共用方式為


混合式新式驗證概觀和必要條件,可搭配商務用內部部署Skype和 Exchange 伺服器使用

本文適用於 Microsoft 365 企業版和 Office 365 企業版。

新式驗證 是一種身分識別管理方法,可提供更安全的使用者驗證和授權。 它適用於商務用 Skype 伺服器內部部署和 Exchange 伺服器內部部署的 Office 365 混合式部署,以及商務用混合式的分割網域Skype。 本文連結至有關必要條件、設定/停用新式驗證,以及一些相關用戶端 (相關文件。Outlook 和 Skype 用戶端) 資訊。

什麼是新式驗證?

新式驗證是用戶端 (例如膝上型計算機或手機) 與伺服器之間驗證和授權方法的組合,以及一些依賴您可能已熟悉之存取原則的安全性措施。 包括:

  • 驗證方法:多重要素驗證 (MFA) ;智慧卡驗證;用戶端憑證式驗證
  • 授權方法:Microsoft的開放式授權 (OAuth) 實作
  • 條件式存取原則:行動應用程式管理 (MAM) 和Microsoft內部條件式存取

使用新式驗證管理使用者身分識別可讓系統管理員在保護資源時使用許多不同的工具,併為內部部署 (Exchange 和商務用Skype) 、Exchange 混合式和商務用Skype混合式/分割網域案例提供更安全的身分識別管理方法。

由於商務Skype與 Exchange 密切合作,因此商務用用戶端使用者Skype登入行為會受到 Exchange 的新式驗證狀態影響。 如果您有商務用Skype 分割網域混合式 架構,其中您有商務用Skype和商務用Skype內部部署,且用戶位於這兩個位置,也適用此架構。

如需 Office 365 中新式驗證的詳細資訊,請參閱 Office 365 用戶端應用程式支援 - 多重要素驗證

重要事項

自 2017 年 8 月起,所有包含商務用 Skype online 和 Exchange Online 的新 Office 365 租使用者預設都會啟用新式驗證。 預先存在的租使用者不會變更其預設MA狀態,但所有新租用戶都會自動支援您先前所列的一組擴充身分識別功能。 若要檢查MA狀態,請 參閱檢查內部部署環境的新式驗證狀態一 節。

當我使用新式驗證時,有哪些變更?

使用新式驗證搭配商務用內部部署Skype或 Exchange 伺服器時,您仍在 內部部署驗證 使用者,但 授權使用者存 取資源 (如檔案或電子郵件) 變更。 這就是為什麼雖然新式驗證與客戶端和伺服器通訊有關,但是在設定MA期間所採取的步驟會導致 evoSTS (Microsoft Entra ID 所使用的安全性令牌服務,) 設定為適用於商務用和 Exchange 伺服器內部部署Skype的驗證伺服器。

evoSTS 的變更可讓您的內部部署伺服器利用 OAuth (令牌發行) 來授權您的用戶端,也可讓您的內部部署使用雲端 (中常見的安全性方法,例如 Multi-Factor Authentication) 。 此外,evoSTS 會發出令牌,允許使用者要求存取資源,而不需要在要求中提供其密碼。 無論您的使用者在何處 (在線或內部部署) ,而且無論哪個位置裝載所需的資源,一旦設定新式驗證之後,EvoSTS 都會成為授權使用者和用戶端的核心。

例如,如果商務用Skype用戶端需要存取 Exchange Server 來代表使用者取得行事曆資訊,它會使用 Microsoft 驗證連結庫 (MSAL) 來執行此動作。 MSAL 是一個程式代碼連結庫,其設計目的是讓您目錄中的安全資源可供使用 OAuth 安全性令牌的用戶端應用程式使用。 MSAL 會與 OAuth 搭配運作,以驗證宣告,並交換令牌 (而非密碼) ,以授與用戶資源的存取權。 在過去,這類交易中的授權單位--知道如何驗證使用者宣告併發出所需令牌的伺服器,可能是內部部署的安全性令牌服務,甚至是 Active Directory 同盟服務。 不過,新式驗證會使用 Microsoft Entra ID 將該授權單位集中化。

這也表示即使您的 Exchange 伺服器和商務用Skype環境可能完全在內部部署,授權伺服器仍處於在線狀態,而且您的內部部署環境必須能夠在雲端 (中建立及維護 Office 365 訂閱的連線,以及訂用帳戶用來作為其目錄) 的 Microsoft Entra 實例。

