Omówienie nowoczesnego uwierzytelniania hybrydowego i wymagania wstępne dotyczące korzystania z niego z lokalnymi serwerami Skype dla firm i Exchange

Ten artykuł dotyczy zarówno platformy Microsoft 365 Enterprise, jak i usługi Office 365 Enterprise.

Nowoczesne uwierzytelnianie to metoda zarządzania tożsamościami, która oferuje bezpieczniejsze uwierzytelnianie użytkowników i autoryzację. Jest ona dostępna dla wdrożeń hybrydowych usługi Office 365 lokalnego serwera Skype dla firm i lokalnego serwera Exchange oraz hybrydowych programu Skype dla firm w domenie podzielonej. Ten artykuł zawiera linki do powiązanych dokumentów dotyczących wymagań wstępnych, konfiguracji/wyłączania nowoczesnego uwierzytelniania oraz niektórych powiązanych informacji dotyczących klienta (np. klientów programu Outlook i Skype).

• Co to jest nowoczesne uwierzytelnianie?
• Jakie zmiany korzystania z nowoczesnego uwierzytelniania?
• Sprawdzanie stanu nowoczesnego uwierzytelniania środowiska lokalnego
• Czy spełniasz wymagania wstępne dotyczące nowoczesnego uwierzytelniania?
• Co jeszcze muszę wiedzieć przed rozpoczęciem?

Co to jest nowoczesne uwierzytelnianie?

Nowoczesne uwierzytelnianie jest terminem parasolowym dla kombinacji metod uwierzytelniania i autoryzacji między klientem (na przykład laptopem lub telefonem) a serwerem, a także niektórych środków bezpieczeństwa, które opierają się na zasadach dostępu, które mogą już być znane. Oto co obejmuje:

• Metody uwierzytelniania: uwierzytelnianie wieloskładnikowe (MFA); uwierzytelnianie za pomocą karty inteligentnej; uwierzytelnianie oparte na certyfikatach klienta
• Metody autoryzacji: implementacja otwartej autoryzacji (OAuth) firmy Microsoft
• Zasady dostępu warunkowego: zarządzanie aplikacjami mobilnymi (MAM) i dostęp warunkowy w usłudze Microsoft Entra

Zarządzanie tożsamościami użytkowników przy użyciu nowoczesnego uwierzytelniania zapewnia administratorom wiele różnych narzędzi do użycia w przypadku zabezpieczania zasobów i oferuje bezpieczniejsze metody zarządzania tożsamościami zarówno w środowisku lokalnym (Exchange, Skype dla firm), hybrydowym programie Exchange, jak i w scenariuszach hybrydowych/podzielonych domen programu Skype dla firm.

Ponieważ program Skype dla firm ściśle współpracuje z programem Exchange, na zachowanie logowania użytkowników klienckich programu Skype dla firm będzie mieć wpływ nowoczesny stan uwierzytelniania programu Exchange. Ma to również zastosowanie, jeśli masz hybrydową architekturę podzielonej domeny skype dla firm, w której masz lokalnie zarówno usługę Skype dla firm Online, jak i Skype dla firm, z użytkownikami hostującymi w obu lokalizacjach.

Aby uzyskać więcej informacji na temat nowoczesnego uwierzytelniania w usłudze Office 365, zobacz Obsługa aplikacji klienckich usługi Office 365 — uwierzytelnianie wieloskładnikowe.

Jakie zmiany korzystania z nowoczesnego uwierzytelniania?

W przypadku korzystania z nowoczesnego uwierzytelniania z lokalnym programem Skype dla firm lub serwerem Exchange nadal uwierzytelniasz użytkowników lokalnie, ale zmienia się historia autoryzowania ich dostępu do zasobów (takich jak pliki lub wiadomości e-mail). Dlatego mimo że nowoczesne uwierzytelnianie dotyczy komunikacji z klientem i serwerem, kroki wykonywane podczas konfigurowania ma skutkują ustawieniem evoSTS (usługa tokenu zabezpieczającego używana przez identyfikator Microsoft Entra) jako serwer uwierzytelniania dla programu Skype dla firm i serwera Exchange w środowisku lokalnym.

Zmiana na evoSTS umożliwia serwerom lokalnym korzystanie z uwierzytelniania OAuth (wystawiania tokenów) w celu autoryzowania klientów, a także umożliwia lokalnym korzystanie z metod zabezpieczeń typowych w chmurze (takich jak uwierzytelnianie wieloskładnikowe). Ponadto evoSTS wystawia tokeny, które umożliwiają użytkownikom żądanie dostępu do zasobów bez podawania hasła w ramach żądania. Niezależnie od tego, gdzie znajdują się użytkownicy (online lub lokalnie) i niezależnie od tego, która lokalizacja hostuje potrzebny zasób, platforma EvoSTS stanie się rdzeniem autoryzacji użytkowników i klientów po skonfigurowaniu nowoczesnego uwierzytelniania.

