OAuth. A MSAL trabalha com o OAuth para verificar afirmações e trocar tokens (em vez de palavras-passe), para conceder a um utilizador acesso a um recurso. No passado, a autoridade numa transação como esta – o servidor que sabe como validar afirmações de utilizador e emitir os tokens necessários – pode ter sido um Serviço de Tokens de Segurança no local ou mesmo os Serviços de Federação do Active Directory. No entanto, a autenticação moderna centraliza essa autoridade através do ID do Microsoft Entra.

Isto também significa que, embora o seu servidor Exchange e ambientes do Skype para Empresas possam estar totalmente no local, o servidor de autorização está online e o seu ambiente no local tem de ter a capacidade de criar e manter uma ligação à sua subscrição do Office 365 na Nuvem (e à instância do Microsoft Entra que a sua subscrição utiliza como diretório).

O que não muda? Não importa se você está em um híbrido de domínio dividido ou usando o Skype for Business e o Exchange Server no local: todos os usuários devem em primeiro lugar autenticar no local. Em uma implementação híbrida da autenticação moderna, tanto a Lyncdiscovery quanto a Autodiscovery apontam para um servidor no local.

Importante

Se você precisar saber quais são as topologias específicas do Skype for Business compatíveis com a AM, essa informação está documentada aqui.

Verificar o status da autenticação moderna do seu ambiente no local

Uma vez que a autenticação moderna altera o servidor de autorização utilizado quando os serviços aplicam OAuth/S2S, precisa de saber se a autenticação moderna está ativada ou desativada para os seus ambientes do Skype para Empresas e Exchange no local. Você pode verificar o status dos seus servidores do Exchange executando o seguinte comando do PowerShell:

Get-OrganizationConfig | ft OAuth*

Se o valor da propriedade OAuth2ClientProfileEnabled for False, isso significa que a autenticação moderna está desabilitada.

Para obter mais informações sobre o Get-OrganizationConfig cmdlet, consulte Get-OrganizationConfig.

Você pode fazer uma verificação dos seus servidores do Skype for Business executando o seguinte comando do PowerShell:

Get-CSOAuthConfiguration

Se o comando devolver uma propriedade OAuthServers vazia ou se o valor da propriedade ClientADALAuthOverride não for Permitido, a autenticação moderna será desativada.

Para obter mais informações sobre o Get-CsOAuthConfiguration cmdlet, veja Get-CsOAuthConfiguration.

Você cumpre os pré-requisitos da autenticação moderna?

Verifique e marque esses itens na sua lista de verificação antes de continuar:

  • Específicos para o Skype for Business

    • Todos os servidores devem ter a atualização cumulativa de maio de 2017 (CU5) do Skype for Business Server 2015 ou posterior
      • Exceção: o Survivability Branch Appliance (SBA) pode estar na versão atual (baseada no Lync 2013)
    • Seu domínio SIP foi adicionado como um domínio Federado no Office 365
    • Todos os Front-Ends do SFB têm de ter ligações de saída para a Internet, para URLs de Autenticação do Office 365 (TCP 443) e CRLs de raiz de certificados (TCP 80) bem conhecidos listados nas Linhas 56 e 125 da secção "Microsoft 365 Common and Office" dos intervalos de URLs e endereços IP do Office 365.

  • Skype for Business no local em um ambiente híbrido do Office 365

    • Uma implantação do Skype for Business 2019 com todos os servidores executando o Skype for Business 2019.
    • Uma implantação do Skype for Business 2015 com todos os servidores executando o Skype for Business 2015.
    • Uma implantação com um máximo de duas versões de servidor diferentes conforme listado abaixo:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • Todos os servidores do Skype for Business devem ter as atualizações cumulativas mais recentes instaladas. Consulte as atualizações de servidor do Skype for Business para localizar e gerenciar todas as atualizações disponíveis.
    • Não existe nenhum Lync Server 2010 ou 2013 no ambiente híbrido.

Observação

Se os servidores de front-end do seu Skype for Business usam um servidor proxy para ter acesso à internet, o IP e o número da Porta do servidor proxy devem ser inseridos na seção de configuração do arquivo web.config para cada front-end.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Importante

Certifique-se de assinar um feed RSS para as faixas de endereços de IP e URLs do Office 365 para se manter atualizado quanto às listas mais recentes dos URLs obrigatórios.

  • Específicos para o Exchange Server

    • Você deve estar usando o Exchange Server 2013 CU19 e acima, o Exchange Server 2016 CU8 e acima ou o Exchange Server 2019 CU1 e acima.
    • Não existe nenhum exchange server 2010 no ambiente.
    • O SSL Offloading não está configurado. A terminação SSL e a reencriptografia são suportadas.
    • Caso o seu ambiente utilize uma infraestrutura de servidor proxy para permitir que os servidores se conectem à internet, certifique-se de que todos os servidores do Exchange tenham um servidor proxy definido na propriedade InternetWebProxy.

  • Exchange Server no local em um ambiente híbrido do Office 365

    • Se estiver a utilizar o Exchange Server 2013, pelo menos um servidor tem de ter as funções de servidor de Acesso de Cliente e Caixa de Correio instaladas. Embora seja possível instalar as funções caixa de correio e acesso de cliente em servidores separados, recomendamos vivamente que instale ambas as funções no mesmo servidor para fornecer mais fiabilidade e um melhor desempenho.
    • Se estiver a utilizar o Exchange Server 2016 ou versão posterior, pelo menos um servidor tem de ter a função de servidor caixa de correio instalada.
    • Não existe nenhum Exchange Server 2007 ou 2010 no ambiente Híbrido.
    • Todos os servidores exchange têm de ter as atualizações cumulativas mais recentes instaladas. Consulte Atualizar o Exchange para as Atualizações Cumulativas mais recentes para localizar e gerir todas as atualizações disponíveis.

