Общие сведения о гибридной современной проверке подлинности и предварительные требования для ее использования с локальными серверами Skype для бизнеса Server и Exchange Server

  • Статья

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Современная проверка подлинности — это метод управления удостоверениями, обеспечивающий более надежную аутентификацию и авторизацию пользователей. Он доступен для Office 365 гибридных развертываний локального сервера Skype для бизнеса и локального сервера Exchange Server, а также для гибридных Skype для бизнеса разделенных доменов. В этой статье содержатся ссылки на связанные документы о предварительных требованиях, настройке и отключении современной проверки подлинности, а также сведения о некоторых связанных клиентах (например, клиентах Outlook и Skype).

Общие сведения о современной проверке подлинности

Современная проверка подлинности — это общий термин для сочетания методов проверки подлинности и авторизации между клиентом (например, ноутбуком или телефоном) и сервером, а также для некоторых мер безопасности, основанных на политиках доступа, с которыми вы уже знакомы. Он включает следующее:

  • Методы проверки подлинности: Многофакторная проверка подлинности (MFA); проверка подлинности smart карта; проверка подлинности на основе сертификата клиента
  • Методы авторизации: реализация корпорацией Майкрософт протокола Open Authorization (OAuth).
  • Политики условного доступа: управление мобильными приложениями (MAM) и условный доступ Microsoft Entra

Благодаря управлению удостоверениями пользователей с помощью современной проверки подлинности администраторы могут использовать различные инструменты для защиты ресурсов и получают доступ к более безопасным методам управления удостоверениями не только при работе с локальными (Exchange и Skype для бизнеса) и гибридными развертываниями Exchange, но и в случае реализации сценариев развертывания Skype для бизнеса в гибридной среде или с разделенным доменом.

Так как Skype для бизнеса тесно сотрудничает с Exchange, на поведение входа Skype для бизнеса клиентских пользователей будет влиять состояние современной проверки подлинности Exchange. Это также применимо, если у вас есть Skype для бизнеса гибридная архитектура с разделением домена, в которой у вас есть Skype для бизнеса Online и Skype для бизнеса локально, с пользователями, размещенными в обоих расположениях.

Дополнительные сведения о современной проверке подлинности в Office 365 см. в разделе Поддержка Office 365 клиентских приложений — многофакторная проверка подлинности.

Важно!

С августа 2017 года во всех новых клиентах Office 365, включающих Skype для бизнеса Online и Exchange Online, современная проверка подлинности включена по умолчанию. Существующие клиенты не будут иметь изменения в состоянии MA по умолчанию, но все новые клиенты автоматически поддерживают расширенный набор функций удостоверений, перечисленных ранее. Сведения о том, как определить состояние современной проверки подлинности, см. в разделе Определение состояния современной проверки подлинности в локальной среде.

Изменения в случае использования современной проверки подлинности

При использовании современной проверки подлинности с локальным сервером Skype для бизнеса Server или Exchange Server по-прежнему осуществляется локальная аутентификация пользователей, но изменяется процесс авторизации их доступа к ресурсам (например, файлам и сообщениям электронной почты). Вот почему, хотя современная проверка подлинности связана с обменом данными между клиентами и сервером, действия, выполняемые при настройке MA, приводят к тому, что evoSTS (служба маркеров безопасности, используемая Microsoft Entra ID) устанавливается в качестве сервера проверки подлинности для Skype для бизнеса и локального сервера Exchange Server.

За счет изменения в evoSTS локальные серверы могут воспользоваться преимуществами OAuth (выдачи маркеров) для авторизации клиентов, а вы получаете возможность использовать в локальной среде методы обеспечения безопасности, распространенные в облаке (например, многофакторную проверку подлинности). Кроме того, служба evoSTS выдает маркеры, с помощью которых пользователи могут запрашивать доступ к ресурсам, не указывая при этом пароль. Независимо от того, где находятся пользователи (в сети или локальной среде), и независимо от того, в каком расположении размещен необходимый ресурс, EvoSTS станет ядром авторизации пользователей и клиентов после настройки современной проверки подлинности.

Например, если клиенту Skype для бизнеса требуется доступ к серверу Exchange Server для получения сведений о календаре от имени пользователя, он использует для этого библиотеку проверки подлинности Майкрософт (MSAL). MSAL — это библиотека кода, предназначенная для обеспечения доступности защищенных ресурсов в каталоге для клиентских приложений с помощью маркеров безопасности OAuth. MSAL работает с OAuth для проверки утверждений и обмена маркерами (а не паролями) для предоставления пользователю доступа к ресурсу. В прошлом центр в транзакции, подобной этой, — сервер, который знает, как проверять утверждения пользователей и выдавать необходимые маркеры, — мог быть локальной службой маркеров безопасности или даже службы федерации Active Directory (AD FS). Однако современная проверка подлинности централизуется с помощью Microsoft Entra ID.

