Prezentarea generală a autentificare modernă hibrid și cerințele preliminare pentru folosind cu local Skype pentru Business și Exchange servere

Notă:  Dorim să vă oferim cel mai recent conținut de ajutor, cât mai rapid posibil, în limba dvs. Această pagină a fost tradusă automatizat și poate conține erori gramaticale sau inexactități. Scopul nostru este ca acest conținut să vă fie util. Vă rugăm să ne spuneți dacă informațiile v-au fost utile, în partea de jos a acestei pagini. Aici se află articolul în limba engleză , ca să îl puteți consulta cu ușurință.

Autentificare modernă este o metodă de management de identitate care oferă mai sigură autorizare utilizator și autorizarea. Acesta este disponibil pentru Skype pentru Business server local și Exchange server local, Exchange hibrizi, precum scindat domeniul Skype for Business hibrizi. Acest articol face legătura la legate de documente despre cerințele preliminare, instalarea/dezactivarea autentificare modernă, și pentru unele dintre informațiile asociate client (de ex. Outlook și Skype clienții).

Ce este autentificare modernă?

Atunci când discute comunicațiilor dintre un client (de exemplu, laptop sau telefon) și un server, Microsoft utilizează o expresie 'Autentificare modernă'.

Autentificare modernă este un termen umbrelă pentru o combinație de autentificare și metode de autorizare, cât și câteva măsuri de securitate care se bazează pe politicile de acces pe care le poate fi deja familiarizat cu. Include:

  • Metode de autentificare: multi-Factorauthentication; Autentificarea bazată pe certificat de client; și biblioteca de autentificare Active Directory (ADAL).

  • Autorizarea metode: implementarea Microsoft autorizație de deschidere (OAuth).

  • Politicile de acces condiționat: Gestionare aplicații Mobile (MAM) și Azure Active Directory Access condiționate.

Gestionarea identității persoanelor de utilizator cu autentificare modernă oferă administratori mai multe instrumente diferite pentru a utiliza atunci când vine la securizarea resurselor și oferă metode mai sigură de identitate gestionare în ambele local (Exchange și Skype for Business), Exchange hibrid , și Skype for Business hibride/scindare-domeniu scenarii.

Rețineți că, deoarece Skype for Business lucrează îndeaproape cu Exchange, comportamentul de conectare Skype pentru Business client vor vedea utilizatorii va fi efectuată de autentificare modernă starea Exchange. Acest lucru se vor aplica, de asemenea, dacă aveți un Skype for Business hibride scindate domeniu. De asemenea, tipul de Skype for Business hibride care acceptă utilizarea de autentificare modernă este adesea numit o scindare-domeniu (într-un domeniu de scindare, aveți Skype for Business locală și Skype for Business Online și utilizatorii sunt conectați în ambele locații).

Importante  Știați că, începând cu August 2017, toate noi entități găzduite Office 365 care include Skype for Business online și Exchange online va avea autentificare modernă activată implicit? Pre-existente găzduite nu o modificare în starea lor implicită MA, dar toate găzduite nou acceptă automat set extins de identitate caracteristici Vedeți listate mai sus. Pentru a verifica starea MA pentru Skype for Business online, puteți utiliza Skype for Business online PowerShell cu acreditările de administrator Global. Rulați 'Get-CsOAuthConfiguration"pentru a verifica rezultatul - ClientADALAuthOverride. Dacă -ClientADALAuthOverride este 'permise' de autentificare modernă este.

Ce se modifică atunci când utilizez autentificare modernă?

Atunci când se utilizează autentificare modernă cu local Skype pentru Business sau Exchange server, încă sunteți autentificarea utilizatorilor local, dar povestea de autorizare lor acces la resurse (cum ar fi fișiere sau e-mailuri) modificările. Iată de ce, deși autentificare modernă este despre client și server de comunicații, pașii luate în timpul configurarea MA rezultatul în evoSTS (o securitate serviciul de simboluri utilizate de Azure AD) se setați ca Auth Server pentru Skype pentru Business și Exchange server local.

