Moderne Hybridauthentifizierung, Übersicht und Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Die moderne Authentifizierung ist eine Methode zur Identitätsverwaltung, die eine sicherere Benutzerauthentifizierung und Autorisierung bietet. Es steht für Office 365 Hybridbereitstellungen Skype for Business lokalen und Exchange Lokalen Servers sowie für hybride Skype for Business mit geteilter Domäne zur Verfügung. In diesem Artikel finden Sie Links zu verwandten Dokumenten über Voraussetzungen, Einrichtung/Deaktivierung moderner Authentifizierung und zu einigen der zugehörigen Client-Informationen (z. B. Outlook- und Skype-Clients).

Was ist moderne Authentifizierung?

Die moderne Authentifizierung ist ein Überbegriff für eine Kombination von Authentifizierungs- und Autorisierungsmethoden zwischen einem Client (z.B. Ihrem Laptop oder Ihrem Smartphone) und einem Server sowie für einige Sicherheitsmaßnahmen, die auf Zugriffsrichtlinien beruhen, mit denen Sie vielleicht bereits vertraut sind. Sie umfasst Folgendes:

  • Authentifizierungsmethoden: Mehrstufige Authentifizierung (MFA); Smartcardauthentifizierung; Zertifikatbasierte Clientauthentifizierung
  • Autorisierungsmethoden: Microsoft-Implementierung von OAuth (Open Authorization)
  • Richtlinien für den bedingten Zugriff: Mobile Anwendungsverwaltung (MAM) und Azure Active Directory (Azure AD) – Bedingter Zugriff

Die Verwaltung von Benutzeridentitäten mit moderner Authentifizierung gibt Administratoren viele verschiedene Tools an die Hand, wenn es um die Sicherung von Ressourcen geht, und bietet sicherere Methoden der Identitätsverwaltung sowohl für lokale (Exchange und Skype for Business) als auch für Exchange-Hybrid- und Skype for Business Hybrid-Szenarien und Szenarien mit geteilter Domäne.

Da Skype for Business eng mit Exchange zusammenarbeiten, wird das Anmeldeverhalten Skype for Business Clientbenutzer durch den modernen Authentifizierungsstatus von Exchange beeinflusst. Dies gilt auch, wenn Sie über eine Skype for Business Hybridarchitektur für geteilte Domänen verfügen, in der Sie sowohl Skype for Business Online als auch Skype for Business lokal haben, wobei die Benutzer an beiden Standorten verwaltet werden.

Weitere Informationen zur modernen Authentifizierung in Office 365 finden Sie unter Office 365 Client App Support – Mehrstufige Authentifizierung.

Wichtig

Seit August 2017 ist die moderne Authentifizierung (MA) auf allen neuen Office 365-Mandanten, die Skype for Business Online und Exchange Online umfassen, standardmäßig aktiviert. Bereits vorhandene Mandanten haben keine Änderung in Ihrem Standard-MA-Status, aber alle neuen Mandanten unterstützen automatisch den erweiterten Satz von Identitätsfeatures, die oben aufgelistet sind. Um Ihren MA-Status zu überprüfen, lesen Sie den Abschnitt Überprüfen Sie den Status der modernen Authentifizierung Ihrer lokalen Umgebung.

Was ändert sich, wenn ich die moderne Authentifizierung verwende?

Wenn Sie die moderne Authentifizierung mit lokalen Skype for Business- oder Exchange-Servern verwenden, authentifizieren Sie immer noch lokale Benutzer, aber die Vorgehensweise bei der Autorisierung ihres Zugriffs auf Ressourcen (wie Dateien oder E-Mails) ändert sich. Aus diesem Grund, obwohl es bei der modernen Authentifizierung um Client- und Serverkommunikation geht, führen die Schritte, die während der Konfiguration von MA unternommen werden, dazu, dass evoSTS (ein von Azure AD verwendeter Sicherheitstokendienst) als Authentifizierungsserver für Skype for Business und lokaler Exchange-Server eingerichtet wird.

