Introducción a la autenticación moderna híbrida y requisitos previos para el uso en Skype Empresarial y los servidores de Exchange locales

Este artículo se aplica tanto a Microsoft 365 Enterprise como a Office 365 Enterprise.

La autenticación moderna es un método de administración de identidades que ofrece autenticación y autorización de usuarios más seguras. Está disponible para las implementaciones híbridas de Office 365 de Skype para servidores empresariales locales y exchange en el entorno local, y Skype de dominio dividido para empresas híbridos. En este artículo se proporcionan vínculos a documentos relacionados sobre requisitos previos, configuración o deshabilitación de la autenticación moderna y a parte de la información relacionada del cliente (por ejemplo, Outlook y Skype clientes).

¿Qué es la autenticación moderna?

La autenticación moderna es un término general para una combinación de métodos de autenticación y autorización entre un cliente (por ejemplo, el portátil o el teléfono) y un servidor, así como algunas medidas de seguridad que se basan en directivas de acceso con las que podría estar familiarizado. Incluye:

  • Métodos de autenticación: autenticación multifactor (MFA); autenticación de tarjeta inteligente; autenticación basada en certificados de cliente
  • Métodos de autorización: la implementación de Microsoft de Open Authorization (OAuth).
  • Directivas de acceso condicional: Administración de aplicaciones móviles (MAM) y acceso condicional de Microsoft Entra

La administración de identidades de usuario con la autenticación moderna ofrece a los administradores distintas herramientas para la protección de los recursos y ofrece métodos más seguros de administración de identidades para escenarios locales (Exchange y Skype Empresarial), implementaciones híbridas de Exchange y dominios divididos o híbridos de Skype Empresarial.

Dado que Skype para empresas funciona estrechamente con Exchange, el comportamiento de inicio de sesión Skype para los usuarios cliente empresariales se verá afectado por el estado de autenticación moderno de Exchange. También es aplicable si tiene una arquitectura híbrida de dominio dividido de Skype para empresas, en la que tiene Skype para Empresas Online y Skype para empresas locales, con usuarios hospedados en ambas ubicaciones.

Para obtener más información sobre la autenticación moderna en Office 365, vea Compatibilidad con aplicaciones cliente de Office 365: autenticación multifactor.

Importante

A partir de agosto de 2017, todos los nuevos espacios empresariales de Office 365 que incluyen Skype Empresarial online y Exchange online tienen la autenticación moderna habilitada de manera predeterminada. Los inquilinos preexistedos no tendrán un cambio en su estado de MA predeterminado, pero todos los nuevos inquilinos admiten automáticamente el conjunto ampliado de características de identidad que se muestran anteriormente. Para comprobar el estado de su MA, vea la sección Comprobar el estado de la autenticación moderna de su entorno local.

¿Qué cambia cuando uso la autenticación moderna?

Cuando se usa la autenticación moderna con un servidor de Exchange o Skype Empresarial local, la autenticación de los usuarios sigue siendo local, pero la forma de autorizar su acceso a los recursos (como archivos o correos electrónicos) cambia. Por este motivo, aunque la autenticación moderna se trata de la comunicación entre el cliente y el servidor, los pasos realizados durante la configuración de MA dan como resultado que evoSTS (un servicio de token de seguridad usado por Microsoft Entra ID) se establezca como servidor de autenticación para Skype para empresas y servidor exchange local.

El cambio a evoSTS permite que los servidores locales usen OAuth (emisión de tokens) para autorizar a los clientes, y también el uso de métodos de seguridad comunes en la nube (igual que la autenticación multifactor). Además, el evoSTS emite tokens que permiten que los usuarios soliciten el acceso a los recursos sin proporcionar su contraseña como parte de la solicitud. Independientemente de dónde estén hospedados los usuarios (de forma local o en línea) y no importa qué ubicación hospede el recurso necesario, EvoSTS se convertiría en el núcleo de la autorización de usuarios y clientes una vez configurada la autenticación moderna.

Por ejemplo, si un cliente de Skype para empresas necesita acceder a Exchange Server para obtener información de calendario en nombre de un usuario, usa la Biblioteca de autenticación de Microsoft (MSAL) para hacerlo. MSAL es una biblioteca de código diseñada para que los recursos protegidos del directorio estén disponibles para las aplicaciones cliente mediante tokens de seguridad de OAuth. MSAL funciona con OAuth para comprobar las notificaciones y para intercambiar tokens (en lugar de contraseñas), para conceder a un usuario acceso a un recurso. En el pasado, la autoridad de una transacción como esta (el servidor que sabe cómo validar las notificaciones de usuario y emitir los tokens necesarios) podría haber sido un servicio de token de seguridad local o incluso servicios de federación de Active Directory. Sin embargo, la autenticación moderna centraliza esa autoridad mediante el identificador de Microsoft Entra.

Esto también significa que, aunque el servidor de Exchange y los entornos de Skype para empresas puedan ser totalmente locales, el servidor de autorización está en línea y el entorno local debe tener la capacidad de crear y mantener una conexión con su suscripción de Office 365 en la nube (y la instancia de Microsoft Entra que la suscripción usa como directorio).

