Modernin todentamisen yhdistelmän yleiskatsaus ja sen käytön edellytykset paikallisten Skype for Business- ja Exchange-palvelimien kanssa

Tämä artikkeli koskee sekä Microsoft 365 Enterprisea että Office 365 Enterpriseä.

Moderni todentaminen on käyttäjätietojen hallinnan menetelmä, joka tarjoaa turvallisemman käyttäjän todentamisen ja valtuutuksen. Se on käytettävissä Paikallisen Skype for Business -palvelimen ja Paikallisen Exchange-palvelimen Office 365 -yhdistelmäkäyttöönotoissa sekä Skype for Business -hybrideissä. Tässä artikkelissa on linkkejä edellytyksiin liittyviin asiakirjoihin, modernin todentamisen määrittämiseen/käytöstä poistamiseen sekä joihinkin liittyviin asiakastietoihin (esimerkiksi Outlook- ja Skype-asiakasohjelmiin).

• Mikä on moderni todentaminen?
• Mitä muuttuu, kun käytän modernia todennusta?
• Paikallisen ympäristön modernin todennuksen tilan tarkistaminen
• Täytätkö modernin todentamisen edellytykset?
• Mitä muuta minun on tiedettävä ennen kuin aloitan?

Mikä on moderni todentaminen?

Moderni todennus on sateenvarjotermi todennus- ja valtuutusmenetelmien yhdistelmälle asiakkaan (esimerkiksi kannettavan tietokoneen tai puhelimen) ja palvelimen välillä sekä joillekin suojaustoimenpiteille, jotka perustuvat käyttöoikeuskäytäntöihin, jotka saattavat jo olla sinulle tuttuja. Se sisältää seuraavat:

• Todennusmenetelmät: monimenetelmäinen todentaminen (MFA); älykorttitodentaminen; asiakasvarmenteeseen perustuva todennus
• Valtuutusmenetelmät: Microsoftin Open Authorization (OAuth) -toteutus
• Ehdolliset käyttöoikeuskäytännöt: mobiilisovellusten hallinta (MAM) ja Microsoft Entran ehdollinen käyttöoikeus

Käyttäjätietojen hallinta nykyaikaisella todennuksella antaa järjestelmänvalvojille monia erilaisia työkaluja resurssien suojaamiseen ja tarjoaa turvallisempia käyttäjätietojen hallintamenetelmiä sekä paikallisesti (Exchange ja Skype for Business), Exchange Hybridissä että Skype for Businessin yhdistelmä-/jakotoimialueskenaariossa.

Koska Skype for Business tekee tiivistä yhteistyötä Exchangen kanssa, Exchangen moderni todennustila vaikuttaa Skype for Business -asiakaskäyttäjien kirjautumistoimintaan. Se on käytettävissä myös, jos sinulla on Skype for Businessin jaetun toimialueen yhdistelmäarkkitehtuuri, jossa on sekä Skype for Business Online että Skype for Business paikallisesti, ja käyttäjät sijaitsevat molemmissa sijainneissa.

Lisätietoja nykyaikaisesta todennuksesta Office 365:ssä on artikkelissa Office 365 -asiakassovellusten tuki – monimenetelmäinen todentaminen.

Tärkeää

Elokuusta 2017 alkaen kaikissa uusissa Office 365 -vuokraajissa, jotka sisältävät Skype for Business Onlinen ja Exchange Onlinen, moderni todentaminen on oletusarvoisesti käytössä. Aiemmin luodut vuokraajat eivät muuta oletusarvoista käyttöoikeuden hallintatilaansa, mutta kaikki uudet vuokraajat tukevat automaattisesti aiemmin lueteltuja laajennettuja käyttäjätieto-ominaisuuksia. Jos haluat tarkistaa todentamisen tilan, katso kohta Paikallisen ympäristön modernin todennuksen tilan tarkistaminen .

Mitä muuttuu, kun käytän modernia todennusta?

Kun käytät modernia todennusta paikallisen Skype for Businessin tai Exchange-palvelimen kanssa, todennat käyttäjiä edelleen paikallisesti, mutta tarina resurssien (kuten tiedostojen tai sähköpostien) käyttöoikeuksien valtuuttamisesta muuttuu. Tämän vuoksi vaikka modernissa todennuksessa on kyse asiakas- ja palvelinviestinnästä, ma-määritysvaiheet johtavat siihen, että evoSTS (Microsoft Entra ID:n käyttämä suojaustunnuspalvelu) määritetään Auth Server for Skype for Business- ja Exchange-palvelimeksi paikallisesti.

