Oversigt over hybrid moderne godkendelse og forudsætninger for at bruge den med Skype for Business- og Exchange-servere i det lokale miljø

Denne artikel gælder for både Microsoft 365 Enterprise og Office 365 Enterprise.

Moderne godkendelse er en metode til identitetsstyring, der tilbyder mere sikker brugergodkendelse og -godkendelse. Den er tilgængelig til Office 365-hybridinstallationer af Skype for Business-server i det lokale miljø og Exchange-server i det lokale miljø samt Skype for Business-hybrider med opdelt domæne. Denne artikel indeholder links til relaterede dokumenter om forudsætninger, konfiguration/deaktivering af moderne godkendelse og til nogle af de relaterede klientoplysninger (f.eks. Outlook- og Skype-klienter).

• Hvad er moderne godkendelse?
• Hvilke ændringer ændres, når jeg bruger moderne godkendelse?
• Kontrollér den moderne godkendelsesstatus for dit lokale miljø
• Opfylder du moderne godkendelsesbetingelser?
• Hvad skal jeg ellers vide, før jeg begynder?

Hvad er moderne godkendelse?

Moderne godkendelse er et paraplyord for en kombination af godkendelses- og godkendelsesmetoder mellem en klient (f.eks. din bærbare computer eller din telefon) og en server samt nogle sikkerhedsforanstaltninger, der er afhængige af adgangspolitikker, som du måske allerede kender. Den indeholder:

• Godkendelsesmetoder: Multifactor-godkendelse (MFA); chipkortgodkendelse; klientcertifikatbaseret godkendelse
• Autorisationsmetoder: Microsofts implementering af Open Authorization (OAuth)
• Politikker for betinget adgang: Administration af mobilapps (MAM) og Betinget adgang til Microsoft Entra

Administration af brugeridentiteter med moderne godkendelse giver administratorer mange forskellige værktøjer til at beskytte ressourcer og tilbyder mere sikre metoder til identitetsstyring i både det lokale miljø (Exchange og Skype for Business), Exchange-hybrider og Skype for Business-hybrid-/splitdomænescenarier.

Da Skype for Business arbejder tæt sammen med Exchange, påvirkes Skype for Business-klientbrugernes logonfunktion af den moderne godkendelsesstatus for Exchange. Det gælder også, hvis du har en skype for Business-hybridarkitektur med opdelt domæne , hvor du både har Skype for Business Online og Skype for Business i det lokale miljø, hvor brugerne er placeret begge steder.

Du kan få flere oplysninger om moderne godkendelse i Office 365 under Understøttelse af Office 365-klientapp – multifaktorgodkendelse.

Vigtigt!

Fra august 2017 vil alle nye Office 365-lejere, der omfatter Skype for Business online og Exchange Online, som standard have moderne godkendelse aktiveret. Eksisterende lejere vil ikke have en ændring i deres standard-MA-tilstand, men alle nye lejere understøtter automatisk det udvidede sæt identitetsfunktioner, som du får vist tidligere. Hvis du vil kontrollere din godkendelsesstatus, skal du se afsnittet Kontrollér den moderne godkendelsesstatus for dit lokale miljø .

Hvilke ændringer ændres, når jeg bruger moderne godkendelse?

Når du bruger moderne godkendelse med Skype for Business- eller Exchange-server i det lokale miljø, godkender du stadig brugere i det lokale miljø, men historien om godkendelse af deres adgang til ressourcer (f.eks. filer eller mails) ændres. Det er grunden til, at selvom moderne godkendelse handler om klient- og serverkommunikation, vil de trin, der udføres under konfigurationen af MA, resultere i, at en sikkerhedstokentjeneste, der bruges af Microsoft Entra ID, angives som Auth Server for Skype for Business og Exchange-server i det lokale miljø.

