Vue d’ensemble de l’authentification moderne hybride et configuration requise pour l’utiliser avec les serveurs Skype Entreprise et Exchange locaux

Cet article est valable pour Microsoft 365 Entreprise et Office 365 Entreprise.

L’authentification moderne est une méthode de gestion des identités qui offre une authentification et une autorisation utilisateur plus sécurisées. Il est disponible pour les déploiements hybrides Office 365 de Skype entreprise server local et exchange server local, ainsi que pour les Skype de domaine partagé pour les entreprises hybrides. Cet article contient des liens vers des documents connexes sur les conditions préalables, la configuration/désactivation de l’authentification moderne et certaines informations associées sur les clients (par exemple, Outlook et Skype clients).

Qu’est-ce que l’authentification moderne ?

L’authentification moderne est un terme générique désignant une combinaison de méthodes d’authentification et d’autorisation entre un client (par exemple, votre ordinateur portable ou votre téléphone) et un serveur, ainsi que certaines mesures de sécurité qui s’appuient sur des stratégies d’accès que vous connaissez peut-être déjà. Elle comprend :

  • Méthodes d’authentification : authentification multifacteur (MFA) ; Authentification par carte à puce ; Authentification basée sur un certificat client
  • Méthodes d’autorisation: implémentation de l’autorisation Open de Microsoft (OAuth)
  • Stratégies d’accès conditionnel : Gestion des applications mobiles (GAM) et Accès conditionnel Microsoft Entra

La gestion des identités des utilisateurs avec une authentification moderne donne aux administrateurs de nombreux outils différents à utiliser dans le cadre de la sécurisation des ressources et offre des méthodes plus sécurisées de gestion des identités à la fois pour les scénarios locaux (Exchange et Skype pour les entreprises), Exchange hybride et Skype Entreprise hybride/domaine fractionné .

Étant donné qu’Skype entreprise fonctionne en étroite collaboration avec Exchange, le comportement de connexion Skype utilisateurs du client entreprise est affecté par l’état d’authentification moderne d’Exchange. Elle s’applique également si vous disposez d’une architecture hybride Skype for Business split-domain , dans laquelle vous disposez à la fois Skype for Business Online et Skype for Business en local, avec des utilisateurs hébergés dans les deux emplacements.

Pour plus d’informations sur l’authentification moderne dans Office 365, voir Prise en charge des applications clientes Office 365 - Authentification multifacteur.

Importante

Depuis août 2017, tous les nouveaux clients Office 365 qui incluent Skype Entreprise Online et Exchange Online ont l’authentification moderne activée par défaut. Les locataires préexistants n’auront pas de modification de leur état MA par défaut, mais tous les nouveaux locataires prennent automatiquement en charge l’ensemble étendu de fonctionnalités d’identité répertoriées précédemment. Pour vérifier votre état de MA, consultez la section Vérifier l’état de l’authentification moderne de votre environnement local.

Qu’est-ce qui change lorsque j’utilise l’authentification moderne ?

Lorsque vous utilisez l'authentification moderne avec Skype Entreprises ou le serveur Exchange sur site, vous continuez à authentifier les utilisateurs locaux, mais l'histoire de l'autorisation de leur accès aux ressources (comme les fichiers ou les e-mails) change. C’est pourquoi, bien que l’authentification moderne concerne la communication client et serveur, les étapes effectuées lors de la configuration de MA entraînent la définition d’evoSTS (un service de jeton de sécurité utilisé par l’ID Microsoft Entra) en tant que serveur d’authentification pour Skype entreprise et serveur Exchange local.

La modification apportée à evoSTS permet à vos serveurs locaux de tirer parti des fonctionnalités OAuth (émission de jeton) pour l’autorisation de vos clients, et permet également à vos serveurs locaux d’utiliser les méthodes de sécurité courantes dans le cloud (telles que l’authentification multifacteur). De plus, le evoSTS émet des jetons qui permettent aux utilisateurs de demander l’accès aux ressources sans fournir leur mot de passe dans le cadre de la demande. Quel que soit l’emplacement où vos utilisateurs sont hébergés (en ligne ou localement), et quel que soit l’emplacement hébergeant la ressource nécessaire, EvoSTS devient le cœur de l’autorisation des utilisateurs et des clients une fois l’authentification moderne configurée.