Muutos kutsuuSTS:ää, joten paikalliset palvelimet voivat hyödyntää OAuth-todennusta (tunnuksen myöntäminen) asiakasohjelmien valtuuttamiseksi. Lisäksi paikalliset käyttäjät voivat käyttää pilvipalvelussa yleisiä suojausmenetelmiä (esimerkiksi monimenetelmäistä todentamista). Lisäksi ne herättävät SSTS-ongelmatunnuksia, joiden avulla käyttäjät voivat pyytää käyttöoikeuksia resursseihin ilman salasanan antamista osana pyyntöä. Riippumatta siitä, missä käyttäjät ovat (verkossa tai paikallisesti), ja riippumatta siitä, missä sijainnissa tarvittava resurssi sijaitsee, EvoSTS:stä tulee käyttäjien ja asiakkaiden valtuutuksen ydin, kun moderni todennus on määritetty.

Jos esimerkiksi Skype for Business -asiakkaan on käytettävä Exchange-palvelinta saadakseen kalenteritietoja käyttäjän puolesta, se käyttää tätä Microsoftin todennuskirjaston (MSAL) avulla. MSAL on koodikirjasto, jonka avulla hakemistosi suojatut resurssit ovat saatavilla asiakassovelluksille OAuth-suojaustunnuksilla. MSAL tarkistaa väitteet yhdessä OAuthin kanssa ja vaihtaa tunnuksia (salasanojen sijaan) resurssin käyttöoikeuksien myöntämiseksi käyttäjälle. Aiemmin tämän tapahtuman viranomainen – palvelin, joka osaa vahvistaa käyttäjäväitteet ja antaa tarvittavat tunnukset – saattoi olla paikallinen suojaustunnuspalvelu tai jopa Active Directory -liittoutumispalvelut. Nykyaikainen todentaminen keskittää kuitenkin kyseisen myöntäjän Microsoft Entra -tunnuksen avulla.

Tämä tarkoittaa myös sitä, että vaikka Exchange Server- ja Skype for Business -ympäristöt saattavat olla täysin paikallisia, valtuutettava palvelin on online-tilassa ja paikallisen ympäristösi on voitava luoda ja ylläpitää yhteyttä Office 365 -tilaukseesi pilvipalvelussa (ja Microsoft Entra -esiintymään, jota tilauksesi käyttää hakemistona).

Mikä ei muutu? Olitpa sitten jaetun toimialueen yhdistelmässä tai skype for Businessin ja Exchange-palvelimen paikallisessa käytössä, kaikkien käyttäjien on ensin todennettava paikallisesti. Nykyaikaisen todennuksen yhdistelmätoteutuksen Lyncdiscovery ja Autodiscovery osoittavat molemmat paikalliseen palvelimeen.

Tärkeää

Jos haluat tietää tietyn Skype for Business -topologioiden, joita ma-menetelmä tukee, se on dokumentoitu tässä.

Paikallisen ympäristön modernin todennuksen tilan tarkistaminen

Koska nykyaikainen todennus muuttaa valtuutuspalvelinta, jota käytetään, kun palvelut käyttävät OAuth/S2S-todennusta, sinun on tiedettävä, onko nykyaikainen todennus käytössä vai poistettu käytöstä paikallisissa Skype for Business- ja Exchange-ympäristöissä. Voit tarkistaa tilan Exchange-palvelimista suorittamalla seuraavan PowerShell-komennon:

Get-OrganizationConfig | ft OAuth*

Jos OAuth2ClientProfileEnabled-ominaisuuden arvo on False, moderni todentaminen on poistettu käytöstä.

Lisätietoja cmdlet-komennosta Get-OrganizationConfig on kohdassa Get-OrganizationConfig.

Voit tarkistaa Skype for Business -palvelimesi suorittamalla seuraavan PowerShell-komennon:

Get-CSOAuthConfiguration

Jos komento palauttaa tyhjän OAuthServers-ominaisuuden tai jos ClientADALAuthOverride-ominaisuuden arvo ei ole Sallittu, moderni todentaminen on poistettu käytöstä.

Lisätietoja cmdlet-komennosta Get-CsOAuthConfiguration on kohdassa Get-CsOAuthConfiguration.

Täytätkö modernin todentamisen edellytykset?

Tarkista ja kuittaa nämä kohteet pois luettelostasi ennen jatkamista:

• Skype for Business -kohtainen

  • Kaikilla palvelimilla on oltava skype for Business Server 2015:n tai uudempien versioiden toukokuun 2017 kumulatiivinen päivitys (CU5)
    • Poikkeus - Selviytymishaaran laite (SBA) voi olla nykyisessä versiossa (Lync 2013:n perusteella)
  • SIP-toimialue lisätään liitettynä toimialueena Office 365:een
  • Kaikissa SFB-edustapalveluissa on oltava Internet-yhteydet, Office 365 -todennuksen URL-osoitteet (TCP 443) ja Office 365:n URL-osoitteet ja Office 365:n URL-osoitteet ja IP-osoitealueet -osan Microsoft 365 Common and Office -osan riveillä 56 ja 125 luetellut varmenteiden päämyöntäjän päämyöntäjät.

