混合新式验证概述以及将其与本地 Skype for Business和 Exchange 服务器一起使用的先决条件

  • 项目

此文章适用于 Microsoft 365 企业版和 Office 365 企业版。

新式验证是一种标识管理,它提供更安全的用户身份验证和授权。 它可用于Office 365本地Skype for Business服务器和本地 Exchange 服务器的混合部署,以及拆分域Skype for Business混合部署。 本文链接到有关先决条件、设置/禁用新式身份验证的相关文档,以及一些相关的客户端 (例如。Outlook 和 Skype 客户端) 信息。

什么是新式验证?

新式身份验证是客户端 ((例如,笔记本电脑或手机) 和服务器)以及一些依赖于你可能已经熟悉的访问策略的安全措施之间的身份验证和授权方法的组合的一个总称。 其中包括:

  • 身份验证方法:多重身份验证 (MFA) ;智能卡身份验证;基于客户端证书的身份验证
  • 身份验证方法:Microsoft 的开放授权 (OAuth) 实施
  • 条件访问策略:移动应用程序管理 (MAM) 和Microsoft Entra条件访问

通过新式验证来管理用户身份,可以为管理员提供多种保护资源的工具,并为本地(Exchange 和 Skype for Business)、Exchange 混合以及 Skype for Business 混合/拆分域方案提供更安全的身份管理方法。

由于Skype for Business与 Exchange 密切相关,因此客户端用户的登录行为Skype for Business将受到 Exchange 的新式身份验证状态的影响。 如果你有一个Skype for Business拆分域混合体系结构(其中既Skype for Business Online,又在本地Skype for Business,并且用户都位于这两个位置,则此体系结构也适用。

有关 Office 365 中的新式身份验证的详细信息,请参阅 Office 365 客户端应用支持 - 多重身份验证

重要

自 2017 年 8 月起,包括 Skype for Business Online 和 Exchange Online 在内的所有新 Office 365 租户都将默认启用新式验证。 预先存在的租户的默认 MA 状态不会发生更改,但所有新租户都会自动支持前面列出的扩展标识功能集。 若要查看你的 MA 状态,请参阅检查本地环境的新式验证状态部分。

使用新式验证时有何变化?

在本地 Skype for Business 或 Exchange 服务器上使用新式验证时,仍将对用户进行身份验证,但授权他们对资源(例如文件或电子邮件)进行更改。 这就是为什么虽然新式身份验证是关于客户端和服务器通信的,但在配置 MA 期间执行的步骤会导致 evoSTS (Microsoft Entra ID) 使用的安全令牌服务设置为本地Skype for Business和 Exchange 服务器的身份验证服务器。

对 evoSTS 的更改使你的本地服务器可以利用 OAuth(令牌发行)对客户端进行授权,还可以让你的本地服务器使用云中常见的安全方法(例如多重身份验证)。 另外,evoSTS 还会发行令牌,使用户可以请求访问资源而无需在请求中提供密码。 无论用户 (联机或本地) 的驻留位置,也无论哪个位置托管所需的资源,配置新式身份验证后,EvoSTS 将成为授权用户和客户端的核心。

例如,如果Skype for Business客户端需要访问 Exchange Server 才能代表用户获取日历信息,它将使用 Microsoft 身份验证库 (MSAL) 执行此操作。 MSAL 是一个代码库,旨在使用 OAuth 安全令牌使目录中的安全资源可供客户端应用程序使用。 MSAL 与 OAuth 一起验证声明,并) 交换令牌 (而不是密码,以授予用户对资源的访问权限。 过去,此类事务中的颁发机构(知道如何验证用户声明并颁发所需令牌的服务器)可能是本地安全令牌服务,甚至Active Directory 联合身份验证服务。 但是,新式身份验证使用Microsoft Entra ID集中该授权。

这也意味着,即使 Exchange 服务器和Skype for Business环境可能完全位于本地,但授权服务器处于联机状态,并且本地环境必须能够创建和维护与云 (和Microsoft Entra中的Office 365订阅的连接你的订阅用作其目录的实例) 。