Ændringen til evoSTS gør det muligt for dine lokale servere at drage fordel af OAuth (tokenudgivelse) til godkendelse af dine klienter, og gør det også muligt for dine lokale myndigheder at bruge sikkerhedsmetoder, der er fælles i cloudmiljøet (f.eks. multifaktorgodkendelse). Derudover fremkalder de tokens til problemer, der giver brugerne mulighed for at anmode om adgang til ressourcer uden at angive deres adgangskode som en del af anmodningen. Uanset hvor dine brugere er placeret (af online eller i det lokale miljø), og uanset hvilken placering der er vært for den nødvendige ressource, bliver EvoSTS kernen i godkendelse af brugere og klienter, når moderne godkendelse er konfigureret.

Hvis en Skype for Business-klient f.eks. skal have adgang til Exchange Server for at hente kalenderoplysninger på vegne af en bruger, bruger den Microsoft Authentication Library (MSAL) til at gøre det. MSAL er et kodebibliotek, der er designet til at gøre sikre ressourcer i din mappe tilgængelige for klientprogrammer ved hjælp af OAuth-sikkerhedstokens. MSAL arbejder sammen med OAuth om at bekræfte krav og om at udveksle tokens (i stedet for adgangskoder) for at give en bruger adgang til en ressource. Tidligere har autoriteten i en transaktion som denne – serveren, der ved, hvordan brugerkrav skal valideres og udsteder de nødvendige tokens – muligvis været en sikkerhedstokentjeneste i det lokale miljø eller endda Active Directory Federation Services. Moderne godkendelse centraliserer dog denne myndighed ved hjælp af Microsoft Entra ID.

Det betyder også, at selvom exchange-serveren og Skype for Business-miljøer muligvis er helt i det lokale miljø, er den godkendende server online, og dit lokale miljø skal have mulighed for at oprette og vedligeholde en forbindelse til dit Office 365-abonnement i cloudmiljøet (og den Microsoft Entra-forekomst, som dit abonnement bruger som sin mappe).

Hvad ændres ikke? Uanset om du er i en hybrid med opdelt domæne eller bruger Skype for Business- og Exchange-server i det lokale miljø, skal alle brugere først godkende i det lokale miljø. I en hybrid implementering af moderne godkendelse peger Lyncdiscovery og Autodiscovery begge på din lokale server.

Vigtigt!

Hvis du har brug for at kende de specifikke Skype for Business-topologier, der understøttes med ma, er det dokumenteret lige her.

Kontrollér den moderne godkendelsesstatus for dit lokale miljø

Da moderne godkendelse ændrer den godkendelsesserver, der bruges, når tjenester anvender OAuth/S2S, skal du vide, om moderne godkendelse er aktiveret eller deaktiveret for dine Skype for Business- og Exchange-miljøer i det lokale miljø. Du kan kontrollere status på dine Exchange-servere ved at køre følgende PowerShell-kommando:

Get-OrganizationConfig | ft OAuth*

Hvis værdien af egenskaben OAuth2ClientProfileEnabled er False, er moderne godkendelse deaktiveret.

Du kan få flere oplysninger om cmdlet'en Get-OrganizationConfig under Get-OrganizationConfig.

Du kan kontrollere dine Skype for Business-servere ved at køre følgende PowerShell-kommando:

Get-CSOAuthConfiguration

Hvis kommandoen returnerer en tom OAuthServers-egenskab , eller hvis værdien af egenskaben ClientADALAuthOverride ikke er tilladt, er moderne godkendelse deaktiveret.

Du kan få flere oplysninger om cmdlet'en Get-CsOAuthConfiguration under Get-CsOAuthConfiguration.

Opfylder du moderne godkendelsesbetingelser?

Kontrollér og markér disse elementer fra listen, før du fortsætter:

• Skype for Business-specifik

  • Alle servere skal have en kumulativ opdatering (CU5) fra maj 2017 til Skype for Business Server 2015 eller nyere
    • Undtagelse – SBA (Survivability Branch Appliance) kan være på den aktuelle version (baseret på Lync 2013)
  • Dit SIP-domæne tilføjes som et domæne i organisationsnetværket i Office 365
  • Alle SFB-frontends skal have forbindelser, der er udgående til internettet, til Office 365-godkendelses-URL-adresser (TCP 443) og velkendte certifikatrod-CRLs (TCP 80), der er angivet i række 56 og 125 i afsnittet "Microsoft 365 Common and Office" i Office 365 URL-adresser og IP-adresseområder.

