Office
Kirjaudu sisään

Modernin yhdistelmävarmennuksen yleiskatsaus ja sen käytön edellytykset paikallisissa Skype for Business- ja Exchange-palvelimissa

Moderni varmennus on käyttäjätietojen hallintatapa, joka tekee käyttäjien todentamisesta ja valtuuttamisesta turvallisempaa. Se on käytettävissä paikallisissa Skype for Business -palvelimissa, paikallisissa Exchange-palvelimissa, Exchange-yhdistelmäympäristöissä sekä jaetun toimialueen Skype for Business -yhdistelmäympäristöissä. Tässä artikkelissa on linkkejä aiheeseen liittyviin artikkeleihin, joissa käsitellään modernin varmennuksen edellytyksiä ja sen käyttöönottamista ja käytöstä poistamista, sekä linkkejä asiakasohjelmien (esim. Outlook- ja Skype-asiakasohjelmat) tietoihin. 

Mikä on moderni varmennus?

Microsoft käyttää asiakkaan (kuten kannettavan tietokoneen tai puhelimen) ja palvelimen välisestä viestinnästä ilmaisua moderni varmennus.

Moderni varmennus on yläkäsite, joka kattaa varmennus- ja valtuutusmenetelmät sekä joitakin suojauskäytäntöjä, jotka perustuvat sinulle ehkä jo tuttuihin käyttöoikeuskäytäntöihin. Tämä tarkoittaa seuraavia:

  • Varmennusmenetelmät: monimenetelmäinen todentaminen, asiakasvarmennepohjainen todentaminen ja Active Directory -todentamiskirjasto (ADAL).

  • Valtuutusmenetelmät: Microsoftin Open Authorization (OAuth) -valtuutuksen käyttöönotto.

  • Ehdolliset käyttöoikeuskäytännöt: mobiilisovellusten hallinta (MAM) ja Azure Active Directoryn ehdollinen käyttö.

Käyttäjätietojen hallinta modernin varmennuksen avulla antaa järjestelmänvalvojille monia erilaisia työkaluja resurssien suojaamiseen ja tarjoaa turvallisempia tapoja hallita käyttäjätietoja sekä paikallisissa ympäristöissä (Exchange ja Skype for Business), Exchange-yhdistelmäympäristössä että Skype for Business -yhdistelmäympäristössä/jaetulla toimialueella.

Skype for Business toimii tiiviissä yhteydessä Exchangeen, joten ota huomioon, että Exchangen moderni varmennus vaikuttaa Skype for Business -asiakaskäyttäjien sisäänkirjautumiskokemukseen. Tämä koskee myös Skype for Businessin jaetun toimialueen yhdistelmäympäristöjä. Sellaista Skype for Business -yhdistelmäympäristöä, joka tukee modernin varmennuksen käyttöä, kutsutaan usein jaetuksi toimialueeksi (jaetussa toimialueessa on sekä Skype for Business Online että paikallinen Skype for Business, ja molemmat sijainnit ovat käyttäjien kotisijainteja).

Tärkeää Tiesitkö, että elokuusta 2017 alkaen kaikissa uusissa Office 365 -vuokraajissa, jotka sisältävät Skype for Business Onlinen ja Exchange Onlinen, moderni varmennus on oletusarvoisesti käytössä? Vanhojen vuokraajien modernin varmennuksen oletustila ei muutu, mutta kaikki uudet vuokraajat tukevat automaattisesti yllä lueteltuja laajennettuja käyttäjätieto-ominaisuuksia. Voit tarkistaa Skype for Business Onlinen modernin varmennuksen tilan Skype for Business Onlinen PowerShellin ja yleisen järjestelmänvalvojan tunnistetietojen avulla. Suorita komento Get-CsOAuthConfiguration ja tarkista tulos -ClientADALAuthOverride. Jos -ClientADALAuthOverride on Sallittu, moderni varmennus on käytössä.

Mikä muuttuu, kun käytän modernia varmennusta?