Jeśli na przykład klient programu Skype dla firm musi uzyskać dostęp do serwera Exchange w celu uzyskania informacji o kalendarzu w imieniu użytkownika, używa w tym celu biblioteki microsoft authentication library (MSAL). BIBLIOTEKA MSAL to biblioteka kodu przeznaczona do udostępniania zabezpieczonych zasobów w katalogu aplikacjom klienckim przy użyciu tokenów zabezpieczających protokołu OAuth. Biblioteka MSAL współpracuje z usługą OAuth w celu weryfikowania oświadczeń i wymiany tokenów (zamiast haseł), aby udzielić użytkownikowi dostępu do zasobu. W przeszłości urząd w transakcji takiej jak ta — serwer, który wie, jak weryfikować oświadczenia użytkowników i wystawiać wymagane tokeny — mógł być lokalną usługą tokenu zabezpieczającego, a nawet usługami federacyjnymi Active Directory. Jednak nowoczesne uwierzytelnianie scentralizuje ten urząd przy użyciu identyfikatora Microsoft Entra.

Oznacza to również, że nawet jeśli serwer Exchange i środowiska programu Skype dla firm mogą być całkowicie lokalne, serwer autoryzacji jest w trybie online, a środowisko lokalne musi mieć możliwość tworzenia i utrzymywania połączenia z subskrypcją usługi Office 365 w chmurze (oraz wystąpieniem usługi Microsoft Entra używanym przez subskrypcję jako katalog).

Co się nie zmienia? Niezależnie od tego, czy korzystasz z hybrydowej domeny podzielonej, czy używasz lokalnego serwera Skype dla firm i programu Exchange, wszyscy użytkownicy muszą najpierw uwierzytelnić się lokalnie. W przypadku hybrydowej implementacji nowoczesnego uwierzytelniania wykrywanie programu Lyncdiscovery i wykrywanie automatyczne wskazują serwer lokalny.

Sprawdzanie stanu nowoczesnego uwierzytelniania środowiska lokalnego

Ponieważ nowoczesne uwierzytelnianie zmienia serwer autoryzacji używany podczas stosowania usług OAuth/S2S, musisz wiedzieć, czy nowoczesne uwierzytelnianie jest włączone lub wyłączone dla lokalnych środowisk programu Skype dla firm i programu Exchange. Stan na serwerach programu Exchange można sprawdzić, uruchamiając następujące polecenie programu PowerShell:

Get-OrganizationConfig | ft OAuth*

Jeśli wartość właściwości OAuth2ClientProfileEnabled to False, nowoczesne uwierzytelnianie jest wyłączone.

Aby uzyskać więcej informacji na temat Get-OrganizationConfig polecenia cmdlet, zobacz Get-OrganizationConfig.

Serwery programu Skype dla firm można sprawdzić, uruchamiając następujące polecenie programu PowerShell:

Get-CSOAuthConfiguration

Jeśli polecenie zwraca pustą właściwość OAuthServers lub jeśli wartość właściwości ClientADALAuthOverride nie jest dozwolona, nowoczesne uwierzytelnianie jest wyłączone.

Aby uzyskać więcej informacji na temat Get-CsOAuthConfiguration polecenia cmdlet, zobacz Get-CsOAuthConfiguration.

Czy spełniasz wymagania wstępne dotyczące nowoczesnego uwierzytelniania?

Przed kontynuowaniem sprawdź i sprawdź te elementy z listy:

• Specyficzne dla programu Skype dla firm

  • Wszystkie serwery muszą mieć aktualizację zbiorczą (CU5) z maja 2017 r. dla programu Skype dla firm Server 2015 lub nowszego
    • Wyjątek — urządzenie survivability Branch (SBA) może być w bieżącej wersji (na podstawie programu Lync 2013)
  • Domena SIP jest dodawana jako domena federacyjna w usłudze Office 365
  • Wszystkie frontony SFB muszą mieć połączenia wychodzące z Internetem, z adresami URL uwierzytelniania usługi Office 365 (TCP 443) i dobrze znanymi głównymi listami CRL certyfikatów (TCP 80) wymienionymi w wierszach 56 i 125 sekcji "Microsoft 365 Common and Office" adresów URL i zakresów adresów IP usługi Office 365.

