Tổng quan về hỗn hợp xác thực hiện đại và điều kiện tiên quyết để sử dụng với tại cơ sở Skype for Business và Exchange servers

Lưu ý:  Chúng tôi muốn cung cấp cho bạn nội dung trợ giúp mới nhất ở chính ngôn ngữ của bạn, nhanh nhất có thể. Trang này được dịch tự động nên có thể chứa các lỗi về ngữ pháp hoặc nội dung không chính xác. Mục đích của chúng tôi là khiến nội dung này trở nên hữu ích với bạn. Vui lòng cho chúng tôi biết ở cuối trang này rằng thông tin có hữu ích với bạn không? Dưới đây là bài viết bằng Tiếng Anh để bạn tham khảo dễ hơn.

Xác thực hiện đại là phương pháp quản lý căn cước sẽ cung cấp bảo mật hơn xác thực người dùng và ủy quyền. Nó sẵn dùng cho Skype for Business máy chủ tại cơ sở và Exchange server tại cơ sở, Exchange Hybrid, cũng như tách tên miền Skype for Business lai. Bài viết này nối kết để có liên quan đến tài liệu về các điều kiện tiên quyết, thiết lập/tắt hiện đại xác thực, và một số thông tin (ví dụ: Outlook và Skype máy khách) liên quan máy khách.

Xác thực hiện đại là gì?

Khi nói về liên lạc giữa một máy khách (ví dụ, máy tính xách tay hoặc điện thoại của bạn) và máy chủ, Microsoft sẽ dùng cụm từ 'Xác thực hiện đại'.

Xác thực hiện đại là một thuật ngữ ô để kết hợp các xác thực và phương pháp ủy quyền, cũng như một số biện pháp bảo mật dựa trên các chính sách truy nhập mà bạn có thể đã quen thuộc với. Tệp bao gồm:

  • Phương pháp xác thực: xác thực đa yếu tố; Ứng dụng khách trên nền tảng chứng chỉ xác thực; và thư viện xác thực Active Directory (ADAL).

  • Ủy quyền phương pháp: thực hiện của Microsoft mở ủy quyền (OAuth).

  • Chính sách truy nhập có điều kiện: quản lý ứng dụng di động (MAM) và Azure Active Directory có điều kiện truy nhập.

Quản lý căn cước của người dùng với xác thực hiện đại cho người quản trị nhiều công cụ khác nhau để dùng khi nó đến việc bảo mật tài nguyên và cung cấp các phương pháp bảo mật hơn về quản lý căn cước cho cả hai tại chỗ (Exchange và Skype for Business), Exchange hỗn hợp , và Skype for Business hỗn hợp/tách-miền kịch bản.

Lưu ý rằng vì Skype for Business hoạt động chặt chẽ với Exchange, hành vi đăng nhập Skype cho Business khách người dùng sẽ nhìn thấy sẽ được thực hiện theo trạng thái hiện đại xác thực của Exchange. Điều này cũng sẽ áp dụng nếu bạn có một Skype for Business hỗn hợp tách tên miền. Ngoài ra, kiểu của Skype for Business hỗn hợp mà hỗ trợ việc sử dụng xác thực hiện đại thường được gọi là 'tách-miền' (trong tách tên miền, bạn có Skype for Business trên cơ sở và Skype for Business Online, và người dùng được lưu trữ trong cả hai vị trí).

Quan trọng  Bạn có biết rằng, tính từ ngày 2017, tất cả mới Office 365 đối tượng thuê bao gồm Skype for Business online và Exchange online sẽ có hiện đại xác thực được bật theo mặc định? Đối tượng thuê sẵn sẽ không có thay đổi ở trạng thái MA mặc định của họ, nhưng tất cả các đối tượng thuê mới tự động hỗ trợ mở rộng bộ tính năng định danh bạn thấy liệt kê ở trên. Để kiểm tra trạng thái MA của bạn cho Skype for Business online, bạn có thể sử dụng Skype for Business online PowerShell với thông tin xác thực quản trị toàn cục. Chạy 'Get-CsOAuthConfiguration' để kiểm tra kết quả đầu ra của - ClientADALAuthOverride. Nếu -ClientADALAuthOverride được 'phép' xác thực hiện đại của bạn nằm trên.

Việc thay đổi khi tôi sử dụng xác thực hiện đại?

Khi sử dụng xác thực hiện đại với tại cơ sở Skype dành cho doanh nghiệp hoặc Exchange server, bạn vẫn đang xác thực người dùng tại chỗ, nhưng câu chuyện của cho phép truy nhập của họ để thay đổi tài nguyên (chẳng hạn như tệp hoặc email). Đây là lý do tại sao, mặc dù xác thực hiện đại là về máy khách và máy chủ giao tiếp, các bước thực hiện trong khi cấu hình kết quả MA trong evoSTS (bảo mật mã dịch vụ được dùng bởi Azure AD) được đặt làm Auth máy chủ cho Skype for Business và Exchange server tại cơ sở.