• Skype for Business i det lokale miljø i et hybridt Office 365-miljø

  • En Skype for Business Server 2019-installation med alle servere, der kører Skype for Business Server 2019.
  • En Skype for Business Server 2015-installation med alle servere, der kører Skype for Business Server 2015.
  • En installation med maksimalt to forskellige serverversioner som angivet nedenfor:
    • Skype for Business Server 2015
    • Skype for Business Server 2019
  • Alle Skype for Business-servere skal have de nyeste kumulative opdateringer installeret. Se Opdateringer til Skype for Business Server for at finde og administrere alle tilgængelige opdateringer.
  • Der er ingen Lync Server 2010 eller 2013 i hybridmiljøet.

Bemærk!

Hvis frontendserverne i Skype for Business bruger en proxyserver til internetadgang, skal proxyserverens IP- og portnummer angives i konfigurationsafsnittet i web.config-filen for hver frontend.

• C:\Programmer\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
• C:\Programmer\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config

<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Vigtigt!

Sørg for at abonnere på RSS-feedet for Office 365 URL-adresser og IP-adresseintervaller for at holde dig opdateret med de nyeste lister over påkrævede URL-adresser.

• Exchange Server-specifik

  • Du bruger enten Exchange Server 2013 CU19 og nyere, Exchange Server 2016 CU8 og op eller Exchange Server 2019 CU1 og opefter.
  • Der er ingen Exchange Server 2010 i miljøet.
  • SSL-aflastning er ikke konfigureret. SSL-afslutning og kryptering igen understøttes.
  • Hvis dit miljø bruger en proxyserverinfrastruktur til at tillade, at servere opretter forbindelse til internettet, skal du sørge for, at alle Exchange-servere har den proxyserver, der er defineret i egenskaben InternetWebProxy .

• Exchange Server i det lokale miljø i et hybridt Office 365-miljø

  • Hvis du bruger Exchange Server 2013, skal rollerne Postkasse og Klientadgang være installeret på mindst én server. Selvom det er muligt at installere rollerne Postkasse og Klientadgang på separate servere, anbefaler vi på det kraftigste, at du installerer begge roller på den samme server for at give større pålidelighed og forbedret ydeevne.
  • Hvis du bruger Exchange Server 2016 eller nyere version, skal mindst én server have serverrollen Postkasse installeret.
  • Der er ingen Exchange Server 2007 eller 2010 i hybridmiljøet.
  • De seneste kumulative opdateringer skal være installeret på alle Exchange-servere. Se Opgrader Exchange til de nyeste kumulative opdateringer for at finde og administrere alle tilgængelige opdateringer.

• Exchange-klient- og protokolkrav

  Tilgængeligheden af moderne godkendelse bestemmes af kombinationen af klienten, protokollen og konfigurationen. Hvis moderne godkendelse ikke understøttes af klienten, protokollen og/eller konfigurationen, fortsætter klienten med at bruge ældre godkendelse.

  Følgende klienter og protokoller understøtter moderne godkendelse med Exchange i det lokale miljø, når moderne godkendelse er aktiveret i miljøet:

  Klienter	Primær protokol	Bemærkninger
  Outlook 2013 og nyere	MAPI via HTTP	MAPI via HTTP skal være aktiveret i Exchange for at kunne bruge moderne godkendelse med disse klienter (aktiveret eller Sand for nye installationer af Exchange 2013 Service Pack 1 og nyere). Du kan få flere oplysninger under Sådan fungerer moderne godkendelse for Office 2013- og Office 2016-klientapps. Sørg for, at du kører det mindst krævede build af Outlook. se Seneste opdateringer til versioner af Outlook, der bruger Windows Installer (MSI).
  Outlook 2016 til Mac og nyere	Exchange-webtjenester
  Outlook til iOS og Android	Microsoft-synkroniseringsteknologi	Se Brug af hybrid moderne godkendelse med Outlook til iOS og Android for at få flere oplysninger.
  Exchange ActiveSync-klienter (f.eks. iOS11 Mail)	Exchange ActiveSync	For Exchange ActiveSync-klienter, der understøtter moderne godkendelse, skal du genoprette profilen for at skifte fra grundlæggende godkendelse til moderne godkendelse.

