Гібридне сучасної автентифікації огляд і передумови для використання його з локального Skype для бізнесу та Exchange серверів

Примітка.:  Ми хочемо надавати найновіший вміст довідки рідною мовою користувачів якомога швидше. Цю сторінку перекладено за допомогою засобу автоматичного перекладу, тому вона може містити смислові, синтаксичні або граматичні помилки. Ми вважаємо, що цей вміст стане вам у пригоді. Повідомте нас, чи була інформація корисною, унизу цієї сторінки. Для зручності цю статтю можна переглянути англійською мовою .

Сучасна автентифікації – це спосіб керування посвідченнями безпечнішою Автентифікація користувача та дозволи. Він доступний для Skype для бізнесу сервера на локальний і Exchange server локального гібридів Exchange, а також розділення домену Skype для бізнесу гібридів. Ця стаття містить посилання на пов'язані документи про попередні вимоги, настроювання та вимкнення сучасної автентифікації і деякі відомості, пов'язані клієнта (EX. Outlook і Skype клієнтів).

Що таке сучасної автентифікації

Коли мова йде про зв'язок між сервера і клієнта (наприклад, на ноутбуку або телефоні), корпорація Майкрософт використовує фразу "Сучасної автентифікації".

Сучасна автентифікації є парасолькою термін для поєднання автентифікації та авторизації методів, а також деякі заходи безпеки, які мають доступ до політики, які ви вже може бути знайомі з. Він містить:

  • Методів автентифікації: багатофакторну автентифікацію; Клієнтський сертифікат автентифікації на основі; а Бібліотека автентифікації Active Directory (АДАЛІЯ).

  • Авторизація методи: виконання Microsoft Open авторизації (OAuth).

  • Умовного доступу: Mobile застосунку керування (MAM) та Azure Active Directory умовного доступу.

Керування посвідченнями для користувачів із сучасним автентифікації надає адміністраторам багато різних засобів для використання під час його йде про забезпечення ресурси та пропонує безпечнішою методи керування посвідченнями для обох локального (Exchange і Skype для бізнесу), гібридного розгортання Exchange і Skype для бізнесу сценаріїв гібридного або розділення домену.

Зверніть увагу, що через Skype для бізнесу тісно співпрацює з Exchange, login поведінки Skype для бізнесу клієнта, користувачі бачитимуть буде здійснюється за сучасної автентифікації стан служби Exchange. Це також буде застосовано, якщо у вас є Skype для бізнесу розділення домену гібридного розгортання. Крім того, тип Skype для бізнесу гібридного розгортання, який підтримує використання сучасної автентифікації часто називають "розділення домен" (розділення домен, ви маєте Skype для бізнесу – онлайн і Skype для бізнесу локальний і користувачі мають працюють у розташуваннях).

Важливим  Чи знаєте ви, що вирахувати серпня 2017 всі нові служби Office 365 клієнтів, який містить Skype для бізнесу в Інтернеті та Exchange online матиме сучасної автентифікації ввімкнуто за промовчанням? Наявних клієнтів не можуть бути зміни у стані ма за промовчанням, але всі нові клієнтів автоматично підтримує розширений набір функцій посвідчення, відображається у списку вище. Щоб перевірити стан свого ма Skype для бізнесу в Інтернеті, ви можете використовувати Skype для бізнесу онлайн PowerShell з облікових даних глобального адміністратора. Запустіть 'Get-CsOAuthConfiguration"для перевірки, результат – ClientADALAuthOverride. Якщо -ClientADALAuthOverride – це' ' до сучасної автентифікації ввімкнуто.

Що зміниться під час використання сучасної автентифікації?

Під час використання сучасної автентифікації з локального Skype для бізнесу або на сервері Exchange server, ви все ще автентифікації користувачів локального, але історія Авторизація доступу до ресурсів (наприклад, файли або повідомлення електронної пошти). Ось чому, хоча сучасної автентифікації про клієнта та сервера зв'язків, кроки під час настроювання стрічки у програмі Excel результат у evoSTS (до служби маркерів безпеки використовуються Azure AD) створюються як автентифікації сервера для Skype для бізнесу та Exchange server локальний.