Thay đổi evoSTS cho phép của bạn tại chỗ máy chủ để tận dụng OAuth (phát hành mã thông báo) cho phép máy khách của bạn, và cũng cho phép của bạn tại cơ sở sử dụng bảo mật phương pháp thông thường trong điện toán đám mây (chẳng hạn như xác thực đa yếu tố). Ngoài ra, evoSTS cố mã thông báo cho phép người dùng để yêu cầu quyền truy nhập vào tài nguyên mà không cần cung cấp mật khẩu của họ như là một phần của yêu cầu. Cho dù nơi người dùng của bạn được lưu trữ (trực tuyến hoặc tại cơ sở), và không có vấn đề nào vị trí lưu trữ tài nguyên cần thiết, EvoSTS sẽ cốt lõi của cho phép người dùng và máy khách sau khi xác thực hiện đại được cấu hình.

Đây là ví dụ của tôi có nghĩa là gì. Nếu Skype for Business khách cần truy nhập máy chủ Exchange để biết thông tin lịch thay mặt cho người dùng, nó sẽ dùng thư viện xác thực thư mục hiện hoạt (ADAL) làm như vậy. ADAL được một thư viện mã thiết kế để đảm bảo đảm tài nguyên trong thư mục của bạn sẵn dùng cho các ứng dụng khách bằng cách dùng OAuth mã thông báo bảo mật. ADAL hoạt động với OAuth để xác nhận yêu cầu và để trao đổi mã thông báo (thay vì mật khẩu), để cho phép một người dùng truy nhập vào tài nguyên. Trong quá khứ, thẩm quyền trong một giao dịch như thế này một--máy chủ biết làm thế nào để yêu cầu người dùng xác thực và vấn đề mã thông báo yêu cầu--có thể đã là dịch vụ mã bảo mật trên cơ sở, hoặc thậm chí Active Directory Dịch vụ liên kết. Tuy nhiên, hiện đại xác thực hiện đó cơ quan cấp với Azure Active Directory (Azure AD) trong điện toán đám mây.

Điều này cũng có nghĩa là ngay cả khi máy chủ Exchange và Skype cho Business môi trường có thể hoàn toàn tại cơ sở, máy chủ authorizing sẽ trực tuyến và môi trường tại chỗ của bạn phải có khả năng tạo và duy trì kết nối với Office của bạn 365 thuê bao trong điện toán đám mây (và phiên bản Azure Active Directory thuê bao của bạn sử dụng làm thư mục của nó).

Điều gì sẽ không thay đổi? Dù bạn đang ở trong một hỗn hợp tách tên miền hoặc bằng Skype for Business và Exchange server tại cơ sở, tất cả người dùng phải trước tiên xác thực tại chỗ. Trong một triển khai hỗn hợp của hiện đại xác thực, Lyncdiscovery và tự động phát hiện trỏ tới máy chủ tại chỗ của bạn.

Quan trọng  Nếu bạn cần biết cụ thể Skype for Business topo hỗ trợ với MA, mà là lưu lại bên phải ở đây.

Kiểm tra trạng thái hiện đại xác thực của môi trường tại chỗ của bạn

Vì xác thực hiện đại thay đổi máy chủ ủy quyền sử dụng khi dịch vụ tận dụng OAuth/S2S, bạn cần biết nếu hiện đại xác thực bật hoặc tắt cho Skype for Business và Exchange môi trường của bạn. Bạn có thể kiểm tra trạng thái trên Exchange hoặc Skype for Business máy chủ, tại cơ sở, bằng cách chạy lệnh Get-CSOAuthConfiguration trong PowerShell. Nếu lệnh trả về một thuộc tính 'OAuthServers', rồi xác thực hiện đại bị vô hiệu hóa.

Bạn có đáp ứng điều kiện tiên quyết xác thực hiện đại?

Xác nhận và kiểm tra các mục khỏi danh sách của bạn trước khi tiếp tục:

  • Skype for Business dành riêng

    • Tất cả máy chủ phải có SFB Server 2015 CU5 trở lên

      • Ngoại lệ - khả nhánh thiết bị (SBA) có thể xuất hiện trên phiên bản hiện tại (dựa trên Lync 2013)

    • Tên miền SIP của bạn được thêm làm liên miền trong Office 365

    • Tất cả SFB trước kết thúc phải có kết nối đi Internet, Office 365 xác thực URL (TCP 443) và chứng chỉ phổ gốc CRL (TCP 80) được liệt kê trong hàng 1 và 2 của phần 'xác thực Office 365 và căn cước' Office 365 URL và IP dải địa chỉ.

