Hybrid moderne Authentifizierung (Übersicht) und Komponenten für das Arbeiten mit lokalen Skype für Business und Exchange Server

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

Modernes Authentifizierung ist eine Methode der Verwaltung von Identität, die sicherer Benutzerauthentifizierung und Autorisierung bietet. Es ist für Skype für Business Server lokal und Exchange Server lokal, Exchange Hybriden sowie geteilten-Domäne Skype für Business Hybriden verfügbar. Dieser Artikel enthält Links zu verknüpften Dokumente zur Vorbereitung, einrichten und Deaktivieren von moderne Authentifizierung, und einige der zugehörigen Client (z. B. Outlook und Skype-Clients) Informationen.

Was ist die moderne Authentifizierung?

Bei der Kommunikation zwischen einem Client (beispielsweise einem Laptop oder Ihrem Smartphone) und einem Server unterhalten, verwendet Microsoft den Ausdruck "Moderne Authentication" aus.

Modernes Authentifizierung ist eine Schirm Ausdruck für eine Kombination von Authentifizierung und Autorisierungsmethoden sowie einige Sicherheitsmaßnahmen, die auf Access-Richtlinien basieren, denen Sie möglicherweise bereits vertraut. Er enthält:

  • Authentifizierungsmethoden: kombinierte Authentifizierung; Client Zertifikaten basierende Authentifizierung; und der Bibliothek für Active Directory-Authentifizierung (ADAL).

  • Autorisierungsmethoden: Microsoft Implementierung von geöffneten Autorisierung (OAuth).

  • Bedingte Richtlinien: Mobile Anwendung Management (MAM) und Azure Active Directory bedingten Zugriff.

Verwalten von Benutzeridentitäten mit modernen Authentifizierung bietet Administratoren viele verschiedene Tools verwenden, wenn sie zum Schutz von Ressourcen kommt und sicherere Methoden der Identität an auf beide lokalen (Exchange und Skype für Unternehmen bietet), Exchange-hybrid , und Skype für Business Hybrid/Teilen-Domäne Szenarien.

Achten Sie darauf, dass da Skype für Unternehmen eng mit Exchange arbeitet, wird das Login Verhalten Skype für Business-Client, der Benutzern angezeigt wird durch den Status moderne Authentifizierung Exchange vorzunehmen. Dies gilt auch wenn Sie über ein Skype für Business geteilten-Domäne Hybrid verfügen. Der Typ des Skype für Business-Hybrid, das die Verwendung der moderne Authentifizierung unterstützt wird ebenfalls häufig aufgerufen eine 'Teilen-Domäne' (in einer geteilten-Domäne, stehen sowohl für Business Online Skype und Skype für Business auf Prem und Benutzer in beiden Orten gehostet werden).

Wichtige  Wussten Sie schon, dass ab August 2017 alle neue Office 365-Mandanten, die einbeziehen von Skype für Business online und Exchange online moderne Authentifizierung standardmäßig aktiviert haben? Bereits vorhandene Mandanten keine Änderung im Standardzustand MA müssen, aber alle neue Mandanten unterstützt automatisch den erweiterten Satz von Identität Features, denen die oben aufgeführten angezeigt werden. Um den Status Ihrer MA für Skype für Business online zu überprüfen, können Sie Skype für Business online PowerShell mit globaler Administrator-Anmeldeberechtigungen. Führen Sie "Get-CsOAuthConfiguration', um die Ausgabe - ClientADALAuthOverridezu überprüfen. Wenn -ClientADALAuthOverride 'Ihre moderne Authentifizierung zulässig ist' ist aktiviert.

Was ändert sich bei der Verwendung von moderne Authentifizierung?

Bei Verwendung der moderne Authentifizierung für Business oder Exchange-Server mit lokalen Skype Abwesenheit weiterhin authentifizieren Benutzer lokale, aber die Geschichte Autorisierung von deren Zugriff auf Ressourcen (wie Dateien oder e-Mails) Änderungen. Dies ist Warum, obwohl moderne Authentifizierung über die Kommunikation von Client und Server, welche Schritte beim Konfigurieren der MA Ergebnis in EvoSTS (einen Sicherheitstoken-Dienst verwendeten Azure AD) ist für Skype als autorisierende Server für Business und Exchange Server lokal festgelegt.

