Karma modern kimlik doğrulamasına genel bakış ve şirket içi Skype Kurumsal ve Exchange sunucularıyla kullanmak için önkoşullar

  • Makale

Bu makale hem Microsoft 365 Kurumsal hem de Office 365 Kurumsal için geçerlidir.

Modern Kimlik Doğrulaması , daha güvenli kullanıcı kimlik doğrulaması ve yetkilendirmesi sunan bir kimlik yönetimi yöntemidir. Şirket içi Skype Kurumsal sunucusunun ve şirket içi Exchange sunucusunun Office 365 karma dağıtımları ve bölünmüş etki alanı Skype Kurumsal karmaları için kullanılabilir. Bu makale önkoşullar, modern kimlik doğrulamasını ayarlama/devre dışı bırakma ile ilgili belgelere ve ilgili istemci (örneğin Outlook ve Skype istemcileri) bilgilerine bağlantı sağlar.

Modern kimlik doğrulaması nedir?

Modern kimlik doğrulaması, bir istemci (örneğin, dizüstü bilgisayarınız veya telefonunuz) ile bir sunucu arasındaki kimlik doğrulama ve yetkilendirme yöntemlerinin yanı sıra zaten aşina olabileceğiniz erişim ilkelerine dayanan bazı güvenlik önlemlerinin birleşimine yönelik bir terimdir. İçindekiler:

  • Kimlik doğrulama yöntemleri: Çok faktörlü kimlik doğrulaması (MFA); akıllı kart kimlik doğrulaması; istemci sertifikası tabanlı kimlik doğrulaması
  • Yetkilendirme yöntemleri: Microsoft'un Açık Yetkilendirme (OAuth) uygulamasını
  • Koşullu erişim ilkeleri: Mobil Uygulama Yönetimi (MAM) ve Microsoft Entra Koşullu Erişim

Modern kimlik doğrulaması ile kullanıcı kimliklerini yönetmek, yöneticilerin kaynakların güvenliğini sağlamak için kullanabileceği birçok farklı araç sağlar ve hem şirket içi (Exchange hem de Skype Kurumsal), Exchange karma ve Skype Kurumsal karma/bölünmüş etki alanı senaryolarına daha güvenli kimlik yönetimi yöntemleri sunar.

Skype Kurumsal Exchange ile yakın çalıştığından, Skype Kurumsal istemci kullanıcıları oturum açma davranışı Exchange'in modern kimlik doğrulama durumundan etkilenir. Hem Skype Kurumsal Çevrimiçi Sürüm'e hem de şirket içi Skype Kurumsal'a sahip olduğunuz ve kullanıcıların her iki konumda da bulunduğu bir Skype Kurumsal bölünmüş etki alanı karma mimariniz varsa da geçerlidir.

Office 365'te modern kimlik doğrulaması hakkında daha fazla bilgi için bkz. Office 365 İstemci Uygulaması Desteği - Çok faktörlü kimlik doğrulaması.

Önemli

Ağustos 2017 itibarıyla, Skype Kurumsal çevrimiçi ve Exchange Online içeren tüm yeni Office 365 kiracıları varsayılan olarak modern kimlik doğrulamasını etkinleştirecektir. Önceden var olan kiracıların varsayılan MA durumunda bir değişiklik olmaz, ancak tüm yeni kiracılar daha önce listelenmiş olarak gördüğünüz genişletilmiş kimlik özellikleri kümesini otomatik olarak destekler. MA durumunuzu denetlemek için Şirket içi ortamınızın modern kimlik doğrulama durumunu denetleme bölümüne bakın.

Modern kimlik doğrulaması kullandığımda ne değişir?

Şirket içi Skype Kurumsal veya Exchange sunucusuyla modern kimlik doğrulaması kullanırken, şirket içi kullanıcıların kimliğini doğrulamaya devam edebilirsiniz, ancak kaynaklara (dosyalar veya e-postalar gibi) erişimlerini yetkilendirme hikayesi değişir. Bu nedenle, modern kimlik doğrulaması istemci ve sunucu iletişimi hakkında olsa da MA yapılandırması sırasında atılan adımlar evoSTS'nin (Microsoft Entra ID tarafından kullanılan bir Güvenlik Belirteci Hizmeti) Skype Kurumsal için Kimlik Doğrulama Sunucusu ve şirket içi Exchange sunucusu olarak ayarlanmasına neden olur.

evoSTS'ye yapılan değişiklik, şirket içi sunucularınızın istemcilerinizi yetkilendirmek için OAuth'dan (belirteç verme) yararlanmasına ve ayrıca şirket içi sunucularınızın bulutta ortak olan güvenlik yöntemlerini (Multi-factor Authentication gibi) kullanmasına olanak tanır. Buna ek olarak, evoSTS kullanıcıların istek kapsamında parolalarını sağlamadan kaynaklara erişim istemesine olanak sağlayan belirteçler verir. Kullanıcılarınızın nerede barındırıldığı (çevrimiçi veya şirket içi) ve gerekli kaynağı hangi konumda barındırdığı fark etmez, modern kimlik doğrulaması yapılandırıldıktan sonra EvoSTS kullanıcıları ve istemcileri yetkilendirmenin çekirdeği haline gelir.