Зміни evoSTS дозволяє локальних серверів, щоб скористатися OAuth (маркер видачі) для замовлення клієнтів а також дає змогу до локального використання способи захисту поширені в хмарі (наприклад, багатофакторну автентифікацію). Крім того, у evoSTS проблеми маркери, надання користувачам дозволу на запит на доступ до ресурсів без постачання свій пароль у рамках запиту. Незалежно від того, де яких користувачів виконується (онлайн або локальне), і незалежно від того, які розміщено потрібні ресурси, EvoSTS стане основою Авторизація користувачів і клієнтів, коли настроєно сучасної автентифікації.

Ось приклад того, що можна надіслати. Якщо клієнт Skype for Business необхідно отримати доступ до сервера Exchange server, щоб отримати відомості календаря від імені користувача, вона використовує Active Directory автентифікації бібліотеки (ADAL) для цього. АДАЛІЯ код бібліотеки призначена для доступним захищеної ресурси в каталозі на клієнтські застосунки за допомогою маркерів безпеки OAuth. АДАЛІЯ працює з OAuth перевірка тверджень а для обміну маркери (а не паролі), щоб надати користувачу доступ до ресурсів. В минулому, сертифікації транзакції, як ця – сервер знає, як перевірити користувача тверджень і випуск необхідні маркери – можна було б служби маркерів безпеки на локальний або навіть служби об'єднання Active Directory. Проте сучасної автентифікації централізує цього сертифікації з Azure Active Directory (Azure AD) у хмарі.

Це також означає, що навіть попри те що свого сервера Exchange server і Skype для бізнесу середовищах може бути повністю локального, authorizing сервера буде онлайн і до локального середовища потрібно мати можливість створювати та підтримання зв'язку з Office 365 передплати в хмарі (та Azure Active Directory, наприклад, що передплату використовується як каталог).

Що не змінюється? Чи ви розділити домену гібридного або за допомогою Skype для бізнесу та Exchange server локального, всі необхідно спочатку автентифікації користувачів на локальному комп'ютері. У гібридних впровадження сучасної автентифікації Lyncdiscovery та автовиявлення наведіть вказівник миші до локального сервера.

Важливим  Якщо вам потрібно знати певних Skype для бізнесу топологій, що підтримується стрічки у програмі Excel, це описано тут.

Перевірка стану сучасної автентифікації до локального середовища

Оскільки сучасної автентифікації зміни на сервері дозвіл використовувати під час служб використовувати OAuth або S2S, вам потрібно знати, якщо сучасної автентифікації або вимкнення для Skype для бізнесу та Exchange середовище. Ви можете перевірити стан на Exchange або Skype для бізнесу серверів, на локальному комп'ютері, за допомогою команди Get-CSOAuthConfiguration у PowerShell. Якщо команда повертає на пустий властивість "OAuthServers", потім сучасної автентифікації буде вимкнуто.

Чи відповідають ви сучасної автентифікації попередні вимоги?

Перевірка і перевірити ці елементи зі свого списку, перш ніж продовжити.

  • Skype для бізнесу особливі

    • Усі сервери має бути SFB Server 2015 CU5 або пізнішої версії

      • Виняток - живучості відділення обладнання (SBA) може бути на поточну версію (залежно від програми Lync 2013)

    • SIP домену додається як федеративних доменів у службі Office 365

    • Усі SFB фронтальною закінчується має містити зв'язки вихідних підключень до Інтернету, Office 365 автентифікації URL-адреси (TCP 443) та відомих сертифікат кореневий CRL (TCP 80) у рядки 1 і 2 "Office 365 автентифікації та ідентифікації" розділу Office 365 URL-адрес і IP- діапазони адрес.