Die Änderung EvoSTS kann von Ihrem lokalen Server nutzen OAuth (token Emission) für die Autorisierung des Kunden und kann auch mit Ihrem lokalen verwenden Sicherheitsmethoden allgemeine in der Cloud (wie mehrstufige Authentifizierung). Darüber hinaus Probleme der EvoSTS Token, die Benutzern Zugriff auf Ressourcen anfordern, ohne das Kennwort als Teil der Anforderung zu ermöglichen. Ganz gleich, wo Ihre Benutzer gehostet werden (von online oder lokal), und unabhängig davon, welcher Speicherort die benötigte Ressourcen hostet, EvoSTS werden erst das Herzstück Autorisieren von Benutzern und Clients, sobald moderne Authentifizierung konfiguriert ist.

Hier ist ein Beispiel für die Bedeutung ich ein. Wenn Skype für Business-Client auf Exchange Server um Kalenderinformationen im Namen eines Benutzers zu erhalten Zugriff muss, wird der Active Directory Authentifizierung Bibliothek (ADAL) dazu verwendet. ADAL eine Codebibliothek gestaltet gesicherte Ressourcen in Ihrem Verzeichnis über Sicherheitstokens OAuth Clientanwendungen zur Verfügung. ADAL funktioniert mit OAuth Ansprüche überprüfen und exchange-Token (statt Kennwörter), um einem Benutzerzugriff auf eine Ressource gewähren. In der Vergangenheit die Zertifizierungsstelle in einer Transaktion wie diesen Termin – Server, die weiß, wie Benutzeransprüche überprüfen und die benötigten Token ausgeben – möglicherweise wurden einen Sicherheitstoken-Dienst lokal oder sogar Active Directory Federation Services. Modernes Authentifizierung zentrales jedoch die Zertifizierungsstelle mit Azure Active Directory (Azure AD) in der Cloud.

Außerdem bedeutet dies, dass, obwohl Ihre Exchange-Server und Skype für Business-Umgebungen vollständig möglicherweise lokale, werden der autorisieren Server online und Ihrer lokalen Umgebung müssen die Möglichkeit zum Erstellen und Verwalten einer Verbindungs mit Ihrem Office 365-Abonnement in der Cloud (und der Azure-Active Directory-Instanz, die Ihr Abonnement als Verzeichnis verwendet).

Was nicht ändern? Ob Sie in einer geteilten-Domäne Hybrid oder mithilfe von Skype für Business und Exchange Server lokal sind, müssen alle Benutzer zunächst lokaleauthentifizieren. Zeigen Sie in einer Hybrid-Implementierung von moderne Authentifizierung Lyncdiscovery und automatische Erkennung auf Ihrem lokalen Server ein.

Wichtige  Wenn Sie die bestimmte Skype für Business Topologien mit MA unterstützt wissen müssen, ist, die rechts hier beschrieben.

Überprüfen des Status Ihrer lokalen Umgebung moderne Authentifizierung

Da moderne Authentifizierung den Autorisierung Server verwendet ändert, wenn Services OAuth/S2S nutzen, müssen Sie feststellen, ob die moderne Authentifizierung für Ihre Skype für Business und Exchange-Umgebung aktiviert oder deaktiviert ist. Prüfen Sie den Status auf Ihrem Exchange oder Skype für geschäftliche Server, lokal, indem Sie den Befehl Get-CSOAuthConfiguration im PowerShell ausführen. Wenn der Befehl eine leere 'OAuthServers'-Eigenschaft zurückgibt, ist moderne Authentifizierung deaktiviert.

Erfüllen Sie moderne Authentifizierung Vorkenntnisse?

Überprüfen Sie, und aktivieren Sie diese Elemente aus der Liste aus, bevor Sie fortfahren:

  • Für Business spezifischen Skype

    • Alle Server müssen SFB Server 2015 CU5 oder höher

      • Ausnahme - Widerstandsfähigkeit ab Verzweigung Einheit (SBA) auf der aktuellen Version (basierend auf Lync 2013) werden können

    • Die SIP-Domäne wird als eine verbundene Domäne in Office 365 hinzugefügt.

    • Alle SFB Front endet müssen mit dem Internet, Office 365-Authentifizierung URLs (TCP 443) und bekannten Zertifikatsstamm Zertifikatsperrlisten (TCP 80) ausgehende aufgeführte in Zeilen 1 und 2 des Abschnitts "Office 365-Authentifizierung und Identität" der Office 365-URLs und IP-Verbindungen Adressbereiche.