Die Umstellung auf evoSTS ermöglicht es Ihren lokalen Servern, die Vorteile von OAuth (Token-Ausgabe) für die Autorisierung Ihrer Clients zu nutzen, und ermöglicht es Ihren lokalen Servern außerdem, in der Cloud übliche Sicherheitsmethoden (wie die mehrstufige Authentifizierung) zu verwenden. Darüber hinaus gibt der evoSTS Token aus, die es Benutzern gestatten, Zugriff auf Ressourcen anzufordern, ohne Ihr Kennwort als Teil der Anforderung anzugeben. Unabhängig davon, wo Ihre Benutzer verwaltet werden (online oder lokal), und unabhängig davon, an welchem Standort sich die benötigte Ressource befindet, wird EvoSTS zum wichtigsten Element der Autorisierung von Benutzern und Clients, sobald die moderne Authentifizierung konfiguriert ist.

Wenn beispielsweise ein Skype for Business-Client auf Exchange Server zugreifen muss, um Kalenderinformationen im Namen eines Benutzers abzurufen, verwendet er dazu die Microsoft-Authentifizierungsbibliothek (MSAL). MSAL ist eine Codebibliothek, die darauf ausgelegt ist, gesicherte Ressourcen in Ihrem Verzeichnis mithilfe von OAuth-Sicherheitstoken für Clientanwendungen verfügbar zu machen. MSAL arbeitet mit OAuth zusammen, um Ansprüche zu überprüfen und Token (anstelle von Kennwörtern) auszutauschen, um einem Benutzer Zugriff auf eine Ressource zu gewähren. In der Vergangenheit war die Autorität in einer Transaktion wie dieser – der Server, der weiß, wie Benutzeransprüche überprüft und die erforderlichen Token auszugeben sind – möglicherweise ein lokaler Sicherheitstokendienst oder sogar Active Directory-Verbunddienste (AD FS). Die moderne Authentifizierung zentralisiert diese Autorität jedoch mithilfe von Azure AD.

Dies bedeutet auch, dass, auch wenn Ihr Exchange-Server und Ihre Skype for Business-Umgebung vollständig lokal sind, der Autorisierungsserver online sein wird und Ihre lokale Umgebung die Möglichkeit haben muss, eine Verbindung zu Ihrem Office 365-Abonnement in der Cloud (und der Azure AD-Instanz, die Ihr Abonnement als Verzeichnis verwendet) zu erstellen und aufrechtzuerhalten.

Was ändert sich nicht? Unabhängig davon, ob Sie sich in einer Hybridumgebung mit geteilter Domäne befinden oder Skype for Business und Exchange Server lokal verwenden, müssen alle Benutzer zuerst lokal authentifiziert werden. In einer hybriden Implementierung moderner Authentifizierung weisen Lyncdiscovery und Autodiscovery beide auf Ihren lokalen Server hin.

Wichtig

Wenn Sie die spezifischen Skype for Business-Topologien wissen möchten, die bei MA unterstützt werden, ist das hier dokumentiert.

Überprüfen Sie den Status der modernen Authentifizierung Ihrer lokalen Umgebung

Da die moderne Authentifizierung den Autorisierungsserver ändert, der verwendet wird, wenn Dienste OAuth/S2S anwenden, müssen Sie wissen, ob die moderne Authentifizierung für Ihre lokalen Skype for Business- und Exchange-Umgebungen aktiviert oder deaktiviert ist. Sie können den Status auf Ihren Exchange-Servern überprüfen, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-OrganizationConfig | ft OAuth*

Wenn der Wert der Eigenschaft OAuth2ClientProfileEnabled falsch ist, ist die moderne Authentifizierung deaktiviert.

Weitere Informationen zum Cmdlet "Get-OrganizationConfig" finden Sie unter Get-OrganizationConfig.

Sie können Ihre Skype for Business-Server überprüfen, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-CSOAuthConfiguration

Wenn der Befehl eine leere OAuthServers-Eigenschaft zurückgibt oder wenn der Wert der Eigenschaft ClientADALAuthOverride nicht zulässig ist, wird die moderne Authentifizierung deaktiviert.

Weitere Informationen zum Cmdlet "Get-CsOAuthConfiguration" finden Sie unter Get-CsOAuthConfiguration.

Erfüllen Sie die Voraussetzungen für die moderne Authentifizierung?

