Omówienie uwierzytelniania nowoczesny hybrydowych i wymagania wstępne dotyczące korzystania z lokalnego programu Skype dla firm i Exchange serwerów

Uwaga:  Staramy się udostępniać najnowszą zawartość Pomocy w Twoim języku tak szybko, jak to możliwe. Ta strona została przetłumaczona automatycznie i może zawierać błędy gramatyczne lub nieścisłości. Chcemy, aby ta zawartość była dla Ciebie przydatna. Prosimy o powiadomienie nas, czy te informacje były pomocne, u dołu tej strony. Oto angielskojęzyczny artykuł do wglądu.

Nowoczesna uwierzytelnianie jest metoda Zarządzanie tożsamościami, który oferuje bardziej bezpiecznego uwierzytelniania użytkowników i autoryzacji. Jest dostępny dla programu Skype dla firm lokalnego serwera i programu Exchange server lokalnego, mieszańców programu Exchange, a także domeny podziału w programie Skype dla firm mieszańców. Ten artykuł zawiera łącza do powiązanych dokumentów o wymagania wstępne dotyczące instalacji i wyłączanie nowoczesny uwierzytelniania i niektóre informacje pokrewne klienta (np. programu Outlook i programu Skype klientów).

Co to jest nowoczesny uwierzytelniania?

Gdy mowa o komunikacji między klientem (na przykład komputera przenośnego lub telefonie) i serwer, firma Microsoft używa frazę "Nowoczesny uwierzytelniania".

Nowoczesna uwierzytelnianie jest termin kombinacji uwierzytelniania i metody autoryzacji, a także niektóre zabezpieczenia zależne od zasady dostępu, które mogą być już znanych. Zawiera:

  • Metody uwierzytelniania: uwierzytelnianie wieloskładnikowe; Uwierzytelnianie klienta na podstawie certyfikatu; i biblioteki uwierzytelniania usługi Active Directory (ADAL).

  • Metody autoryzacji: implementacji otwartego pozwolenia (OAuth) firmy Microsoft.

  • Zasady dostępu warunkowego: Zarządzanie aplikacji Mobile (MAM) i Azure Active Directory dostępu warunkowego.

Zarządzanie tożsamościami użytkownika z uwierzytelnianiem nowoczesny zapewnia administratorom wiele różnych narzędzi, za pomocą przychodzące zabezpieczanie zasobów i oferuje bardziej bezpieczne metody Zarządzanie tożsamościami do obu lokalnego (programy Exchange i programu Skype dla firm), Exchange hybrydowego , a programem Skype dla firm hybrydowych podziału domeny scenariuszy.

Należy pamiętać, że ponieważ program Skype dla firm ściśle współpracuje z serwerem Exchange, zachowanie logowania programu Skype dla firm klienta, którą użytkownicy będą widzieć zostanie zrealizowany statusem nowoczesny uwierzytelniania serwera Exchange. Dotyczy to także jeśli masz w programie Skype dla firm domeny podziału hybrydowych. Ponadto typ programu Skype dla firm hybrydowe, obsługującego nowoczesny uwierzytelniania za pomocą często nazywane "podziału domeny" (w domenie podziału, masz zarówno w programie Skype dla firm Online, jak i w programie Skype dla firm lokalna i użytkownicy są umiejscowieni w obu tych lokalizacji).

Ważne  Czy wiesz, że od sierpnia 2017 wszystkich nowych dzierżaw usługi Office 365 zawierających program Skype dla firm online, a usługa Exchange online mają domyślnie włączone uwierzytelnianie nowoczesny Dzierżaw istniejącym nie mieć zmiany w stanie MA domyślne, ale wszystkie nowe dzierżaw automatycznie obsługuje rozwinięty zbiór funkcji tożsamości, które zobaczysz wymienionych powyżej. Za pomocą programu Skype dla firm online programu PowerShell przy użyciu poświadczeń administratora globalnego, aby sprawdzić stan MA program Skype dla firm online. Uruchom "Get-CsOAuthConfiguration" Aby sprawdzić wynik - ClientADALAuthOverride. Jeśli -ClientADALAuthOverride jest "dozwolone" nowoczesny uwierzytelnienie znajduje się na.

Jakie zmiany użycie uwierzytelniania nowoczesny?

Po przy użyciu funkcji uwierzytelniania nowoczesny z lokalnego programu Skype dla firm lub programu Exchange server, możesz nadal uwierzytelniania użytkowników lokalnych, ale artykułu o Autoryzowanie ich dostępu do zmiany zasoby (takie jak pliki lub wiadomości e-mail). Jest to dlaczego, mimo nowoczesny uwierzytelniania o komunikacji klienta i serwera, kroki wykonywane podczas konfigurowania MA wynik w evoSTS (Usługa tokenu zabezpieczającego używane przez Azure AD) ustawiany jako uwierzytelniania serwera dla programu Skype dla firm i programu Exchange server lokalnego.

