Resumo da autenticação moderna híbrida e pré-requisitos para a utilizar com servidores de Skype para Empresas e Exchange no local

  • Artigo
  • 5 minutos para ler

Este artigo aplica-se tanto a Microsoft 365 Enterprise como Office 365 Enterprise.

A Autenticação Moderna é um método de gestão de identidade que oferece uma autenticação e autorização do utilizador mais seguras. Está disponível para implementar Office 365 híbridas do servidor Skype para Empresas no local e do servidor Exchange no local e domínio dividido Skype para Empresas híbrido. Este artigo liga a documentos relacionados sobre pré-requisitos, configuração/desativação da autenticação moderna e para alguns dos clientes relacionados (ex. Outlook e Skype clientes) informações.

O que é a autenticação moderna?

A autenticação moderna é um termo simples para combinar autenticação e métodos de autorização entre um cliente (por exemplo, o seu portátil ou telemóvel) e um servidor, bem como algumas medidas de segurança que dependem de políticas de acesso com as qual poderá já estar familiarizado. Inclui:

  • Métodos de autenticação: autenticação multifator (MFA); autenticação do Smart Card; autenticação baseada em certificado de cliente
  • Métodos de autorização: a implementação da Autorização Aberta (OAuth) da Microsoft
  • Políticas de acesso condicional: Acesso Condicional à Gestão de Aplicações Móveis (MAM) Azure Active Directory (Azure AD)

A gestão de identidades de utilizadores com a autenticação moderna fornece aos administradores muitas ferramentas diferentes para utilizar no que diz respeito à segurança de recursos e oferece métodos mais seguros de gestão de identidades no local (Exchange e Skype para Empresas), Exchange híbrido e domínio híbrido/dividido do Skype para Empresas cenários.

Uma vez Skype para Empresas funciona em estreita ênfase com o Exchange, o comportamento de início de sessão Skype para Empresas cliente será afetado pelo estado de autenticação moderna das Exchange. Também é aplicável se tiver uma arquitetura híbrida de domínio dividido do Skype para Empresas, na qual tem o Skype para Empresas Online e o Skype para Empresas no local, com os utilizadores alojáveis em ambas as localizações.

Para obter mais informações sobre a autenticação moderna no Office 365, consulte Suporte da Office 365 de Cliente - Autenticação Multifatores.

Importante

A partir de agosto de 2017, todos os novos inquilinos Office 365 que incluem o Skype para Empresas online e o Exchange online terão a autenticação moderna ativada por predefinição. Os inquilinos pré-existentes não terão uma alteração no seu estado ma predefinido, mas todos os novos inquilinos suportam automaticamente o conjunto expandido de funcionalidades de identidade que vê listadas acima. Para verificar o seu estado de MA, consulte a secção Verificar o estado da autenticação moderna no seu ambiente no local.

Quais são as alterações quando utl for utilizada a autenticação moderna?

Ao utilizar a autenticação moderna com um servidor Skype para Empresas ou Exchange no local, ainda está a autenticar utilizadores no local, mas a história de autorizar o acesso aos recursos (como ficheiros ou e-mails) é alterada. É por este motivo que, embora a autenticação moderna seja sobre a comunicação entre o cliente e o servidor, os passos dados durante a configuração do resultado MA resultam na configuração do evoSTS (um Serviço de Token de Segurança utilizado pelo Azure AD) como servidor Auth Server para Skype para Empresas e servidor Exchange no local.

A alteração ao evoSTS permite que os seus servidores no local tirem partido do OAuth (emissão de tokens) para autorizar os seus clientes e também permite que o seu servidor no local utilize métodos de segurança comuns na nuvem (como a Autenticação Multifator). Além disso, os tokens de problemas evoSTS que permitem aos utilizadores pedir acesso a recursos sem fornecerem a respetiva palavra-passe como parte do pedido. Independentemente do local onde os seus utilizadores estão alocados (online ou no local) e independentemente da localização que aloger o recurso necessário, a EvoSTS será o essencial da autorização de utilizadores e clientes assim que a autenticação moderna estiver configurada.