Par exemple, si un client Skype entreprise doit accéder au serveur Exchange pour obtenir des informations de calendrier pour le compte d’un utilisateur, il utilise la bibliothèque d’authentification Microsoft (MSAL) pour ce faire. MSAL est une bibliothèque de code conçue pour rendre les ressources sécurisées de votre répertoire disponibles pour les applications clientes à l’aide de jetons de sécurité OAuth. MSAL fonctionne avec OAuth pour vérifier les revendications et échanger des jetons (plutôt que des mots de passe) afin d’accorder à un utilisateur l’accès à une ressource. Dans le passé, l’autorité d’une transaction comme celle-ci , le serveur qui sait comment valider les revendications des utilisateurs et émettre les jetons nécessaires, pouvait être un service de jeton de sécurité local, ou même des services de fédération Active Directory. Toutefois, l’authentification moderne centralise cette autorité à l’aide de l’ID Microsoft Entra.

Cela signifie également que même si votre serveur Exchange et vos environnements Skype entreprise peuvent être entièrement locaux, le serveur d’autorisation est en ligne et votre environnement local doit avoir la possibilité de créer et de maintenir une connexion à votre abonnement Office 365 dans le cloud (et à l’instance Microsoft Entra que votre abonnement utilise comme répertoire).

Qu’est-ce qui ne change pas ? Que vous soyez dans un environnement hybride divisé, ou que vous utilisiez Skype Entreprise et Exchange Server en local, tous les utilisateurs doivent d'abord s'authentifier en local. Dans une implémentation hybride de l’authentification moderne, Lyncdiscovery et Autodiscovery pointent vers votre serveur local.

Importante

Si vous avez besoin de connaître les topologies de Skype Entreprise qui sont prises en charge par MA, celles-ci sont documentées ici.

Vérifier l’état de l’authentification moderne de votre environnement local

Étant donné que l’authentification moderne modifie le serveur d’autorisation utilisé lorsque les services appliquent OAuth/S2S, vous devez savoir si l’authentification moderne est activée ou désactivée pour vos environnements Skype entreprise et Exchange locaux. Vous pouvez vérifier l’état de vos serveurs Exchange en exécutant la commande PowerShell suivante :

Get-OrganizationConfig | ft OAuth*

Si la valeur de la propriété OAuth2ClientProfileEnabled est faux, l’authentification moderne est désactivée.

Pour plus d’informations sur l’applet de Get-OrganizationConfig commande, consultez Get-OrganizationConfig.

Vous pouvez vérifier vos serveurs Skype Entreprise en exécutant la commande PowerShell suivante :

Get-CSOAuthConfiguration

Si la commande retourne une propriété OAuthServers vide ou si la valeur de la propriété ClientADALAuthOverride n’est pas Autorisée, l’authentification moderne est désactivée.

Pour plus d’informations sur l’applet de Get-CsOAuthConfiguration commande, consultez Get-CsOAuthConfiguration.

Remplissez-vous les conditions préalables pour l’authentification moderne ?

Vérifiez et cochez les éléments de votre liste avant de continuer :

  • Skype Entreprise spécifique

    • La mise à jour cumulative de mai 2017 (CU5) est nécessaire pour tous les serveurs pour Skype Entreprise Server 2015 ou version ultérieure
      • Exception : solution de survie (SBA) sur la version actuelle (basée sur Lync 2013)
    • Votre domaine SIP est ajouté en tant que domaine fédéré dans Office 365
    • Tous les serveurs frontaux SFB doivent disposer de connexions sortantes vers Internet, vers les URL d’authentification Office 365 (TCP 443) et les listes de certificats racines connues (TCP 80) répertoriées dans les lignes 56 et 125 de la section « Microsoft 365 Common and Office » des URL et plages d’adresses IP Office 365.
  • Skype Entreprise locale dans un environnement Office 365 hybride