• Lokalnie skype dla firm w środowisku hybrydowym usługi Office 365

  • Wdrożenie programu Skype dla firm Server 2019 ze wszystkimi serwerami z programem Skype dla firm Server 2019.
  • Wdrożenie programu Skype dla firm Server 2015 ze wszystkimi serwerami z programem Skype dla firm Server 2015.
  • Wdrożenie z maksymalnie dwiema różnymi wersjami serwera, jak pokazano poniżej:
    • Skype dla firm serwer 2015
    • Skype dla firm serwer 2019
  • Wszystkie serwery programu Skype dla firm muszą mieć zainstalowane najnowsze aktualizacje zbiorcze. Zobacz Aktualizacje programu Skype dla firm Server , aby znaleźć wszystkie dostępne aktualizacje i zarządzać nimi.
  • W środowisku hybrydowym nie ma programu Lync Server 2010 ani 2013.

• C:\Program Files\Skype dla firm Server 2015\Web Components\Web ticket\int\web.config
• C:\Program Files\Skype dla firm Server 2015\Web Components\Web ticket\ext\web.config

<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

• Specyficzne dla programu Exchange Server

  • Używasz programu Exchange Server 2013 CU19 lub nowszego, programu Exchange Server 2016 CU8 i nowszego albo programu Exchange Server 2019 CU1 i nowszego.
  • W środowisku nie ma programu Exchange Server 2010.
  • Odciążanie protokołu SSL nie jest skonfigurowane. Obsługiwane jest kończenie I ponowne szyfrowanie protokołu SSL.
  • W przypadku, gdy środowisko korzysta z infrastruktury serwera proxy, aby umożliwić serwerom łączenie się z Internetem, upewnij się, że wszystkie serwery exchange mają serwer proxy zdefiniowany we właściwości InternetWebProxy .

• Lokalny program Exchange Server w środowisku hybrydowym usługi Office 365

  • Jeśli używasz programu Exchange Server 2013, co najmniej jeden serwer musi mieć zainstalowane role skrzynki pocztowej i serwera dostępu klienta. Chociaż można zainstalować role Skrzynka pocztowa i Dostęp klienta na oddzielnych serwerach, zdecydowanie zalecamy zainstalowanie obu ról na tym samym serwerze, aby zapewnić większą niezawodność i lepszą wydajność.
  • Jeśli używasz programu Exchange Server 2016 lub nowszej wersji, co najmniej jeden serwer musi mieć zainstalowaną rolę serwera skrzynki pocztowej.
  • W środowisku hybrydowym nie ma programu Exchange Server 2007 ani 2010.
  • Wszystkie serwery programu Exchange muszą mieć zainstalowane najnowsze aktualizacje zbiorcze. Zobacz Uaktualnianie programu Exchange do najnowszych aktualizacji zbiorczych , aby znaleźć wszystkie dostępne aktualizacje i zarządzać nimi.

• Wymagania dotyczące klienta i protokołu programu Exchange

  Dostępność nowoczesnego uwierzytelniania zależy od kombinacji klienta, protokołu i konfiguracji. Jeśli nowoczesne uwierzytelnianie nie jest obsługiwane przez klienta, protokół i/lub konfigurację, klient nadal używa starszego uwierzytelniania.

  Następujący klienci i protokoły obsługują nowoczesne uwierzytelnianie za pomocą lokalnego programu Exchange po włączeniu nowoczesnego uwierzytelniania w środowisku:

  Klientów	Protokół podstawowy	Uwagi
  Outlook 2013 i nowsze	MAPI za pośrednictwem protokołu HTTP	Interfejs MAPI za pośrednictwem protokołu HTTP musi być włączony w programie Exchange w celu korzystania z nowoczesnego uwierzytelniania z tymi klientami (włączone lub true dla nowych instalacji programu Exchange 2013 z dodatkiem Service Pack 1 lub nowszym); Aby uzyskać więcej informacji, zobacz Jak działa nowoczesne uwierzytelnianie dla aplikacji klienckich pakietu Office 2013 i Office 2016. Upewnij się, że używasz minimalnej wymaganej kompilacji programu Outlook. zobacz Najnowsze aktualizacje wersji programu Outlook korzystających z Instalatora Windows (MSI).
  Outlook 2016 dla komputerów Mac i nowszych	Usługi sieci Web programu Exchange
  Outlook dla systemów iOS i Android	Technologia synchronizacji firmy Microsoft	Aby uzyskać więcej informacji, zobacz Korzystanie z nowoczesnego uwierzytelniania hybrydowego w programie Outlook dla systemów iOS i Android .
  Klienci programu Exchange ActiveSync (na przykład poczta systemu iOS11)	Exchange ActiveSync	W przypadku klientów programu Exchange ActiveSync, którzy obsługują nowoczesne uwierzytelnianie, należy ponownie utworzyć profil, aby przełączyć się z uwierzytelniania podstawowego na nowoczesne uwierzytelnianie.

