Översikt över modern hybridautentisering och förutsättningar för att använda den med lokala Skype för företag- och Exchange-servrar
Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.
Modern autentisering är en metod för identitetshantering som ger säkrare användarautentisering och auktorisering. Den är tillgänglig för Office 365-hybriddistributioner av Skype för företag-servern lokalt och Exchange Server lokalt, och skype för företag-hybrider med delad domän. Den här artikeln länkar till relaterade dokument om krav, installation/inaktivering av modern autentisering och till en del av den relaterade klientinformationen (t.ex. Outlook- och Skype-klienter).
- Vad är modern autentisering?
- Vad ändras när jag använder modern autentisering?
- Kontrollera modern autentiseringsstatus för din lokala miljö
- Uppfyller du kraven för modern autentisering?
- Vad mer behöver jag veta innan jag börjar?
Vad är modern autentisering?
Modern autentisering är en paraplyterm för en kombination av autentiserings- och auktoriseringsmetoder mellan en klient (till exempel din bärbara dator eller din telefon) och en server, samt vissa säkerhetsåtgärder som förlitar sig på åtkomstprinciper som du kanske redan är bekant med. Det innehåller:
- Autentiseringsmetoder: Multifaktorautentisering (MFA); smartkortautentisering; klientcertifikatbaserad autentisering
- Auktoriseringsmetoder: Microsofts implementering av Open Authorization (OAuth)
- Principer för villkorlig åtkomst: Hantering av mobilprogram (MAM) och villkorsstyrd åtkomst för Microsoft Entra
Hantering av användaridentiteter med modern autentisering ger administratörer många olika verktyg att använda när det gäller att skydda resurser och erbjuder säkrare metoder för identitetshantering till både lokala (Exchange och Skype för företag), Exchange Hybrid och Skype för företag hybrid-/split-domänscenarier.
Eftersom Skype för företag har ett nära samarbete med Exchange påverkas inloggningsbeteendet för Skype för företag-klientanvändare av exchanges moderna autentiseringsstatus. Det gäller även om du har en hybridarkitektur med delad domän i Skype för företag, där du har både Skype för företag - Online och Skype för företag lokalt, med användare som finns på båda platserna.
Mer information om modern autentisering i Office 365 finns i Office 365-klientappstöd – multifaktorautentisering.
Viktigt
Från och med augusti 2017 har alla nya Office 365-klienter som inkluderar Skype för företag - Online och Exchange Online modern autentisering aktiverat som standard. Befintliga klientorganisationer har ingen ändring i standardtillståndet för ma, men alla nya klienter stöder automatiskt den utökade uppsättningen identitetsfunktioner som du såg tidigare. Information om hur du kontrollerar ma-status finns i avsnittet Kontrollera modern autentiseringsstatus för din lokala miljö .
Vad ändras när jag använder modern autentisering?
När du använder modern autentisering med lokal Skype för företag- eller Exchange-server autentiserar du fortfarande användare lokalt, men berättelsen om att auktorisera deras åtkomst till resurser (till exempel filer eller e-postmeddelanden) ändras. Det är därför som modern autentisering handlar om klient- och serverkommunikation, men de steg som vidtas under konfigurationen av MA resulterar i att evoSTS (en säkerhetstokentjänst som används av Microsoft Entra ID) anges som Auth Server för Skype för företag och Exchange Server lokalt.
Ändringen av evoSTS gör att dina lokala servrar kan dra nytta av OAuth (tokenutfärdande) för att auktorisera dina klienter och även låta dina lokala datorer använda säkerhetsmetoder som är vanliga i molnet (till exempel Multi-Factor Authentication). Dessutom utfärdar evoSTS tokens som gör det möjligt för användare att begära åtkomst till resurser utan att ange sitt lösenord som en del av begäran. Oavsett var användarna befinner sig (online eller lokalt), och oavsett vilken plats som är värd för den resurs som behövs, skulle EvoSTS bli kärnan i att auktorisera användare och klienter när modern autentisering har konfigurerats.
Om en Skype för företag-klient till exempel behöver åtkomst till Exchange-servern för att hämta kalenderinformation för en användares räkning använder den Microsoft Authentication Library (MSAL) för att göra det. MSAL är ett kodbibliotek som utformats för att göra skyddade resurser i din katalog tillgängliga för klientprogram med hjälp av OAuth-säkerhetstoken. MSAL fungerar med OAuth för att verifiera anspråk och utbyta token (i stället för lösenord) för att ge en användare åtkomst till en resurs. Tidigare kan utfärdaren i en transaktion som den här – servern som vet hur man validerar användaranspråk och utfärdar nödvändiga token – ha varit en lokal säkerhetstokentjänst eller till och med Active Directory Federation Services. Modern autentisering centraliserar dock den utfärdaren med hjälp av Microsoft Entra-ID.