Notiz  Wenn Ihre Skype für Business Front-End-Webservern für den Zugriff auf das Internet einen Proxyserver verwenden, muss die verwendete Proxy Server-IP-Adresse und den Port Anzahl im Konfigurationsabschnitt der Datei web.config für jeden front-End eingegeben werden.

  • c:\Programme\Microsoft Files\Skype für Business Server 2015\Web Components\Web ticket\int\web.config

  • c:\Programme\Microsoft Files\Skype für Business Server 2015\Web Components\Web ticket\ext\web.config

  • < /system.identityModel.services >

    < system.net >

    < DefaultProxy >

    < Proxy

    ProxyAddress = "Http://192.168.100.60:8080"

    BypassOnLocal = "true"

    / >

    < / DefaultProxy >

    < /system.net >

    < / Konfiguration >

Wichtige  Achten Sie darauf, um den RSS-feed für Office 365-URLs und IP-Adressbereiche mit den neuesten Listen erforderlichen URLs auf dem Laufenden zu abonnieren.

  • Bestimmte Exchange-Server

    • Verwenden Sie entweder Exchange Server 2013 CU19 nach oben, oder Exchange Server 2016 CU8 und nach oben.

    • Es ist kein Exchange Server 2010 in der Umgebung.

    • MAPI über HTTP aktiviert. Es ist in der Regel aktiviert oder True für neue Installationen von Exchange 2013 Service Pack 1 und höher.

    • SSL Verschiebung ist nicht konfiguriert. SSL-Beendigung und erneute Verschlüsselung unterstützt.

    • Für den Fall, dass Ihre Umgebung eine Proxy Serverinfrastruktur des Servers, mit dem Internet verbinden verwendet, achten Sie darauf, dass alle Exchange-Server den Proxyserver in der Eigenschaft InternetWebProxydefiniert haben.

  • Allgemeine erforderliche Komponenten

    • Verwenden , die ADAL unterstützen, Clients in Reihenfolge zeigen Sie den MA muss aktiviert Features.

    • Wenn Sie ADFS verwenden, sollten Sie Windows 2012 R2 ADFS 3.0 haben und höher für die Föderation

    • Ihre Identität Konfigurationen werden die Typen von AAD verbinden unterstützt (z. B. Kennwort Hash synchronisieren, Pass-Through-Authentifizierung unterstützt von Office 365 STS lokal et cetera.)

    • Sie verfügen über AAD Verbinden konfiguriert und funktionsfähiges für Benutzerreplikation und synchronisieren.

    • Sie haben sichergestellt, dass die Hybrid zwischen Ihrem lokalen und Office 365 arbeitet:

      • Offizielle Support-Anweisung für Exchange-Hybrid besagt, dass Sie entweder auf aktuelle Ausschneiden oder aktuellen Ausschneiden - 1 benötigen.

      • Stellen Sie sicher, dass sowohl eine lokale Testbenutzer als auch einen Testbenutzer Hybrid in Office 365 gehostet können (Wenn Sie möchten, verwenden Sie also die moderne Authentifizierung mit der Skype für Business-Desktopclient (falls Sie moderne Authentifizierung mit Skype verwenden möchten) und Microsoft Outlook anmelden Exchange).

Was muss ich, bevor ich anfangen?

  1. Alle Szenarios lokalen Servern beteiligen Einrichtung moderne Authentifizierung lokalen (tatsächlich für Skype für Unternehmen eine Liste der unterstützte Topologien ist), damit der Server für die Authentifizierung und Autorisierung verantwortlich ist in der Microsoft-Cloud ( Die AAD Sicherheitstoken-Dienst, 'EvoSTS' bezeichnet), und Aktualisieren von Azure Active Directory (AAD) über die URLs oder Namespaces von Ihrer lokalen Installation entweder Skype for Business- oder Exchange verwendet. Daher, eine Microsoft-Cloud-Abhängigkeit lokalen Servern übernehmen. Durch diese Aktion konnte konfigurieren 'Hybrid autorisierende' berücksichtigt werden.

  2. Dieser Artikel verweist, an andere Personen, mit denen Sie wählen unterstützt moderne Authentifizierung Topologien (nur für Skype für Unternehmen notwendig) und Anleitungen Artikel der Gliederung Setupschritte oder Schritte zum Deaktivieren von moderne Authentifizierung für Exchange lokal und Skype für Business lokalen. Favorit diese Seite in Ihrem Browser, wenn Sie eine Start-Basis benötigen für die Verwendung von moderne Authentifizierung in Ihrer Umgebung Server vertraut sind.

Liste der URLs moderne Authentifizierung

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×