Oversikt over hybrid moderne godkjenning og forutsetninger for å bruke den med lokale Skype for Business- og Exchange-servere
Denne artikkelen gjelder for både Microsoft 365 Enterprise og Office 365 Enterprise.
Moderne godkjenning er en metode for identitetsbehandling som tilbyr sikrere brukergodkjenning og autorisasjon. Den er tilgjengelig for office 365-hybriddistribusjoner av lokale Skype for Business-servere og Exchange-server lokalt, og skype for Business-hybrider med delt domene. Denne artikkelen inneholder koblinger til relaterte dokumenter om forutsetninger, oppsett/deaktivering av moderne godkjenning og til noe av den relaterte klientinformasjonen (f.eks. Outlook- og Skype-klienter).
- Hva er moderne godkjenning?
- Hvilke endringer når jeg bruker moderne godkjenning?
- Kontrollere den moderne godkjenningsstatusen for det lokale miljøet
- Oppfyller du forutsetninger for moderne godkjenning?
- Hva annet trenger jeg å vite før jeg begynner?
Hva er moderne godkjenning?
Moderne godkjenning er en paraplyterm for en kombinasjon av godkjennings- og godkjenningsmetoder mellom en klient (for eksempel den bærbare datamaskinen eller telefonen) og en server, samt noen sikkerhetstiltak som er avhengige av tilgangspolicyer som du kanskje allerede er kjent med. Det inkluderer:
- Godkjenningsmetoder: Godkjenning med flere faktorer (MFA), smartkortgodkjenning; klientsertifikatbasert godkjenning
- Godkjenningsmetoder: Microsofts implementering av Open Authorization (OAuth)
- Policyer for betinget tilgang: Administrasjon av mobilprogrammer (MAM) og betinget Microsoft Entra-tilgang
Administrasjon av brukeridentiteter med moderne godkjenning gir administratorer mange forskjellige verktøy å bruke når det gjelder å sikre ressurser og tilbyr sikrere metoder for identitetsbehandling til både lokalt (Exchange og Skype for Business), Hybrid for Exchange og hybrid-/delt domenescenarioer for Skype for Business.
Fordi Skype for Business fungerer tett med Exchange, vil påloggingsvirkemåten for Skype for Business-klientbrukere bli påvirket av den moderne godkjenningsstatusen for Exchange. Det er også aktuelt hvis du har en hybridarkitektur med delt domene i Skype for Business, der du har både Skype for Business Online og Skype for Business lokalt, med brukere som er hjemme på begge steder.
Hvis du vil ha mer informasjon om moderne godkjenning i Office 365, kan du se Office 365 Client App Support – godkjenning med flere faktorer.
Viktig
Fra og med august 2017 vil alle nye Office 365-leiere som inkluderer Skype for Business Online og Exchange Online, ha moderne godkjenning aktivert som standard. Eksisterende leiere har ingen endring i standard ma-tilstand, men alle nye leiere støtter automatisk det utvidede settet med identitetsfunksjoner som du ser oppført tidligere. Hvis du vil kontrollere ma-statusen din, kan du se delen Kontrollere den moderne godkjenningsstatusen for det lokale miljøet .
Hvilke endringer når jeg bruker moderne godkjenning?
Når du bruker moderne godkjenning med lokal Skype for Business- eller Exchange-server, godkjenner du fortsatt brukere lokalt, men historien om å godkjenne tilgangen til ressurser (for eksempel filer eller e-postmeldinger) endres. Dette er grunnen til at selv om moderne godkjenning handler om klient- og serverkommunikasjon, vil trinnene som utføres under konfigurering av MA, resultere i at evoSTS (en sikkerhetstokentjeneste som brukes av Microsoft Entra ID) angis som Auth Server for Skype for Business og Exchange-serveren lokalt.