Kun modernia varmennusta käytetään paikallisessa Skype for Business- tai Exchange-palvelimessa, käyttäjät varmennetaan edelleen paikallisesti, mutta heidän resurssien (kuten tiedostojen tai sähköpostien) käyttöoikeuksien valtuutuksensa muuttuu. Tämän vuoksi vaikka moderni varmennus on asiakkaan ja palvelimen välistä viestintää, modernin varmennuksen tuloksen määrittämisen aikana tehdyt toimenpiteet evoSTS-palvelussa (Azure AD:n käyttämä suojaustunnuspalvelu) määritetään todennuspalvelimeksi paikallisen Skype for Business- ja Exchange-palvelimen osalta.

evoSTS-palvelun muutoksen ansiosta paikalliset palvelimet pystyvät hyödyntämään OAuth-valtuutusta (suojaustunnuksen myöntämistä) asiakkaidesi valtuuttamiseksi, ja lisäksi paikalliset palvelimet voivat käyttää pilvipalveluissa yleisesti käytettäviä suojauskäytäntöjä (kuten monimenetelmäistä todentamista). Lisäksi evoSTS myöntää suojaustunnuksia, joiden avulla käyttäjät voivat pyytää resurssien käyttöoikeutta toimittamatta salasanaansa pyynnön osana. Riippumatta siitä, mikä on käyttäjiesi kotisijainti (verkko vai paikallinen) ja missä tarvittava resurssi sijaitsee, EvoSTS on käyttäjien ja asiakkaiden päävaltuuttaja, sen jälkeen kun moderni varmennus on määritetty.

Seuraavassa on esimerkki tästä. Jos Skype for Business -asiakkaan on päästävä Exchange-palvelimelle saadakseen kalenteritiedot käyttäjän puolesta, siihen käytetään Active Directory -todentamiskirjastoa (ADAL). ADAL on koodikirjasto, jonka tarkoituksena on saada hakemiston suojatut resurssit asiakassovellusten käyttöön OAuth-suojaustunnusten avulla. ADAL ja OAuth vahvistavat yhdessä väitteet ja myöntävät tunnuksia (salasanojen sijaan), jotta käyttäjä saa resurssin käyttöoikeudet. Aiemmin tämänlaisessa tapahtumassa myöntäjänä – eli palvelimena, joka vahvistaa käyttäjien väitteet ja myöntää tarvittavat tunnukset – olisi saattanut olla paikallinen suojaustunnuspalvelu tai jopa Active Directory Federation Services -liittoutumispalvelut. Moderni varmennus kuitenkin keskittää myöntämisen pilvessä sijaitsevaan Azure Active Directoryyn (Azure AD).

Tämä tarkoittaa myös sitä, että vaikka Exchange-palvelin ja Skype for Business -ympäristö olisi täysin paikallinen, valtuutuspalvelin on verkossa, ja paikallisen ympäristön on pystyttävä luomaan yhteys ja ylläpitämään yhteyttä pilvessä olevaan Office 365 -tilaukseesi (sekä Azure Active Directory -esiintymään, jota käytetään tilauksessasi hakemistona).

Mikä ei muutu? Kaikkien käyttäjien on suoritettava todennus ensin paikallisesti riippumatta siitä, käyttävätkö he jaetun toimialueen yhdistelmäympäristöä vai paikallista Skype for Business- tai Exchange-palvelinta. Modernin varmennuksen yhdistelmäympäristössä Lyncdiscovery ja Autodiscovery osoittavat paikalliseen palvelimeen.

Tärkeää  Jos sinun on tiedettävä modernin varmennuksen kanssa tuetut tietyt Skype for Business -topologiat, katso lisätietoja tästä.

Paikallisen ympäristön modernin varmennuksen tilan tarkistaminen

Moderni varmennus muuttaa valtuutuspalvelinta, jota käytetään palvelujen hyödyntäessä OAuth/S2S-tietoja, joten sinun on tiedettävä, onko moderni varmennus käytössä vai ei Skype for Business- ja Exchange-ympäristössä. Voit tarkistaa paikallisten Exchange- tai Skype for Business -palvelinten tilan suorittamalla komennon Get-CSOAuthConfiguration PowerShellissä. Jos komento palauttaa tyhjän OAuthServers-ominaisuuden, moderni varmennus ei ole käytössä.

Täytätkö modernin varmennuksen edellytykset?

Tarkista ja merkitse nämä kohteet tarkastetuksi luetteloosi ennen kuin jatkat:

  • Skype for Business

    • Kaikissa palvelimissa on oltava SFB Server 2015 CU5 tai uudempi versio

      • Poikkeus – Vikasietoinen etätoimipistelaite (SBA) voi olla nykyinen versio (perustuu Lync 2013:een)

    • SIP-toimialue on lisätty liittoutuneeksi toimialueeksi Office 365:ssä

    • Kaikissa SFB-edustoissa on oltava yhteydet, jotka lähtevät Internetiin, Office 365 -todennuksen URL-osoitteisiin (TCP 443) ja tunnettujen varmenteen päämyöntäjien kumottujen varmenteiden luetteloihin (TCP 80), jotka on lueteltu Office 365 -todennus ja -käyttäjätiedot -osan riveillä 1 ja 2 Office 365:n URL-osoitteet ja IP-osoitealueet -kohdassa.