Zmiana evoSTS umożliwia do lokalnych serwerów skorzystać OAuth (token emisji) autoryzowanie klientów i udostępnia również do lokalnego użyj metody zabezpieczeń typowych w chmurze (na przykład uwierzytelnianie wieloskładnikowe). Ponadto evoSTS problemów tokeny zezwolić użytkownikom na żądanie dostępu do zasobów bez podawania hasła w ramach żądania. Niezależnie od tego, gdzie umiejscowieni użytkowników (online lub lokalnego), a niezależnie od tego, w której lokalizacji obsługuje niezbędnych zasobów, EvoSTS będzie podstawową autoryzowanie użytkownikami i klientami po skonfigurowaniu nowoczesny uwierzytelniania.

Oto przykład I średnia. Jeśli klienta Skype dla firm musi uzyskać dostęp do serwera Exchange, aby uzyskać informacje o kalendarza w imieniu użytkownika, używa biblioteki uwierzytelniania Active Directory (ADAL) w tym celu. ADAL biblioteki kodu pozwala udostępnić zabezpieczone zasoby w katalogu do aplikacji klienckich przy użyciu tokenów zabezpieczających OAuth. ADAL współpracuje OAuth do sprawdzania oświadczeniach i exchange tokeny (zamiast haseł), aby udzielić użytkownikowi dostępu do zasobu. W przeszłości urząd w transakcji podobny do tego — serwera, który wie, jak sprawdzić poprawność oświadczeń użytkownika i problemu potrzebne tokeny — mogą wystąpić następujące przypadki usługi tokenu zabezpieczającego lokalnego lub nawet Active Directory Federation Services. Jednak nowoczesny uwierzytelniania centralizuje tego Urząd z usługi Azure Active Directory (Azure AD) w chmurze.

To również oznacza, że mimo że serwera Exchange i programu Skype dla firm środowiskach mogą być całkowicie lokalnego serwera wydające być w trybie online i środowiska lokalnego muszą mieć możliwość tworzenia i zachować połączenie z pakietu Office 365 subskrypcji w chmurze (i wystąpienia usługi Azure Active Directory, które subskrypcji używa jako jego katalogu).

Co nie ulega zmianie? Czy jesteś w hybrydowym podziału domeny lub za pomocą programu Skype dla firm i programu Exchange server lokalnego wszystkich użytkowników należy najpierw służą do uwierzytelniania lokalnego. W implementacji hybrydowych nowoczesny uwierzytelniania Lyncdiscovery i automatycznego wykrywania wskaż serwera lokalnego.

Ważne  Jeśli chcesz wiedzieć, określonego programu Skype dla firm topologii obsługiwane z MA to opisane tutaj w prawo.

Sprawdzanie stanu nowoczesny uwierzytelniania środowiska lokalnego

Ponieważ nowoczesny uwierzytelniania zmienia serwer autoryzacji używane podczas OAuth-S2S korzystać z usług, należy ustalić, czy nowoczesny uwierzytelniania jest lub wyłączanie dla programu Skype dla firm i Exchange środowiska. Możesz sprawdzić stan na komputerze programu Exchange lub programu Skype dla serwerów firm, w środowisku lokalnym, uruchamiając polecenie Get-CSOAuthConfiguration w programie PowerShell. Jeśli polecenie zwraca pustą właściwością "OAuthServers", Nowoczesny uwierzytelnianie jest wyłączone.

Czy spełniają wymagania wstępne dotyczące uwierzytelniania nowoczesny?

Sprawdź i sprawdź następujące elementy wyłączone na liście, przed kontynuowaniem:

  • W programie Skype dla firm określonych

    • Wszystkie serwery muszą mieć programu SFB Server 2015 CU5 lub nowsza

      • Wyjątek — przeżywalność gałąź urządzenia (SBA) może znajdować się na bieżącej wersji (w oparciu o programie Lync 2013)

    • Domeny SIP zostanie dodane jako Sfederowane domeny w usłudze Office 365

    • Wszystkie programu SFB wartość frontonu może mieć połączeń wychodzących z Internetem, adresy URL pakietu Office 365 uwierzytelniania (port TCP 443) i dobrze znane listy odwołań certyfikatów głównych (port TCP 80) wymienionych w wierszach 1 i 2 w sekcji "uwierzytelniania usługi Office 365 i tożsamości" usługi Office 365 w adresy URL i IP zakresy adresów.