Endringen i evoSTS gjør det mulig for lokale servere å dra nytte av OAuth (tokenutstedelse) for å godkjenne klientene dine, og lar også lokale bruk av sikkerhetsmetoder som er vanlige i skyen (for eksempel godkjenning med flere faktorer). I tillegg utsteder evoSTS tokener som tillater brukere å be om tilgang til ressurser uten å oppgi passordet som en del av forespørselen. Uansett hvor brukerne er hjemmehørende (tilkoblet eller lokalt), og uansett hvilken plassering som er vert for den nødvendige ressursen, vil EvoSTS bli kjernen i å godkjenne brukere og klienter når moderne godkjenning er konfigurert.
Hvis en Skype for Business-klient for eksempel trenger tilgang til Exchange-serveren for å få kalenderinformasjon på vegne av en bruker, bruker den Microsofts godkjenningsbibliotek (MSAL) til å gjøre dette. MSAL er et kodebibliotek som er utformet for å gjøre sikrede ressurser i katalogen tilgjengelig for klientprogrammer ved hjelp av OAuth-sikkerhetstokener. MSAL samarbeider med OAuth for å bekrefte krav og utveksle tokener (i stedet for passord), for å gi en bruker tilgang til en ressurs. Tidligere kan myndigheten i en transaksjon som denne , serveren som vet hvordan de skal validere brukerkrav og utstede nødvendige tokener - ha vært en lokal sikkerhetstokentjeneste, eller til og med Active Directory Federation Services. Moderne godkjenning sentraliserer imidlertid denne myndigheten ved hjelp av Microsoft Entra ID.
Dette betyr også at selv om Exchange-serveren og Skype for Business-miljøer kan være helt lokale, er godkjenningsserveren tilkoblet, og det lokale miljøet må ha muligheten til å opprette og vedlikeholde en tilkobling til Office 365-abonnementet i skyen (og Microsoft Entra-forekomsten som abonnementet bruker som katalog).
Hva endres ikke? Uansett om du er i en hybrid med delt domene eller bruker Skype for Business- og Exchange-serveren lokalt, må alle brukere først godkjenne lokalt. I en hybrid implementering av moderne godkjenning peker både Lyncdiscovery og Autodiscovery til den lokale serveren.
Viktig
Hvis du trenger å vite de spesifikke Skype for Business-topologiene som støttes med ma, er dette dokumentert her.
Kontrollere den moderne godkjenningsstatusen for det lokale miljøet
Fordi moderne godkjenning endrer godkjenningsserveren som brukes når tjenester bruker OAuth/S2S, må du vite om moderne godkjenning er aktivert eller deaktivert for lokale Skype for Business- og Exchange-miljøer. Du kan kontrollere statusen på Exchange-serverne ved å kjøre følgende PowerShell-kommando:
Get-OrganizationConfig | ft OAuth*
Hvis verdien for OAuth2ClientProfileEnabled-egenskapen er Usann, deaktiveres moderne godkjenning.
Hvis du vil ha mer informasjon om cmdleten Get-OrganizationConfig , kan du se Get-OrganizationConfig.
Du kan kontrollere Skype for Business-serverne ved å kjøre følgende PowerShell-kommando:
Get-CSOAuthConfiguration
Hvis kommandoen returnerer en tom OAuthServers-egenskap , eller hvis verdien for egenskapen ClientADALAuthOverride ikke er tillatt, deaktiveres moderne godkjenning.
Hvis du vil ha mer informasjon om cmdleten Get-CsOAuthConfiguration , kan du se Get-CsOAuthConfiguration.
Oppfyller du forutsetninger for moderne godkjenning?
Kontroller og kontroller disse elementene fra listen før du fortsetter:
Spesifikke Skype for Business-meldinger
- Alle servere må ha kumulativ oppdatering i mai 2017 (CU5) for Skype for Business Server 2015 eller nyere
- Unntak – Survivability Branch Appliance (SBA) kan være på gjeldende versjon (basert på Lync 2013)
- SIP-domenet legges til som et organisasjonsbasert domene i Office 365
- Alle SFB-frontservere må ha tilkoblinger utgående til Internett, til nettadresser for Office 365-godkjenning (TCP 443) og velkjente rot-CRLer for sertifikat (TCP 80) oppført i rad 56 og 125 i delen Vanlige og office for Microsoft 365-nettadresser og IP-adresseområder.