Huomautus  Jos Skype for Business -edustapalvelimet käyttävät välityspalvelinta Internet-yhteyden muodostamiseen, välityspalvelimen IP ja portin numero on kirjoitettava web.config-tiedoston määritysosaan kunkin edustan osalta.

  • c:\program files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config

  • c:\program files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config

  • </system.identityModel.services>

      <system.net>

        <defaultProxy>

          <proxy

            proxyaddress="http://192.168.100.60:8080"

            bypassonlocal="true"

          />

        </defaultProxy>

      </system.net>

    </configuration>

Tärkeää Muista tilata RSS-syöte Office 365:n URL-osoitteista ja IP-osoitealueista, jotta pysyt ajan tasalla pakollisten URL-osoitteiden uusimmista luetteloista.

  • Exchange Server

    • Käytät joko Exchange server 2013 CU19:ää tai uudempaa versiota tai Exchange server 2016 CU8:aa tai uudempaa versiota.

    • Ympäristössä ei ole Exchange server 2010:tä.

    • MAPI HTTP:n kautta käytössä. Se on yleensä käytössä tai Tosi Exchange 2013 Service Pack 1:n ja sitä uudempien versioiden uusissa asennuksissa.

    • SSL-siirtämistä ei ole määritetty. SSL-päättymistä ja uudelleensalausta tuetaan.

    • Jos ympäristösi hyödyntää välityspalvelininfrastruktuuria palvelinten Internet-yhteyden mahdollistamiseen, varmista, että välityspalvelin on määritetty kaikkien Exchange-palvelinten InternetWebProxy-ominaisuudessa.

  • Yleiset edellytykset

    • On käytettävä ADAL:ää tukevia asiakkaita, jotta ne voivat käyttää modernin varmennuksen käytössä olevia toimintoja.

    • Jos käytät ADFS:ää, sinulla pitäisi olla Windows 2012 R2 ADFS 3.0 tai uudempi versio yhdistämistä varten.

    • Käyttäjätietojen määritys on AAD Connectin tukemaa (esimerkiksi salasanan hajautusarvon synkronointi, läpivientitodennus, Office 365:n tukema paikallinen STS).

    • Olet määrittänyt AAD Connectin ja käytät sitä käyttäjän replikointiin ja synkronointiin.

    • Olet varmistanut, että paikallisen ympäristön ja Office 365:n välinen yhdistelmäympäristö toimii:

      • Exchange-yhdistelmäympäristön virallisissa tukitiedoissa sanotaan, että sinulla on oltava joko nykyinen CU tai nykyinen CU - 1.

      • Varmista, että paikallinen testikäyttäjä ja yhdistelmäympäristön testikäyttäjä Office 365:ssä voivat kirjautua Skype for Business -työpöytäsovellukseen (jos haluat käyttää modernia varmennusta Skypessa)  ja Microsoft Outlookiin (jos haluat käyttää modernia varmennusta Exchangessa).

Muita huomioon otettavia seikkoja ennen aloittamista

  1. Kaikkiin paikallisten palvelimien skenaarioihin liittyy modernin varmennuksen määrittäminen paikallisesti (Skype for Businessia varten on olemassa tuettujen topologioiden luettelo), joten varmennuksesta ja valtuutuksesta vastaava palvelin on Microsoftin pilvipalvelussa (AAD:n suojaustunnuspalvelu evoSTS) ja Azure Active Directoryyn (AAD) päivitetään tiedot URL-osoitteista tai joko paikallisen Skype for Businessin tai Exchangen käyttämistä nimitiloista. Siksi paikalliset palvelimet ovat riippuvaisia Microsoftin pilvipalvelusta. Tätä toimintaa voidaan ajatella yhdistelmäympäristön todennuksen määrittämisenä.

  2. Tässä artikkelissa on linkkejä toisiin artikkeleihin, jotka auttavat tuettujen modernin varmennuksen topologioiden valinnassa (koskee vain Skype for Businessia), sekä ohjeartikkeleihin, joissa annetaan määritysohjeet tai ohjeet modernin varmennuksen käytöstä poistamiseen paikallisen Exchangen tai paikallisen Skype for Businessin kohdalla. Lisää tämä sivu selaimesi suosikkeihin, jos tarvitset lisätietoja modernin varmennuksen käyttämisestä palvelinympäristössäsi.

Modernin varmennuksen URL-osoitteiden luettelo

Kehitä Office-taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Office Insider -käyttäjiin

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!

Kiitos palautteestasi! Näyttää siltä, että Office-tukiedustajamme avusta voi olla sinulle hyötyä.

×