Det innebär också att även om exchange-servern och Skype för företag-miljöer kan vara helt lokala, är auktoriseringsservern online och din lokala miljö måste ha möjlighet att skapa och underhålla en anslutning till din Office 365-prenumeration i molnet (och Microsoft Entra-instansen som din prenumeration använder som sin katalog).
Vad ändras inte? Oavsett om du är i en hybrid med delad domän eller använder Skype för företag och Exchange Server lokalt måste alla användare först autentisera lokalt. I en hybridimplementering av modern autentisering pekar Lyncdiscovery och Autodiscovery båda på din lokala server.
Viktigt
Om du behöver känna till de specifika Skype för företag-topologier som stöds med MA dokumenteras det här.
Kontrollera modern autentiseringsstatus för din lokala miljö
Eftersom modern autentisering ändrar auktoriseringsservern som används när tjänster tillämpar OAuth/S2S måste du veta om modern autentisering är aktiverat eller inaktiverat för dina lokala Skype för företag- och Exchange-miljöer. Du kan kontrollera statusen på Exchange-servrarna genom att köra följande PowerShell-kommando:
Get-OrganizationConfig | ft OAuth*
Om värdet för egenskapen OAuth2ClientProfileEnabled är False inaktiveras modern autentisering.
Mer information om cmdleten finns i Get-OrganizationConfig
Get-OrganizationConfig.
Du kan kontrollera dina Skype för företag-servrar genom att köra följande PowerShell-kommando:
Get-CSOAuthConfiguration
Om kommandot returnerar en tom OAuthServers-egenskap , eller om värdet för egenskapen ClientADALAuthOverride inte är Tillåten, inaktiveras modern autentisering.
Mer information om cmdleten Get-CsOAuthConfiguration
finns i Get-CsOAuthConfiguration.
Uppfyller du kraven för modern autentisering?
Kontrollera och markera dessa objekt i listan innan du fortsätter:
Skype för företag - specifikt
- Alla servrar måste ha kumulativ uppdatering från maj 2017 (CU5) för Skype för företag Server 2015 eller senare
- Undantag – SBA (Survivability Branch Appliance) kan finnas på den aktuella versionen (baserat på Lync 2013)
- SIP-domänen läggs till som en federerad domän i Office 365
- Alla SFB-klientdelar måste ha utgående anslutningar till Internet, till Office 365-autentiserings-URL:er (TCP 443) och välkända certifikatrot-CRL:er (TCP 80) som anges i raderna 56 och 125 i avsnittet Microsoft 365 Common and Office i URL:er och IP-adressintervall för Office 365.
- Alla servrar måste ha kumulativ uppdatering från maj 2017 (CU5) för Skype för företag Server 2015 eller senare
Skype för företag lokalt i en Office 365-hybridmiljö
- En Distribution av Skype för företag Server 2019 med alla servrar som kör Skype för företag Server 2019.
- En Skype för företag Server 2015-distribution med alla servrar som kör Skype för företag Server 2015.
- En distribution med högst två olika serverversioner enligt listan nedan:
- Skype för företag Server 2015
- Skype för företag Server 2019
- Alla Skype för företag-servrar måste ha de senaste kumulativa uppdateringarna installerade, se Skype för företag Server-uppdateringar för att hitta och hantera alla tillgängliga uppdateringar.
- Det finns ingen Lync Server 2010 eller 2013 i hybridmiljön.
Obs!
Om klientdelsservrarna i Skype för företag använder en proxyserver för Internetåtkomst måste proxyserverns IP-adress och portnummer anges i konfigurationsavsnittet i web.config-filen för varje klientdel.
- C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
- C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
<system.net>
<defaultProxy>
<proxy
proxyaddress="https://192.168.100.60:8080"
bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>
Viktigt
Se till att prenumerera på RSS-feeden för Office 365-URL:er och IP-adressintervall för att hålla dig uppdaterad med de senaste listorna över nödvändiga URL:er.
Exchange Server-specifik
- Du använder antingen Exchange Server 2013 CU19 och uppåt, Exchange Server 2016 CU8 och uppåt, eller Exchange Server 2019 CU1 och uppåt.
- Det finns ingen Exchange Server 2010 i miljön.
- SSL-avlastning har inte konfigurerats. SSL-avslutning och omkryptering stöds.
- Om din miljö använder en proxyserverinfrastruktur för att tillåta att servrar ansluter till Internet kontrollerar du att alla Exchange-servrar har proxyservern definierad i egenskapen InternetWebProxy .
Exchange Server lokalt i en Office 365-hybridmiljö
- Om du använder Exchange Server 2013 måste minst en server ha serverrollerna Postlåda och Klientåtkomst installerad. Även om det är möjligt att installera rollerna Postlåda och Klientåtkomst på separata servrar rekommenderar vi starkt att du installerar båda rollerna på samma server för att ge mer tillförlitlighet och bättre prestanda.