- Alle servere må ha kumulativ oppdatering i mai 2017 (CU5) for Skype for Business Server 2015 eller nyere
Skype for Business lokalt i et hybrid Office 365-miljø
- En Skype for Business Server 2019-distribusjon med alle servere som kjører Skype for Business Server 2019.
- En Skype for Business Server 2015-distribusjon med alle servere som kjører Skype for Business Server 2015.
- En distribusjon med maksimalt to forskjellige serverversjoner som er oppført nedenfor:
- Skype for Business Basic 2015
- Skype for Business Basic 2019
- Alle Skype for Business-servere må ha de nyeste kumulative oppdateringene installert, se Skype for Business Server-oppdateringer for å finne og administrere alle tilgjengelige oppdateringer.
- Det finnes ingen Lync Server 2010 eller 2013 i hybridmiljøet.
Obs!
Hvis skype for Business-frontserverne bruker en proxy-server for Internett-tilgang, må proxy-serverens IP- og portnummer som brukes, angis i konfigurasjonsdelen av web.config-filen for hver front.
- C:\Programfiler\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
- C:\Programfiler\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
<system.net>
<defaultProxy>
<proxy
proxyaddress="https://192.168.100.60:8080"
bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>
Viktig
Pass på å abonnere på RSS-feeden for Office 365-nettadresser og IP-adresseområder for å holde deg oppdatert med de nyeste oppføringene av nødvendige nettadresser.
Spesifikk Exchange Server
- Du bruker enten Exchange Server 2013 CU19 og nyere, Exchange Server 2016 CU8 og nyere, eller Exchange Server 2019 CU1 og nyere.
- Det finnes ingen Exchange Server 2010 i miljøet.
- SSL-avlastning er ikke konfigurert. SSL-avslutning og ny kryptering støttes.
- Hvis miljøet ditt bruker en proxy-serverinfrastruktur for å tillate servere å koble til Internett, må du kontrollere at alle Exchange-servere har proxy-serveren definert i InternetWebProxy-egenskapen .
Exchange Server lokalt i et hybrid Office 365-miljø
- Hvis du bruker Exchange Server 2013, må minst én server ha serverrollene Postboks og Klienttilgang installert. Selv om det er mulig å installere rollene postboks og klienttilgang på separate servere, anbefaler vi på det sterkeste at du installerer begge rollene på samme server for å gi mer pålitelighet og bedre ytelse.
- Hvis du bruker Exchange Server 2016 eller nyere versjon, må minst én server ha e-postboksserverrollen installert.
- Det finnes ingen Exchange Server 2007 eller 2010 i hybridmiljøet.
- Alle Exchange-servere må ha de nyeste kumulative oppdateringene installert. Se Oppgrader Exchange til de nyeste kumulative oppdateringene for å finne og administrere alle tilgjengelige oppdateringer.
Krav til Exchange-klient og -protokoll
Tilgjengeligheten av moderne godkjenning bestemmes av kombinasjonen av klienten, protokollen og konfigurasjonen. Hvis moderne godkjenning ikke støttes av klienten, protokollen og/eller konfigurasjonen, fortsetter klienten å bruke eldre godkjenning.
Følgende klienter og protokoller støtter moderne godkjenning med lokal Exchange når moderne godkjenning er aktivert i miljøet:
Klienter Primærprotokoll Merknader Outlook 2013 og nyere MAPI over HTTP MAPI over HTTP må være aktivert i Exchange for å kunne bruke moderne godkjenning med disse klientene (aktivert eller Sann for nye installasjoner av Exchange 2013 Service Pack 1 og nyere). Hvis du vil ha mer informasjon, kan du se Hvordan moderne godkjenning fungerer for Office 2013- og Office 2016-klientapper.
