Общие сведения о гибридной современной проверке подлинности и предварительные требования для ее использования с локальными серверами Skype для бизнеса Server и Exchange Server
Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.
Современная проверка подлинности — это метод управления удостоверениями, обеспечивающий более надежную аутентификацию и авторизацию пользователей. Он доступен для гибридных развертываний локального сервера Skype для бизнеса в Office 365 и локального сервера Exchange Server, а также для гибридных приложений Skype для бизнеса с разделенным доменом. В этой статье содержатся ссылки на связанные документы о предварительных требованиях, настройке и отключении современной проверки подлинности, а также сведения о некоторых связанных клиентах (например, клиентах Outlook и Skype).
- Общие сведения о современной проверке подлинности
- Изменения в случае использования современной проверки подлинности
- Определение состояния современной проверки подлинности в локальной среде
- Соответствие предварительным требованиям для современной проверки подлинности
- Дополнительные сведения перед началом работы
Общие сведения о современной проверке подлинности
Современная проверка подлинности — это общий термин для сочетания методов проверки подлинности и авторизации между клиентом (например, ноутбуком или телефоном) и сервером, а также для некоторых мер безопасности, основанных на политиках доступа, с которыми вы уже знакомы. Он включает следующее:
- Методы проверки подлинности: Многофакторная проверка подлинности (MFA); проверка подлинности с помощью смарт-карты; проверка подлинности на основе сертификата клиента
- Методы авторизации: реализация корпорацией Майкрософт протокола Open Authorization (OAuth).
- Политики условного доступа: управление мобильными приложениями (MAM) и условный доступ Microsoft Entra
Благодаря управлению удостоверениями пользователей с помощью современной проверки подлинности администраторы могут использовать различные инструменты для защиты ресурсов и получают доступ к более безопасным методам управления удостоверениями не только при работе с локальными (Exchange и Skype для бизнеса) и гибридными развертываниями Exchange, но и в случае реализации сценариев развертывания Skype для бизнеса в гибридной среде или с разделенным доменом.
Так как Skype для бизнеса работает в тесном контакте с Exchange, поведение пользователей клиента Skype для бизнеса будет зависеть от состояния современной проверки подлинности Exchange. Это также применимо, если у вас есть гибридная архитектура Skype для бизнеса с разделением домена , в которой вы используете Skype для бизнеса Online и Skype для бизнеса локально, а пользователи расположены в обоих расположениях.
Дополнительные сведения о современной проверке подлинности в Office 365 см. в статье Поддержка клиентских приложений Office 365 — многофакторная проверка подлинности.
Важно!
С августа 2017 года во всех новых клиентах Office 365, включающих Skype для бизнеса Online и Exchange Online, современная проверка подлинности включена по умолчанию. Существующие клиенты не будут иметь изменения в состоянии MA по умолчанию, но все новые клиенты автоматически поддерживают расширенный набор функций удостоверений, перечисленных ранее. Сведения о том, как определить состояние современной проверки подлинности, см. в разделе Определение состояния современной проверки подлинности в локальной среде.
Изменения в случае использования современной проверки подлинности
При использовании современной проверки подлинности с локальным сервером Skype для бизнеса Server или Exchange Server по-прежнему осуществляется локальная аутентификация пользователей, но изменяется процесс авторизации их доступа к ресурсам (например, файлам и сообщениям электронной почты). Вот почему, хотя современная проверка подлинности связана с обменом данными между клиентом и сервером, шаги, предпринятые во время настройки MA, приводят к тому, что evoSTS (служба маркеров безопасности, используемая идентификатором Microsoft Entra) устанавливается в качестве сервера проверки подлинности для Skype для бизнеса и Exchange Server в локальной среде.
За счет изменения в evoSTS локальные серверы могут воспользоваться преимуществами OAuth (выдачи маркеров) для авторизации клиентов, а вы получаете возможность использовать в локальной среде методы обеспечения безопасности, распространенные в облаке (например, многофакторную проверку подлинности). Кроме того, служба evoSTS выдает маркеры, с помощью которых пользователи могут запрашивать доступ к ресурсам, не указывая при этом пароль. Независимо от того, где находятся пользователи (в сети или локальной среде), и независимо от того, в каком расположении размещен необходимый ресурс, EvoSTS станет ядром авторизации пользователей и клиентов после настройки современной проверки подлинности.
Например, если клиенту Skype для бизнеса требуется доступ к Exchange Server для получения сведений о календаре от имени пользователя, он использует для этого библиотеку проверки подлинности Майкрософт (MSAL). MSAL — это библиотека кода, предназначенная для обеспечения доступности защищенных ресурсов в каталоге для клиентских приложений с помощью маркеров безопасности OAuth. MSAL работает с OAuth для проверки утверждений и обмена маркерами (а не паролями) для предоставления пользователю доступа к ресурсу. В прошлом центр в транзакции, подобной этой, — сервер, который знает, как проверять утверждения пользователей и выдавать необходимые маркеры, — мог быть локальной службой маркеров безопасности или даже службами федерации Active Directory. Однако современная проверка подлинности централизуется с помощью идентификатора Microsoft Entra.
