混合新式验证概述以及将其与本地 Skype for Business和 Exchange 服务器一起使用的先决条件

此文章适用于 Microsoft 365 企业版和 Office 365 企业版。

新式验证是一种标识管理,它提供更安全的用户身份验证和授权。 它可用于Office 365本地Skype for Business服务器和本地 Exchange 服务器的混合部署,以及拆分域Skype for Business混合部署。 本文链接到有关先决条件、设置/禁用新式身份验证的相关文档,以及一些相关的客户端 (例如。Outlook 和 Skype 客户端) 信息。

什么是新式验证?

新式验证是客户端(例如,笔记本电脑或手机)和服务器之间的身份验证和授权方法的组合,以及某些依赖于你可能已经熟悉的访问策略的安全措施的总称。 其中包括:

  • 身份验证方法:多重身份验证 (MFA) ;智能卡身份验证;基于客户端证书的身份验证
  • 身份验证方法:Microsoft 的开放授权 (OAuth) 实施
  • 条件访问策略:移动应用程序管理 (MAM) 和Microsoft Entra条件访问

通过新式验证来管理用户身份,可以为管理员提供多种保护资源的工具,并为本地(Exchange 和 Skype for Business)、Exchange 混合以及 Skype for Business 混合/拆分域方案提供更安全的身份管理方法。

由于Skype for Business与 Exchange 密切相关,因此客户端用户的登录行为Skype for Business将受到 Exchange 的新式身份验证状态的影响。 如果你有一个Skype for Business拆分域混合体系结构(其中既Skype for Business Online,又在本地Skype for Business,并且用户都位于这两个位置,则此体系结构也适用。

有关 Office 365 中的新式身份验证的详细信息,请参阅 Office 365 客户端应用支持 - 多重身份验证

重要

自 2017 年 8 月起,包括 Skype for Business Online 和 Exchange Online 在内的所有新 Office 365 租户都将默认启用新式验证。 既有租户的默认 MA 状态不会发生变化,但是所有新租户都会自动支持上面列出的一组扩展身份功能。 若要查看你的 MA 状态,请参阅检查本地环境的新式验证状态部分。

使用新式验证时有何变化?

在本地 Skype for Business 或 Exchange 服务器上使用新式验证时,仍将对用户进行身份验证,但授权他们对资源(例如文件或电子邮件)进行更改。 这就是为什么虽然新式身份验证是关于客户端和服务器通信的,但在配置 MA 期间执行的步骤会导致 evoSTS (Microsoft Entra ID 使用的安全令牌服务) 设置为本地 Skype for Business 和 Exchange 服务器的身份验证服务器。

对 evoSTS 的更改使你的本地服务器可以利用 OAuth(令牌发行)对客户端进行授权,还可以让你的本地服务器使用云中常见的安全方法(例如多重身份验证)。 另外,evoSTS 还会发行令牌,使用户可以请求访问资源而无需在请求中提供密码。 无论用户位于何处(线上还是本地)、无论哪个位置托管所需资源,一旦配置了新式验证,EvoSTS 都将成为授权用户和客户端的核心。

例如,如果Skype for Business客户端需要访问 Exchange Server 才能代表用户获取日历信息,它将使用 Microsoft 身份验证库 (MSAL) 执行此操作。 MSAL 是一个代码库,旨在使用 OAuth 安全令牌使目录中的安全资源可供客户端应用程序使用。 MSAL 与 OAuth 一起验证声明,并) 交换令牌 (而不是密码,以授予用户对资源的访问权限。 过去,此类事务中的颁发机构(知道如何验证用户声明并颁发所需令牌的服务器)可能是本地安全令牌服务,甚至Active Directory 联合身份验证服务。 但是,新式身份验证使用Microsoft Entra ID 集中该颁发机构。

这也意味着,即使 Exchange 服务器和Skype for Business环境可能完全位于本地,授权服务器也将处于联机状态,并且本地环境必须能够创建和维护与云中Office 365订阅的连接 (和Microsoft Entra你的订阅用作其目录的实例) 。