  • Requisitos de cliente e de protocolo do Exchange

    A disponibilidade da autenticação moderna é determinada pela combinação do cliente, protocolo e configuração. Se a autenticação moderna não for suportada pelo cliente, protocolo e/ou configuração, o cliente continuará a utilizar a autenticação legada.

    Os seguintes clientes e protocolos suportam a autenticação moderna com o Exchange no local quando a autenticação moderna é ativada no ambiente:

    Clientes Protocolo principal Observações
    Outlook 2013 e posterior
    		 MAPI sobre HTTP
    		 O MAPI através de HTTP tem de estar ativado no Exchange para poder utilizar a autenticação moderna com estes clientes (ativado ou Verdadeiro para novas instalações do Exchange 2013 Service Pack 1 e superior); Para obter mais informações, consulte How modern authentication works for Office 2013 and Office 2016 client apps (Como funciona a autenticação moderna para aplicações cliente do Office 2013 e Office 2016).
    Certifique-se de que está a executar a compilação mínima necessária do Outlook; consulte Atualizações mais recentes para versões do Outlook que utilizam o Windows Installer (MSI).
    Outlook 2016 para Mac e posterior
    		 Serviços de Web do Exchange
    Outlook para iOS e Android
    		 Tecnologia de sincronização da Microsoft
    		 Confira o artigo Como usar a autenticação moderna híbrida com o Outlook para iOS e Android para obter mais informações.
    Clientes do Exchange ActiveSync (por exemplo, Correio iOS11)
    		 Exchange ActiveSync
    		 Para os clientes do Exchange ActiveSync compatíveis com a autenticação moderna, é preciso recriar o perfil para migrar da autenticação básica para a autenticação moderna.

    Os clientes e/ou protocolos que não estão listados (por exemplo, POP3) não suportam a autenticação moderna com o Exchange no local e continuam a utilizar mecanismos de autenticação legados mesmo após a autenticação moderna ser ativada no ambiente.

  • Pré-requisitos gerais

    • Os cenários de floresta de recursos requerem uma fidedignidade bidirecional com a floresta de contas para garantir que as pesquisas de SID adequadas são realizadas durante pedidos de autenticação moderna híbrida.

    • Se você usa o AD FS, é preciso ter o Windows 2012 R2 AD FS 3.0 e acima para os serviços de federação.

    • As configurações de identidade são qualquer um dos tipos suportados pelo Microsoft Entra Connect, como a sincronização do hash de palavras-passe, a autenticação pass-through e o STS no local suportados pelo Office 365.

    • Tem o Microsoft Entra Connect configurado e a funcionar para replicação e sincronização de utilizadores.

      Observação

      Quaisquer contas de utilizador que não estejam sincronizadas com o Microsoft Entra Identity não receberão um token de autorização através da Autenticação Moderna Híbrida. Assim que a aplicação no local estiver configurada para utilizar o evoSTS como ponto final de autorização predefinido, estas contas de utilizador que não estão sincronizadas encontrarão problemas com o respetivo acesso à aplicação se a configuração adequada não estiver disponível.

    • Você deve ter verificado que o híbrido foi configurado usando o modo de Topologia Híbrida Clássica do Exchange entre os seus ambientes no local e o Office 365. Uma declaração oficial de suporte do híbrido do Exchange afirma que você deve ter a CU atual ou a CU -1 atual.

      Observação

      A autenticação moderna híbrida não é compatível com o Agente Híbrido.

    • Certifique-se de que um utilizador de teste no local e um utilizador de teste híbrido no Office 365 podem iniciar sessão no cliente de ambiente de trabalho do Skype para Empresas (se quiser utilizar a autenticação moderna com o Skype) e o Microsoft Outlook (se quiser utilizar a autenticação moderna com o Exchange).

    • Certifique-se de que a definição SignInOptions no Microsoft Office não está configurada para a definição mais restritiva. Para obter mais informações, consulte Como permitir que o Office se ligue à Internet.

O que mais preciso saber antes de começar?

  • Todos os cenários para servidores no local envolvem a configuração da autenticação moderna no local (na verdade, para o Skype para Empresas existe uma lista de topologias suportadas) para que o servidor responsável pela autenticação e autorização esteja na Microsoft Cloud (serviço de tokens de segurança do Microsoft Entra ID, denominado "evoSTS") e atualizar o Microsoft Entra ID sobre os URLs ou espaços de nomes utilizados pela instalação no local do Skype para Empresas ou do Exchange. Portanto, os servidores no local devem aceitar uma dependência da nuvem da Microsoft. O fato de se adotar essa medida pode ser considerado como uma configuração de “autorização híbrida”.
  • Este artigo liga-se a outras pessoas que o ajudam a escolher topologias de autenticação modernas suportadas (necessárias apenas para o Skype para Empresas) e artigos de procedimentos que descrevem os passos de configuração ou passos para desativar a autenticação moderna para o Exchange no local e o Skype para Empresas no local. Adicione esta página aos favoritos do seu navegador se você acha que irá precisar de uma base inicial para utilizar a autenticação moderna no seu ambiente de servidor.