Это также означает, что, несмотря на то, что среды Exchange Server и Skype для бизнеса могут быть полностью локальными, сервер авторизации находится в сети, а локальная среда должна иметь возможность создавать и поддерживать подключение к подписке Office 365 в облаке (и экземпляру Microsoft Entra, который ваша подписка использует в качестве каталога).
Что останется по-прежнему? Независимо от того, работаете ли вы в гибридной среде с разделенным доменом или используете локальный сервер Skype для бизнеса Server и Exchange Server, все пользователи должны прежде всего пройти проверку подлинности локально. При гибридной реализации современной проверки подлинности как Lyncdiscovery, так и Autodiscovery указывают на локальный сервер.
Важно!
Сведения об определенных топологиях Skype для бизнеса, которые поддерживает современная проверка подлинности, изложены здесь.
Определение состояния современной проверки подлинности в локальной среде
Так как современная проверка подлинности изменяет сервер авторизации, используемый при применении службами OAuth/S2S, необходимо знать, включена или отключена современная проверка подлинности для локальных сред Skype для бизнеса и Exchange. Чтобы определить состояние серверов Exchange Server, выполните такую команду PowerShell:
Get-OrganizationConfig | ft OAuth*
Если для свойства OAuth2ClientProfileEnabled указано значение False, современная проверка подлинности отключена.
Дополнительные сведения о командлете см. в Get-OrganizationConfig
разделе Get-OrganizationConfig.
Чтобы проверить серверы Skype для бизнеса Server, выполните такую команду PowerShell:
Get-CSOAuthConfiguration
Если команда возвращает пустое свойство OAuthServers или значение свойства ClientADALAuthOverride не разрешено, современная проверка подлинности отключена.
Дополнительные сведения о командлете см. в Get-CsOAuthConfiguration
разделе Get-CsOAuthConfiguration.
Соответствие предварительным требованиям для современной проверки подлинности
Прежде чем продолжить, проверьте элементы согласно списку ниже.
Характерные для Skype для бизнеса:
- На всех серверах должен быть установлен накопительный пакет обновления за май 2017 года (CU5) для Skype для бизнеса Server 2015 или более поздней версии.
- Исключение: на устройстве для обеспечения связи в филиалах может оставаться текущая версия (на основе Lync 2013).
- Ваш домен SIP добавлен в состав Office 365 в качестве федеративного домена.
- Все внешние интерфейсы SFB должны иметь исходящие подключения к Интернету, к URL-адресам проверки подлинности Office 365 (TCP 443) и хорошо известным корневым CCL сертификатов (TCP 80), перечисленным в строках 56 и 125 раздела "Microsoft 365 Common and Office" URL-адресов и диапазонов IP-адресов Office 365.
- На всех серверах должен быть установлен накопительный пакет обновления за май 2017 года (CU5) для Skype для бизнеса Server 2015 или более поздней версии.
Локальное размещение Skype для бизнеса в гибридной среде Office 365
- Развертывание Skype для бизнеса Server 2019, в котором на всех серверах работает Skype для бизнеса Server 2019.
- Развертывание Skype для бизнеса Server 2015, в котором на всех серверах работает Skype для бизнеса Server 2015.
- Развертывание с не более, чем двумя различными версиями серверов, указанными ниже.
- Skype для бизнеса Server 2015
- Skype для бизнеса Server 2019
- На всех серверах Skype для бизнеса должны быть установлены последние накопительные пакеты обновления. Сведения о поиске всех доступных обновлений и управлении ими см. в статье Обновления Skype для бизнеса Server.
- В гибридной среде нет Lync Server 2010 или 2013.
Примечание.
В случае использования прокси-сервера для доступа к Интернету в разделе конфигурации файла web.config для каждого сервера переднего плана, работающего со Skype для бизнеса, необходимо указать IP-адрес прокси-сервера и номер порта.
- C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
- C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
<system.net>
<defaultProxy>
<proxy
proxyaddress="https://192.168.100.60:8080"
bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>
Важно!
Подпишитесь на RSS-канал на странице URL-адреса и диапазоны IP-адресов Office 365, чтобы получать актуальные списки необходимых URL-адресов.
Характерные для сервера Exchange Server:
- Вы используете Exchange Server 2013 CU19, Exchange Server 2016 CU8 или Exchange Server 2019 CU1 и более поздних версий.
- В среде нет Exchange Server 2010.
- Разгрузка SSL не настроена. Поддерживаются завершение и повторное шифрование SSL.
- Если в вашей среде используется инфраструктура прокси-сервера для подключения к Интернету, убедитесь, что на всех серверах Exchange Server в свойстве InternetWebProxy определен прокси-сервер.
Локальное размещение Exchange Server в гибридной среде Office 365
- Если вы используете Exchange Server 2013, по крайней мере на одном сервере должны быть установлены роли сервера почтового ящика и сервера клиентского доступа. Хотя роли почтового ящика и клиентского доступа можно установить на разных серверах, настоятельно рекомендуется установить обе роли на одном сервере, чтобы повысить надежность и повысить производительность.