¿Qué no cambia? Tanto si está en un entorno híbrido de dominio dividido como si usa Skype Empresarial y el servidor de Exchange local, todos los usuarios deben autenticarse en primer lugar localmente. En una implementación híbrida de la autenticación moderna, Lyncdiscovery y Autodiscovery apuntan al servidor local.

Importante

Si necesita averiguar las topologías específicas de Skype Empresarial compatibles con MA, están documentadas aquí.

Comprobar el estado de la autenticación moderna de su entorno local

Dado que la autenticación moderna cambia el servidor de autorización que se usa cuando los servicios aplican OAuth/S2S, debe saber si la autenticación moderna está habilitada o deshabilitada para los entornos locales de Skype para empresas y Exchange. Para comprobar el estado de los servidores de Exchange, ejecute el siguiente comando de PowerShell:

Get-OrganizationConfig | ft OAuth*

Si el valor de la propiedad OAuth2ClientProfileEnabled es False, la autenticación moderna está deshabilitada.

Para obtener más información sobre el Get-OrganizationConfig cmdlet, vea Get-OrganizationConfig.

Para comprobar los servidores de Skype Empresarial, ejecute el siguiente comando de PowerShell:

Get-CSOAuthConfiguration

Si el comando devuelve una propiedad OAuthServers vacía o si el valor de la propiedad ClientADALAuthOverride no es Allowed, se deshabilita la autenticación moderna.

Para obtener más información sobre el Get-CsOAuthConfiguration cmdlet, vea Get-CsOAuthConfiguration.

¿Cumple los requisitos previos de la autenticación moderna?

Verifique y compruebe estos elementos antes de continuar:

  • Específico de Skype Empresarial

    • Todos los servidores deben tener la actualización acumulativa de mayo de 2017 (CU5) para Skype Empresarial Server 2015 o posterior
      • Excepción: Aplicación de sucursal con funciones de supervivencia (SBA) puede estar en la versión actual (basada en Lync 2013)
    • El dominio SIP se ha agregado como un dominio federado en Office 365
    • Todos los front-end de SFB deben tener conexiones salientes a Internet, a direcciones URL de autenticación de Office 365 (TCP 443) y CRL raíz de certificado conocidas (TCP 80) enumeradas en las filas 56 y 125 de la sección "Microsoft 365 Common and Office" de direcciones URL y intervalos de direcciones IP de Office 365.
  • Skype Empresarial en un entorno híbrido de Office 365

    • Una implementación de Skype Empresarial Server 2019 con todos los servidores que ejecuten Skype Empresarial Server 2019.
    • Una implementación de Skype Empresarial Server 2015 con todos los servidores que ejecuten Skype Empresarial Server 2015.
    • Una implementación con un máximo de dos versiones de servidor distintas, como se muestra a continuación:
      • Skype Empresarial Server 2015
      • Skype Empresarial Server 2019
    • Todos los servidores de Skype Empresarial deben tener instaladas las últimas actualizaciones acumulativas, consulte Actualizaciones de Skype Empresarial Server para buscar y administrar todas las actualizaciones disponibles.
    • No hay lync server 2010 o 2013 en el entorno híbrido.

Nota:

Si los servidores front-end de Skype Empresarial usan un servidor proxy para el acceso a Internet, el número de puerto y la IP del servidor proxy deben especificarse en la sección de configuración del archivo web.config para cada front-end.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Importante

Asegúrese de suscribirse a la fuente RSS de Intervalos de direcciones IP y URL de Office 365 para mantenerse al día con las listas más recientes de direcciones URL necesarias.

  • Específico de Exchange Server

    • Usa Exchange Server 2013 CU19 o posterior, Exchange Server 2016 CU8 o posterior, o Exchange Server 2019 CU1 o posterior.
    • No hay ningún servidor Exchange 2010 en el entorno.
    • No se ha configurado la descarga de SSL. Se admiten la terminación SSL y el re-cifrado.
    • En caso de que su entorno use una infraestructura de servidor proxy para permitir que los servidores se conecten a Internet, asegúrese de que todos los servidores de Exchange tengan el servidor proxy definido en la propiedad InternetWebProxy.
  • Implementación local de Exchange Server en un entorno híbrido de Office 365

    • Si usa Exchange Server 2013, al menos un servidor debe tener instalados los roles de servidor Buzón y Acceso de cliente. Aunque es posible instalar los roles buzón y acceso de cliente en servidores independientes, se recomienda encarecidamente instalar ambos roles en el mismo servidor para proporcionar más confiabilidad y un rendimiento mejorado.
    • Si usa Exchange Server 2016 o una versión posterior, al menos un servidor debe tener instalado el rol de servidor Buzón.
    • No hay ningún servidor Exchange 2007 o 2010 en el entorno híbrido.
    • Todos los servidores de Exchange deben tener instaladas las actualizaciones acumulativas más recientes. Consulte Actualización de Exchange a las actualizaciones acumulativas más recientes para buscar y administrar todas las actualizaciones disponibles.
  • Requisitos de protocolo y el cliente de Exchange

    La disponibilidad de la autenticación moderna viene determinada por la combinación del cliente, el protocolo y la configuración. Si la autenticación moderna no es compatible con el cliente, el protocolo o la configuración, el cliente sigue usando la autenticación heredada.