- Om du använder Exchange Server 2016 eller senare måste minst en server ha serverrollen Postlåda installerad.
- Det finns ingen Exchange Server 2007 eller 2010 i hybridmiljön.
- Alla Exchange-servrar måste ha de senaste kumulativa uppdateringarna installerade. Se Uppgradera Exchange till de senaste kumulativa uppdateringarna för att hitta och hantera alla tillgängliga uppdateringar.
Krav för Exchange-klient och protokoll
Tillgängligheten för modern autentisering bestäms av kombinationen av klienten, protokollet och konfigurationen. Om modern autentisering inte stöds av klienten, protokollet och/eller konfigurationen fortsätter klienten att använda äldre autentisering.
Följande klienter och protokoll stöder modern autentisering med lokal Exchange när modern autentisering är aktiverat i miljön:
Klienter Primärt protokoll Kommentarer Outlook 2013 och senare MAPI via HTTP MAPI via HTTP måste aktiveras i Exchange för att kunna använda modern autentisering med dessa klienter (aktiverat eller Sant för nya installationer av Exchange 2013 Service Pack 1 och senare); Mer information finns i Så här fungerar modern autentisering för Office 2013- och Office 2016-klientappar.
Se till att du kör den lägsta nödvändiga versionen av Outlook. se Senaste uppdateringarna för versioner av Outlook som använder Windows Installer (MSI).Outlook 2016 för Mac och senare Exchange-webbtjänster Outlook för iOS och Android Microsofts synkroniseringsteknik Mer information finns i Använda modern hybridautentisering med Outlook för iOS och Android . Exchange ActiveSync-klienter (till exempel iOS11 Mail) Exchange ActiveSync För Exchange ActiveSync-klienter som stöder modern autentisering måste du återskapa profilen för att kunna växla från grundläggande autentisering till modern autentisering. Klienter och/eller protokoll som inte visas (till exempel POP3) stöder inte modern autentisering med lokal Exchange och fortsätter att använda äldre autentiseringsmekanismer även efter att modern autentisering har aktiverats i miljön.
Allmänna krav
Resursskogsscenarier kräver ett dubbelriktad förtroende med kontoskogen för att säkerställa att rätt SID-sökningar utförs under moderna hybridautentiseringsbegäranden.
Om du använder AD FS bör du ha Windows 2012 R2 AD FS 3.0 och senare för federation.
Dina identitetskonfigurationer är någon av de typer som stöds av Microsoft Entra Connect, till exempel synkronisering av lösenordshash, direktautentisering och lokal STS som stöds av Office 365.
Microsoft Entra Connect har konfigurerats och fungerar för användarreplikering och synkronisering.
Obs!
Användarkonton som inte är synkroniserade med Microsoft Entra Identity får ingen auktoriseringstoken via modern hybridautentisering. När det lokala programmet har konfigurerats för att använda evoSTS som standardslutpunkt för auktorisering stöter dessa användarkonton som inte är synkroniserade på problem med deras åtkomst till programmet om lämplig konfiguration inte är tillgänglig.
Du har kontrollerat att hybriden har konfigurerats med klassisk Exchange-hybridtopologiläge mellan din lokala miljö och Office 365-miljön. Det officiella supportmeddelandet för Exchange-hybriden säger att du måste ha aktuell CU eller aktuell CU – 1.
Obs!
Hybrid modern autentisering stöds inte med hybridagenten.
Kontrollera att både en lokal testanvändare och en hybridtestanvändare som finns i Office 365 kan logga in på Skype för företag-skrivbordsklienten (om du vill använda modern autentisering med Skype) och Microsoft Outlook (om du vill använda modern autentisering med Exchange).
Kontrollera att inställningen SignInOptions i Microsoft Office inte har konfigurerats till den mest restriktiva inställningen. Mer information finns i Så här tillåter du att Office ansluter till Internet.
Vad mer behöver jag veta innan jag börjar?
- Alla scenarier för lokala servrar omfattar att konfigurera modern autentisering lokalt (för Skype för företag finns en lista över topologier som stöds) så att den server som ansvarar för autentisering och auktorisering finns i Microsoft Cloud (Microsoft Entra ID:s tjänst för säkerhetstoken, kallad "evoSTS") och uppdatering av Microsoft Entra-ID om url:er eller namnrymder som används av din lokala installation av antingen Skype för företag eller Exchange. Lokala servrar har därför ett Microsoft Cloud-beroende. Att vidta den här åtgärden kan betraktas som att konfigurera "hybridautentisering".
- Den här artikeln länkar till andra som hjälper dig att välja moderna autentiseringstopologier som stöds (krävs endast för Skype för företag) och instruktioner som beskriver konfigurationsstegen eller stegen för att inaktivera modern autentisering för Exchange lokalt och Skype för företag lokalt. Favorit den här sidan i webbläsaren om du behöver en hembas för att använda modern autentisering i servermiljön.