Visão geral de autenticação moderno de híbrido e os pré-requisitos para usá-lo com local Skype for Business e Exchange servers

Observação:  Desejamos fornecer o conteúdo da Ajuda mais recente no seu idioma da forma mais rápida possível. Esta página foi traduzida de forma automatizada e pode conter imprecisões ou erros gramaticais. Nosso objetivo é que este conteúdo seja útil para você. As informações foram úteis? Dê sua opinião no final desta página. Aqui está o artigo em inglês para facilitar a referência.

Autenticação moderna é um método de gerenciamento de identidades que oferece mais seguro autenticação de usuário e a autorização. Ele está disponível para Skype for Business server local e Exchange server local, híbridas do Exchange, bem como dividir domínio Skype para híbridas de negócios. Este artigo se refere a relacionados docs sobre pré-requisitos, instalação/desabilitando autenticação moderno e algumas das informações relacionadas de cliente (ex. Outlook e Skype clientes).

O que é autenticação moderno?

Quando falar sobre a comunicação entre um cliente (por exemplo, seu laptop ou seu telefone) e um servidor, a Microsoft usa a frase 'Moderna authentication'.

Autenticação moderna é um termo geral para uma combinação de autenticação e métodos de autorização, bem como algumas medidas de segurança que contam com políticas de acesso que talvez você já esteja familiarizado com. Ele inclui:

  • Métodos de autenticação: autenticação multifator; Autenticação baseada em certificado do cliente; e a biblioteca de autenticação do Active Directory (ADAL).

  • Métodos de autorização: implementação do autorização aberta (OAuth) da Microsoft.

  • Políticas de acesso condicional: gerenciamento de aplicativo de celular (MAM) e acesso condicional do Azure Active Directory.

Gerenciamento de identidades do usuário com autenticação moderno oferece aos administradores várias ferramentas diferentes para usar quando chegarem ao protegendo recursos e oferece mais seguros métodos de gerenciamento de identidades para os dois locais (Exchange e Skype for Business), híbrida do Exchange e Skype para cenários de divisão/híbrido-domínio de negócios.

Lembre-se de que, como Skype para Business trabalha junto com o Exchange, o comportamento de login Skype para Business client os usuários verão será afetado pelo status autenticação moderno do Exchange. Isso também se aplicarão se você tiver um Skype híbrida de divisão de domínio de negócios. Além disso, o tipo de Skype híbrida de negócios que oferece suporte ao uso de autenticação moderno normalmente é chamado um 'Dividir-domínio' (em um domínio de divisão, você tem tanto o Skype for Business Online como o Skype for Business local e os usuários são hospedados em ambos os locais).

Importante  Você sabia que, a partir de agosto de 2017, todos os novos locatários do Office 365 que incluem o Skype for Business online e Exchange online tenha autenticação moderno ativada por padrão? Locatários preexistentes não terá uma alteração em seu estado de MA padrão, mas todos os locatários novo suportam automaticamente o conjunto expandido de recursos de identidade que aparecer listado acima. Para verificar o status de MA Skype for Business online, você pode usar o Skype for Business online PowerShell com credenciais de Administrador Global. Execute 'Get-CsOAuthConfiguration' para verificar a saída de - ClientADALAuthOverride. Se -ClientADALAuthOverride é 'permitido' sua autenticação moderno está ativado.

Quais alterações ao usar autenticação moderno?

Ao usar autenticação moderno com local Skype para Business ou o Exchange server, você ainda estiver autenticar os usuários locais, mas a história de Autorizar o acesso às alterações de recursos (como arquivos ou emails). É por isso que, apesar de autenticação moderno é sobre a comunicação de cliente e servidor, as etapas executadas durante Configurando o resultado de MA evoSTS (um serviço de Token segurança usado pelo Azure AD) sendo definido como servidor de autenticação para Skype para Business e o Exchange server no local.

A alteração evoSTS permite que o seu local servidores tirar proveito de OAuth (emissão de token) para autorizar seus clientes e também permite seu local usar métodos de segurança comuns na nuvem (como autenticação multifator). Além disso, o evoSTS emite tokens que permitem que os usuários devem solicitar acesso aos recursos sem fornecer a senha dele como parte da solicitação. Não importa onde os usuários estão hospedados (do online ou locais), e não importa qual local hospeda o recurso necessário, EvoSTS se tornará o núcleo de autorização de usuários e clientes após configurar a autenticação moderno.

Aqui está um exemplo de eu significado. Se o Skype for Business client precisar acessar o servidor do Exchange para obter informações de calendário em nome de um usuário, ele usa a biblioteca de autenticação do Active Directory (ADAL) para fazê-lo. ADAL é uma biblioteca de código projetada para disponibilizar recursos protegidos no seu diretório para aplicativos cliente usando OAuth tokens de segurança. ADAL funciona com OAuth para verificar declarações e tokens (em vez de senhas), para conceder a um usuário acesso a um recurso do exchange. No passado, a autoridade em uma transação como esse – o servidor que sabe como validar declarações de usuário e os símbolos necessários do problema – pode ter sido um serviço de Token de segurança local ou até mesmo Active Directory Federation Services. No entanto, autenticação Moderno centraliza autoridade com o Azure Active Directory (AD Azure) na nuvem.