  Klienci i/lub protokoły, których nie ma na liście (na przykład POP3), nie obsługują nowoczesnego uwierzytelniania w lokalnym programie Exchange i nadal korzystają ze starszych mechanizmów uwierzytelniania nawet po włączeniu nowoczesnego uwierzytelniania w środowisku.

• Ogólne wymagania wstępne

  • Scenariusze lasu zasobów wymagają dwukierunkowego zaufania z lasem konta, aby zapewnić, że podczas żądań nowoczesnego uwierzytelniania hybrydowego są wykonywane odpowiednie wyszukiwania identyfikatorów SID.

  • Jeśli używasz usług AD FS, należy mieć windows 2012 R2 AD FS 3.0 i nowsze dla federacji.

  • Konfiguracje tożsamości to dowolne typy obsługiwane przez program Microsoft Entra Connect, takie jak synchronizacja skrótów haseł, uwierzytelnianie przekazywane i lokalne usługi STS obsługiwane przez usługę Office 365.

  • Program Microsoft Entra Connect został skonfigurowany i działa na potrzeby replikacji i synchronizacji użytkowników.

    Uwaga

    Wszystkie konta użytkowników, które nie są zsynchronizowane z usługą Microsoft Entra Identity, nie otrzymają tokenu autoryzacji za pośrednictwem nowoczesnego uwierzytelniania hybrydowego. Gdy aplikacja lokalna zostanie skonfigurowana do używania narzędzia evoSTS jako domyślnego punktu końcowego autoryzacji, te konta użytkowników, które nie są synchronizowane, napotkają problemy z dostępem do aplikacji, jeśli odpowiednia konfiguracja nie jest dostępna.

  • Sprawdzono, że konfiguracja hybrydowa jest skonfigurowana przy użyciu klasycznego trybu topologii hybrydowej programu Exchange między środowiskiem lokalnym i środowiskiem usługi Office 365. Oficjalna instrukcja pomocy technicznej dla hybrydowego programu Exchange mówi, że musisz mieć bieżącą cu lub bieżącą cu - 1.

    Uwaga

    Nowoczesne uwierzytelnianie hybrydowe nie jest obsługiwane w przypadku agenta hybrydowego.

  • Upewnij się, że zarówno lokalny użytkownik testowy, jak i użytkownik testów hybrydowych znajdujący się w usłudze Office 365 mogą zalogować się do klienta klasycznego skype dla firm (jeśli chcesz używać nowoczesnego uwierzytelniania za pomocą programu Skype) i programu Microsoft Outlook (jeśli chcesz używać nowoczesnego uwierzytelniania w programie Exchange).

  • Upewnij się, że ustawienie SignInOptions w pakiecie Microsoft Office nie jest skonfigurowane do najbardziej restrykcyjnego ustawienia. Aby uzyskać więcej informacji, zobacz Jak zezwolić pakietowi Office na łączenie się z Internetem.

Co jeszcze muszę wiedzieć przed rozpoczęciem?

• Wszystkie scenariusze dotyczące serwerów lokalnych obejmują skonfigurowanie nowoczesnego uwierzytelniania lokalnego (w rzeczywistości dla programu Skype dla firm istnieje lista obsługiwanych topologii), dzięki czemu serwer odpowiedzialny za uwierzytelnianie i autoryzację znajduje się w chmurze firmy Microsoft (usługa tokenu zabezpieczającego identyfikatora Microsoft Entra o nazwie "evoSTS") i aktualizuje identyfikator Entra firmy Microsoft o adresach URL lub przestrzeniach nazw używanych przez lokalną instalację programu Skype dla firm lub programu Exchange. W związku z tym serwery lokalne przyjmują zależność chmury firmy Microsoft. Wykonanie tej akcji można rozważyć skonfigurowanie "uwierzytelniania hybrydowego".
• Ten artykuł zawiera linki do innych osób, które ułatwiają wybieranie obsługiwanych topologii nowoczesnego uwierzytelniania (niezbędnych tylko dla programu Skype dla firm) oraz artykułów z instrukcjami, które przedstawiają kroki konfiguracji lub kroki wyłączania nowoczesnego uwierzytelniania w przypadku lokalnego programu Exchange i programu Skype dla firm. Wybierz tę stronę jako ulubioną w przeglądarce, jeśli potrzebujesz bazy głównej do korzystania z nowoczesnego uwierzytelniania w środowisku serwera.

Tematy pokrewne

• Jak skonfigurować lokalny program Exchange Server do korzystania z nowoczesnego uwierzytelniania
• Topologie programu Skype dla firm obsługiwane przy użyciu nowoczesnego uwierzytelniania
• Usuwanie lub wyłączanie nowoczesnego uwierzytelniania hybrydowego z programu Skype dla firm i programu Exchange