Descrição geral da autenticação moderna híbrida e pré-requisitos para utilizá-la com servidores exchange e Skype para Empresas no local

  • Artigo

Este artigo aplica-se tanto a Microsoft 365 Enterprise como a Office 365 Enterprise.

A Autenticação Moderna é um método de gestão de identidades que oferece autenticação e autorização de utilizador mais seguras. Está disponível para Office 365 implementações híbridas do servidor Skype para Empresas no local e do servidor Exchange no local e Skype para Empresas híbridos de domínio dividido. Este artigo liga-se a documentos relacionados sobre pré-requisitos, configuração/desativação da autenticação moderna e a algumas das informações relacionadas do cliente (por exemplo, clientes do Outlook e do Skype).

O que é a autenticação moderna?

A autenticação moderna é um termo para uma combinação de métodos de autenticação e autorização entre um cliente (por exemplo, o seu portátil ou telemóvel) e um servidor, bem como algumas medidas de segurança que dependem de políticas de acesso com as quais já esteja familiarizado. Inclui:

  • Métodos de autenticação: Autenticação multifator (MFA); autenticação de smart card; autenticação baseada em certificados de cliente
  • Métodos de autorização: a implementação da Autorização Aberta (OAuth) da Microsoft
  • Políticas de acesso condicional: Gestão de Aplicações Móveis (MAM) e Acesso Condicional Microsoft Entra

A gestão de identidades de utilizadores com autenticação moderna dá aos administradores muitas ferramentas diferentes para utilizar quando se trata de proteger recursos e oferece métodos mais seguros de gestão de identidades para cenários no local (Exchange e Skype para Empresas), Híbrido do Exchange e Skype para Empresas cenários híbridos/de domínio dividido.

Uma vez que Skype para Empresas funciona em estreita colaboração com o Exchange, o comportamento de início de sessão Skype para Empresas utilizadores cliente será afetado pelo estado de autenticação moderno do Exchange. Também é aplicável se tiver uma arquitetura híbrida de domínio dividido Skype para Empresas, na qual tem Skype para Empresas Online e Skype para Empresas no local, com os utilizadores armazenados em ambas as localizações.

Para obter mais informações sobre a autenticação moderna no Office 365, veja Office 365 Client App Support - Multi-factor authentication (Suporte da Aplicação Cliente do Office 365 – Autenticação multifator).

Importante

A partir de agosto de 2017, todos os novos inquilinos Office 365 que incluam Skype para Empresas online e o Exchange Online terão a autenticação moderna ativada por predefinição. Os inquilinos pré-existentes não terão uma alteração no estado de MA predefinido, mas todos os novos inquilinos suportam automaticamente o conjunto expandido de funcionalidades de identidade que vê listado anteriormente. Para verificar o estado do MA, veja a secção Verificar o estado de autenticação moderno do ambiente no local .

O que muda quando utilizo a autenticação moderna?

Ao utilizar a autenticação moderna com Skype para Empresas no local ou servidor Exchange, continua a autenticar utilizadores no local, mas a história de autorizar o acesso aos recursos (como ficheiros ou e-mails) muda. É por isso que, embora a autenticação moderna tenha a ver com a comunicação do cliente e do servidor, os passos realizados durante a configuração do MA resultam na definição de evoSTS (um Serviço de Tokens de Segurança utilizado pelo Microsoft Entra ID) como Servidor de Autenticação para Skype para Empresas e servidor exchange no local.

A alteração ao evoSTS permite que os seus servidores no local tirem partido do OAuth (emissão de tokens) para autorizar os seus clientes e também permite que os seus servidores no local utilizem métodos de segurança comuns na cloud (como a Autenticação Multifator). Além disso, o evoSTS emite tokens que permitem aos utilizadores pedir acesso aos recursos sem fornecer a palavra-passe como parte do pedido. Independentemente de onde os seus utilizadores estejam alojados (online ou no local) e independentemente da localização que aloje o recurso necessário, o EvoSTS tornar-se-ia o núcleo da autorização de utilizadores e clientes assim que a autenticação moderna fosse configurada.

Por exemplo, se um cliente Skype para Empresas precisar de aceder ao servidor Exchange para obter informações de calendário em nome de um utilizador, utiliza a Biblioteca de Autenticação da Microsoft (MSAL) para o fazer. A MSAL é uma biblioteca de código concebida para disponibilizar recursos protegidos no seu diretório para aplicações cliente com tokens de segurança OAuth. A MSAL trabalha com o OAuth para verificar afirmações e trocar tokens (em vez de palavras-passe), para conceder a um utilizador acesso a um recurso. No passado, a autoridade numa transação como esta – o servidor que sabe como validar afirmações de utilizador e emitir os tokens necessários – pode ter sido um Serviço de Tokens de Segurança no local ou até mesmo Serviços de Federação do Active Directory (AD FS). No entanto, a autenticação moderna centraliza essa autoridade ao utilizar Microsoft Entra ID.

Isto também significa que, embora o seu servidor Exchange e ambientes Skype para Empresas possam estar totalmente no local, o servidor de autorização está online e o seu ambiente no local tem de ter a capacidade de criar e manter uma ligação à sua subscrição Office 365 na Cloud (e no Microsoft Entra instância que a sua subscrição utiliza como o respetivo diretório).

