Översikt över modern hybridautentisering och förutsättningar för att använda den med lokala Skype för företag- och Exchange-servrar

Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.

Modern autentisering är en metod för identitetshantering som ger säkrare användarautentisering och auktorisering. Den är tillgänglig för Office 365 hybriddistributioner av Skype för företag server lokalt och Exchange Server lokalt och Skype för företag hybrider med delade domäner. Den här artikeln länkar till relaterade dokument om krav, installation/inaktivering av modern autentisering och till en del av den relaterade klientinformationen (t.ex. Outlook- och Skype-klienter).

Vad är modern autentisering?

Modern autentisering är en paraplyterm för en kombination av autentiserings- och auktoriseringsmetoder mellan en klient (till exempel din bärbara dator eller din telefon) och en server, samt vissa säkerhetsåtgärder som är beroende av åtkomstprinciper som du kanske redan är bekant med. Det innehåller:

  • Autentiseringsmetoder: Multifaktorautentisering (MFA); smartkortautentisering; klientcertifikatbaserad autentisering
  • Auktoriseringsmetoder: Microsofts implementering av Open Authorization (OAuth)
  • Principer för villkorlig åtkomst: Hantering av mobilprogram (MAM) och villkorsstyrd åtkomst i Azure Active Directory (Azure AD)

Hantering av användaridentiteter med modern autentisering ger administratörer många olika verktyg att använda när det gäller att skydda resurser och erbjuder säkrare metoder för identitetshantering till både lokala (Exchange och Skype för företag), Exchange Hybrid och Skype för företag hybrid-/split-domänscenarier.

Eftersom Skype för företag arbetar nära Exchange påverkas inloggningsbeteendet Skype för företag klientanvändare av exchanges moderna autentiseringsstatus. Det gäller även om du har en Skype för företag hybridarkitektur med delad domän, där du har både Skype för företag Online och Skype för företag lokalt, med användare som finns på båda platserna.

Mer information om modern autentisering i Office 365 finns i Office 365 Klientappstöd – multifaktorautentisering.

Viktigt

Från och med augusti 2017 kommer alla nya Office 365 klienter som inkluderar Skype för företag online och Exchange Online att ha modern autentisering aktiverad som standard. Befintliga klientorganisationer har ingen ändring i standardtillståndet för ma, men alla nya klienter stöder automatiskt den utökade uppsättningen identitetsfunktioner som visas ovan. Information om hur du kontrollerar ma-status finns i avsnittet Kontrollera modern autentiseringsstatus för din lokala miljö .

Vad ändras när jag använder modern autentisering?

När du använder modern autentisering med lokala Skype för företag eller Exchange Server autentiserar du fortfarande användare lokalt, men berättelsen om att auktorisera deras åtkomst till resurser (till exempel filer eller e-postmeddelanden) ändras. Det är därför som modern autentisering handlar om klient- och serverkommunikation, men de steg som vidtas under konfigurationen av MA resulterar i att evoSTS (en säkerhetstokentjänst som används av Azure AD) anges som autentiseringsserver för Skype för företag och Exchange Server lokalt.

Ändringen av evoSTS gör att dina lokala servrar kan dra nytta av OAuth (tokenutfärdande) för att auktorisera dina klienter och även låta dina lokala datorer använda säkerhetsmetoder som är vanliga i molnet (till exempel Multi-Factor Authentication). Dessutom utfärdar evoSTS tokens som gör det möjligt för användare att begära åtkomst till resurser utan att ange sitt lösenord som en del av begäran. Oavsett var användarna befinner sig (online eller lokalt), och oavsett vilken plats som är värd för den resurs som behövs, blir EvoSTS kärnan i att auktorisera användare och klienter när modern autentisering har konfigurerats.

Om en Skype för företag-klient till exempel behöver åtkomst till Exchange-servern för att hämta kalenderinformation för en användares räkning använder den Microsoft Authentication Library (MSAL) för att göra det. MSAL är ett kodbibliotek som utformats för att göra skyddade resurser i din katalog tillgängliga för klientprogram med hjälp av OAuth-säkerhetstoken. MSAL fungerar med OAuth för att verifiera anspråk och utbyta token (i stället för lösenord) för att ge en användare åtkomst till en resurs. Tidigare kan utfärdaren i en transaktion som den här – servern som vet hur man validerar användaranspråk och utfärdar nödvändiga token – ha varit en lokal säkerhetstokentjänst eller till och med Active Directory Federation Services (AD FS). Modern autentisering centraliserar dock den utfärdaren med hjälp av Azure AD.