哪些方面没有发生更改? 无论你是在拆分域混合环境还是在本地使用 Skype for Business 和 Exchange 服务器,所有用户都必须首先在本地进行身份验证。 在新式验证的混合实施中,LyncdiscoveryAutodiscovery 都指向本地服务器。

重要

如果你需要了解 MA 支持的特定 Skype for Business 拓扑,请在此处进行文档说明。

检查本地环境的新式验证状态

由于新式身份验证会更改服务应用 OAuth/S2S 时使用的授权服务器,因此你需要知道是否为本地Skype for Business和 Exchange 环境启用或禁用了新式身份验证。 可以通过运行以下 PowerShell 命令来检查 Exchange 服务器上的状态:

Get-OrganizationConfig | ft OAuth*

如果 OAuth2ClientProfileEnabled 属性的值为 False,则可以进行新式验证。

有关 cmdlet 的详细信息 Get-OrganizationConfig ,请参阅 Get-OrganizationConfig

可以通过运行以下 PowerShell 命令来检查 Skype for Business 服务器:

Get-CSOAuthConfiguration

如果命令返回空 的 OAuthServers 属性,或者 ClientADALAuthOverride 属性的值不受 允许,则禁用新式身份验证。

有关 cmdlet 的详细信息 Get-CsOAuthConfiguration ,请参阅 Get-CsOAuthConfiguration

是否满足新式验证先决条件?

在继续之前,请验证并检查列表中的以下项目:

  • 特定于 Skype for Business

    • 所有服务器都必须具有 Skype for Business Server 2015 或更高版本 2017 年 5 月的累积更新 (CU5)
      • 例外 — Survivability Branch Appliance (SBA) 可以是当前版本(基于 Lync 2013)
    • 你的 SIP 域被添加为 Office 365 中的联合域
    • 所有 SFB 前端都必须具有到 Internet 的出站连接,Office 365身份验证 URL (TCP 443) 和已知证书根 CRL (TCP 80) Office 365 URL 和 IP 地址范围“Microsoft 365 常见和 Office”部分中列出的已知证书根 CRL。

  • 混合 Office 365 环境中的本地 Skype for Business

    • Skype for Business Server 2019 部署(所有服务器都运行 Skype for Business Server 2019)。
    • Skype for Business Server 2015 部署(所有服务器都运行 Skype for Business Server 2015)。
    • 最多具有两个不同服务器版本的部署,如下所示:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • 所有 Skype for Business 服务器都必须安装最新的累积更新,请参阅 Skype for Business服务器更新以查找和管理所有可用更新。
    • 混合环境中没有 Lync Server 2010 或 2013。

注意

如果你的 Skype for Business 前端服务器使用代理服务器进行 Internet 访问,则必须在 web.config 文件的配置部分中为每个前端输入使用的代理服务器 IP 和端口号。

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

重要

确保为 Office 365 URL 和 IP 地址范围订阅 RSS 源,以随时获取最新的必需 URL 列表。

  • 特定于 Exchange 服务器

    • 你正在使用 Exchange Server 2013 CU19 及更高版本、Exchange Server 2016 CU8 及更高版本或 Exchange Server 2019 CU1 及更高版本。
    • 环境中没有 Exchange Server 2010。
    • 未配置 SSL 卸载。 支持 SSL 终止和重新加密。
    • 如果你的环境利用代理服务器基础结构来允许服务器连接到 Internet,请确保所有 Exchange 服务器都具有 InternetWebProxy 属性中定义的代理服务器。

  • 混合 Office 365 环境中的本地 Exchange Server

    • 如果使用 Exchange Server 2013,则至少一台服务器必须安装邮箱和客户端访问服务器角色。 虽然可以在单独的服务器上安装邮箱和客户端访问角色,但我们强烈建议在同一服务器上安装这两个角色,以提供更高的可靠性和更好的性能。
    • 如果使用的是 Exchange Server 2016 或更高版本,则至少一台服务器必须安装邮箱服务器角色。
    • 混合环境中没有 Exchange Server 2007 或 2010。
    • 所有 Exchange 服务器都必须安装最新的累积更新。 请参阅将 Exchange 升级到最新的累积汇报以查找和管理所有可用更新。

