Общ преглед на хибридна модерен удостоверяване и предварителни изисквания за да го използвате с локално Skype за бизнеса и Exchange сървъри

Важно : Тази статия е преведена машинно – вижте отказа от отговорност. Английската версия на тази статия за справка можете да намерите тук .

Модерен удостоверяване е метод за управление на идентичност, която предлага по-защитено удостоверяване на потребителя и разрешение. Той е достъпен за Skype за бизнеса сървър локално и Exchange server локално, Exchange хибридни, както и разделен домейн Skype за бизнеса хибридни. В тази статия се свързва със свързани документи за предпоставки, настройка/забраняването на модерен удостоверяване и за някои свързани данни на клиента (пример: Outlook и Skype клиенти).

Какво е модерен удостоверяване?

Когато говори за комуникация между клиент (например вашия лаптоп или телефона) и сървър, Microsoft използва фразата "Модерен удостоверяване".

Модерен удостоверяване е термин за комбинация от удостоверяване и методи за удостоверяване, както и някои мерки за сигурност, които разчитат на правилата за достъп, който може вече да е запознат с. Това включва:

  • Методи за удостоверяване: многофакторно удостоверяване; Клиент удостоверяване, базирано на сертификат; и библиотеката за удостоверяване на Active Directory (ЛОТАРИНГИЯ).

  • Методи за удостоверяване: изпълнението на Microsoft на отворени упълномощаване (OAuth).

  • Правилата за условно достъп: управление на мобилни приложения (Стопове) и Azure Active Directory условен достъп.

Управление на потребителските самоличности с модерен удостоверяване ви дава съвети за администратори на много различни инструменти, за да използвате, когато става въпрос за осигуряване на ресурси и предлага по-сигурни методи за управление на самоличността за локални (Exchange и Skype за бизнеса), хибридно разполагане на Exchange и Skype за бизнеса/разделяне домейн за хибридно разполагане сценарии.

Имайте предвид, че тъй като Skype за бизнеса работи тясно с Exchange, поведението на влизане в Skype за бизнеса на клиента, потребителите ще виждат ще се извършва с модерен удостоверяване състоянието на Exchange. Това ще се прилага, ако имате Skype за бизнеса разделен домейн хибридно разполагане. Също така, типа на Skype за бизнеса хибриден, който поддържа използването на модерен удостоверяване често се нарича "разделен домейн" (в разделен домейн, имате Skype за бизнеса онлайн и Skype за бизнеса локален и потребители са настанени и на двете места).

Важно  Знаете ли, че, считано август 2017, всички нови клиента на Office 365, които включват Skype за бизнеса онлайн и Exchange online ще има модерен удостоверяване, разрешени по подразбиране? Вече съществуващи клиенти няма да има промяна в тяхното състояние по подразбиране на лентата на Excel, но всички нови клиенти автоматично поддържа разширен набор от функции на самоличност, които виждате, изброени по-горе. За да проверите състоянието на лентата на Excel за Skype за бизнеса онлайн, можете да използвате Skype за бизнеса онлайн PowerShell с идентификационните данни на глобален администратор. Изпълнете "Get-CsOAuthConfiguration" за да проверите изход от - ClientADALAuthOverride. Ако -ClientADALAuthOverride е "разрешено" си съвременен удостоверяване е включен.

Какво се променя, когато използвам модерен удостоверяване?

Когато използвате модерен удостоверяване с локално Skype за бизнеса или Exchange server, все още сте удостоверяване на потребителите локално, но историята за Разрешаване на достъпа до ресурси (например файлове или имейли) промени. Това е защо, въпреки че модерен удостоверяване е за клиент и сървър комуникация, стъпките, взети по време на конфигурирането на лентата на Excel резултат в evoSTS (защита маркер услуга, използвана от Azure AD) е зададен като Auth сървър за Skype за бизнеса и Exchange server локално.

Промяната на evoSTS позволява локалните сървъри, за да се възползвате от OAuth (издаване на маркер) за разрешаване на достъп на вашите клиенти и ви позволява да си локално използване методи на защита на често срещани в облака (като многофакторно удостоверяване). Освен това evoSTS издава маркери, които позволяват на потребителите да поискате достъп до ресурси без предоставяне на паролата си, като част от искането. Без значение къде са настанени вашите потребители (онлайн или локално), и независимо кое местоположение хоства нуждите ресурс, EvoSTS ще се превърне в основата на разрешаване на потребители и клиенти, след като модерен удостоверяване е конфигурирано.

Ето пример за това, което. Ако клиентът Skype за бизнеса трябва да имате достъп до Exchange server, за да получите информация от календара от името на потребителя, се използва Active Directory удостоверяване библиотека (ADAL) да се направи това. ЛОТАРИНГИЯ е предназначена код библиотека да е достъпна защитена ресурси във вашата директория клиентски приложения чрез OAuth маркери за защита. ЛОТАРИНГИЯ работи с OAuth за потвърждаване на искове и за обмен на маркери (а не пароли), за да дадете на потребителя достъп до ресурс. В миналото, орган в една транзакция като тази--сървър, който знае как да проверите потребителски искове и маркерите на нуждите на проблема – може да е услугата за маркери за защита на локалните или дори федериране услуги на Active Directory. Въпреки това модерен удостоверяване централизира този орган с Azure Active Directory (Azure AD) в облака.

Това означава, че въпреки че вашия Exchange сървър и Skype за бизнеса среди може да бъде изцяло локални упълномощения сървърът ще бъде онлайн и вашата локална среда трябва да имате възможността за създаване и поддържане на връзка към вашия офис 365 абонамент в облака (и екземпляра на Azure Active Directory, абонамента си, ще използва като своята директория).

