Descrição geral de autenticação moderna híbrido e pré-requisitos para utilizá-lo com no local do Skype para empresas e o Exchange servidores

Nota:  Queremos fornecer-lhe os conteúdos de ajuda mais recentes o mais rapidamente possível e no seu idioma. Esta página foi traduzida automaticamente e pode conter erros gramaticais ou imprecisões. O nosso objetivo é que estes conteúdos lhe sejam úteis. Pode informar-nos se as informações foram úteis no final desta página? Eis o artigo em inglês para referência.

Autenticação moderna é um método da gestão de identidades que oferece mais segura autenticação de utilizador e a autorização. Está disponível para o Skype para empresas server no local e Exchange server no local, híbridos do Exchange, bem como dividir domínio do Skype para híbridos de empresas. Este artigo contém ligações para relacionados com documentos sobre a pré-requisitos, o programa de configuração/desactivar a autenticação moderna e para algumas das informações (ex. Outlook e o Skype clientes) relacionados com o cliente.

O que é a autenticação moderna?

Quando falar sobre comunicações entre um cliente (por exemplo, o seu computador portátil ou o seu telemóvel) e um servidor, a Microsoft utiliza a expressão «Autenticação moderna».

Autenticação moderna é um termo chapéu de chuva para uma combinação de autenticação e métodos de autorização, bem como algumas medidas de segurança que dependem de políticas de acesso que já poderá estar familiarizado. Inclui:

  • Métodos de autenticação: autenticação multifator; Autenticação baseada em certificado de cliente; e a biblioteca de autenticação do Active Directory (ADAL).

  • Métodos de autorização: implementação da autorização abrir (OAuth) da Microsoft.

  • Políticas de acesso condicional: gestão de aplicação Mobile (MAM) e o Azure Active Directory condicional acesso.

Gerir identidades dos utilizadores com autenticação moderna concede aos administradores muitas ferramentas diferentes para utilizar quando chegar ao proteger recursos e oferece métodos mais seguros da gestão de identidades para ambas no local (Exchange e o Skype para empresas), Exchange híbrido e o Skype para cenários para empresas híbrido/dividido-domínio.

Tenha em atenção que, uma vez que o Skype para empresas estreitamente funciona com o Exchange, o comportamento de início de sessão do Skype para empresas do cliente os utilizadores irão ver será afetado pelo Estado de autenticação moderna do Exchange. Isto também se aplicarão se tiver uma chamada do Skype para empresas híbrido dividido domínio. Além disso, o tipo do Skype para empresas híbrido que suporta a utilização de autenticação moderna frequentemente chama um 'dividido-domínio' (num domínio dividido, tiver o Skype para empresas Online e o Skype para empresas no local e utilizadores estão alojados em ambas as localizações).

Importante  Sabia que, a partir de Agosto de 2017, todos os novos inquilinos do Office 365 que incluem o Skype para empresas online e do Exchange online que serão autenticação moderna ativada por predefinição? Inquilinos pré-existentes não terá uma alteração no seu estado de MA predefinida, mas todos os inquilinos novos suportam automaticamente o expandido conjunto de funcionalidades de identidade que vir listado acima. Para verificar o estado do Friso do Excel para o Skype para empresas online, pode utilizar o Skype para empresas online para PowerShell com as credenciais de Administrador Global. Execute 'Get-CsOAuthConfiguration' para verificar o resultado de - ClientADALAuthOverride. Se o -ClientADALAuthOverride for 'permitido' a autenticação moderna está ativada.

O que alterações quando utilizo autenticação moderna?

Quando utilizar a autenticação moderna com no local do Skype para empresas ou o Exchange server, ainda estiver autenticar utilizadores no local, mas o bloco de autorização do seu acesso a alterações de recursos (como ficheiros ou mensagens de correio eletrónico). Isto é por isso, apesar de autenticação moderna sobre cliente e servidor de comunicações, os passos tomados durante a configuração do resultado do Friso do Excel no evoSTS (segurança Token serviço utilizado pelo Azure AD) a ser definido como servidor de Auth para o Skype para empresas e o Exchange server no local.