Uwaga  Jeśli w programie Skype dla firm serwerach frontonu Użyj serwera proxy, aby uzyskać dostęp do Internetu, numer IP i Port serwera proxy używane należy wprowadzać w sekcji Konfiguracja pliku web.config dla każdego frontonu.

  • c:\Program files\Skype dla firm Server 2015\Web Components\Web ticket\int\web.config

  • c:\Program files\Skype dla firm Server 2015\Web Components\Web ticket\ext\web.config

  • < /system.identityModel.services >

    < system.net >

    < defaultProxy >

    < serwera proxy

    proxyaddress = "http://192.168.100.60:8080"

    bypassonlocal = "true"

    ->

    <-defaultProxy >

    < /system.net >

    < / Konfiguracja >

Ważne  Pamiętaj subskrybować kanał RSS dla usługi Office 365 w adresy URL i zakresy adresów IP aktualne informacje o najnowszych fragmentów odpowiednie adresy URL.

  • Programu Exchange Server

    • Korzystasz z programu Exchange server 2013 CU19 i w górę, lub Exchange server 2016 CU8 i w górę.

    • Serwer programu Exchange 2010 w środowisku jest.

    • MAPI za pomocą protokołu HTTP włączone. Zazwyczaj jest włączony lub PRAWDA dla nowych instalacji programu Exchange 2013 z dodatkiem Service Pack 1 i powyżej.

    • Odciążanie protokołu SSL nie jest skonfigurowany. Zakończenie SSL i ponownego szyfrowania jest obsługiwana.

    • W przypadku środowiska wykorzystuje infrastrukturze serwerów proxy umożliwia serwerów nawiązać połączenie z Internetem, upewnij się, że wszystkie serwery Exchange mają zdefiniowane we właściwości InternetWebProxyserwera proxy.

  • Ogólne wymagania wstępne

    • Użyj klientów obsługujących ADAL w kolejności ich używać MA, należy włączyć funkcje.

    • Jeśli korzystasz z usług ADFS, trzeba mieć Windows 2012 R2 ADFS 3.0 i powyżej do Federacji

    • Konfiguracje tożsamości są obsługiwane przez łączenie AAD typów (takich jak hasło mieszania synchronizacji, uwierzytelnianie, lokalnego STS obsługiwane przez usługę Office 365, itp.)

    • Masz skonfigurowany i działa replikacja użytkownika i synchronizacji łączenie AAD.

    • Upewnieniu się, że działa tego hybrydowych między lokalnego i usługi Office 365:

      • Instrukcja oficjalne wsparcie dla wdrożenia hybrydowe programu Exchange informuje, że musi być CU bieżącego lub bieżący CU - 1.

      • Upewnij się, że oba użytkownika testowego lokalnego, a także użytkownika testowego hybrydowych umiejscowieni w usłudze Office 365 można zalogować się do programu Skype dla firm klienta stacjonarnego (Jeśli chcesz użyć nowoczesny uwierzytelniania za pomocą programu Skype) i Microsoft Outlook (Jeśli chcesz, dlatego uwierzytelniania nowoczesny z Exchange).

Co jeszcze należy wiedzieć przed rozpoczęciem I?

  1. Scenariusze lokalne serwery obejmują konfigurowania nowoczesny uwierzytelniania lokalnego (w rzeczywistości dla programu Skype dla firm jest lista topologii obsługiwane) tak, aby serwer odpowiedzialny za uwierzytelniania i autoryzacji znajduje się w (Microsoft Cloud Osoby AAD usługi tokenu zabezpieczającego, o nazwie "evoSTS") i aktualizowanie Azure Active Directory (AAD) o adresy URL lub nazw używane przez lokalnej instalacji programu Skype dla firm lub programu Exchange. W związku z tym lokalne serwery zastosować zależność Microsoft Cloud. Sporządzanie tej akcji można uznać Konfigurowanie "hybrydowych auth".

  2. Ten artykuł zawiera łącza się dla innych osób, które mogą pomóc w wybierz pozycję obsługiwanych topologii nowoczesny uwierzytelniania (konieczne tylko w przypadku programu Skype dla firm) i instrukcje artykuły konspektu czynności konfiguracyjnych lub kroki, aby wyłączyć nowoczesny uwierzytelnianie dla serwera Exchange w lokalnym i lokalne programu Skype dla firm. Ulubione tej strony w przeglądarce, jeśli zamierzasz potrzebę przy podstawie głównej przy użyciu funkcji uwierzytelniania nowoczesny w środowisku serwera.

Listę adresów URL, Nowoczesny uwierzytelniania

Rozwijaj umiejętności związane z pakietem Office
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów pakietu Office

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×