    Los siguientes clientes y protocolos admiten la autenticación moderna con Exchange local cuando la autenticación moderna está habilitada en el entorno:

    Clientes Protocolo principal Notas
    Outlook 2013 y versiones posteriores
    MAPI sobre HTTP
    MAPI a través de HTTP debe estar habilitado en Exchange para poder usar la autenticación moderna con estos clientes (habilitado o True para las nuevas instalaciones de Exchange 2013 Service Pack 1 y versiones posteriores); Para obtener más información, vea Cómo funciona la autenticación moderna para las aplicaciones cliente de Office 2013 y Office 2016.
    Asegúrese de que ejecuta la compilación mínima necesaria de Outlook; vea Actualizaciones más recientes para las versiones de Outlook que usan Windows Installer (MSI).
    Outlook 2016 para Mac y versiones posteriores
    Servicios Web de Exchange

    Outlook para iOS y Android
    Tecnología de sincronización de Microsoft
    Consulte Usar la autenticación moderna híbrida con Outlook para iOS y Android para más información.
    Clientes de Exchange ActiveSync (por ejemplo, correo de iOS11)
    Exchange ActiveSync
    Para los clientes de Exchange ActiveSync que son compatibles con la autenticación moderna, debe volver a crear el perfil para cambiar de la autenticación básica a la autenticación moderna.

    Los clientes o protocolos que no aparecen (por ejemplo, POP3) no admiten la autenticación moderna con Exchange local y siguen usando mecanismos de autenticación heredados incluso después de habilitar la autenticación moderna en el entorno.

  • Requisitos previos generales

    • Los escenarios de bosque de recursos requieren una confianza bidireccional con el bosque de cuentas para asegurarse de que se realizan búsquedas de SID adecuadas durante las solicitudes de autenticación moderna híbrida.

    • Si usa AD FS, debe tener Windows 2012 R2 AD FS 3.0 y superior para la federación.

    • Las configuraciones de identidad son cualquiera de los tipos admitidos por Microsoft Entra Connect, como la sincronización de hash de contraseñas, la autenticación de paso a través y el STS local compatible con Office 365.

    • Microsoft Entra Connect está configurado y funcionando para la replicación y sincronización de usuarios.

      Nota:

      A las cuentas de usuario que no estén sincronizadas con Microsoft Entra Identity no se les proporcionará un token de autorización a través de la autenticación moderna híbrida. Una vez que la aplicación local está configurada para usar evoSTS como punto de conexión de autorización predeterminado, estas cuentas de usuario que no están sincronizadas encontrarán problemas con su acceso a la aplicación si la configuración adecuada no está disponible.

    • Ha comprobado que la configuración híbrida está configurada con el modo de Topología híbrida de Exchange clásico entre el entorno local y el de Office 365. La declaración oficial del soporte para la implementación híbrida de Exchange indica que debe tener la CU actual o la CU actual -1.

      Nota:

      La autenticación moderna híbrida no es compatible con el Agente híbrido.

    • Asegúrese de que un usuario de prueba local y un usuario de prueba híbrido hospedado en Office 365 pueden iniciar sesión en el cliente de escritorio de Skype para empresas (si desea usar la autenticación moderna con Skype) y Microsoft Outlook (si desea usar la autenticación moderna con Exchange).

    • Asegúrese de que la configuración SignInOptions de Microsoft Office no esté configurada en su configuración más restrictiva. Para obtener más información, vea Cómo permitir que Office se conecte a Internet.

¿Qué más necesito saber antes de comenzar?

  • Todos los escenarios de los servidores locales implican la configuración de la autenticación moderna local (de hecho, para Skype para empresas hay una lista de topologías admitidas) para que el servidor responsable de la autenticación y autorización esté en microsoft cloud (el servicio de token de seguridad de Microsoft Entra ID, denominado "evoSTS"), y la actualización del identificador de Microsoft Entra sobre las direcciones URL o espacios de nombres utilizados por la instalación local de cualquiera de Skype para empresas o Exchange. Por lo tanto, los servidores locales ocupan una dependencia en la nube de Microsoft. Llevar a cabo esta acción podría considerarse una configuración de la "autenticación híbrida".
  • En este artículo se vinculan a otros usuarios que le ayudan a elegir topologías de autenticación modernas admitidas (necesarias solo para Skype para empresas) y artículos de procedimientos que describen los pasos de instalación, o pasos para deshabilitar la autenticación moderna, para Exchange local y Skype para empresas locales. Marque esta página como favorita en el explorador si va a necesitar una base de inicio para usar la autenticación moderna en el entorno de servidor.