A alteração evoSTS permite aos seus no local servidores tirar partido do token (emissão de tokens) para autorizar os seus clientes e também permite seu no local utilizar métodos de segurança comuns na nuvem (como a autenticação multifator). Para além disso, o evoSTS emite tokens que permitem aos utilizadores pedir acesso a recursos sem fornecer as suas palavras-passe como parte do pedido. Independentemente do local onde os utilizadores estão alojados (do online ou no local), e a localização onde aloja o recurso conforme seja necessário, independentemente do EvoSTS irão tornar-se o essencial autorização de utilizadores e clientes depois de autenticação moderna está configurada.

Eis um exemplo do que posso vermelha. Se necessitar de cliente Skype para empresas aceder ao servidor do Exchange para obter informações de calendário em nome de um utilizador, utiliza o Active Directory autenticação biblioteca (ADAL) para fazê-lo. ADAL é uma biblioteca de código concebida para disponibilizar recursos protegidos no seu diretório para as aplicações de cliente utilizando OAuth tokens de segurança. ADAL funciona com OAuth para verificar em afirmações e para tokens (em vez de palavras-passe), para conceder acesso de utilizador para um recurso do exchange. No passado, a autoridade de uma transação como este – o servidor que sabe como validar afirmações de utilizador e emitir os tokens necessários – pode ter sido um serviço de tokens de segurança no local ou até mesmo Federação serviços do Active Directory. No entanto, autenticação moderna centraliza essa autoridade com o Azure Active Directory (Azure AD) na nuvem.

Isto também significa que, apesar do Exchange server e o Skype para ambientes de empresas podem ser completamente no local, o servidor bom será online e o ambiente no local tem de ter a capacidade de criar e manter uma ligação para o Office subscrição 365 na nuvem (e a instância do Azure Active Directory que a sua subscrição utiliza como o seu diretório).

O que não altera? Se estiver na híbrida do domínio de divisão ou utilizar o Skype para empresas e o Exchange server no local, todos os utilizadores têm autenticar-se primeiro no local. Uma implementação híbrida de autenticação moderna, Lyncdiscovery e detecção automática apontam para o seu servidor no local.

Importante  Se precisar de saber a específico do Skype para topologias empresas suportadas com MA, que é documentado direita aqui.

Verificar o estado de autenticação moderna do seu ambiente no local

Uma vez que autenticação moderna altera o servidor de autorização utilizado quando OAuth/S2S tirar partido de serviços, tem de saber se autenticação moderna está ativada ou desativada para o Skype para empresas e o Exchange ambiente. Pode verificar o estado no Exchange ou do Skype para os servidores de negócio, no local, ao executar o comando Get-CSOAuthConfiguration no PowerShell. Se o comando devolver uma propriedade de 'OAuthServers' vazia, autenticação moderna é desativada.

Cumprir pré-requisitos de autenticação moderna?

Verifique e estes itens desativar a sua lista antes de continuar:

  • Skype para empresas específico

    • Todos os servidores tem de ter SFB Server 2015 CU5 ou posterior

      • Exceção - capacidade de sobrevivência ramo aparelho (SBA) pode estar ligado a versão atual (com base no Lync 2013)

    • O domínio SIP é adicionado como um domínio federado no Office 365

    • Todos os SFB frente termina deve ter ligações de saída à internet, aos URLs de autenticação do Office 365 (TCP 443) e raiz de certificados conhecidos CRLs (TCP 80) na lista linhas 1 e 2 da secção «autenticação do Office 365 e identidade» do IP e URLs do Office 365http intervalos de endereços.

Nota  Se o Skype para servidores front-end empresas utilizar um servidor proxy para o acesso à Internet, o proxy server IP e número de porta utilizado têm de ser introduzido na secção de configuração do ficheiro Web. config para cada front-end.