    • Déploiement de Skype Entreprise Server 2019 avec tous les serveurs exécutant Skype Entreprise Server 2019.
    • Déploiement de Skype Entreprise Server 2015 avec tous les serveurs exécutant Skype Entreprise Server 2015.
    • Un déploiement avec un maximum de deux versions de serveur différentes, comme indiqué ci-dessous :
      • Skype Entreprise Server 2015
      • Skype Entreprise Server 2019
    • Les mises à jour cumulatives les plus récentes doivent être installées sur tous les serveurs Skype Entreprise, pour rechercher et gérer toutes les mises à jour disponibles, consultez Mises à jour de Skype Entreprise Server.
    • Il n’existe pas de Lync Server 2010 ou 2013 dans l’environnement hybride.

Remarque

Si vos serveurs frontaux Skype Entreprise utilisent un serveur proxy pour l'accès à Internet, l'adresse IP du serveur proxy et le numéro de port utilisé doivent être saisis dans la section de configuration du fichier web.config pour chaque frontal.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Importante

Veillez à vous abonner au flux RSS pour URL et plages d’adresses IP Office 365 pour rester à jour avec les dernières listes d’URL requises.

  • Serveur Exchange spécifique

    • Vous utilisez Exchange Server 2013 CU19 et ultérieure, Exchange Server 2016 CU8 et ultérieure, ou Exchange Server 2019 CU1 et ultérieure.
    • Il n’existe aucun serveur Exchange Server 2010 dans l’environnement.
    • Le déchargement SSL n’est pas configuré. L’arrêt SSL et le rechiffrement sont pris en charge.
    • Dans le cas où votre environnement utilise une infrastructure de serveur proxy pour autoriser les serveurs à se connecter à Internet, assurez-vous que le serveur proxy est défini sur tous les serveurs Exchange dans la propriété InternetWebProxy.
  • Exchange Server en local dans un environnement Office 365 hybride

    • Si vous utilisez Exchange Server 2013, au moins un serveur doit avoir les rôles serveur de boîte aux lettres et d’accès au client installés. Bien qu’il soit possible d’installer les rôles Boîte aux lettres et Accès au client sur des serveurs distincts, nous vous recommandons vivement d’installer les deux rôles sur le même serveur pour offrir plus de fiabilité et d’amélioration des performances.
    • Si vous utilisez Exchange Server 2016 ou version ultérieure, le rôle serveur de boîtes aux lettres doit être installé sur au moins un serveur.
    • Il n’existe pas de serveur Exchange Server 2007 ou 2010 dans l’environnement hybride.
    • Les dernières mises à jour cumulatives doivent être installées sur tous les serveurs Exchange. Consultez Mettre à niveau Exchange vers les dernières mises à jour cumulatives pour rechercher et gérer toutes les mises à jour disponibles.
  • Configuration requise pour le client et le protocole Exchange

    La disponibilité de l’authentification moderne est déterminée par la combinaison du client, du protocole et de la configuration. Si l’authentification moderne n’est pas prise en charge par le client, le protocole et/ou la configuration, le client continue à utiliser l’authentification héritée.

    Les clients et protocoles suivants prennent en charge l’authentification moderne avec Exchange local lorsque l’authentification moderne est activée dans l’environnement :

    Clients Protocole principal Notes
    Outlook 2013 et version ultérieure
    MAPI sur HTTP
    MAPI sur HTTP doit être activé dans Exchange afin d’utiliser l’authentification moderne avec ces clients (activée ou True pour les nouvelles installations d’Exchange 2013 Service Pack 1 et versions ultérieures) ; Pour plus d’informations, voir Fonctionnement de l’authentification moderne pour les applications clientes Office 2013 et Office 2016.
    Vérifiez que vous exécutez la build minimale requise d’Outlook ; Voir Dernières mises à jour pour les versions d’Outlook qui utilisent Windows Installer (MSI).
    Outlook 2016 pour Mac et versions ultérieures
    Services Web Exchange

    Outlook pour iOS et Android
    Technologie de synchronisation Microsoft
    Pour plus d’informations, consultez Utilisation de l’authentification moderne hybride avec Outlook pour iOS et Android.
    Clients Exchange ActiveSync (par exemple, messagerie iOS11)
    Exchange ActiveSync
    Pour les clients Exchange ActiveSync qui prennent en charge l’authentification moderne, vous devez recréer le profil pour passer de l’authentification de base à l’authentification moderne.