Примітка  Skype для бізнесу зовнішніх серверів використовувати проксі-сервер для доступу до Інтернету, у розділі Настроювання config для кожного інтерфейс мають вводитись до проксі-сервера сервера IP та номер порту, використовується.

  • c:\Program files\Skype для бізнесу – сервер 2015\Web Components\Web ticket\int\web.config

  • c:\Program files\Skype для бізнесу – сервер 2015\Web Components\Web ticket\ext\web.config

  • < /system.identityModel.services >

    < system.net >

    < defaultProxy >

    < проксі-сервера

    proxyAddress = "http://192.168.100.60:8080"

    bypassonlocal = "true"

    / >

    < / defaultProxy >

    < /system.net >

    < / конфігурації >

Важливим  Не забудьте підписатися на RSS-канал для Office 365 URL-адреси та діапазони IP-адрес в курсі останню списки необхідні URL-адрес.

  • Exchange Server певних

    • Ви використовуєте будь-якого сервера Exchange 2013 CU19 вгору або Exchange server 2016 CU8 та вгору.

    • Це не Exchange server 2010, у середовищі.

    • MAPI над HTTP увімкнуто. Як правило, увімкнуто або True для нових інсталяцій Exchange 2013 з пакетом оновлень 1 і вище.

    • SSL розвантаження не настроєно. Припинення SSL і повторного шифрування підтримується.

    • У випадку, якщо ваше середовище використовує проксі-сервера сервера інфраструктуру сервери, щоб підключатися до Інтернету, переконайтеся, що всі сервери Exchange є проксі-сервер, визначені в полі властивості InternetWebProxy.

  • Загальні попередні вимоги

    • Необхідно використання клієнтів, які підтримують ADAL в порядку їх використання на ма активувати функції.

    • Якщо ви використовуєте ADFS, ви повинні мати Windows 2012 R2 ADFS 3.0 і вище для Федерації

    • Посвідчення конфігурації, які типи підтримується AAD підключення (як-от геш синхронізацію паролів, наскрізний автентифікації, локальний STS, які підтримуються в Office 365, і т. д.)

    • У вас AAD підключення настроєно та функціонування для користувача реплікації та синхронізації.

    • Ви переконалися, що гібридного працює між на локальному комп'ютері та служби Office 365:

      • Офіційна підтримка для гібридного розгортання Exchange сказано потрібно мати поточний МС або поточний МС - 1.

      • Переконайтеся в тому, як користувач тест на локальному комп'ютері, а також гібридного тестового користувача, які працюють у службі Office 365, можна увійти в програму Skype для бізнесу для настільних комп'ютерів (якщо ви хочете використовувати сучасної автентифікації зі Skype) і Microsoft Outlook (якщо потрібно, тому використовуйте сучасної автентифікації з Exchange).

Що ще потрібно знати, перш ніж почати?

  1. Сценарії локальні сервери передбачають настроювання локального сучасної автентифікації (по суті, для Skype для бізнесу є список топологій, що підтримуються) так, щоб сервер відповідальність за автентифікації та авторизації у Microsoft Cloud ( AAD, служба маркерів безпеки, під назвою "evoSTS") та оновлення Azure Active Directory (AAD) про URL-адреси або простори імен, які використовуються в інсталяцію на локальний або Skype для бізнесу або Exchange. Таким чином, локальні сервери взяти на Microsoft Cloud залежності. Прийняття цієї дії можуть вважатись настройку "гібридного auth".

  2. Цю статтю, посилання на іншим користувачам, які допоможуть вам вибрати підтримуваних топологій сучасної автентифікації (необхідні лише для Skype для бізнесу) і інструкції, щоб переглянути статті Настроювання структури дії або дії, щоб вимкнути сучасної автентифікації, для локальної служби Exchange і локального Skype для бізнесу. Улюблене цю сторінку в браузері, якщо ви збираєтеся потрібна база Головна для використання сучасної автентифікації у вашому середовищі сервера.

Список URL-адрес сучасної автентифікації

Удосконалення навичок роботи з Office
Ознайомтеся з навчальними матеріалами
Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×