O que não muda? Quer esteja num domínio dividido híbrido ou a utilizar o Skype para Empresas e o servidor Exchange no local, todos os utilizadores têm primeiro de autenticar no local. Numa implementação híbrida da autenticação moderna, a Lyncdiscovery e a Deteção Automática apontam para o servidor no local.

Importante

Se precisar de conhecer as topologias específicas Skype para Empresas suportadas com o MA, isso está documentado aqui.

Verificar o estado de autenticação moderno do seu ambiente no local

Uma vez que a autenticação moderna altera o servidor de autorização utilizado quando os serviços aplicam OAuth/S2S, precisa de saber se a autenticação moderna está ativada ou desativada para os seus ambientes do Exchange e Skype para Empresas no local. Pode verificar o estado nos servidores do Exchange ao executar o seguinte comando do PowerShell:

Get-OrganizationConfig | ft OAuth*

Se o valor da propriedade OAuth2ClientProfileEnabled for Falso, a autenticação moderna será desativada.

Para obter mais informações sobre o Get-OrganizationConfig cmdlet, consulte Get-OrganizationConfig.

Pode verificar os servidores Skype para Empresas ao executar o seguinte comando do PowerShell:

Get-CSOAuthConfiguration

Se o comando devolver uma propriedade OAuthServers vazia ou se o valor da propriedade ClientADALAuthOverride não for Permitido, a autenticação moderna será desativada.

Para obter mais informações sobre o Get-CsOAuthConfiguration cmdlet, veja Get-CsOAuthConfiguration.

Cumpre os pré-requisitos de autenticação modernos?

Verifique e verifique estes itens fora da sua lista antes de continuar:

  • Skype para Empresas específico

    • Todos os servidores têm de ter a atualização cumulativa de maio de 2017 (CU5) para Skype para Empresas Server 2015 ou posterior
      • Exceção – O SBA (Survivability Branch Appliance) pode estar na versão atual (com base no Lync 2013)
    • O seu domínio SIP é adicionado como um domínio Federado no Office 365
    • Todos os Front-Ends do SFB têm de ter ligações de saída para a Internet, para Office 365 URLs de Autenticação (TCP 443) e CRLs de raiz de certificado bem conhecidos (TCP 80) listados nas Linhas 56 e 125 da secção "Microsoft 365 Common and Office" dos Office 365 URLs e intervalos de endereços IP.

  • Skype para Empresas no local num ambiente de Office 365 híbrido

    • Uma implementação Skype para Empresas Server 2019 com todos os servidores em execução Skype para Empresas Server 2019.
    • Uma implementação Skype para Empresas Server 2015 com todos os servidores em execução Skype para Empresas Server 2015.
    • Uma implementação com um máximo de duas versões de servidor diferentes, conforme listado abaixo:
      • Skype para Empresas Server 2015
      • Skype para Empresas Server 2019
    • Todos os servidores Skype para Empresas têm de ter as atualizações cumulativas mais recentes instaladas. Veja Skype para Empresas Server atualizações para localizar e gerir todas as atualizações disponíveis.
    • Não existe nenhum Lync Server 2010 ou 2013 no ambiente híbrido.

Nota

Se os servidores front-end Skype para Empresas utilizarem um servidor proxy para acesso à Internet, o IP do servidor proxy e o Número de porta utilizados têm de ser introduzidos na secção de configuração do ficheiro de web.config para cada front-end.

  • C:\Program Files\Skype para Empresas Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype para Empresas Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Importante

Certifique-se de que subscreve o feed RSS para Office 365 URLs e intervalos de endereços IP para se manter atualizado com as listagens mais recentes dos URLs necessários.

  • Exchange Server específico

    • Está a utilizar o Exchange Server 2013 CU19 e up, o Exchange Server 2016 CU8 e up, ou Exchange Server CU1 de 2019 e mais.
    • Não existe nenhum exchange server 2010 no ambiente.
    • A Descarga de SSL não está configurada. A terminação SSL e a reencriptografia são suportadas.
    • Caso o seu ambiente utilize uma infraestrutura de servidor proxy para permitir que os servidores se liguem à Internet, certifique-se de que todos os servidores do Exchange têm o servidor proxy definido na propriedade InternetWebProxy .

  • Exchange Server no local num ambiente de Office 365 híbrido

    • Se estiver a utilizar o Exchange Server 2013, pelo menos um servidor tem de ter as funções de servidor de Acesso de Cliente e Caixa de Correio instaladas. Embora seja possível instalar as funções caixa de correio e acesso de cliente em servidores separados, recomendamos vivamente que instale ambas as funções no mesmo servidor para fornecer mais fiabilidade e um melhor desempenho.
    • Se estiver a utilizar o Exchange Server 2016 ou versão posterior, pelo menos um servidor tem de ter a função de servidor caixa de correio instalada.
    • Não existe nenhum Exchange Server 2007 ou 2010 no ambiente Híbrido.
    • Todos os servidores exchange têm de ter as atualizações cumulativas mais recentes instaladas. Consulte Atualizar o Exchange para a Atualizações Cumulativa mais recente para localizar e gerir todas as atualizações disponíveis.