  • c:\Programas\Microsoft files\Skype para empresas Server 2015\Web Components\Web ticket\int\web.config

  • c:\Programas\Microsoft files\Skype para empresas Server 2015\Web Components\Web ticket\ext\web.config

  • < /system.identityModel.services >

    < system.net >

    < defaultProxy >

    < proxy

    proxyaddress = "http://192.168.100.60:8080"

    bypassonlocal = "true"

    / >

    < / defaultProxy >

    < /system.net >

    < / configuração >

Importante  Certifique-se de que subscrever o feed RSS para URLs do Office 365 e intervalos de endereços IP para se manter atual com as listagens do mais recentes de URLs necessários.

  • Exchange Server específico

    • Está a utilizar qualquer um dos servidores do Exchange 2013 CU19 e para cima, ou Exchange server 2016 CU8 e para cima.

    • Não existe nenhuma do Exchange server 2010 no ambiente.

    • MAPI através de HTTP ativado. Normalmente, é activado ou verdadeira relativamente a novas instalações do Exchange 2013 Service Pack 1 e acima.

    • Descarregar SSL não está configurado. Taxas de cessação de SSL e voltar a encriptação é suportada.

    • No caso do ambiente do utiliza uma infraestrutura de servidor proxy para permitir que os servidores para se ligar à Internet, certifique-se de que todos os servidores do Exchange que o servidor de proxy definido na propriedade InternetWebProxy.

  • Pré-requisitos gerais

    • Tem de utilizar clientes que suportam ADAL digitadas utilizar a MA ativada funcionalidades.

    • Se utiliza o ADFS, tiver o Windows 2012 R2 ADFS 3.0 e acima para a Federação

    • As configurações de identidade são qualquer um dos tipos suportados pelo AAD ligar (tais como sincronização hash de palavra-passe, pass-through autenticação, no local STS suportados pelo Office 365, etc qualquer problema.)

    • Tiver AAD ligar-se configurado e a funcionar para replicação do utilizador e sincronização.

    • Verificou que híbrida está a trabalhar entre o seu no local e o Office 365:

      • Declaração de apoio oficial do Exchange híbrido diz que tem de ter CU atual ou CU atual - 1.

      • Certifique-se de que os dois um utilizador de teste no local, bem como um utilizador de teste híbrido hospedados no Office 365, pode iniciar sessão para o cliente Skype para empresas ambiente de trabalho (se pretender utilizar a autenticação moderna com o Skype) e o Microsoft Outlook (se pretender, por isso, utilize a autenticação moderna com Exchange).

Que mais preciso de saber antes de começar a posso?

  1. Todos os cenários para servidores no local envolvam para configurar o autenticação moderna no local (na verdade, para o Skype para empresas há uma lista das topologias suportadas) para que o servidor responsável pela autenticação e autorização seja na (Microsoft Cloud Token serviço de segurança do AAD, denominado 'evoSTS') e atualizar o Azure Active Directory (AAD) sobre o URL ou espaços de nomes utilizados pela sua instalação no local do Skype para empresas ou do Exchange. Por conseguinte, consulte servidores no local dependência de Microsoft Cloud. Efetuar esta ação pode ser considerada configurar 'híbrido auth'.

  2. Este artigo contém ligações saída a outras pessoas que irão ajudá-lo selecione suportado topologias de autenticação moderna (necessárias apenas para o Skype para empresas) e instruções, os seus artigos esse destaque os passos de configuração, ou os passos para desativar a autenticação moderna, para o Exchange no local e o Skype para empresas no local. Favorito esta página no seu browser se vai precisar de uma base de base para utilizando a autenticação moderna no seu ambiente de servidor.

Lista de URLs de autenticação moderna

Aumente os seus conhecimentos do Office
Explore as formações
Seja o primeiro a obter novas funcionalidades
Adira ao Office Insider

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×