Office
Logg på

Oversikt over hybrid moderne godkjenning og forhåndskravene i forbindelse med den med lokale Skype for Business og Exchange-servere

Obs!:  Vi ønsker å gi deg det nyeste hjelpeinnholdet så raskt som mulig, på ditt eget språk. Denne siden er oversatt gjennom automatisering og kan inneholde grammatiske feil eller unøyaktigheter. Formålet vårt er at innholdet skal være nyttig for deg. Kan du fortelle oss om informasjonen var nyttig for deg nederst på denne siden? Her er den engelske artikkelen for enkel referanse.

Moderne godkjenning er en metode for Identitetsbehandling som tilbyr sikrere brukergodkjenning og autorisasjon. Det er tilgjengelig for Skype for Business server lokale og Exchange server lokalt, Exchange hybrids samt delte domener Skype for Business hybrids. Denne artikkelen inneholder koblinger til relaterte dokumenter om forutsetninger, installasjon/deaktivere moderne godkjenning, og til noen av de relaterte kundeinformasjon (eksempel Outlook og Skype-klienter).

Hva er moderne godkjenning?

Når snakker om kommunikasjonen mellom en klient (for eksempel en bærbar datamaskin eller en telefon) og en server, bruker Microsoft uttrykket 'Moderne godkjenning'.

Moderne godkjenning er en paraplyterm for en kombinasjon av godkjenning og autorisasjon metoder, i tillegg til noen sikkerhetstiltak som er avhengige av access-policyer som du kanskje allerede er kjent med. Den inneholder:

  • Godkjenningsmetoder: godkjenning med flere faktorer; Klient-sertifikat-basert godkjenning; og Active Directory Authentication Library (ADAL).

  • Autorisasjon metoder: Microsofts implementering av åpne autorisasjon (OAuth).

  • Betinget klientadgangspolicyer: Mobile programmet Management (MAM) og Azure Active Directory-betinget tilgang.

Administrere bruker-IDer med moderne godkjenning gir administratorer mange forskjellige verktøy du bruker når den kommer til sikring av ressurser, og tilbyr sikrere metoder for Identitetsbehandling til begge lokalt (Exchange og Skype for Business), Exchange-hybrid , og Skype/delt-hybriddomenet bedriftsscenarioer.

Vær oppmerksom på at fordi Skype for Business samarbeider tett med Exchange, vil påloggings-oppførsel Skype for Business-klienten som brukerne skal se være påvirkes av moderne godkjenning statusen for Exchange. Dette gjelder også hvis du har et Skype for Business delt domener hybrid. Hvilken type Skype for Business-Hybrid som støtter bruken av moderne godkjenning kalles også ofte en 'delt domener' (i et delt domene du har både Skype for Business Online og Skype for Business lokal, og brukere er rettet mot på begge plasseringene).

Viktig  Visste du at alle nye Office 365-leiere som omfatter Skype for Business online og Exchange online fra August 2017 vil ha moderne godkjenning aktivert som standard? Forhåndseksisterende leiere har ikke en endring i standardtilstanden glidende gjennomsnitt, men alle nye leiere støtter automatisk utvidet settet med identitet-funksjoner som vises ovenfor. Hvis du vil kontrollere statusen glidende gjennomsnitt for Skype for Business online, kan du bruke Skype for Business online PowerShell med Global administrator legitimasjon. Kjør 'Get-CsOAuthConfiguration' for å kontrollere resultatet av - ClientADALAuthOverride. Om -ClientADALAuthOverride 'tillates' moderne godkjenning er aktivert.

Hva som endres når jeg bruker moderne godkjenning?

Når du bruker moderne godkjenning med lokale Skype for Business- eller Exchange server, er du fremdeles godkjenne brukere lokalt, men artikkel med å godkjenne deres tilgang til ressurser (for eksempel filer eller e-postmeldinger) endringer. Dette er derfor, selv om moderne godkjenning er om klient og server kommunikasjon, trinnene som ble utført under konfigurere glidende gjennomsnitt resultatet i evoSTS (en sikkerhet Token tjeneste som brukes av Azure AD) angitt som Auth Server for Skype for Business og Exchange server lokale.

Endre til evoSTS kan lokale serverne bruker på å dra nytte av OAuth (token utstedelse) Hvis du vil godkjenne kundene, og kan også din lokale Bruk sikkerhetsmetoder vanlige i skyen (for eksempel godkjenning med flere faktorer). I tillegg problemer til evoSTS tokener som tillater brukerne å be om tilgang til ressurser uten å oppgi passordet som en del av forespørselen. Uansett hvor brukerne er rettet mot (av online eller lokalt), og uansett hvilken plassering er vert for ressursen som kreves, blir EvoSTS core med å godkjenne brukere og klienter når moderne godkjenning er konfigurert.

Her er et eksempel på hva jeg mener. Hvis Skype for Business-klienten trenger tilgang til Exchange-serveren for å få kalenderinformasjon på vegne av en bruker, bruker Active Directory Authentication Library (ADAL) til å gjøre dette. ADAL er et kode bibliotek utformet for å gjøre sikre ressurser i katalogen tilgjengelig for klientprogrammer bruke OAuth sikkerhet spesialtegn. ADAL fungerer med OAuth å bekrefte krav og exchange tokener (heller enn passord), for å gi en brukertilgang til en ressurs. Tidligere kan sertifiseringsinstans i en transaksjon som denne--serveren som vet hvordan å validere brukeren krav og utstede nødvendige symbolene--har vært en Security Token Service lokale eller selv Active Directory Federation Services. Moderne godkjenning sentraliserer imidlertid som instans med Azure Active Directory (Azure AD) i skyen.