Modificare evoSTS permite locală servere pentru a beneficia de OAuth (emitere simbolului) pentru clienții de autorizare și, de asemenea, vă permite să vă local utilizarea metode de securitate comune în cloud (cum ar fi multi-factor Authentication). În plus, evoSTS problemele legate de simboluri care permite utilizatorilor pentru a solicita acces la resurse fără furnizarea parola ca parte a solicitării. Indiferent unde utilizatorii sunt conectați (online sau local), și nu contează ce locația găzduiește resurse este necesar, EvoSTS va deveni în centrul de autorizare utilizatori și clienții după autentificare modernă este configurată.

Iată un exemplu de ceea ce înseamnă să. Dacă clientul Skype for Business trebuie să acceseze serverul Exchange pentru a obține informații din calendar în numele unui utilizator, utilizează Active Directory biblioteca de autentificare (ADAL) pentru a face acest lucru. ADAL este proiectat o bibliotecă de cod pentru a face securizate resurse în directorul disponibile în aplicații client utilizând simbolurile de securitate OAuth. ADAL funcționează cu OAuth pentru a verifica solicitări și să facă schimb de simboluri (mai degrabă decât parole), pentru a acorda accesul unui utilizator la o resursă. În trecut, autoritate într-o operațiune ca acesta - server care să știe cum să validați solicitări de utilizator și problemă simbolurile necesare - ar fi fost un serviciu simbolului de securitate local, sau chiar Active Directory Federation Services. Cu toate acestea, autentificare modernă centralizează acea autoritate cu Azure Active Directory (Azure AD) în Cloud.

De asemenea, acest lucru înseamnă că chiar dacă de Exchange server și Skype pentru firme medii poate fi în întregime local, serverul autorizare va fi online și mediul local trebuie să aibă posibilitatea de a crea și întreține o conexiune la Office 365 abonament în Cloud (şi instanța Azure Active Directory care utilizează abonamentul ca sa Director).

Ce nu se schimbă? Dacă vă aflați într-un domeniu de scindare hibrid sau folosind Skype for Business și Exchange server local, toți utilizatorii mai întâi trebuie să se autentifică local. Într-o implementare hibridă de autentificare modernă, Lyncdiscovery și descoperire automată indicați spre server local.

Importante  Dacă trebuie să cunoașteți anumite Skype for Business topologii acceptate cu MA, care este prezentate chiar aici.

Verificarea stării de autentificare modernă din mediul local

Deoarece autentificare modernă modifică serverul autorizație de utilizat atunci când serviciile optimizați OAuth/S2S, trebuie să știți dacă autentificare modernă este activată sau dezactivată pentru Skype for Business și Exchange mediu. Puteți verifica starea pe Exchange sau Skype pentru Business servere, local, rulând comanda Get-CSOAuthConfiguration din PowerShell. În cazul în care comanda returnează o proprietate 'OAuthServers' necompletată, autentificare modernă este dezactivat.

Îndepliniți cerințe preliminare pentru autentificare modernă?

Verificarea și Verificați aceste elemente de pe lista înainte de a continua:

  • Skype pentru Business specifice

    • Toate serverele care trebuie să aibă SFB Server 2015 CU5 sau o versiune ulterioară

      • Excepție - Survivability ramură echipamentului (SBA) poate fi în versiunea curentă (bazată pe Lync 2013)

    • Domeniul SIP este adăugat ca federale domeniu în Office 365

    • Toate SFB față se termină trebuie să aibă conexiunile de ieșire la internet, Office 365 autentificare URL-uri (TCP 443) și rădăcină de certificate cunoscute liste CRL (TCP 80) listate în rânduri 1 și 2 din secțiunea 'autentificare Office 365 și identitate' Office 365 adrese URL și IP intervale de adrese.

Notă  Dacă Skype for Business front-end serverelor utilizaţi un server proxy pentru acces la Internet, proxy server IP și Port număr utilizat trebuie introduse în secțiunea configurare fișierul web.config pentru fiecare front-end.