• Skype for Businessin paikallinen yhdistelmäympäristö Office 365 -ympäristössä

  • Skype for Business Server 2019 -käyttöönotto, jossa on kaikki palvelimet, joissa on käytössä Skype for Business Server 2019.
  • Skype for Business Server 2015 -käyttöönotto, jossa on kaikki palvelimet, joissa on käytössä Skype for Business Server 2015.
  • Käyttöönotto, jossa on enintään kaksi eri palvelinversiota alla kuvatulla tavalla:
    • Skype for Business Server 2015
    • Skype for Business Server 2019
  • Kaikkiin Skype for Business -palvelimiin on oltava asennettuna uusimmat kumulatiiviset päivitykset. Katso Skype for Business Server -päivitykset , jos haluat etsiä ja hallita kaikkia saatavilla olevia päivityksiä.
  • Yhdistelmäympäristössä ei ole Lync Server 2010:aa tai 2013:a.

Huomautus

Jos Skype for Businessin edustapalvelimet käyttävät välityspalvelinta Internet-käyttöä varten, käytetyt välityspalvelimen IP- ja porttinumerot on kirjoitettava kunkin edustan web.config-tiedoston määritysosaan.

• C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
• C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config

<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Tärkeää

Muista tilata Office 365:n URL-osoitteiden ja IP-osoitealueiden RSS-syöte, jotta pysyt ajan tasalla vaadittujen URL-osoitteiden uusimpien luetteloiden kanssa.

• Exchange-palvelinkohtainen

  • Käytät joko Exchange Server 2013 CU19:ää ja uudempaa, Exchange Server 2016 CU8:aa tai Exchange Server 2019 CU1:tä ja uudempaa.
  • Ympäristössä ei ole Exchange Server 2010 -palvelinta.
  • SSL-purkua ei ole määritetty. SSL-lopettamista ja uudelleensalausta tuetaan.
  • Jos ympäristösi käyttää välityspalvelininfrastruktuuria, jotta palvelimet voivat muodostaa yhteyden Internetiin, varmista, että kaikilla Exchange-palvelimilla on Määritetty välityspalvelin InternetWebProxy-ominaisuudessa .

• Exchange Server paikallisesti yhdistelmäympäristössä Office 365

  • Jos käytössäsi on Exchange Server 2013, vähintään yhteen palvelimeen on asennettava Postilaatikko- ja Client Access -palvelinroolit. Vaikka postilaatikon ja asiakkaan käyttöoikeuden roolit on mahdollista asentaa erillisiin palvelimiin, on suositeltavaa asentaa molemmat roolit samaan palvelimeen luotettavuuden ja suorituskyvyn parantamiseksi.
  • Jos käytössäsi on Exchange Server 2016 tai uudempi versio, vähintään yhteen palvelimeen on asennettava postilaatikon palvelinrooli.
  • Yhdistelmäympäristössä ei ole Exchange-palvelinta 2007 tai 2010.
  • Kaikkiin Exchange-palvelimiin on asennettava uusimmat kumulatiiviset päivitykset. Katso artikkeli Exchangen päivittäminen uusimpiin kumulatiivisiin päivityksiin , jos haluat etsiä ja hallita kaikkia saatavilla olevia päivityksiä.

• Exchange-asiakas- ja protokollavaatimukset

  Modernin todentamisen käytettävyys määräytyy asiakkaan, protokollan ja määritysten yhdistelmällä. Jos asiakas, protokolla ja/tai määritys eivät tue modernia todentamista, asiakas jatkaa vanhan todennuksen käyttöä.

  Seuraavat asiakkaat ja protokollat tukevat modernia todentamista paikallisessa Exchangessa, kun moderni todentaminen on käytössä ympäristössä:

  Asiakkaat	Ensisijainen protokolla	Huomautuksia
  Outlook 2013 ja uudemmat versiot	MAPI HTTP:n välityksellä	HTTP-yhteyden MAPI on otettava käyttöön Exchangessa, jotta modernia todennusta voidaan käyttää näiden asiakkaiden kanssa (käytössä tai Tosi Exchange 2013 Service Pack 1:n ja uudempien versioiden uusissa asennuksista); Lisätietoja on artikkelissa Modernin todennuksen toiminta Office 2013- ja Office 2016 -asiakassovelluksissa. Varmista, että käytät Outlookin vähimmäisversiota. katso Windows Installeria (MSI) käyttävien Outlook-versioiden uusimmat päivitykset.
  Outlook 2016 for Mac ja uudemmat versiot	Exchange-verkkopalvelut
  Outlook for iOS ja Outlook for Android	Microsoftin synkronointitekniikka	Lisätietoja on artikkelissa Modernin hybriditodennuksen käyttäminen iOS:n ja Androidin Outlookissa .
  Exchange ActiveSync -asiakkaat (esimerkiksi iOS11-sähköposti)	Exchange ActiveSync	Jos Exchange ActiveSync -asiakasohjelmat tukevat modernia todentamista, sinun on luotava profiili uudelleen, jotta voit vaihtaa perustodennuksesta nykyaikaiseen todennukseen.