Это также означает, что, несмотря на то, что сервер Exchange Server и Skype для бизнеса среды могут быть полностью локальными, сервер авторизации находится в сети, а локальная среда должна иметь возможность создавать и поддерживать подключение к подписке Office 365 в облаке (и Microsoft Entra экземпляр, который ваша подписка использует в качестве каталога).

Что останется по-прежнему? Независимо от того, работаете ли вы в гибридной среде с разделенным доменом или используете локальный сервер Skype для бизнеса Server и Exchange Server, все пользователи должны прежде всего пройти проверку подлинности локально. При гибридной реализации современной проверки подлинности как Lyncdiscovery, так и Autodiscovery указывают на локальный сервер.

Важно!

Сведения об определенных топологиях Skype для бизнеса, которые поддерживает современная проверка подлинности, изложены здесь.

Определение состояния современной проверки подлинности в локальной среде

Так как современная проверка подлинности изменяет сервер авторизации, используемый при применении службами OAuth/S2S, необходимо знать, включена ли современная проверка подлинности для локальных сред Skype для бизнеса и Exchange. Чтобы определить состояние серверов Exchange Server, выполните такую команду PowerShell:

Get-OrganizationConfig | ft OAuth*

Если для свойства OAuth2ClientProfileEnabled указано значение False, современная проверка подлинности отключена.

Дополнительные сведения о командлете см. в Get-OrganizationConfig разделе Get-OrganizationConfig.

Чтобы проверить серверы Skype для бизнеса Server, выполните такую команду PowerShell:

Get-CSOAuthConfiguration

Если команда возвращает пустое свойство OAuthServers или значение свойства ClientADALAuthOverride не разрешено, современная проверка подлинности отключена.

Дополнительные сведения о командлете см. в Get-CsOAuthConfiguration разделе Get-CsOAuthConfiguration.

Соответствие предварительным требованиям для современной проверки подлинности

Прежде чем продолжить, проверьте элементы согласно списку ниже.

  • Характерные для Skype для бизнеса:

    • На всех серверах должен быть установлен накопительный пакет обновления за май 2017 года (CU5) для Skype для бизнеса Server 2015 или более поздней версии.
      • Исключение: на устройстве для обеспечения связи в филиалах может оставаться текущая версия (на основе Lync 2013).
    • Ваш домен SIP добавлен в состав Office 365 в качестве федеративного домена.
    • Все интерфейсные серверы SFB должны иметь исходящие подключения к Интернету, чтобы Office 365 URL-адреса проверки подлинности (TCP 443) и хорошо известные корневые списки сертификатов (TCP 80), перечисленные в строках 56 и 125 раздела Microsoft 365 Common and Office раздела Office 365 URL-адресов и диапазонов IP-адресов.

  • Локальное размещение Skype для бизнеса в гибридной среде Office 365

    • Развертывание Skype для бизнеса Server 2019, в котором на всех серверах работает Skype для бизнеса Server 2019.
    • Развертывание Skype для бизнеса Server 2015, в котором на всех серверах работает Skype для бизнеса Server 2015.
    • Развертывание с не более, чем двумя различными версиями серверов, указанными ниже.
      • Skype для бизнеса Server 2015
      • Skype для бизнеса Server 2019
    • На всех серверах Skype для бизнеса должны быть установлены последние накопительные пакеты обновления. Сведения о поиске всех доступных обновлений и управлении ими см. в статье Обновления Skype для бизнеса Server.
    • В гибридной среде нет Lync Server 2010 или 2013.

Примечание.

В случае использования прокси-сервера для доступа к Интернету в разделе конфигурации файла web.config для каждого сервера переднего плана, работающего со Skype для бизнеса, необходимо указать IP-адрес прокси-сервера и номер порта.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Важно!

Подпишитесь на RSS-канал на странице URL-адреса и диапазоны IP-адресов Office 365, чтобы получать актуальные списки необходимых URL-адресов.

  • Характерные для сервера Exchange Server:

    • Вы используете Exchange Server 2013 CU19, Exchange Server 2016 CU8 или Exchange Server 2019 CU1 и более поздних версий.
    • В среде нет Exchange Server 2010.
    • Разгрузка SSL не настроена. Поддерживаются завершение и повторное шифрование SSL.
    • Если в вашей среде используется инфраструктура прокси-сервера для подключения к Интернету, убедитесь, что на всех серверах Exchange Server в свойстве InternetWebProxy определен прокси-сервер.

  • Локальное размещение Exchange Server в гибридной среде Office 365

    • Если вы используете Exchange Server 2013, по крайней мере на одном сервере должны быть установлены роли сервера почтового ящика и сервера клиентского доступа. Хотя роли почтового ящика и клиентского доступа можно установить на разных серверах, настоятельно рекомендуется установить обе роли на одном сервере, чтобы повысить надежность и повысить производительность.
    • Если вы используете Exchange Server 2016 или более поздней версии, по крайней мере на одном сервере должна быть установлена роль сервера почтовых ящиков.
    • В гибридной среде нет Exchange Server 2007 или 2010.
    • На всех серверах Exchange должны быть установлены последние накопительные обновления. См. статью Обновление Exchange до последней накопительной Обновления, чтобы найти все доступные обновления и управлять ими.