  • Exchange 客户端和协议要求

    新式身份验证的可用性取决于客户端、协议和配置的组合。 如果客户端、协议和/或配置不支持新式身份验证,则客户端将继续使用旧式身份验证。

    在环境中启用新式身份验证时,以下客户端和协议支持使用本地 Exchange 进行新式身份验证:

    客户端 主协议 备注
    Outlook 2013 及更高版本
    		 MAPI over HTTP
    		 必须在 Exchange 中启用 MAPI over HTTP,以便在新安装的 Exchange 2013 Service Pack 1 及更高版本) 中, (启用或 True 的这些客户端使用新式身份验证;有关详细信息,请参阅 新式身份验证如何适用于 Office 2013 和 Office 2016 客户端应用
    确保运行的是 Outlook 所需的最低版本;请参阅 使用 Windows Installer (MSI) 的 Outlook 版本的最新更新
    Outlook 2016 for Mac 及更高版本
    		 Exchange Web 服务
    Outlook for iOS 和 Outlook for Android
    		 Microsoft 同步技术
    		 有关详细信息,请参阅将混合新式验证用于 Outlook for iOS 和 Outlook for Android
    Exchange ActiveSync客户端 (例如 iOS11 邮件)
    		Exchange ActiveSync
    		 对于支持新式验证的 Exchange ActiveSync 客户端,必须重新创建配置文件才能从基本身份验证切换到新式验证。

    例如,未 (列出的客户端和/或协议,POP3) 不支持使用本地 Exchange 进行新式身份验证,即使在环境中启用了新式身份验证后,仍继续使用旧式身份验证机制。

  • 一般先决条件

    • 资源林方案要求与帐户林建立双向信任,以确保在混合新式身份验证请求期间执行正确的 SID 查找。

    • 如果使用 AD FS,则应使用 Windows 2012 R2 AD FS 3.0 及更高版本进行联合身份验证。

    • 标识配置是 Microsoft Entra Connect 支持的任何类型,例如密码哈希同步、直通身份验证和 Office 365 支持的本地 STS。

    • 你已为用户复制和同步配置了Microsoft Entra Connect 并正常运行。

      注意

      不会通过混合新式身份验证向任何未同步到 Microsoft Entra 标识的用户帐户提供授权令牌。 将本地应用程序配置为使用 evoSTS 作为默认授权终结点后,如果相应的配置不可用,这些未同步的用户帐户将遇到应用程序访问权限问题。

    • 已验证已使用 Exchange 经典混合拓扑模式在本地和 Office 365 环境之间配置了混合部署。 Exchange混合部署的官方支持声明指明必须拥有当前 CU 或当前 CU-1。

      注意

      混合代理不支持混合新式验证。

    • 如果想要将新式身份验证与 Skype) 配合使用,请确保本地测试用户和驻留在 Office 365 中的混合测试用户都可以登录到Skype for Business桌面客户端 (如果要将新式身份验证与 Exchange () 配合使用。

    • 确保 Microsoft Office 中的 SignInOptions 设置未配置为其最严格的设置。 有关详细信息,请参阅 如何允许 Office 连接到 Internet

在开始之前,我还需要了解哪些信息?

  • 本地服务器的所有方案都涉及在本地设置新式身份验证 (事实上,Skype for Business有一个受支持的拓扑列表) ,以便负责身份验证和授权的服务器位于 Microsoft Cloud (Microsoft Entra ID 的安全令牌服务中(称为“evoSTS”) 和更新)Microsoft Entra ID本地安装 Skype for Business 或 Exchange 所使用的 URL 或命名空间。 因此,本地服务器具有 Microsoft 云依赖性。 可以考虑采取此操作来配置“混合身份验证”。
  • 本文链接到帮助你选择仅Skype for Business) 所需的受支持新式身份验证 (拓扑的其他人,以及概述 Exchange 本地和本地Skype for Business设置步骤或禁用新式身份验证的步骤的操作方法文章。 如果需要一个在服务器环境中使用新式验证的基地,请在浏览器中收藏此页面。