Überprüfen Sie diese Punkte und streichen Sie sie von Ihrer Liste, bevor Sie fortfahren:

  • Für Skype for Business

    • Auf allen Servern muss Mai 2017 Kumulatives Update (CU5) für Skype for Business Server 2015 oder höher vorhanden sein
      • Ausnahme – Survivability Branch Appliance (SBA) kann auf der aktuellen Version vorhanden sein (basierend auf Lync 2013)
    • Ihre SIP-Domäne wird als Verbunddomäne in Office 365 hinzugefügt
    • Alle SFB-Front-Ends müssen ausgehende Verbindungen mit dem Internet haben, um Authentifizierungs-URLs (TCP 443) und bekannte Zertifikatstamm-CRLs (TCP 80) zu Office 365, die in den Zeilen 56 und 125 des Abschnitts "Microsoft 365 Common and Office" der Office 365 URLs und IP-Adressbereiche aufgeführt sind.
  • Lokales Skype for Business in einer Office 365-Hybridumgebung

    • Eine Skype for Business Server 2019-Bereitstellung mit allen Servern, auf denen Skype for Business Server 2019 ausgeführt wird.
    • Eine Skype for Business Server 2015-Bereitstellung mit allen Servern, auf denen Skype for Business Server 2015 ausgeführt wird.
    • Eine Bereitstellung mit maximal zwei unterschiedlichen Serverversionen, wie unten aufgelistet:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • Alle Skype for Business-Server müssen über die neuesten kumulativen Updates verfügen. Weitere Informationen finden Sie unter Skype for Business Server-Updates, um alle verfügbaren Updates zu finden und zu verwalten.
    • Es gibt kein Lync Server 2010 oder 2013 in der Hybridumgebung.

Hinweis

Wenn Ihre Skype for Business-Front-End-Server einen Proxyserver für den Internet Zugriff verwenden, müssen die IP-Adresse und die Portnummer des Proxyservers im Konfigurationsabschnitt der Datei "web.config" für jedes Front-End eingegeben werden.

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Wichtig

Achten Sie darauf, dass Sie den RSS-Feed für URLs und IP-Adressbereiche für Office 365 abonnieren, um mit den neuesten Auflistungen der erforderlichen URLs auf dem Laufenden zu bleiben.

  • Für Exchange Server

    • Sie verwenden entweder Exchange Server 2013 CU19 und höher, Exchange Server 2016 CU8 und höher oder Exchange Server 2019 CU1 und höher.
    • Es gibt kein Exchange Server 2010 in der Umgebung.
    • Die SSL-Abladung ist nicht konfiguriert. SSL-Beendigung und erneute Verschlüsselung werden unterstützt.
    • Für den Fall, dass Ihre Umgebung eine Proxyserver-Infrastruktur einsetzt, damit Server eine Verbindung mit dem Internet herstellen können, stellen Sie sicher, dass alle Exchange-Server über den Proxyserver verfügen, der in der Eigenschaft InternetWebProxy definiert ist.
  • Lokaler Exchange-Server in einer Office 365-Hybridumgebung

    • Wenn Sie Exchange Server 2013 verwenden, müssen auf mindestens einem Server die Serverrollen „Postfach“ und „Clientzugriff“ installiert sein. Es ist zwar möglich, die Postfach- und Clientzugriffsrollen auf separaten Servern zu installieren, es wird jedoch dringend empfohlen, beide Rollen auf demselben Server zu installieren, um mehr Zuverlässigkeit und verbesserte Leistung zu bieten.
    • Wenn Sie Exchange Server 2016 oder eine spätere Version verwenden, muss auf mindestens einem Server die Serverrolle „Postfach“ installiert sein.
    • Es gibt kein Exchange Server 2007 oder 2010 in der Hybridumgebung.
    • Alle Exchange-Server müssen über die neuesten kumulativen Updates verfügen. Weitere Informationen finden Sie unter Upgrade von Exchange auf die neuesten kumulativen Updates, um alle verfügbaren Updates zu finden und zu verwalten.
  • Exchange-Client- und Protokollanforderungen

    Die Verfügbarkeit der modernen Authentifizierung wird durch die Kombination aus Client, Protokoll und Konfiguration bestimmt. Wenn die moderne Authentifizierung vom Client, Protokoll und/oder der Konfiguration nicht unterstützt wird, verwendet der Client weiterhin die Legacyauthentifizierung.