Dette betyr også som selv om Exchange server og Skype for Business-miljøer kan være helt lokale autorisere serveren vil være tilkoblet og lokale miljøet må ha muligheten til å opprette og vedlikeholde en tilkobling til Office 365 abonnement i skyen (og Azure Active Directory-forekomst som abonnementet bruker som katalogen).

Hva ikke endre? Enten du er en del av domener hybrid eller ved hjelp av Skype for Business og Exchange server lokale, må alle brukere først godkjennes lokalt. I en hybrid-implementeringen av moderne godkjenning, Lyncdiscovery og Autosøk ved å peke på lokale-serveren.

Viktig  Hvis du trenger å vite bestemte Skype for Business topologier støttes med glidende gjennomsnitt, er som beskrevet her høyre.

Kontroller statusen moderne godkjenning lokale miljøet

Fordi moderne godkjenning endres autorisasjon serveren som brukes når tjenester utnytte OAuth/S2S, må du vite hvis moderne godkjenning er aktivert eller deaktivert for Skype for Business og Exchange-miljøet. Du kan kontrollere statusen på en Exchange- eller Skype for Business-servere lokalt, ved å kjøre kommandoen Get-CSOAuthConfiguration i PowerShell. Hvis kommandoen returnerer en tomOAuthServersegenskap, deaktiveres moderne godkjenning.

Du oppfyller moderne godkjenning forutsetninger?

Kontroller og kontroller disse elementene av listen før du fortsetter:

  • Skype for Business bestemt

    • Alle serverne må ha SFB Server 2015 CU5 eller senere

      • Unntak - overleve gren utstyrsleverandøren (SBA) kan være på den gjeldende versjonen (basert på Lync 2013)

    • Domenet SIP legges til som et Federated-domene i Office 365

    • Alle SFB foran slutter må ha tilkoblinger utgående til Internett, til Office 365-godkjenning URL-adresser (TCP 443) og kjente sertifikatrot sertifikatopphevelseslister (TCP 80) er oppført i rader 1 og 2 i delen "Office 365-godkjenning og identitet" Office 365-nettadresser og IP -adresseområder.

Obs!  Hvis Skype for Business frontservere bruker en proxy-server for Internett-tilgang, proxy-server IP og Port nummeret brukes må angis i konfigurasjonsdelen av filen web.config for hver frontdelen.

  • c:\Programfiler\Microsoft files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config

  • c:\Programfiler\Microsoft files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config

  • < /system.identityModel.services >

    < system.net >

    < defaultProxy >

    < proxy

    proxyaddress = "http://192.168.100.60:8080"

    bypassonlocal = "true"

    / >

    < / defaultProxy >

    < /system.net >

    < / configuration >

Viktig  Pass på å abonnere på RSS-feeden for Office 365-nettadresser og IP-adresseområder å holde deg oppdatert med de nyeste oppføringene av nødvendige URL-adresser.

  • Exchange Server bestemte

    • Du bruker en Exchange server 2013 CU19 opp, eller Exchange server 2016 CU8 og opp.

    • Det finnes ingen Exchange server 2010 i miljøet.

    • MAPI via HTTP aktivert. Det er vanligvis aktivert eller SANN for nye installasjoner av Exchange 2013 Service Pack 1 og ovenfor.

    • SSL avlaste er ikke konfigurert. SSL-avslutning og ny kryptering støttes.

    • I tilfelle miljøet benytter en proxy-server-infrastruktur for å tillate serverne bruker på å koble til Internett, må du kontrollere alle Exchange-servere har proxy-server som er definert i egenskapen InternetWebProxy.

  • Generelle forutsetninger

    • Bruke klienter som støtter ADAL for at de skal bruke den glidende gjennomsnitt må aktivert funksjoner.

    • Hvis du bruker ADFS, bør du ha Windows 2012 R2 ADFS 3.0 og ovenfor for forbund

    • Identitet-konfigurasjoner er noen av typene som støttes av AAD koble (som hash passordsynkronisering, direkte godkjenning lokale STS støttes av Office 365, og videre.)

    • Du har AAD koble konfigurert og fungerer for Brukerreplikering og synkronisering.

    • Du har bekreftet at hybrid fungerer mellom lokale og Office 365:

      • Offisiell støtte-setningen for Exchange-hybrid sier at du må ha gjeldende CU eller gjeldende CU - 1.

      • Kontroller at begge flyttet til en lokal test-bruker, i tillegg til en hybrid Testbruker i Office 365, kan logge på Skype for Business-klienten (Hvis du vil bruke moderne godkjenning med Skype) og Microsoft Outlook (Hvis du vil bruke så moderne godkjenning med Exchange).

Hva annet trenger jeg å vite før jeg begynner?

  1. Alle scenarier for lokale servere innebærer under konfigurasjon av moderne godkjenning lokalt (faktisk for Skype for Business er det en liste over støttede topologier) slik at serveren som er ansvarlig for godkjenning i Microsoft Cloud ( AAD sikkerhet token tjenesten, kalt 'evoSTS'), og oppdatere Azure Active Directory (AAD) om URL-adresser eller navneområder brukes av lokale installasjonen av enten Skype for Business- eller Exchange. Derfor ta lokale servere på en Microsoft Cloud-avhengighet. Utfører denne handlingen kan regnes konfigurere hybrid-godkjenning.

  2. Denne artikkelen inneholder koblinger ut for andre som hjelper deg med å velge støttede topologier for moderne godkjenning (bare nødvendig for Skype for Business) og veiledning artikler som disposisjon konfigurasjonstrinnene eller trinn for å deaktivere moderne godkjenning for lokal Exchange og Skype for Business lokalt. Favoritt denne siden i leseren hvis du skal trenger en hjemmebase for med moderne godkjenning i server-miljøet.

Liste over URL-adresser for moderne godkjenning

Bli bedre på Office
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Office Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×