  • Requisitos de cliente e protocolo do Exchange

    A disponibilidade da autenticação moderna é determinada pela combinação do cliente, protocolo e configuração. Se a autenticação moderna não for suportada pelo cliente, protocolo e/ou configuração, o cliente continuará a utilizar a autenticação legada.

    Os seguintes clientes e protocolos suportam a autenticação moderna com o Exchange no local quando a autenticação moderna é ativada no ambiente:

    Clientes Protocolo Primário Notas
    Outlook 2013 e posterior
    		 MAPI através de HTTP
    		 O MAPI através de HTTP tem de estar ativado no Exchange para poder utilizar a autenticação moderna com estes clientes (ativado ou Verdadeiro para novas instalações do Exchange 2013 Service Pack 1 e superior); Para obter mais informações, consulte How modern authentication works for Office 2013 and Office 2016 client apps (Como funciona a autenticação moderna para aplicações cliente do Office 2013 e Office 2016).
    Certifique-se de que está a executar a compilação mínima necessária do Outlook; consulte Atualizações mais recentes para versões do Outlook que utilizam o Windows Installer (MSI).
    Outlook 2016 para Mac e posterior
    		 Serviços Web Exchange
    Outlook para iOS e Android
    		 Tecnologia de sincronização da Microsoft
    		 Consulte Utilizar a Autenticação Moderna Híbrida com o Outlook para iOS e Android para obter mais informações.
    Exchange ActiveSync clientes (por exemplo, Correio iOS11)
    		 Exchange ActiveSync
    		 Para Exchange ActiveSync clientes que suportam a autenticação moderna, tem de recriar o perfil para mudar da autenticação básica para a autenticação moderna.

    Os clientes e/ou protocolos que não estão listados (por exemplo, POP3) não suportam a autenticação moderna com o Exchange no local e continuam a utilizar mecanismos de autenticação legados mesmo após a autenticação moderna ser ativada no ambiente.

  • Pré-requisitos gerais

    • Os cenários de floresta de recursos requerem uma fidedignidade bidirecional com a floresta de contas para garantir que as pesquisas de SID adequadas são realizadas durante pedidos de autenticação moderna híbrida.

    • Se utilizar o AD FS, deverá ter o Windows 2012 R2 AD FS 3.0 e superior para federação.

    • As configurações de identidade são qualquer um dos tipos suportados pelo Microsoft Entra Connect, como a sincronização do hash de palavras-passe, a autenticação pass-through e o STS no local suportados pelo Office 365.

    • Tem Microsoft Entra Ligar configurado e a funcionar para replicação e sincronização de utilizadores.

      Nota

      Quaisquer contas de utilizador que não estejam sincronizadas com a Identidade Microsoft Entra não receberão um token de autorização através da Autenticação Moderna Híbrida. Assim que a aplicação no local estiver configurada para utilizar o evoSTS como ponto final de autorização predefinido, estas contas de utilizador que não estão sincronizadas encontrarão problemas com o respetivo acesso à aplicação se a configuração adequada não estiver disponível.

    • Verificou que o híbrido está configurado com o modo de Topologia Híbrida Clássica do Exchange entre o ambiente no local e Office 365. A declaração de suporte oficial para o Exchange híbrido diz que tem de ter CU atual ou CU atual - 1.

      Nota

      A autenticação moderna híbrida não é suportada com o Agente Híbrido.

    • Certifique-se de que um utilizador de teste no local e um utilizador de teste híbrido no Office 365 podem iniciar sessão no cliente de ambiente de trabalho Skype para Empresas (se quiser utilizar a autenticação moderna com o Skype) e o Microsoft Outlook (se quiser utilizar a autenticação moderna com o Exchange).

    • Certifique-se de que a definição SignInOptions no Microsoft Office não está configurada para a definição mais restritiva. Para obter mais informações, consulte Como permitir que o Office se ligue à Internet.

O que mais preciso de saber antes de começar?

  • Todos os cenários para servidores no local envolvem a configuração da autenticação moderna no local (na verdade, para Skype para Empresas existe uma lista de topologias suportadas) para que o servidor responsável pela autenticação e autorização esteja no Serviço de tokens de segurança do Microsoft Entra ID, denominado "evoSTS", e a atualizar Microsoft Entra ID sobre os URLs ou espaços de nomes utilizados pela instalação no local do Skype para Empresas ou do Exchange. Por conseguinte, os servidores no local assumem uma dependência do Microsoft Cloud. A realização desta ação pode ser considerada a configuração da "autenticação híbrida".
  • Este artigo liga-se a outras pessoas que o ajudam a escolher topologias de autenticação modernas suportadas (necessárias apenas para Skype para Empresas) e artigos de procedimentos que descrevem os passos de configuração ou passos para desativar a autenticação moderna para o Exchange no local e Skype para Empresas no local. Adicione esta página aos favoritos no browser se precisar de uma home-base para utilizar a autenticação moderna no seu ambiente de servidor.