    Die folgenden Clients und Protokolle unterstützen die moderne Authentifizierung mit lokalen Exchange, wenn die moderne Authentifizierung in der Umgebung aktiviert ist:

    Clients Primary-Protokoll Notizen
    Outlook 2013 und höher
    MAPI über HTTP
    MAPI über HTTP muss innerhalb Exchange aktiviert sein, um die moderne Authentifizierung mit diesen Clients zu verwenden (aktiviert oder True für neue Installationen von Exchange 2013 Service Pack 1 und höher). Weitere Informationen finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps.
    Stellen Sie sicher, dass Sie den mindestens erforderlichen Build von Outlook ausführen. Lesen Sie Neueste Updates für Outlook-Versionen, die Windows Installer (MSI) verwenden.
    Outlook 2016 für Mac und höher
    Exchange-Webdienste

    Outlook für iOS und Android
    Microsoft-Synchronisierungstechnologie
    Weiter Informationen finden Sie unter Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android.
    Exchange ActiveSync Clients (z. B. iOS11 Mail)
    Exchange ActiveSync
    Bei Exchange ActiveSync-Clients, die die moderne Authentifizierung unterstützen, müssen Sie das Profil neu erstellen, um von der Standardauthentifizierung zur modernen Authentifizierung zu wechseln.

    Clients und/oder Protokolle, die nicht aufgeführt sind (z. B. POP3), unterstützen keine moderne Authentifizierung mit lokalen Exchange und verwenden weiterhin legacy-Authentifizierungsmechanismen, auch wenn die moderne Authentifizierung in der Umgebung aktiviert ist.

  • Allgemeine Voraussetzungen

    • Ressourcengesamtstrukturszenarien erfordern eine bidirektionale Vertrauensstellung mit der Kontogesamtstruktur, um sicherzustellen, dass während moderner Hybridauthentifizierungsanforderungen ordnungsgemäße SID-Nachschlagevorgänge ausgeführt werden.

    • Wenn Sie AD FS verwenden, sollten Sie Windows 2012 R2 AD FS 3.0 und höher für Verbund verwenden.

    • Bei den Identitätskonfigurationen handelt es sich um alle Typen, die von Azure AD Connect unterstützt werden, z. B. Kennwort-Hashsynchronisierung, Pass-Through-Authentifizierung und lokale STS, die von Office 365 unterstützt werden.

    • Azure AD Connect ist für die Benutzerreplikation und Synchronisierung konfiguriert und funktionsfähig.

    • Sie haben überprüft, dass "hybrid" mit dem Modus "Klassische Exchange-Hybridtopologie" zwischen der lokalen und der Office 365-Umgebung konfiguriert ist. Offizieller Support-Statement für Exchange Hybrid sagt: Sie müssen entweder den aktuellen CU oder CU-1 haben.

      Hinweis

      Die moderne Hybridauthentifizierung wird beim Hybrid-Agent nicht unterstützt.

    • Stellen Sie sicher, dass sowohl ein lokal verwalteter Testbenutzer als auch ein Hybrid-Testbenutzer, der in Office 365 verwaltet wird, sich beim Skype for Business-Desktop-Client (wenn Sie die moderne Authentifizierung mit Skype verwenden möchten) und Microsoft Outlook (wenn Sie die moderne Authentifizierung mit Exchange verwenden möchten) anmelden können.

    • Stellen Sie sicher, dass die SignInOptions-Einstellung in Microsoft Office nicht auf die restriktivste Einstellung konfiguriert ist. Weitere Informationen finden Sie unter So wird's möglich, Office eine Verbindung mit dem Internet herzustellen.

Was muss ich noch wissen, bevor ich beginne?

  • Alle Szenarien für lokale Server umfassen das Einrichten der modernen Authentifizierung lokal (in der Tat bei Skype for Business gibt es eine Liste der unterstützten Topologien), damit sich der Server, der für die Authentifizierung und Autorisierung verantwortlich ist, in der Microsoft Cloud befindet (der Sicherheitstokendienst von Azure AD, "evoSTS" genannt), und das Aktualisieren von Azure AD über die URLs oder Namensräume, die von Ihrer lokalen Installation von Skype for Business oder Exchange verwendet werden. Daher sind die lokalen Server von Microsoft Cloud abhängig. Diese Aktion kann als "Hybridauthentifizierung" konfiguriert werden.
  • In diesem Artikel finden Sie Links zu anderen Artikeln, die Sie bei der Auswahl unterstützter moderner Authentifizierungstopologien (nur für Skype for Business erforderlich) unterstützen, sowie Anleitungsartikel, die die Einrichtungsschritte bzw. die Schritte zur Deaktivierung der modernen Authentifizierung für lokales Exchange und lokales Skype for Business erläutern. Markieren Sie diese Seite als Favoritenseite in Ihrem Browser, wenn Sie einen Startpunkt für die Verwendung moderner Authentifizierung in Ihrer Serverumgebung benötigen.