  • Требования к клиенту Exchange и протоколам

    Доступность современной проверки подлинности определяется сочетанием клиента, протокола и конфигурации. Если современная проверка подлинности не поддерживается клиентом, протоколом и (или) конфигурацией, клиент продолжает использовать устаревшую проверку подлинности.

    Следующие клиенты и протоколы поддерживают современную проверку подлинности в локальной среде Exchange, если современная проверка подлинности включена в среде:

    Клиенты Основной протокол Примечания
    Outlook 2013 и более поздние версии
    		 MAPI/HTTP
    		 Для использования современной проверки подлинности с этими клиентами необходимо включить MAPI через HTTP в Exchange (включено или True для новых установок Exchange 2013 с пакетом обновления 1 (SP1) и более поздних версий); Дополнительные сведения см. в статье Как работает современная проверка подлинности для клиентских приложений Office 2013 и Office 2016.
    Убедитесь, что вы используете минимальную требуемую сборку Outlook; См. раздел Последние обновления для версий Outlook, использующих установщик Windows (MSI).
    Outlook 2016 для Mac и более поздние версии
    		 Веб-службы Exchange
    Outlook для iOS и Android
    		 Технология синхронизации Майкрософт
    		 Дополнительные сведения см. в статье Использование гибридной современной проверки подлинности в Outlook для iOS и Android.
    Exchange ActiveSync клиентов (например, почта iOS11)
    		 Exchange ActiveSync
    		 Для клиентов Exchange ActiveSync, поддерживающих современную проверку подлинности, необходимо повторно создать профиль для переключения с обычной проверки подлинности на современную.

    Клиенты и (или) протоколы, которые не перечислены (например, POP3), не поддерживают современную проверку подлинности в локальной среде Exchange и продолжают использовать устаревшие механизмы проверки подлинности даже после включения современной проверки подлинности в среде.

  • Общие предварительные требования

    • В сценариях с лесом ресурсов требуется двустороннее доверие с лесом учетных записей, чтобы обеспечить правильный поиск идентификаторов безопасности во время гибридных современных запросов проверки подлинности.

    • В случае использования AD FS для федерации необходимо иметь AD FS 3.0 для Windows 2012 R2 и более поздней версии.

    • Конфигурации удостоверений — это любые типы, поддерживаемые Microsoft Entra Connect, например синхронизация хэша паролей, сквозная проверка подлинности и локальные службы stS, поддерживаемые Office 365.

    • Вы Microsoft Entra Connect настроены и работают для репликации и синхронизации пользователей.

      Примечание.

      Всем учетным записям пользователей, которые не синхронизированы с Microsoft Entra Identity, не будет предоставляться маркер авторизации с помощью гибридной современной проверки подлинности. После настройки локального приложения для использования evoSTS в качестве конечной точки авторизации по умолчанию эти учетные записи пользователей, которые не синхронизированы, столкнутся с проблемами с доступом к приложению, если соответствующая конфигурация недоступна.

    • Необходимо убедиться, что гибридная среда настроена в режиме классической гибридной топологии Exchange между локальной средой и Office 365. Согласно официальной инструкции службы технической поддержки, для гибридного развертывания Exchange должен быть установлен текущий накопительный пакет обновления или его предыдущая версия.

      Примечание.

      Гибридная современная проверка подлинности не поддерживается в составе Hybrid Agent.

    • Убедитесь, что локальный тестовый пользователь и гибридный тестовый пользователь, размещенный в Office 365, могут войти в классический клиент Skype для бизнеса (если вы хотите использовать современную проверку подлинности в Skype) и Microsoft Outlook (если вы хотите использовать современную проверку подлинности с Exchange).

    • Убедитесь, что параметр SignInOptions в Microsoft Office не настроен на самый строгий параметр. Дополнительные сведения см. в разделе Как разрешить Office подключаться к Интернету.

Дополнительные сведения перед началом работы

  • Все сценарии для локальных серверов включают настройку современной проверки подлинности в локальной среде (на самом деле, для Skype для бизнеса есть список поддерживаемых топологий), чтобы сервер, отвечающий за проверку подлинности и авторизацию, был в Microsoft Cloud (служба маркеров безопасности Microsoft Entra ID, называемая evoSTS), и обновление Microsoft Entra ID о URL-адресах или пространствах имен, используемых локальной установкой Skype для бизнеса или Exchange. Таким образом, локальные серверы становятся зависимыми от Microsoft Cloud. Это можно учесть при настройке гибридной проверки подлинности.
  • В этой статье содержатся ссылки на другие статьи, которые помогут вам выбрать поддерживаемые современные топологии проверки подлинности (необходимы только для Skype для бизнеса), а также практические статьи, описывающие шаги по настройке или действия по отключению современной проверки подлинности для локальной службы Exchange и Skype для бизнеса локальной среды. Если вам нужна основа для использования современной проверки подлинности в серверной среде, добавьте эту страницу в избранное в браузере.