Какво не променя? Независимо дали сте в разделен домейн хибридно или използването на Skype за бизнеса и Exchange server локално, всички потребители първо трябва да бъдат удостоверени локално. В хибридна изпълнението на модерен удостоверяване Lyncdiscovery и функцията за автоматично откриване посочете вашия локален сървър.

Важно  Ако трябва да знаете конкретни Skype за бизнеса топологии поддържа с лентата на Excel, която е документ тук.

Проверете състоянието на вашата локална среда модерен удостоверяване

Тъй като модерен удостоверяване се променя упълномощаване на сървъра, използван при услуги са свързани OAuth/S2S, трябва да знаете, ако модерен удостоверяване е включен или изключен за ви в Skype за бизнеса и Exchange среда. Можете да проверите състоянието на вашия Exchange или Skype за бизнеса сървъри, локално, като изпълните командата Get-CSAuthConfiguration в PowerShell. Ако командата връща празна свойство 'OAuthServers', модерен удостоверяване е забранена.

Да отговаряте на модерен удостоверяване предпоставки?

Проверка и проверете тези елементи от вашия списък, преди да продължите:

  • Skype за бизнеса специфични

    • Всички сървъри трябва да имате СФБ сървър 2015 CU5 или по-нова версия

      • Изключение - оцеляване клон апарат (SBA) може да бъде на текущата версия (въз основа на Lync 2013)

    • Домейна си SIP се добавя като федерални домейн в Office 365

    • Всички СФБ предната завършва трябва да има изход към интернет, Office 365 удостоверяване URL (TCP 443) и добре познатите главни сертификати (TCP 80) връзки, изброени в редове 1 и 2 на раздела "удостоверяване в Office 365 и самоличност" на Office 365 URL и IP диапазони от.

Бележка  Ако ви в Skype за бизнеса сървъри с клиентски достъп използвате прокси сървър за достъп до интернет, трябва да бъдат въведени прокси сървър IP и порт номера, използван в секцията конфигурация на файла web.config за всеки клиент.

  • c:\Program files\Skype за сървър бизнес 2015\Web Components\Web ticket\int\web.config

  • c:\Program files\Skype за сървър бизнес 2015\Web Components\Web ticket\ext\web.config

  • < /system.identityModel.services >

    < system.net >

    < defaultProxy >

    < прокси сървър

    proxyAddress = "http://192.168.100.60:8080"

    bypassonlocal = "true"

    / >

    < / defaultProxy >

    < /system.net >

    < / конфигурация >

Важно  Не забравяйте да се абонирате за RSS канала за Office 365 URL и IP адреси да са актуални с най-новите списъци с необходимите URL адреси.

  • Exchange Server конкретни

    • Използвате или Exchange server 2013 CU19 и нагоре, или Exchange server 2016 CU8 и нагоре.

    • Има няма Exchange server 2010 в среда.

    • MAPI по HTTP разрешени. Обикновено е разрешен или е вярно за нови инсталации на Exchange 2013 Service Pack 1 и по-горе.

    • SSL разтоварването не е конфигуриран. SSL прекратяване и повторно шифроване се поддържа.

  • Общи предварителни изисквания

    • Трябва да използва клиенти, които поддържат ADAL , за да могат да използват рамките разрешено функции.

    • Ако използвате ADFS, трябва да имате Windows 2012 R2 ADFS 3.0 и по-горе за улесняване на достъпа

    • Вашата самоличност конфигурации са типове, поддържани от ЗСУ свързване (например хеширане синхронизиране на пароли, локална STS, поддържани от Office 365, и др..)

    • Имате ЗСУ конфигурирани и функционирането за репликация на потребителя и синхронизиране на свързване.

    • Се уверите, че хибридни работи между локално и Office 365:

      • Декларация за официална подкрепа за хибридно разполагане на Exchange се казва, трябва да имате текущата до нови срещи или текущия CU - 1.

      • Уверете се, че потребител на локално тест, както и хибридни тест потребител настанени в Office 365, може да влезете в Skype за бизнеса настолния клиент (ако искате да използвате модерен удостоверяване със Skype) и Microsoft Outlook (ако искате, така че използвате модерен удостоверяване с Exchange).

Какво друго трябва да знаете, преди да започнете?

  1. Всички сценарии за локалните сървъри са свързани с организирането на модерен удостоверяване локално (в действителност, за Skype за бизнеса има списък с поддържани топологии) така, че сървърът отговаря за удостоверяване и упълномощаване е в облака на Microsoft ( На ЗСУ защита маркер услуга, наречена "evoSTS") и актуализиране на Azure Active Directory (пад) за URL адреси или имена, използвани от вашата локална инсталация на някой от двата Skype за бизнеса или Exchange. Следователно локалните сървъри да поеме зависимост на облака на Microsoft. Предприема това действие могат да се сметнат конфигуриране на удостоверяване от хибридно разполагане.

  2. В тази статия се връзки към други хора, които ще ви помогне да изберете поддържат модерен удостоверяване Топологии (необходимо само за Skype за бизнеса) и помощни статии, които структурира настройката стъпки или стъпки, за да забраните модерен удостоверяване за Exchange локално и Skype за бизнеса локално. Любимите тази страница във вашия браузър, ако ще се нуждаят база за използване на модерен удостоверяване в средата на сървъра.

Списък с модерен удостоверяване URL адреси

Забележка : Отказ от отговорност за машинен превод: Тази статия е преведена от компютърна система без човешка намеса. Microsoft предлага тези машинни преводи, за да помогне на потребителите, които не говорят английски, да се възползват от съдържанието за продукти, услуги и технологии на Microsoft. Тъй като статията е преведена машинно, е възможно да съдържа грешки в речника, синтаксиса и граматиката.

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към участниците в Office Insider

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×