    Les clients et/ou protocoles qui ne sont pas répertoriés (par exemple, POP3) ne prennent pas en charge l’authentification moderne avec Exchange local et continuent d’utiliser des mécanismes d’authentification hérités même après l’activation de l’authentification moderne dans l’environnement.

  • Conditions préalables générales

    • Les scénarios de forêt de ressources nécessitent une approbation bidirectionnelle avec la forêt de comptes pour garantir que les recherches de SID appropriées sont effectuées pendant les demandes d’authentification moderne hybride.

    • Si vous utilisez AD FS, vous devez disposer de Windows 2012 R2 AD FS 3.0 et versions ultérieures pour la fédération.

    • Vos configurations d’identité sont l’un des types pris en charge par Microsoft Entra Connect, tels que la synchronisation de hachage de mot de passe, l’authentification directe et le service STS local pris en charge par Office 365.

    • Microsoft Entra Connect est configuré et fonctionne pour la réplication et la synchronisation des utilisateurs.

      Remarque

      Les comptes d’utilisateur qui ne sont pas synchronisés avec Microsoft Entra Identity ne reçoivent pas de jeton d’autorisation via l’authentification moderne hybride. Une fois que l’application locale est configurée pour utiliser evoSTS comme point de terminaison d’autorisation par défaut, ces comptes d’utilisateur qui ne sont pas synchronisés rencontrent des problèmes d’accès à l’application si la configuration appropriée n’est pas disponible.

    • Vous avez vérifié que le mode hybride est configuré à l’aide du mode de topologie hybride Exchange classique entre votre environnement local et Office 365. Déclaration de support officielle pour Exchange hybride indique que vous devez disposer d’une UC actuelle ou d’une UC - 1 actuelle.

      Remarque

      L’authentification moderne hybride n’est pas prise en charge avec l’Agent hybride.

    • Assurez-vous qu’un utilisateur de test local et un utilisateur de test hybride hébergé dans Office 365 peuvent se connecter au client de bureau Skype entreprise (si vous souhaitez utiliser l’authentification moderne avec Skype) et à Microsoft Outlook (si vous souhaitez utiliser l’authentification moderne avec Exchange).

    • Vérifiez que le paramètre SignInOptions dans Microsoft Office n’est pas configuré sur son paramètre le plus restrictif. Pour plus d’informations, voir Comment autoriser Office à se connecter à Internet.

Que dois-je savoir d’autre avant de commencer ?

  • Tous les scénarios pour les serveurs locaux impliquent la configuration de l’authentification moderne locale (en fait, pour Skype entreprise, il existe une liste de topologies prises en charge) afin que le serveur responsable de l’authentification et de l’autorisation se trouve dans le cloud Microsoft (service de jeton de sécurité de l’ID Microsoft Entra, appelé « evoSTS ») et la mise à jour de l’ID Microsoft Entra sur les URL ou espaces de noms utilisés par votre installation locale de Skype for Business ou Exchange. Par conséquent, les serveurs locaux prennent une dépendance Microsoft Cloud. Il est possible de prendre en compte la configuration de l’authentification hybride.
  • Cet article contient des liens vers d’autres personnes qui vous aident à choisir les topologies d’authentification modernes prises en charge (nécessaires uniquement pour Skype for Business) et des articles de procédures qui décrivent les étapes de configuration ou les étapes de désactivation de l’authentification moderne pour Exchange en local et Skype entreprise localement. Favorisez cette page dans votre navigateur si vous avez besoin d’une base domestique pour l’utilisation de l’authentification moderne dans votre environnement serveur.