Isso também significa que, embora o Exchange server e o Skype para ambientes de negócios podem estar totalmente no local, o servidor autorizar será online e seu ambiente local deve ter a capacidade de criar e manter uma conexão ao seu escritório assinatura 365 na nuvem (e a instância do Active Directory do Azure que sua assinatura usa como seu diretório).

O que não altera? Se você estiver em um domínio de divisão híbrido ou usando o Skype for Business e o Exchange server local, todos os usuários devem primeiro autenticar local. Em uma implementação híbrida de autenticação moderno, Lyncdiscovery e descoberta automática apontam para seu servidor local.

Importante  Se você precisa saber o Skype específico para topologias de negócios compatíveis com MA, que é documentadas direita aqui.

Verificar o status de autenticação moderno do seu ambiente local

Como autenticação moderno altera o servidor de autorização usado quando serviços utilizam OAuth/S2S, você precisa saber se autenticação moderno está ativado ou desativado para o Skype para o ambiente de negócios e do Exchange. Você pode verificar o status no Exchange ou Skype para servidores de negócios, no local, executando o comando Get-CSOAuthConfiguration no PowerShell. Se o comando retornará uma propriedade 'OAuthServers' vazia, autenticação moderno é desabilitada.

Você atende pré-requisitos de autenticação moderno?

Verificar e verifique estes itens sua lista antes de continuar:

  • Skype para Business específico

    • Todos os servidores devem ter SFB Server 2015 CU5 ou posterior

      • Exceção - aparelho de ramificação de capacidade de sobrevivência (SBA) pode ser na versão atual (baseada no Lync 2013)

    • Seu domínio SIP é adicionado como um domínio agrupados no Office 365

    • Todos os SFB Front-Ends deve ter conexões de saída com a internet, para URLs de autenticação do Office 365 (TCP 443) e conhecidas CRLs raiz (TCP 80) listados nas linhas 1 e 2 da seção 'autenticação do Office 365 e identidade' de IP e URLs do Office 365 intervalos de endereços.

Observação  Se o Skype para servidores de front-end de negócios usar um servidor proxy para acesso à Internet, o número servidor proxy IP e a porta usado deve ser inserido na seção Configuração do arquivo Web. config para cada front-end.

  • c:\Program files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config

  • c:\Program files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config

  • < /system.identityModel.services >

    < system.net >

    < defaultProxy >

    < proxy

    proxyaddress = "http://192.168.100.60:8080"

    bypassonlocal = "true"

    / >

    < / defaultProxy >

    < /system.net >

    < / Configuração >

Importante  Certifique-se de assinar o RSS feed de URLs do Office 365 e intervalos de endereços IP para se manter atualizado com as listagens mais recentes de URLs necessários.

  • Exchange Server específico

    • Você está usando o Exchange server 2013 CU19 e backup, ou Exchange server 2016 CU8 e para cima.

    • Não há nenhum Exchange server 2010 no ambiente.

    • MAPI sobre HTTP habilitado. Normalmente é habilitado ou True para novas instalações do Exchange 2013 Service Pack 1 e acima.

    • Transferindo SSL não está configurado. Nova criptografia e encerramento de SSL é suportada.

    • No caso de seu ambiente utiliza uma infraestrutura de servidor proxy para permitir que servidores para se conectar à Internet, certifique-se de que todos os servidores Exchange que o servidor de proxy definido na propriedade InternetWebProxy.

  • Pré-requisitos gerais

    • Deve usar clientes que ofereçam suporte a ADAL para que eles usem a MA habilitado recursos.

    • Se você usar ADFS, você deve ter o Windows 2012 R2 ADFS 3.0 e acima para federação

    • Suas configurações de identidade são qualquer um dos tipos suportados pelo AAD conectar (como sincronização de hash de senha, autenticação de passagem, STS suportados pelo Office 365 no local, etc.)

    • Você tem AAD conectar configurado e funcionando para sincronização e replicação de usuário.

    • Você verificou que híbrido está funcionando entre o local e o Office 365:

      • Política de suporte oficial do Exchange híbrido diz que você deve ter a atualização atual ou atualização atual - 1.

      • Verifique se os dois um usuário de teste local, bem como um usuário de teste híbrido hospedados no Office 365, pode fazer logon o Skype for Business do cliente de desktop (se você quiser usar a autenticação moderno com Skype) e o Microsoft Outlook (se desejar portanto use autenticação moderno com Exchange).

O que mais eu preciso saber antes de começar?

  1. Todos os cenários para servidores locais envolvem configurar autenticação moderno local (na verdade, para o Skype for Business há uma lista das topologias com suporte) para que o servidor responsável por autenticação e a autorização está no (Microsoft Cloud Serviço de token segurança do AAD, chamado de 'evoSTS') e atualizando Azure Active Directory (AAD) sobre a URLs ou namespaces usado por sua instalação do local do Skype for Business ou Exchange. Portanto, servidores locais do dê uma dependência do Microsoft Cloud. Realizar essa ação pode ser considerada Configurando 'híbrido auth'.

  2. Este artigo apresenta links check-out para outras pessoas que ajudarão você a escolher suportados topologias de autenticação moderno (necessárias somente para o Skype for Business) e instruções artigos essa estrutura de tópicos as etapas de configuração, ou etapas para desativar a autenticação moderno, para Exchange local e o Skype for Business no local. Favorito esta página em seu navegador, se você vai precisar de uma base de página inicial para usando autenticação moderno em seu ambiente de servidor.

Lista de URLs de autenticação moderno

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×