  • c:\Program files\Skype pentru serverul de Business 2015\Web Components\Web ticket\int\web.config

  • c:\Program files\Skype pentru serverul de Business 2015\Web Components\Web ticket\ext\web.config

  • < /system.identityModel.services >

    < system.net >

    < defaultProxy >

    < proxy

    proxyAddress = "http://192.168.100.60:8080"

    bypassonlocal = "true"

    / >

    < / defaultProxy >

    < /system.net >

    < / configurare >

Importante  Aveți grijă să vă abonați la fluxului RSS pentru Office 365 adrese URL și intervale de adrese IP pentru a rămâne la curent cu cele mai recente listările de URL-uri necesare.

  • Exchange Server specifice

    • Utilizați oricare dintre Exchange server 2013 CU19 și săgeată în sus, sau Exchange server 2016 CU8 și săgeată în sus.

    • Nu există nicio Exchange server 2010 în mediul.

    • MAPI prin HTTP activat. Este, de obicei, activat sau True pentru instalare nou de Exchange 2013 Service Pack 1 și mai sus.

    • Echilibrarea SSL nu este configurată. Taxele de reziliere SSL și re-criptare este acceptată.

    • În cazul în care mediul utilizează o infrastructură de server proxy pentru a permite servere să se conecteze la Internet, asigurați-vă că toate serverele Exchange au server proxy definite în proprietatea InternetWebProxy.

  • Cerințe preliminare generale

    • Trebuie să utilizați clienții care acceptă ADAL pentru ca acestea să utilizați MA activat caracteristicile.

    • Dacă utilizați ADFS, ar trebui să aveți Windows 2012 R2 ADFS 3.0 și mai sus pentru federalizarea

    • Configurații de identitate sunt oricare dintre tipurile acceptate de AAD conectarea (cum ar fi parola hash sincronizare, autentificarea directă, local STS acceptate de Office 365, oricăror etc.)

    • Aveți AAD conectați configurat și funcționează pentru utilizator reproducerea și sincronizare.

    • Le-ați verificat hibrid care lucrează între mediul local și Office 365:

      • Instrucțiunea oficial suport pentru implementarea hibridă Exchange spune ce trebuie să fie CU curent sau curent CU - 1.

      • Asigurați-vă că atât un utilizator de testare local, cât și un utilizator de testare hibrid conectați în Office 365, să vă conecta la Skype for Business client desktop (dacă doriți să utilizați autentificare modernă cu Skype) și Microsoft Outlook (dacă doriți, Deci utiliza autentificare modernă cu Exchange).

Ce mai trebuie să știți înainte să începeți?

  1. Scenarii pentru servere local implică configurarea autentificare modernă local (de fapt, pentru Skype for Business nu este o listă de topologii acceptate), astfel încât serverul responsabil pentru autentificarea și autorizarea în (Microsoft Cloud AAD pe securitate serviciul de simboluri, numit "evoSTS"), și actualizarea Azure Active Directory (AAD) despre adresele URL sau spațiile de nume utilizate de instalarea local oricare dintre Skype pentru Business sau Exchange. Prin urmare, local servere prelua dependenței Microsoft Cloud. Această acțiune efectuată pot fi considerate configurarea 'hibrid auth'.

  2. Acest articol linkuri, către alte persoane care vă vor ajuta să alegeți acceptate de autentificare modernă topologii (necesar doar pentru Skype for Business) și articole introductive care schiță configurarea pași sau pași pentru a dezactiva Autentificare modernă, pentru Exchange local și Skype for Business local. Preferate această pagină în browser în cazul în care veți avea nevoie de o bază de pornire pentru utilizarea autentificare modernă din mediul de server.

Listă de adrese URL de autentificare modernă

Extindeți-vă competențele Office
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă utilizatorilor Office Insider

Au fost utile aceste informații?

Vă mulțumim pentru feedback!

Vă mulțumim pentru feedback! Se pare că ar fi util să luați legătura cu unul dintre agenții noștri de asistență Office.

×