Örneğin, bir Skype Kurumsal istemcisinin kullanıcı adına takvim bilgilerini almak için Exchange sunucusuna erişmesi gerekiyorsa, bunu yapmak için Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanır. MSAL, dizininizdeki güvenli kaynakları OAuth güvenlik belirteçlerini kullanarak istemci uygulamaları için kullanılabilir hale getirmek için tasarlanmış bir kod kitaplığıdır. MSAL, bir kullanıcıya kaynağa erişim izni vermek için talepleri doğrulamak ve belirteçleri (parolalar yerine) değiştirmek için OAuth ile birlikte çalışır. Geçmişte, kullanıcı taleplerini doğrulamayı ve gerekli belirteçleri vermeyi bilen sunucu gibi bir işlemdeki yetkili, şirket içi bir Güvenlik Belirteci Hizmeti, hatta Active Directory Federasyon Hizmetleri olabilir. Ancak modern kimlik doğrulaması, Microsoft Entra Id kullanarak bu yetkiyi merkezileştirir.

Bu aynı zamanda Exchange sunucunuz ve Skype Kurumsal ortamlarınız tamamen şirket içi olsa da, yetkili sunucunun çevrimiçi olduğu ve şirket içi ortamınızın Bulutta Office 365 aboneliğinize (ve aboneliğinizin dizini olarak kullandığı Microsoft Entra örneğine) bağlantı oluşturup sürdürebilmesi gerektiği anlamına gelir.

Ne değişmez? İster bölünmüş etki alanı karmasında olun ister şirket içi Skype Kurumsal ve Exchange sunucusu kullanıyor olun, tüm kullanıcıların önce şirket içinde kimlik doğrulaması yapması gerekir. Lyncdiscovery ve Autodiscovery, modern kimlik doğrulamasının karma bir uygulamasında şirket içi sunucunuza işaret eder.

Önemli

MA ile desteklenen belirli Skype Kurumsal topolojilerini bilmeniz gerekiyorsa, bunlar burada belgelenmiştir.

Şirket içi ortamınızın modern kimlik doğrulama durumunu denetleme

Modern kimlik doğrulaması, hizmetler OAuth/S2S uyguladığında kullanılan yetkilendirme sunucusunu değiştirdiğinden, şirket içi Skype Kurumsal ve Exchange ortamlarınız için modern kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini veya devre dışı bırakılıp bırakılmadiğini bilmeniz gerekir. Exchange sunucularınızdaki durumu denetlemek için aşağıdaki PowerShell komutunu çalıştırabilirsiniz:

Get-OrganizationConfig | ft OAuth*

OAuth2ClientProfileEnabled özelliğinin değeri False ise modern kimlik doğrulaması devre dışı bırakılır.

Cmdlet hakkında Get-OrganizationConfig daha fazla bilgi için bkz. Get-OrganizationConfig.

Aşağıdaki PowerShell komutunu çalıştırarak Skype Kurumsal sunucularınızı de kontrol edebilirsiniz:

Get-CSOAuthConfiguration

Komut boş bir OAuthServers özelliği döndürürse veya ClientADALAuthOverride özelliğinin değeri İzin Verilmiyorsa modern kimlik doğrulaması devre dışı bırakılır.

Cmdlet hakkında Get-CsOAuthConfiguration daha fazla bilgi için bkz. Get-CsOAuthConfiguration.

Modern kimlik doğrulaması önkoşullarını karşılıyor musunuz?

Devam etmeden önce bu öğeleri doğrulayın ve listenizden denetleyin:

  • Skype Kurumsal'a özgü

    • Tüm sunucularda Skype Kurumsal Sunucu 2015 veya üzeri için Mayıs 2017 toplu güncelleştirmesi (CU5) olmalıdır
      • Özel Durum - Survivability Branch Appliance (SBA) geçerli sürümde olabilir (Lync 2013 tabanlı)
    • SIP etki alanınız Office 365'te Federasyon etki alanı olarak eklenir
    • Tüm SFB Ön Uçları İnternet'e, Office 365 Kimlik Doğrulama URL'lerine (TCP 443) giden bağlantılara ve Office 365 URL'lerinin ve IP adresi aralıklarının 'Microsoft 365 Ortak ve Office' bölümünün 56 ve 125 numaralı satırlarında listelenen iyi bilinen sertifika kök CRL'lerine (TCP 80) sahip olmalıdır.