Det innebär också att även om exchange-servern och Skype för företag-miljöer kan vara helt lokala, är auktoriseringsservern online och din lokala miljö måste ha möjlighet att skapa och underhålla en anslutning till din Office 365-prenumeration i molnet (och den Azure AD instans som din prenumeration använder som sin katalog).

Vad ändras inte? Oavsett om du är i en hybrid med delad domän eller använder Skype för företag och Exchange Server lokalt måste alla användare först autentisera lokalt. I en hybridimplementering av modern autentisering pekar Lyncdiscovery och Autodiscovery båda på din lokala server.

Viktigt

Om du behöver känna till de specifika Skype för företag topologier som stöds med MA dokumenteras det här.

Kontrollera modern autentiseringsstatus för din lokala miljö

Eftersom modern autentisering ändrar auktoriseringsservern som används när tjänster tillämpar OAuth/S2S måste du veta om modern autentisering är aktiverat eller inaktiverat för dina lokala Skype för företag- och Exchange-miljöer. Du kan kontrollera statusen på Exchange-servrarna genom att köra följande PowerShell-kommando:

Get-OrganizationConfig | ft OAuth*

Om värdet för egenskapen OAuth2ClientProfileEnabled är False inaktiveras modern autentisering.

Mer information om cmdleten Get-OrganizationConfig finns i Get-OrganizationConfig.

Du kan kontrollera dina Skype för företag-servrar genom att köra följande PowerShell-kommando:

Get-CSOAuthConfiguration

Om kommandot returnerar en tom OAuthServers-egenskap , eller om värdet för egenskapen ClientADALAuthOverride inte är Tillåten, inaktiveras modern autentisering.

Mer information om cmdleten Get-CsOAuthConfiguration finns i Get-CsOAuthConfiguration.

Uppfyller du kraven för modern autentisering?

Kontrollera och markera dessa objekt i listan innan du fortsätter:

  • Skype för företag specifik

    • Alla servrar måste ha kumulativ uppdatering från maj 2017 (CU5) för Skype för företag – Server 2015 eller senare
      • Undantag – SBA (Survivability Branch Appliance) kan finnas på den aktuella versionen (baserat på Lync 2013)
    • SIP-domänen läggs till som en federerad domän i Office 365
    • Alla SFB-klientdelar måste ha utgående anslutningar till Internet, till Office 365-autentiserings-URL:er (TCP 443) och välkända certifikatrot-CRL:er (TCP 80) som anges i raderna 56 och 125 i avsnittet "Microsoft 365 Common and Office" i Office 365 URL:er och IP-adressintervall.
  • Skype för företag lokalt i en hybridmiljö Office 365

    • En Skype för företag – Server 2019-distribution med alla servrar som kör Skype för företag – Server 2019.
    • En Skype för företag – Server 2015-distribution med alla servrar som kör Skype för företag – Server 2015.
    • En distribution med högst två olika serverversioner enligt nedan:
      • Skype för företag Server 2015
      • Skype för företag Server 2019
    • Alla Skype för företag servrar måste ha de senaste kumulativa uppdateringarna installerade, se Skype för företag – Server uppdateringar för att hitta och hantera alla tillgängliga uppdateringar.
    • Det finns ingen Lync Server 2010 eller 2013 i hybridmiljön.

Obs!

Om dina Skype för företag klientdelsservrar använder en proxyserver för Internetåtkomst måste proxyserverns IP-adress och portnummer anges i konfigurationsavsnittet i web.config-filen för varje klientdel.

  • C:\Program Files\Skype för företag – Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype för företag – Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Viktigt

Se till att prenumerera på RSS-feeden för Office 365-URL:er och IP-adressintervall för att hålla dig uppdaterad med de senaste listorna över nödvändiga URL:er.

  • Exchange Server specifika

    • Du använder antingen Exchange Server 2013 CU19 och uppåt, Exchange Server 2016 CU8 och uppåt, eller Exchange Server 2019 CU1 och uppåt.
    • Det finns ingen Exchange Server 2010 i miljön.
    • SSL-avlastning har inte konfigurerats. SSL-avslutning och omkryptering stöds.
    • Om din miljö använder en proxyserverinfrastruktur för att tillåta att servrar ansluter till Internet kontrollerar du att alla Exchange-servrar har proxyservern definierad i egenskapen InternetWebProxy .
  • Exchange Server lokalt i en hybridmiljö Office 365

