混合的现代身份验证概述和使用其本地 Skype for Business 和 Exchange 服务器的先决条件

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

现代身份验证是提供更安全的用户身份验证和授权的身份管理的方法。为 Skype for Business server 本地和 Exchange server 内部部署、 Exchange 混合以及拆分域 Skype for Business 混合提供此功能。本文链接到相关文档有关先决条件,设置或禁用的现代身份验证,以及一些相关的客户端 (如 Outlook 和 Skype 客户端) 信息。

什么是现代身份验证?

当谈论的内容 (例如,您的便携式计算机或您的电话) 的客户端和服务器之间的通信,Microsoft 使用短语现代身份验证。

现代身份验证是组合的身份验证和授权的方法,以及依赖于访问策略,您可能已经熟悉某些安全措施伞术语。其中包括:

  • 身份验证方法: 多重身份验证;客户端基于证书身份验证;和 Active Directory 身份验证库 (ADAL)。

  • 授权的方法: Microsoft 的实施工作结束后的打开授权 (OAuth)。

  • 条件访问策略: 移动应用程序管理 (MAM) 和 Azure Active Directory 条件访问。

管理与的现代身份验证的用户标识为管理员提供许多不同的工具来使用传递到保护资源,并提供了两个本地 (Exchange 和 Skype for Business) 身份管理更加安全的方法时,Exchange 混合和 Skype for Business 混合/拆分域方案。

请注意,由于与 Exchange 紧密合作 Skype for Business,登录行为 Skype for Business 客户端用户将看到将会影响 Exchange 的现代身份验证状态。如果您有 Skype for Business 拆分域混合,这也将应用。此外,Skype for Business 混合支持使用现代身份验证类型通常被称为拆分的域 (拆分域中有 Skype for Business Online 和 Skype for Business 本地,并在两个位置托管的用户)。

重要 您是否知道,年 8 月的 2017年所有新的 Office 365 租户,包括 Skype for Business online 的 Exchange online 将具有默认已启用的现代身份验证?预先存在的租户不具有更改在其默认 MA 状态,但所有新租户自动支持展开的标识您看到上面列出的功能集。联机检查 Skype for Business MA 状态,您可以使用 Skype for Business online PowerShell 具有全局管理员凭据。运行获取 CsOAuthConfiguration要检查的输出-ClientADALAuthOverride。如果-ClientADALAuthOverride允许您的现代身份验证已打开。

当我使用的现代身份验证的更改?

时使用的现代身份验证加本地 Skype for Business 或 Exchange 服务器,您仍然是进行身份验证用户移动至本地,但授权的故事 (如文件或电子邮件) 的资源更改其访问。这是为什么,虽然的现代身份验证有关客户端和服务器通信期间 evoSTS (安全令牌服务使用的 Azure AD) 中配置 MA 结果采取的步骤设置为授权服务器的 Skype for Business 和 Exchange server 的本地。

更改为 evoSTS 允许您的本地服务器利用 OAuth (令牌颁发) 适用于授权您的客户端和也允许您本地使用安全的方法常见云中 (如多重身份验证)。此外,evoSTS 问题允许用户请求访问资源,而无需为请求的一部分提供其密码的令牌。无论托管您的用户的位置 (联机或本地),并且无论哪个位置承载所需的资源,EvoSTS 将变为授权用户和客户端配置的现代身份验证后的核心。

下面是一个示例的含义。如果需要访问 Exchange 服务器,以获取代表用户的日历信息 Skype for Business 客户端,它使用 Active Directory 身份验证库 (ADAL) 来执行此操作。ADAL 代码库设计将目录中的受保护的资源可供客户端应用程序使用 OAuth 安全令牌。ADAL 与 OAuth 以验证声明和交换令牌 (而不是密码),若要授予用户访问资源的工作方式。在过去,在此类-知道如何验证用户声明和所需的令牌时出现问题的服务器-事务机构可能已经安全令牌服务在本地,或者甚至 Active Directory 联合身份验证服务。但是的现代身份验证集中了该机构与在云中的 Azure Active Directory (Azure AD)。

这也意味着,即使您的 Exchange server 和 Skype for Business 环境可能完全在内部、 授权服务器处于联机状态,并且您的本地环境必须具有创建和维护连接到您的 Office 的能力云 (和为其目录使用您的订阅的 Azure Active Directory 实例) 中的 365 订阅。