Ghi chú  Nếu Skype for Business ngoại vi máy chủ của bạn sử dụng một máy chủ proxy cho truy nhập Internet, proxy máy chủ IP và cổng số được sử dụng phải được nhập trong phần cấu hình của tệp web.config cho mỗi phía trước.

  • c:\Program files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config

  • c:\Program files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config

  • < /system.identityModel.services >

    < system.net >

    < defaultProxy >

    < proxy

    proxyAddress = "http://192.168.100.60:8080"

    bypassonlocal = "true"

    / >

    < / defaultProxy >

    < /system.net >

    < / cấu hình >

Quan trọng  Đảm bảo rằng bạn đăng ký với các nguồn cấp RSS để Office 365 URL và dải địa chỉ IP để duy trì hiện tại với danh sách mới nhất của URL cần thiết.

  • Máy chủ Exchange cụ thể

    • Bạn đang dùng một trong hai máy chủ Exchange 2013 CU19 lên, hoặc Exchange server 2016 CU8 và lên.

    • Bạn sẽ không có Exchange server 2010 trong môi trường.

    • MAPI qua HTTP được bật. Đó thường là bật hoặc đúng đối với cài đặt mới của Exchange 2013 gói dịch vụ 1 và bên trên.

    • Không cấu hình SSL Offloading. Chấm dứt SSL và tái mã hóa được hỗ trợ.

    • Trong trường hợp môi trường của bạn sử dụng cơ sở hạ tầng máy chủ proxy cho phép các máy chủ để kết nối với Internet, đảm bảo rằng tất cả các máy chủ Exchange có máy chủ proxy xác định trong thuộc tính InternetWebProxy.

  • Điều kiện tiên quyết chung

    • Phải sử dụng máy khách có hỗ trợ ADAL kết sử dụng MA bật tính năng.

    • Nếu bạn sử dụng ADFS, bạn cần có Windows 2012 R2 ADFS 3.0 trở lên cho việc liên kết

    • Cấu hình định danh của bạn là bất kỳ kiểu được kết nối AAD hỗ trợ (chẳng hạn như mật khẩu băm đồng bộ, chuyển qua xác thực, tại cơ sở STS hỗ trợ Office 365, v.v..)

    • Bạn có AAD kết nối được cấu hình và hoạt động cho người dùng lặp và đồng bộ.

    • Bạn có xác nhận rằng hỗn hợp đang hoạt động giữa tại chỗ và Office 365 của bạn:

      • Tuyên bố chính thức hỗ trợ cho Exchange hỗn hợp cho biết bạn phải có CU hiện tại hoặc hiện tại CU - 1.

      • Đảm bảo rằng cả người dùng thử tại cơ sở, cũng như kiểm tra hỗn hợp người dùng lưu trữ trong Office 365, có thể đăng nhập vào Skype for Business trên máy tính khách (nếu bạn muốn sử dụng xác thực hiện đại với Skype) và Microsoft Outlook (nếu bạn muốn dùng để xác thực hiện đại với Exchange).

Tôi cần biết trước khi tôi bắt đầu thêm gì nữa?

  1. Tất cả các kịch bản cho máy chủ tại cơ sở liên quan đến thiết lập xác thực hiện đại tại chỗ (trên thực tế, cho Skype for Business có là danh sách được hỗ trợ topo) sao cho máy chủ chịu trách nhiệm cho xác thực và ủy quyền là trong Microsoft Cloud ( Của AAD bảo mật mã dịch vụ, được gọi là 'evoSTS'), và Cập Nhật Azure Active Directory (AAD) về URL hoặc vùng tên được sử dụng của bạn cài đặt tại chỗ của một trong hai Skype for Business hoặc Exchange. Do đó, máy chủ tại cơ sở thực hiện trên một sự phụ thuộc của Microsoft Cloud. Thực hiện thao tác này có thể được coi là cấu hình 'hỗn hợp auth'.

  2. Bài viết liên kết xuất cho người khác mà sẽ giúp bạn chọn được hỗ trợ xác thực hiện đại topo (cần thiết chỉ dành cho Skype for Business) này, và các bài viết tạo đại cương thiết lập bước hoặc các bước này để vô hiệu hóa xác thực hiện đại cho Exchange tại cơ sở và Skype for Business trên cơ sở. Yêu thích trang này trong trình duyệt của bạn nếu bạn sẽ cần gia sở sử dụng xác thực hiện đại trong môi trường máy chủ của bạn.

Danh sách các URL xác thực hiện đại

Phát triển kỹ năng Office của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×