  Klienter og/eller protokoller, der ikke er angivet (f.eks. POP3), understøtter ikke moderne godkendelse med Exchange i det lokale miljø og fortsætter med at bruge ældre godkendelsesmetoder, selv efter moderne godkendelse er aktiveret i miljøet.

• Generelle forudsætninger

  • Scenarier med ressourceområder kræver tovejs tillid til kontoområdet for at sikre, at der udføres korrekte SID-opslag under hybride moderne godkendelsesanmodninger.

  • Hvis du bruger AD FS, skal du have Windows 2012 R2 AD FS 3.0 og nyere til sammenslutning.

  • Dine identitetskonfigurationer er en af de typer, der understøttes af Microsoft Entra Connect, f.eks. synkronisering af adgangskodehash, pass-through-godkendelse og STS i det lokale miljø, der understøttes af Office 365.

  • Microsoft Entra Connect er konfigureret og fungerer for brugerreplikering og synkronisering.

    Bemærk!

    Alle brugerkonti, der ikke er synkroniseret til Microsoft Entra Identity, får ikke tildelt et godkendelsestoken via hybrid moderne godkendelse. Når programmet i det lokale miljø er konfigureret til at bruge evoSTS som standardgodkendelsesslutpunkt, vil de brugerkonti, der ikke er synkroniseret, støde på problemer med deres adgang til programmet, hvis den relevante konfiguration ikke er tilgængelig.

  • Du har kontrolleret, at hybrid er konfigureret ved hjælp af den klassiske Exchange-hybridtopologitilstand mellem dit lokale miljø og Office 365-miljøet. Officiel supporterklæring til Exchange hybrid siger, at du skal have enten nuværende CU eller nuværende CU - 1.

    Bemærk!

    Hybrid moderne godkendelse understøttes ikke med Hybrid Agent.

  • Sørg for, at både en testbruger i det lokale miljø og en hybridtestbruger, der er placeret i Office 365, kan logge på Skype for Business-skrivebordsklienten (hvis du vil bruge moderne godkendelse sammen med Skype) og Microsoft Outlook (hvis du vil bruge moderne godkendelse med Exchange).

  • Sørg for, at indstillingen SignInOptions i Microsoft Office ikke er konfigureret til den mest restriktive indstilling. Du kan få flere oplysninger under Sådan gør du det muligt for Office at oprette forbindelse til internettet.

Hvad skal jeg ellers vide, før jeg begynder?

• Alle scenarierne for lokale servere omfatter konfiguration af moderne godkendelse i det lokale miljø (faktisk er der en liste over understøttede topologier for Skype for Business), så den server, der er ansvarlig for godkendelse og godkendelse, befinder sig i Microsoft Cloud (Microsoft Entra ID's sikkerhedstokentjeneste, kaldet 'evoSTS'), og opdatering af Microsoft Entra-id for de URL-adresser eller navneområder, der bruges af din installation i det lokale miljø af enten Skype for Business eller Exchange. Derfor påtager lokale servere sig en Microsoft Cloud-afhængighed. Hvis du udfører denne handling, kan det overvejes at konfigurere "hybridgodkendelse".
• Denne artikel indeholder links til andre, der hjælper dig med at vælge understøttede moderne godkendelsestopologier (kun nødvendige for Skype for Business) og vejledningsartikler, der beskriver konfigurationstrinnene eller trin til deaktivering af moderne godkendelse for Exchange i det lokale miljø og Skype for Business i det lokale miljø. Gør denne side til favorit i din browser, hvis du har brug for en hjemmebase til brug af moderne godkendelse i dit servermiljø.

Relaterede emner

• Sådan konfigurerer du Exchange Server i det lokale miljø til at bruge moderne godkendelse
• Skype for Business-topologier, der understøttes med moderne godkendelse
• Fjernelse eller deaktivering af hybrid moderne godkendelse fra Skype for Business og Exchange