哪些方面没有发生更改? 无论你是在拆分域混合环境还是在本地使用 Skype for Business 和 Exchange 服务器,所有用户都必须首先在本地进行身份验证。 在新式验证的混合实施中,LyncdiscoveryAutodiscovery 都指向本地服务器。

重要

如果你需要了解 MA 支持的特定 Skype for Business 拓扑,请在此处进行文档说明。

检查本地环境的新式验证状态

由于新式身份验证会更改服务应用 OAuth/S2S 时使用的授权服务器,因此你需要知道是否为本地Skype for Business和 Exchange 环境启用或禁用了新式身份验证。 可以通过运行以下 PowerShell 命令来检查 Exchange 服务器上的状态:

Get-OrganizationConfig | ft OAuth*

如果 OAuth2ClientProfileEnabled 属性的值为 False,则可以进行新式验证。

有关 cmdlet 的详细信息 Get-OrganizationConfig ,请参阅 Get-OrganizationConfig

可以通过运行以下 PowerShell 命令来检查 Skype for Business 服务器:

Get-CSOAuthConfiguration

如果命令返回空 的 OAuthServers 属性,或者 ClientADALAuthOverride 属性的值不受 允许,则禁用新式身份验证。

有关 cmdlet 的详细信息 Get-CsOAuthConfiguration ,请参阅 Get-CsOAuthConfiguration

是否满足新式验证先决条件?

在继续之前,请验证并检查列表中的以下项目:

  • 特定于 Skype for Business

    • 所有服务器都必须具有 Skype for Business Server 2015 或更高版本 2017 年 5 月的累积更新 (CU5)
      • 例外 — Survivability Branch Appliance (SBA) 可以是当前版本(基于 Lync 2013)
    • 你的 SIP 域被添加为 Office 365 中的联合域
    • 所有 SFB 前端都必须具有到 Internet 的出站连接,Office 365身份验证 URL (TCP 443) 和已知证书根 CRL (TCP 80) Office 365 URL 和 IP 地址范围“Microsoft 365 常见和 Office”部分中列出的已知证书根 CRL。
  • 混合 Office 365 环境中的本地 Skype for Business

    • Skype for Business Server 2019 部署(所有服务器都运行 Skype for Business Server 2019)。
    • Skype for Business Server 2015 部署(所有服务器都运行 Skype for Business Server 2015)。
    • 最多具有两个不同服务器版本的部署,如下所示:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • 所有 Skype for Business 服务器都必须安装最新的累积更新,请参阅 Skype for Business服务器更新以查找和管理所有可用更新。
    • 混合环境中没有 Lync Server 2010 或 2013。

注意

如果你的 Skype for Business 前端服务器使用代理服务器进行 Internet 访问,则必须在 web.config 文件的配置部分中为每个前端输入使用的代理服务器 IP 和端口号。

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

重要

确保为 Office 365 URL 和 IP 地址范围订阅 RSS 源,以随时获取最新的必需 URL 列表。

  • 特定于 Exchange 服务器

    • 你正在使用 Exchange Server 2013 CU19 及更高版本、Exchange Server 2016 CU8 及更高版本或 Exchange Server 2019 CU1 及更高版本。
    • 环境中没有 Exchange Server 2010。
    • 未配置 SSL 卸载。 支持 SSL 终止和重新加密。
    • 如果你的环境利用代理服务器基础结构来允许服务器连接到 Internet,请确保所有 Exchange 服务器都具有 InternetWebProxy 属性中定义的代理服务器。
  • 混合 Office 365 环境中的本地 Exchange Server

    • 如果你使用的是 Exchange Server 2013,则必须有至少一台服务器安装了邮箱和客户端访问服务器角色。 虽然可以在单独的服务器上安装邮箱和客户端访问角色,但我们强烈建议在同一台服务器上安装这两个角色,以提供更高的可靠性和更好的性能。
    • 如果你使用的是 Exchange Server 2016 或更高版本,则必须有至少一台服务器安装了邮箱服务器角色。
    • 混合环境中没有 Exchange Server 2007 或 2010。
    • 所有 Exchange 服务器都必须安装最新的累积更新,请参阅 将 Exchange 升级到最新累积更新以查找和管理所有可用更新。
  • Exchange 客户端和协议要求