    • Om du använder Exchange Server 2013 måste minst en server ha serverrollerna Postlåda och Klientåtkomst installerade. Även om det är möjligt att installera rollerna Postlåda och Klientåtkomst på separata servrar rekommenderar vi starkt att du installerar båda rollerna på samma server för att ge mer tillförlitlighet och bättre prestanda.
    • Om du använder Exchange Server 2016 eller senare måste minst en server ha serverrollen Postlåda installerad.
    • Det finns ingen Exchange Server 2007 eller 2010 i hybridmiljön.
    • Alla Exchange-servrar måste ha de senaste kumulativa uppdateringarna installerade. Se Uppgradera Exchange till den senaste kumulativa Uppdateringar för att hitta och hantera alla tillgängliga uppdateringar.
  • Krav för Exchange-klient och protokoll

    Tillgängligheten för modern autentisering bestäms av kombinationen av klienten, protokollet och konfigurationen. Om modern autentisering inte stöds av klienten, protokollet och/eller konfigurationen fortsätter klienten att använda äldre autentisering.

    Följande klienter och protokoll stöder modern autentisering med lokal Exchange när modern autentisering är aktiverat i miljön:

    Klienter Primärt protokoll Kommentarer
    Outlook 2013 och senare
    MAPI via HTTP
    MAPI via HTTP måste aktiveras i Exchange för att kunna använda modern autentisering med dessa klienter (aktiverat eller Sant för nya installationer av Exchange 2013 Service Pack 1 och senare); Mer information finns i Så här fungerar modern autentisering för Office 2013- och Office 2016-klientappar.
    Se till att du kör den minsta nödvändiga versionen av Outlook. se Senaste uppdateringarna för versioner av Outlook som använder Windows Installer (MSI).
    Outlook 2016 för Mac och senare
    Exchange-webbtjänster

    Outlook för iOS och Android
    Microsofts synkroniseringsteknik
    Mer information finns i Använda modern hybridautentisering med Outlook för iOS och Android .
    Exchange ActiveSync klienter (till exempel iOS11 Mail)
    Exchange ActiveSync
    För Exchange ActiveSync klienter som stöder modern autentisering måste du återskapa profilen för att växla från grundläggande autentisering till modern autentisering.

    Klienter och/eller protokoll som inte visas (till exempel POP3) stöder inte modern autentisering med lokal Exchange och fortsätter att använda äldre autentiseringsmekanismer även efter att modern autentisering har aktiverats i miljön.

  • Allmänna krav

    • Resursskogsscenarier kräver ett dubbelriktad förtroende med kontoskogen för att säkerställa att rätt SID-sökningar utförs under moderna hybridautentiseringsbegäranden.

    • Om du använder AD FS bör du ha Windows 2012 R2 AD FS 3.0 och senare för federation.

    • Dina identitetskonfigurationer är någon av de typer som stöds av Azure AD Connect, till exempel synkronisering av lösenordshash, direktautentisering och lokal STS som stöds av Office 365.

    • Du har Azure AD Connect har konfigurerats och fungerar för användarreplikering och synkronisering.

    • Du har kontrollerat att hybriden har konfigurerats med klassisk Exchange-hybridtopologiläge mellan din lokala miljö och Office 365 miljö. Det officiella supportmeddelandet för Exchange-hybriden säger att du måste ha aktuell CU eller aktuell CU – 1.

      Obs!

      Hybrid modern autentisering stöds inte med hybridagenten.

    • Kontrollera att både en lokal testanvändare och en hybridtestanvändare som finns i Office 365 kan logga in på Skype för företag skrivbordsklienten (om du vill använda modern autentisering med Skype) och Microsoft Outlook (om du vill använda modern autentisering med Exchange).

    • Kontrollera att inställningen SignInOptions i Microsoft Office inte har konfigurerats till den mest restriktiva inställningen. Mer information finns i Så här tillåter du att Office ansluter till Internet.

Vad mer behöver jag veta innan jag börjar?

  • Alla scenarier för lokala servrar omfattar konfiguration av modern autentisering lokalt (för Skype för företag finns en lista över topologier som stöds) så att den server som ansvarar för autentisering och auktorisering finns i Microsoft Cloud (Azure AD säkerhetstokentjänst, som kallas "evoSTS" och uppdaterar Azure AD om url:er eller namnrymder som används av din lokala installation av antingen Skype för företag eller Exchange. Lokala servrar har därför ett Microsoft Cloud-beroende. Att vidta den här åtgärden kan betraktas som att konfigurera "hybridautentisering".
  • Den här artikeln länkar till andra som hjälper dig att välja moderna autentiseringstopologier som stöds (endast nödvändiga för Skype för företag) och instruktioner som beskriver installationsstegen eller stegen för att inaktivera modern autentisering för Exchange lokalt och Skype för företag lokalt. Favorit den här sidan i webbläsaren om du behöver en hembas för att använda modern autentisering i servermiljön.