  • Karma office 365 ortamında şirket içi Skype Kurumsal

    • Skype Kurumsal Sunucu 2019 çalıştıran tüm sunucularla bir Skype Kurumsal Sunucu 2019 dağıtımı.
    • Skype Kurumsal Sunucu 2015 çalıştıran tüm sunucularla bir Skype Kurumsal Sunucu 2015 dağıtımı.
    • Aşağıda listelenen en fazla iki farklı sunucu sürümüne sahip bir dağıtım:
      • Skype Kurumsal Sunucu 2015
      • Skype Kurumsal Sunucu 2019
    • Tüm Skype Kurumsal sunucularında en son toplu güncelleştirmelerin yüklü olması gerekir. Kullanılabilir tüm güncelleştirmeleri bulmak ve yönetmek için bkz. Skype Kurumsal Sunucusu güncelleştirmeleri.
    • Karma ortamda Lync Server 2010 veya 2013 yoktur.

Not

Skype Kurumsal ön uç sunucularınız İnternet erişimi için bir ara sunucu kullanıyorsa, kullanılan ara sunucu IP'si ve Bağlantı noktası numarası her ön uç için web.config dosyasının yapılandırma bölümüne girilmelidir.

  • C:\Program Files\Skype Kurumsal Sunucu 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype Kurumsal Sunucu 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Önemli

Gerekli URL'lerin en son listeleriyle güncel kalmak için Office 365 URL'leri ve IP adresi aralıkları için RSS akışına abone olun.

  • Exchange Server'a özgü

    • Exchange server 2013 CU19 ve üzeri, Exchange server 2016 CU8 ve üzeri ya da Exchange Server 2019 CU1 ve üzerini kullanıyorsunuz.
    • Ortamda Exchange server 2010 yok.
    • SSL Boşaltma yapılandırılmadı. SSL sonlandırma ve yeniden şifreleme desteklenir.
    • Ortamınızın sunucuların İnternet'e bağlanmasına izin vermek için bir ara sunucu altyapısı kullanması durumunda, tüm Exchange sunucularının InternetWebProxy özelliğinde tanımlanan proxy sunucusuna sahip olduğundan emin olun.

  • Karma office 365 ortamında şirket içi Exchange Server

    • Exchange Server 2013 kullanıyorsanız, en az bir sunucuda Posta Kutusu ve İstemci Erişimi sunucu rolleri yüklü olmalıdır. Posta Kutusu ve İstemci Erişimi rollerini ayrı sunuculara yüklemek mümkün olsa da, daha fazla güvenilirlik ve gelişmiş performans sağlamak için her iki rolü de aynı sunucuya yüklemenizi kesinlikle öneririz.
    • Exchange server 2016 veya sonraki bir sürümünü kullanıyorsanız, en az bir sunucuda Posta Kutusu sunucusu rolü yüklü olmalıdır.
    • Karma ortamda Exchange server 2007 veya 2010 yoktur.
    • Tüm Exchange sunucularında en son toplu güncelleştirmeler yüklü olmalıdır. Kullanılabilir tüm güncelleştirmeleri bulmak ve yönetmek için bkz. Exchange'i en son Toplu Güncelleştirmelere yükseltme .

  • Exchange istemcisi ve protokol gereksinimleri

    Modern kimlik doğrulamasının kullanılabilirliği istemci, protokol ve yapılandırma birleşimine göre belirlenir. Modern kimlik doğrulaması istemci, protokol ve/veya yapılandırma tarafından desteklenmiyorsa, istemci eski kimlik doğrulamasını kullanmaya devam eder.

    Aşağıdaki istemciler ve protokoller, ortamda modern kimlik doğrulaması etkinleştirildiğinde şirket içi Exchange ile modern kimlik doğrulamasını destekler:

    Istemci Birincil Protokol Notlar
    Outlook 2013 ve üzeri
    		 HTTP üzerinden MAPI
    		 Bu istemcilerle modern kimlik doğrulaması kullanmak için Exchange'de HTTP üzerinden MAPI etkinleştirilmelidir (Exchange 2013 Service Pack 1 ve üzeri yeni yüklemeler için etkin veya True); Daha fazla bilgi için bkz. Office 2013 ve Office 2016 istemci uygulamaları için modern kimlik doğrulaması nasıl çalışır?
    Gerekli en düşük Outlook derlemesini çalıştırdığınızdan emin olun; Bkz. Windows Installer (MSI) kullanan Outlook sürümleri için en son güncelleştirmeler.
    Mac için Outlook 2016 ve üzeri
    		 Exchange Web Hizmetleri
    iOS ve Android için Outlook
    		 Microsoft eşitleme teknolojisi
    		 Daha fazla bilgi için bkz. iOS ve Android için Outlook ile karma Modern Kimlik Doğrulaması kullanma .
    Exchange ActiveSync istemcileri (örneğin, iOS11 Posta)
    		 Exchange ActiveSync
    		 Modern kimlik doğrulamasını destekleyen Exchange ActiveSync istemcilerinde, temel kimlik doğrulamasından modern kimlik doğrulamasına geçmek için profili yeniden oluşturmanız gerekir.