哪些專案不會變更? 不論您是在分割網域混合式中,還是使用商務用Skype和 Exchange 伺服器內部部署,所有使用者都必須 先在內部部署進行驗證。 在新式驗證的混合式實作 中,Lyncdiscovery自動探索 都會指向您的內部部署伺服器。

重要事項

如果您需要知道 MA 支援的特定商務用Skype拓撲,請參閱 這裡說明。

檢查內部部署環境的新式驗證狀態

由於新式驗證會變更服務套用 OAuth/S2S 時所使用的授權伺服器,因此您必須知道已針對商務與 Exchange 環境的內部部署Skype啟用或停用新式驗證。 您可以執行下列 PowerShell 命令來檢查 Exchange 伺服器上的狀態:

Get-OrganizationConfig | ft OAuth*

如果 OAuth2ClientProfileEnabled 屬性的值為 False,則會停用新式驗證。

如需 Cmdlet 的 Get-OrganizationConfig 詳細資訊,請參閱 Get-OrganizationConfig

您可以執行下列 PowerShell 命令來檢查商務用Skype伺服器:

Get-CSOAuthConfiguration

如果命令傳回空的 OAuthServers 屬性,或 ClientADALAuthOverride 屬性的值不是 [允許],則會停用新式驗證。

如需 Cmdlet 的 Get-CsOAuthConfiguration 詳細資訊,請參閱 Get-CsOAuthConfiguration

您是否符合新式驗證必要條件?

在您繼續之前,請先從清單中確認並檢查這些專案:

  • 商務用Skype特定

    • 所有伺服器都必須有 2017 年 5 月累積更新 (2015 年 Skype 或更新版本的 CU5)
      • 例外 狀況 - Survivability Branch Appliance (SBA) 可以是以 Lync 2013 為基礎的目前版本 ()
    • 您的 SIP 網域會在 Office 365 中新增為同盟網域
    • 所有 SFB 前端都必須有輸出至因特網的連線,以及 TCP 443) 和已知憑證根 CRL (TCP 365 驗證 URL (TCP 80) 列 56 和 125 Office 365 URL 和 IP 位址範圍的 'Microsoft 365 Common and Office' 區段中所列的 TCP 80) 。
  • 在混合式 Office 365 環境中Skype商務用內部部署

    • 含所有執行商務用 Skype 伺服器 2019 之伺服器的商務用 Skype 伺服器 2019 部署。
    • 含所有執行商務用 Skype 伺服器 2015 之伺服器的商務用 Skype 伺服器 2015 部署。
    • 部署最多兩個不同的伺服器版本,如下所列:
      • 商務用 Skype Server 2015
      • 商務用 Skype Server 2019
    • 所有商務用Skype伺服器都必須安裝最新的累積更新,請 參閱商務用Skype伺服器更新 ,以尋找和管理所有可用的更新。
    • 混合式環境中沒有 Lync Server 2010 或 2013。

注意事項

如果您的商務Skype前端伺服器使用 Proxy 伺服器進行因特網存取,則必須在每個前端 web.config 檔案的組態區段中輸入使用的 Proxy 伺服器 IP 和埠號碼。

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

重要事項

請務必訂閱 Office 365 URL 的 RSS 摘要和 IP 位址範圍 ,以掌握所需 URL 的最新清單。

  • Exchange Server 特定

    • 您使用 Exchange Server 2013 CU19 和更新版本、Exchange Server 2016 CU8 和更新版本,或 Exchange Server 2019 CU1 和更新版本。
    • 環境中沒有 Exchange Server 2010。
    • 未設定 SSL 卸除。 支援 SSL 終止和重新加密。
    • 如果您的環境利用 Proxy 伺服器基礎結構來允許伺服器連線到因特網,請確定所有 Exchange 伺服器都已在 InternetWebProxy 屬性中定義 Proxy 伺服器。
  • 混合式 Office 365 環境中的 Exchange Server 內部部署

    • 如果您使用 Exchange Server 2013,則至少必須安裝一部伺服器的信箱和用戶端存取伺服器角色。 雖然可以在不同的伺服器上安裝信箱和用戶端存取角色,但我們強烈建議您在同一部伺服器上安裝這兩個角色,以提供更高的可靠性和改善的效能。
    • 如果您使用 Exchange Server 2016 或更新版本,則至少必須安裝一部伺服器信箱伺服器角色。
    • 混合式環境中沒有 Exchange Server 2007 或 2010。
    • 所有 Exchange 伺服器都必須安裝最新的累積更新。 請參閱 將 Exchange 升級至最新的累積更新 ,以尋找和管理所有可用的更新。
  • Exchange 用戶端和通訊協定需求