- Если вы используете Exchange Server 2016 или более поздней версии, по крайней мере на одном сервере должна быть установлена роль сервера почтовых ящиков.
- В гибридной среде нет Exchange Server 2007 или 2010.
- На всех серверах Exchange должны быть установлены последние накопительные обновления. См . раздел Обновление Exchange до последних накопительных обновлений , чтобы найти все доступные обновления и управлять ими.
Требования к клиенту Exchange и протоколам
Доступность современной проверки подлинности определяется сочетанием клиента, протокола и конфигурации. Если современная проверка подлинности не поддерживается клиентом, протоколом и (или) конфигурацией, клиент продолжает использовать устаревшую проверку подлинности.
Следующие клиенты и протоколы поддерживают современную проверку подлинности в локальной среде Exchange, если современная проверка подлинности включена в среде:
Клиенты Основной протокол Примечания Outlook 2013 и более поздние версии MAPI/HTTP Для использования современной проверки подлинности с этими клиентами необходимо включить MAPI через HTTP в Exchange (включено или True для новых установок Exchange 2013 с пакетом обновления 1 (SP1) и более поздних версий); Дополнительные сведения см. в статье Как работает современная проверка подлинности для клиентских приложений Office 2013 и Office 2016.
Убедитесь, что вы используете минимальную требуемую сборку Outlook; См. раздел Последние обновления для версий Outlook, использующих установщик Windows (MSI).Outlook 2016 для Mac и более поздние версии Веб-службы Exchange Outlook для iOS и Android Технология синхронизации Майкрософт Дополнительные сведения см. в статье Использование гибридной современной проверки подлинности в Outlook для iOS и Android. Клиенты Exchange ActiveSync (например, почта iOS11) Exchange ActiveSync Для клиентов Exchange ActiveSync, поддерживающих современную проверку подлинности, необходимо повторно создать профиль для переключения с обычной проверки подлинности на современную. Клиенты и (или) протоколы, которые не перечислены (например, POP3), не поддерживают современную проверку подлинности в локальной среде Exchange и продолжают использовать устаревшие механизмы проверки подлинности даже после включения современной проверки подлинности в среде.
Общие предварительные требования
В сценариях с лесом ресурсов требуется двустороннее доверие с лесом учетных записей, чтобы обеспечить правильный поиск идентификаторов безопасности во время гибридных современных запросов проверки подлинности.
В случае использования AD FS для федерации необходимо иметь AD FS 3.0 для Windows 2012 R2 и более поздней версии.
Конфигурации удостоверений — это любые типы, поддерживаемые Microsoft Entra Connect, например синхронизация хэша паролей, сквозная проверка подлинности и локальные службы stS, поддерживаемые Office 365.
Microsoft Entra Connect настроен и работает для репликации и синхронизации пользователей.
Примечание.
Всем учетным записям пользователей, которые не синхронизированы с Microsoft Entra Identity, не будет предоставляться маркер авторизации с помощью гибридной современной проверки подлинности. После настройки локального приложения для использования evoSTS в качестве конечной точки авторизации по умолчанию эти учетные записи пользователей, которые не синхронизированы, столкнутся с проблемами с доступом к приложению, если соответствующая конфигурация недоступна.
Необходимо убедиться, что гибридная среда настроена в режиме классической гибридной топологии Exchange между локальной средой и Office 365. Согласно официальной инструкции службы технической поддержки, для гибридного развертывания Exchange должен быть установлен текущий накопительный пакет обновления или его предыдущая версия.
Примечание.
Гибридная современная проверка подлинности не поддерживается в составе Hybrid Agent.
Убедитесь, что локальный тестовый пользователь и гибридный тестовый пользователь, размещенный в Office 365, могут войти в классический клиент Skype для бизнеса (если вы хотите использовать современную проверку подлинности в Skype) и Microsoft Outlook (если вы хотите использовать современную проверку подлинности с Exchange).
Убедитесь, что параметр SignInOptions в Microsoft Office не настроен на самый строгий параметр. Дополнительные сведения см. в разделе Как разрешить Office подключаться к Интернету.
Дополнительные сведения перед началом работы
- Все сценарии для локальных серверов включают настройку современной проверки подлинности локальной среды (на самом деле для Skype для бизнеса существует список поддерживаемых топологий), чтобы сервер, отвечающий за проверку подлинности и авторизацию, был в Microsoft Cloud (служба маркеров безопасности Microsoft Entra ID, называемая evoSTS), и обновление идентификатора Microsoft Entra ID о URL-адресах или пространствах имен, используемых локальной установкой Skype для бизнеса или Exchange. Таким образом, локальные серверы становятся зависимыми от Microsoft Cloud. Это можно учесть при настройке гибридной проверки подлинности.
- В этой статье содержатся ссылки на другие статьи, которые помогут вам выбрать поддерживаемые современные топологии проверки подлинности (необходимы только для Skype для бизнеса), а также практические статьи, описывающие шаги по настройке или действия по отключению современной проверки подлинности для локальной службы Exchange и Skype для бизнеса. Если вам нужна основа для использования современной проверки подлинности в серверной среде, добавьте эту страницу в избранное в браузере.