    Listelenmeyen istemciler ve/veya protokoller (örneğin POP3), şirket içi Exchange ile modern kimlik doğrulamasını desteklemez ve ortamda modern kimlik doğrulaması etkinleştirildikten sonra bile eski kimlik doğrulama mekanizmalarını kullanmaya devam eder.

  • Genel önkoşullar

    • Kaynak ormanı senaryoları, karma modern kimlik doğrulama istekleri sırasında doğru SID aramalarının gerçekleştirildiğinden emin olmak için hesap ormanıyla iki yönlü güven gerektirir.

    • AD FS kullanıyorsanız federasyon için Windows 2012 R2 AD FS 3.0 ve üzeri bir cihazınız olmalıdır.

    • Kimlik yapılandırmalarınız Parola karması eşitleme, doğrudan kimlik doğrulaması ve Office 365 tarafından desteklenen şirket içi STS gibi Microsoft Entra Connect tarafından desteklenen türlerden herhangi biridir.

    • Kullanıcı çoğaltma ve eşitleme için Microsoft Entra Connect yapılandırılmış ve çalışıyor.

      Not

      Microsoft Entra Identity ile eşitlenmemiş tüm kullanıcı hesaplarına Karma Modern Kimlik Doğrulaması aracılığıyla yetkilendirme belirteci sağlanmaz. Şirket içi uygulama varsayılan yetkilendirme uç noktası olarak evoSTS kullanacak şekilde yapılandırıldıktan sonra, eşitlenmemiş bu kullanıcı hesapları uygun yapılandırma sağlanmazsa uygulamaya erişimleriyle ilgili sorunlarla karşılaşır.

    • Karmanın şirket içi ortamınızla Office 365 ortamınız arasında Exchange Klasik Karma Topoloji modu kullanılarak yapılandırıldığını doğruladınız. Exchange karma için resmi destek bildirimi, geçerli CU veya geçerli CU - 1'e sahip olmanız gerektiğini söylüyor.

      Not

      Karma modern kimlik doğrulaması Karma Aracı ile desteklenmez.

    • Hem şirket içi test kullanıcısının hem de Office 365'te bulunan bir karma test kullanıcısının Skype Kurumsal masaüstü istemcisinde (Skype ile modern kimlik doğrulaması kullanmak istiyorsanız) ve Microsoft Outlook'ta (Exchange ile modern kimlik doğrulaması kullanmak istiyorsanız) oturum açabildiğinden emin olun.

    • Microsoft Office'teki SignInOptions ayarının en kısıtlayıcı ayarıyla yapılandırılmadığından emin olun. Daha fazla bilgi için bkz. Office'in İnternet'e bağlanmasına izin verme.

Başlamadan önce bilmem gereken başka ne var?

  • Şirket içi sunuculara yönelik tüm senaryolar, kimlik doğrulaması ve yetkilendirmeden sorumlu sunucunun Microsoft Bulut'ta (Microsoft Entra Id'nin 'evoSTS' olarak adlandırılan güvenlik belirteci hizmeti) olması için şirket içi modern kimlik doğrulaması ayarlamayı (aslında Skype Kurumsal için desteklenen topolojilerin bir listesi vardır) ve Şirket içi Skype Kurumsal veya Exchange yüklemeniz tarafından kullanılan URL'ler veya ad alanları hakkında Microsoft Entra Kimliğini güncelleştirmeyi içerir. Bu nedenle, şirket içi sunucular bir Microsoft Bulut bağımlılığı alır. Bu eylemin gerçeklenmesi 'karma kimlik doğrulaması' yapılandırması olarak düşünülebilir.
  • Bu makalede, desteklenen modern kimlik doğrulama topolojilerini (yalnızca Skype Kurumsal için gereklidir) ve şirket içi Exchange ve Şirket içi Skype Kurumsal için kurulum adımlarını veya modern kimlik doğrulamayı devre dışı bırakma adımlarını özetleyen nasıl yapılır makalelerini seçmenize yardımcı olan diğer kişilere bağlantı verilmektedir. Sunucu ortamınızda modern kimlik doğrulaması kullanmak için bir giriş tabanına ihtiyacınız olacaksa, tarayıcınızda bu sayfayı sık kullanılanlara ekleyin.