Sørg for at du kjører det minste nødvendige bygget av Outlook. se de nyeste oppdateringene for versjoner av Outlook som bruker Windows Installer (MSI).Outlook 2016 for Mac og nyere Exchange Nettjenester Outlook for iOS og Android Microsoft-synkroniseringsteknologi Se Bruke hybrid moderne godkjenning med Outlook for iOS og Android for mer informasjon. Exchange ActiveSync-klienter (for eksempel iOS11 Mail) Exchange ActiveSync For Exchange ActiveSync-klienter som støtter moderne godkjenning, må du opprette profilen på nytt for å bytte fra enkel godkjenning til moderne godkjenning. Klienter og/eller protokoller som ikke er oppført (for eksempel POP3), støtter ikke moderne godkjenning med lokal Exchange og fortsetter å bruke eldre godkjenningsmekanismer selv etter at moderne godkjenning er aktivert i miljøet.
Generelle forutsetninger
Scenarioer for ressursskog krever toveis klarering med kontoskogen for å sikre at riktige SID-oppslag utføres under hybride moderne godkjenningsforespørsler.
Hvis du bruker AD FS, bør du ha Windows 2012 R2 AD FS 3.0 og høyere for forbund.
Identitetskonfigurasjonene dine er alle typer som støttes av Microsoft Entra Connect, for eksempel synkronisering av hash for passord, direktegodkjenning og lokal STS som støttes av Office 365.
Microsoft Entra Connect er konfigurert og fungerer for brukerreplikering og synkronisering.
Obs!
Brukerkontoer som ikke er synkronisert med Microsoft Entra Identity, får ikke et godkjenningstoken via hybrid moderne godkjenning. Når det lokale programmet er konfigurert til å bruke evoSTS som standard godkjenningsendepunkt, vil disse brukerkontoene som ikke er synkronisert, støte på problemer med tilgangen til programmet hvis riktig konfigurasjon ikke er tilgjengelig.
Du har bekreftet at hybrid er konfigurert ved hjelp av Klassisk Exchange-hybridtopologimodus mellom det lokale og Office 365-miljøet. Offisiell støtteerklæring for Exchange hybrid sier at du må ha enten gjeldende CU eller nåværende CU - 1.
Obs!
Hybrid moderne godkjenning støttes ikke med hybridagenten.
Kontroller at både en lokal testbruker og en hybrid testbruker i Office 365 kan logge på skrivebordsklienten for Skype for Business (hvis du vil bruke moderne godkjenning med Skype) og Microsoft Outlook (hvis du vil bruke moderne godkjenning med Exchange).
Kontroller at SignInOptions-innstillingen i Microsoft Office ikke er konfigurert til den mest restriktive innstillingen. Hvis du vil ha mer informasjon, kan du se Hvordan du tillater Office å koble til Internett.
Hva annet trenger jeg å vite før jeg begynner?
- Alle scenarioene for lokale servere innebærer å konfigurere moderne godkjenning lokalt (for Skype for Business finnes det faktisk en liste over støttede topologier) slik at serveren som er ansvarlig for godkjenning og autorisasjon, befinner seg i Microsoft Cloud (Sikkerhetstokentjenesten for Microsoft Entra ID, kalt evoSTS), og oppdatering av Microsoft Entra-ID-en om nettadressene eller navneområdene som brukes av den lokale installasjonen av enten Skype for Business eller Exchange. Lokale servere tar derfor på seg en Microsoft Cloud-avhengighet. Hvis du utfører denne handlingen, kan du vurdere å konfigurere «hybrid godkjenning».
- Denne artikkelen kobler til andre som hjelper deg med å velge støttede moderne godkjenningstopologier (bare nødvendig for Skype for Business) og fremgangsmåter som beskriver konfigurasjonstrinnene, eller trinn for å deaktivere moderne godkjenning, for Lokal Exchange og Skype for Business lokalt. Legg til denne siden som favoritt i nettleseren hvis du trenger en hjemmebase for å bruke moderne godkjenning i servermiljøet.