不会更改的内容?无论您是在拆分域混合或使用 Skype for Business 和 Exchange server 的本地,所有用户必须首先都验证本地。在混合实现的现代身份验证,Lyncdiscovery 和自动发现是指向本地服务器。

重要 如果您需要知道特定 Skype for Business MA 与支持的拓扑,这是记录下面的右侧

检查您的本地环境的现代身份验证状态

现代身份验证更改服务利用 OAuth/S2S 时使用的授权服务器,因为您需要了解的现代身份验证是否打开或关闭您的 Skype for Business 和 Exchange 环境的。您可以通过 PowerShell 中运行获取 CSOAuthConfiguration命令检查业务服务器,内部部署,在您的 Exchange 或 Skype 的状态。如果命令返回OAuthServers属性为空,则会禁用的现代身份验证。

您满足的现代身份验证先决条件?

验证并继续之前检查这些项目,关闭您的列表:

  • Skype for Business 特定

注意 如果您的 Skype for Business 前端服务器访问 Internet 使用代理服务器,必须在配置部分中的每个前端的 web.config 文件中输入使用代理服务器 IP 和端口号。

  • 业务服务器 2015\Web Components\Web ticket\int\web.config 的 c:\program files\Skype

  • 业务服务器 2015\Web Components\Web ticket\ext\web.config 的 c:\program files\Skype

  • < /system.identityModel.services >

    < system.net >

    < 请参见 >

    < 代理

    proxyaddress ="http://192.168.100.60:8080"

    bypassonlocal ="true"

    / >

    < / 请参见 >

    < /system.net >

    < / 配置 >

重要 请务必订阅 RSS 源的Office 365 Url 和 IP 地址范围用于保持当前与所需的 Url 的最新列表。

  • 特定的 Exchange Server

    • 您正在使用的 Exchange 服务器 2013 CU19 和向上键、 或 Exchange server 2016 CU8 和设置。

    • 环境中的没有 Exchange server 2010。

    • 通过启用 HTTP MAPI。通常是启用还是新安装的 Exchange 2013 Service Pack 1 和上方真。

    • 未配置 SSL 卸载。支持 SSL 终止和重新加密。

    • 如果您的环境中使用代理服务器基础结构,若要允许服务器连接到 Internet,请确保所有 Exchange 服务器都有InternetWebProxy属性中定义的代理服务器。

  • 常规先决条件

    • 为了让他们使用 MA 使用客户端的支持 ADAL必须启用的功能。

    • 如果您使用 ADFS,您应在 Windows 2012 R2 ADFS 3.0 和更高的联合身份验证

    • 标识配置是否有任何支持 AAD 连接的类型 (如密码哈希同步,通过身份验证,本地 STS 支持的 Office 365,设备等。)

    • 您必须 AAD 连接配置和用户复制和同步正常工作。

    • 您已验证该混合使用您的本地和 Office 365 之间:

      • Exchange 混合部署的正式支持语句告知您必须具有当前 CU 或当前 CU-1。

      • 确定两个使本地测试用户,以及混合测试用户托管在 Office 365 中,可以登录到 Skype for Business 桌面客户端 (如果您想要的现代身份验证使用 Skype) 和 Microsoft Outlook (如果您希望使用与的现代身份验证,因此Exchange)。

开始之前了解需要其他哪些内容?

  1. 为本地服务器的所有方案都涉及本地的现代身份验证设置 (实际上,对于 Skype for Business 中存在的受支持的拓扑列表),以便负责身份验证和授权的服务器中的 Microsoft 云 (AAD 的安全令牌服务,称为 evoSTS),并更新 Azure Active Directory (AAD) 有关 Url 或使用您的任一 Skype for Business 或 Exchange 的本地安装的命名空间。因此,内部部署服务器采用 Microsoft 云依赖项。执行此操作可以视为配置混合身份验证。

  2. 本文链接出给其他人将帮助您选择的受支持的现代身份验证拓扑 (仅对 Skype for Business 有必要) 和操作方法文章设置步骤,该大纲或步骤禁用现代身份验证,对于本地 Exchange和 Skype for Business 本地。收藏此页面在您的浏览器,如果您正打算在您的服务器环境中使用的现代身份验证需要本站为基础。

现代身份验证 Url 的列表

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×