    新式驗證的可用性取決於客戶端、通訊協定和組態的組合。 如果客戶端、通訊協定和/或組態不支援新式驗證,則用戶端會繼續使用舊版驗證。

    下列用戶端和通訊協定支援在環境中啟用新式驗證時,使用內部部署 Exchange 進行新式驗證:

    用戶端 主要通訊協定 附註
    Outlook 2013 及更新版本
    MAPI over HTTP
    您必須在 Exchange 中啟用 MAPI over HTTP,才能對這些用戶端使用新式驗證 (啟用或 True 是表示 Exchange 2013 Service Pack 1 及更新版本的新安裝) ;如需詳細資訊,請 參閱 Office 2013 和 Office 2016 用戶端應用程式的新式驗證運作方式
    請確定您正在執行 Outlook 的最低必要組建;請參閱 使用 Windows Installer (MSI) 的最新 Outlook 版本更新
    Mac 版 Outlook 2016 及更新版本
    Exchange Web 服務

    iOS 和 Android 版 Outlook
    Microsoft 同步科技
    如需詳細資訊,請參閱 搭配 iOS 和 Android 版 Outlook 使用混合式新式驗證
    Exchange ActiveSync 用戶端 (例如 iOS11 郵件)
    Exchange ActiveSync
    對於支援新式驗證的 Exchange ActiveSync 用戶端,您必須重新建立配置檔,才能從基本身份驗證切換至新式驗證。

    例如,未列出 (的用戶端和/或通訊協定 POP3) 不支持內部部署 Exchange 的新式驗證,即使在環境中啟用新式驗證之後,仍繼續使用舊版驗證機制。

  • 一般必要條件

    • 資源樹系案例需要與帳戶樹系的雙向信任,以確保在混合式新式驗證要求期間執行適當的 SID 查閱。

    • 如果您使用 AD FS,則應該要有 Windows 2012 R2 AD FS 3.0 和更新版本來進行同盟。

    • 您的身分識別設定是 Microsoft Entra Connect 支援的任何類型,例如密碼哈希同步處理、傳遞驗證,以及 Office 365 支援的內部部署 STS。

    • 您Microsoft已設定 Entra Connect 並可運作以進行用戶複寫和同步處理。

      注意事項

      未同步至 Microsoft Entra Identity 的任何用戶帳戶,都不會透過混合式新式驗證提供授權令牌。 將內部部署應用程式設定為使用 evoSTS 作為預設授權端點之後,如果無法使用適當的設定,這些未同步處理的用戶帳戶將會在存取應用程式時遇到問題。

    • 您已確認已在內部部署與 Office 365 環境之間使用 Exchange 傳統混合式拓撲模式來設定混合式。 Exchange 混合式的官方支持聲明指出您必須擁有目前的 CU 或目前的 CU - 1。

      注意事項

      混合式代理程式不支援混合式新式驗證。

    • 如果您想要搭配 exchange) 使用新式驗證,請確定內部部署測試用戶和位於 Office 365 中的混合式測試使用者都可以登入商務用Skype桌面用戶端 (如果您想要使用新式驗證與 Skype) ,Microsoft Outlook (。

    • 請確定 Microsoft Office 中的 SignInOptions 設定未設定為限制最嚴格的設定。 如需詳細資訊,請 參閱如何允許 Office 連線到因特網

開始之前還需要知道什麼?

  • 內部部署伺服器的所有案例實際上都牽涉到設定新式驗證內部部署 (針對Skype,有一份支援的拓撲) 清單,讓負責驗證和授權的伺服器位於 Microsoft Cloud (Microsoft Entra ID 的安全性令牌服務中,稱為 'evoSTS') ,並更新Microsoft內部部署安裝商務用或 Exchange 所使用 URL 或命名空間的 Skype Microsoft Entra ID。 因此,內部部署伺服器會採用Microsoft雲端相依性。 採取此動作可視為設定「混合式驗證」。
  • 本文連結至其他人,可協助您選擇支援的現代化驗證拓撲 (僅適用於商務用Skype) ,以及概述 Exchange 內部部署和商務用Skype內部部署設定步驟或停用新式驗證步驟的操作說明文章。 如果您需要在伺服器環境中使用新式驗證的基底,請在瀏覽器中將此頁面設為我的最愛。