    新式身份验证的可用性取决于客户端、协议和配置的组合。 如果客户端、协议和/或配置不支持新式身份验证,则客户端将继续使用旧式身份验证。

    在环境中启用新式身份验证时,以下客户端和协议支持使用本地 Exchange 进行新式身份验证:

    客户端 主协议 备注
    Outlook 2013 及更高版本
    MAPI over HTTP
    必须在 Exchange 中启用 MAPI over HTTP,以便在新安装的 Exchange 2013 Service Pack 1 及更高版本) 中, (启用或 True 的这些客户端使用新式身份验证;有关详细信息,请参阅 新式身份验证如何适用于 Office 2013 和 Office 2016 客户端应用
    确保运行的是最低要求的 Outlook 内部版本;请参阅使用 Windows Installer (MSI) 的 Outlook 版本的最新更新
    Outlook 2016 for Mac 及更高版本
    Exchange Web 服务

    Outlook for iOS 和 Outlook for Android
    Microsoft 同步技术
    有关详细信息,请参阅将混合新式验证用于 Outlook for iOS 和 Outlook for Android
    Exchange ActiveSync客户端 (例如 iOS11 邮件)
    Exchange ActiveSync
    对于支持新式验证的 Exchange ActiveSync 客户端,必须重新创建配置文件才能从基本身份验证切换到新式验证。

    例如,未 (列出的客户端和/或协议,POP3) 不支持使用本地 Exchange 进行新式身份验证,即使环境中启用了新式身份验证,也会继续使用旧式身份验证机制。

  • 一般先决条件

    • 资源林方案需要与帐户林建立双向信任,以确保在混合新式身份验证请求期间执行正确的 SID 查找。

    • 如果使用 AD FS,则应使用 Windows 2012 R2 AD FS 3.0 及更高版本进行联合身份验证。

    • 标识配置是 Microsoft Entra Connect 支持的任何类型,例如密码哈希同步、直通身份验证和 Office 365 支持的本地 STS。

    • 你已为用户复制和同步配置了Microsoft Entra Connect 并正常运行。

    • 已验证已使用 Exchange 经典混合拓扑模式在本地和 Office 365 环境之间配置了混合部署。 Exchange混合部署的官方支持声明指明必须拥有当前 CU 或当前 CU-1。

      注意

      混合代理不支持混合新式验证。

    • 如果想要将新式身份验证与 Skype) 配合使用,请确保本地测试用户以及驻留在 Office 365 中的混合测试用户都可以登录到 Skype for Business 桌面客户端 (如果想要对 Exchange () 使用新式身份验证。

    • 确保 Microsoft Office 中的 SignInOptions 设置未配置为其最严格的设置。 有关详细信息,请参阅 如何允许 Office 连接到 Internet

在开始之前,我还需要了解哪些信息?

  • 本地服务器的所有方案实际上都涉及在本地设置新式身份验证 (,Skype for Business有一个受支持的拓扑列表) ,以便负责身份验证和授权的服务器位于 Microsoft Cloud (Microsoft Entra ID 的安全令牌服务中(称为“evoSTS”) 和更新)Microsoft Entra有关本地安装 Skype for Business 或 Exchange 使用的 URL 或命名空间的 ID。 因此,本地服务器具有 Microsoft 云依赖性。 可以考虑采取此操作来配置“混合身份验证”。
  • 本文链接到可帮助你选择支持的新式验证拓扑(仅对 Skype for Business 必需)的其他文章以及概述了设置步骤,或者针对本地 Exchange 和本地 Skype for business 禁用新式验证的步骤的操作说明文章。 如果需要一个在服务器环境中使用新式验证的基地,请在浏览器中收藏此页面。