  Asiakkaat ja/tai protokollat, joita ei ole luettelossa (esimerkiksi POP3), eivät tue modernia todentamista paikallisessa Exchangessa ja jatkavat vanhojen todennusmekanismien käyttöä myös sen jälkeen, kun moderni todentaminen on otettu käyttöön ympäristössä.

• Yleiset edellytykset

  • Resurssimetsäskenaariot edellyttävät kaksisuuntaista luottamusta tilin metsään sen varmistamiseksi, että asianmukaiset SID-haut suoritetaan hybridimodernissa todennuspyynnöissä.

  • Jos käytät AD FS:ää, sinulla pitäisi olla liittoutumista varten Windows 2012 R2 AD FS 3.0 tai uudempi.

  • Käyttäjätietojen määritykset ovat mitä tahansa Microsoft Entra Connectin tukemia tyyppejä, kuten salasanan hajautuksen synkronointi, läpivientitodentaminen ja Office 365:n tukema paikallinen STS.

  • Microsoft Entra Connect on määritetty ja toimii käyttäjien replikointia ja synkronointia varten.

    Huomautus

    Tilejä, joita ei ole synkronoitu Microsoft Entra Identityen, ei anneta valtuutustunnusta modernin hybriditodennuksen kautta. Kun paikallinen sovellus on määritetty käyttämään evoSTS-kohdetta oletusarvoisena valtuutuksen päätepisteenä, näitä käyttäjätilejä, joita ei synkronoida, ilmenee ongelmia sovelluksen käytössä, jos sopivaa määritystä ei ole käytettävissä.

  • Olet varmistanut, että yhdistelmä on määritetty käyttämään Exchange Classic -yhdistelmätopologiatilaa paikallisen ja Office 365 -ympäristön välillä. Exchange Hybridin virallisen tukilausunnon mukaan sinulla on oltava joko nykyinen kumulatiivinen päivitys tai nykyinen kumulatiivinen päivitys - 1.

    Huomautus

    Hybridiagentti ei tue modernin hybriditodennuksen yhdistelmätodennusta.

  • Varmista, että sekä paikallinen testikäyttäjä että Office 365:ssä kotiutettu hybriditestikäyttäjä voivat kirjautua Sisään Skype for Business -työpöytäsovellukseen (jos haluat käyttää modernia todennusta Skypen kanssa) ja Microsoft Outlookiin (jos haluat käyttää modernia todennusta Exchangen kanssa).

  • Varmista, että Microsoft Officen SignInOptions-asetusta ei ole määritetty rajoittavimpaan asetukseen. Lisätietoja on artikkelissa Officen Internet-yhteyden salliminen.

Mitä muuta minun on tiedettävä ennen kuin aloitan?

• Kaikki paikallisten palvelimien skenaariot edellyttävät modernin todentamisen määrittämistä paikallisesti (itse asiassa Skype for Businessille on luettelo tuetuista topologioista), jotta todentamisesta ja varmennuksesta vastaava palvelin on Microsoft Cloudissa (Microsoft Entra ID:n suojaustunnuspalvelu, jota kutsutaan "evoSTS:ksi"), ja Microsoft Entra ID:n päivittäminen joko Skype for Businessin tai Exchangen paikallisessa asennuksessa käytettävistä URL-osoitteista tai nimitiloista. Siksi paikalliset palvelimet ovat riippuvaisia Microsoftin pilvipalvelusta. Tämän toiminnon suorittamista voidaan pitää yhdistelmätodennuksen määrittämisenä.
• Tässä artikkelissa on linkkejä muihin, jotka auttavat sinua valitsemaan tuetut modernit todennustopologiat (tarvitaan vain Skype for Businessille) ja ohjeartikkeleita, joissa esitellään asennusvaiheet tai modernin todentamisen käytöstä poistamisen vaiheet Exchangessa paikallisesti ja Skype for Businessissa paikallisesti. Lisää tämä sivu suosikkeihin selaimessasi, jos tarvitset aloitussivun modernin todennuksen käyttämiseen palvelinympäristössäsi.

Aiheeseen liittyvät artikkelit

• Exchange Serverin määrittäminen paikallisesti käyttämään modernia todennusta
• Skype for Business -topologioita tuetaan modernilla todennuksella
• Modernin hybriditodennuksen poistaminen tai poistaminen käytöstä Skype for Businessista ja Exchangesta