Por exemplo, se um cliente do Skype para Empresas precisar de aceder Exchange um servidor para obter informações do calendário em nome de um utilizador, utiliza a Microsoft Authentication Library (MSAL) para fazê-lo. O MSAL é uma biblioteca de código concebida para disponibilizar recursos seguros no seu diretório às aplicações cliente através de tokens de segurança OAuth. O MSAL funciona com a OAuth para verificar reivindicações e trocar tokens (em vez de palavras-passe) para conceder a um utilizador acesso a um recurso. No passado, a autoridade numa transação como esta (o servidor que sabe validar as queixas de utilizador e emitir os tokens necessários) pode ser um Serviço de Token de Segurança no local ou até mesmo um Serviços de Federação do Active Directory (AD FS). No entanto, a autenticação moderna centraliza essa autoridade ao utilizar o Azure AD.

Isto também significa que, embora o seu servidor Exchange e ambientes Skype para Empresas possam estar totalmente no local, o servidor de autorizações estará online e o seu ambiente no local tem de ter a capacidade de criar e manter uma ligação à sua subscrição do Office 365 na Nuvem (e a instância do Azure AD que a sua subscrição utiliza como diretório).

O que não muda? Quer esteja a utilizar um domínio dividido híbrido ou a utilizar o Skype para Empresas e Exchange no local, todos os utilizadores têm de autenticar no local primeiro. Numa implementação híbrida da autenticação moderna, a Deteção Automática e o Lync deteção automática apontam ambos para o seu servidor no local.

Importante

Se precisar de saber a especificação Skype para Empresas topologias suportadas com a ma, isso está documentado aqui.

Verificar o estado de autenticação moderna do seu ambiente no local

Uma vez que a autenticação moderna altera o servidor de autorização utilizado quando os serviços aplicam OAuth/S2S, tem de saber se a autenticação moderna está ativada ou desativada no seu ambiente de Skype para Empresas no local e Exchange ambientes. Pode verificar o estado nos seus servidores Exchange com o seguinte comando do PowerShell:

Get-OrganizationConfig | ft OAuth*

Se o valor da propriedade OAuth2ClientProfileEnabled for Falso, a autenticação moderna será desativada.

Para obter mais informações sobre Get-OrganizationConfig cmdlet, consulte Get-OrganizationConfig.

Pode verificar os seus servidores Skype para Empresas com o seguinte comando do PowerShell:

Get-CSOAuthConfiguration

Se o comando devolver uma propriedade OAuthServers vazia ou se o valor da propriedade ClientADALAuthOverride não for Permitido, a autenticação moderna será desativada.

Para obter mais informações sobre Get-CsOAuthConfiguration cmdlet, consulte Get-CsOAuthConfiguration.

Cumpre os pré-requisitos de autenticação moderna?

Verifique e verifique estes itens da sua lista antes de continuar:

  • Skype para Empresas específico

    • Todos os servidores têm de ter a atualização cumulativa de maio de 2017 (CU5) para o Skype para Empresas Server 2015 ou posterior
      • Exceção - O SBA (Survivability Branch Appliance) pode estar na versão atual (com base no Lync 2013)
    • O seu domínio SIP é adicionado como um domínio Federado no Office 365
    • Todos os Fins Frontais SFB têm de ter ligações de saída para Office 365 Internet, para URLs de autenticação Office 365 (TCP 443) e CRLs raiz de certificados (TCP 80) conhecidos listados nas Linhas 56 e 125 da secção "Microsoft 365 Comum e Office" dos intervalos de urLs e endereços IP do Office 365.

  • Skype para Empresas no local num ambiente híbrido Office 365 híbrido

    • Uma Skype para Empresas Server 2019 com todos os servidores a Skype para Empresas Server 2019.
    • Uma Skype para Empresas Server 2015 com todos os servidores a Skype para Empresas Server 2015.
    • Uma implementação com um máximo de duas versões de servidor diferentes, conforme indicado abaixo:
      • Skype para Empresas Server 2015
      • Skype para Empresas Server 2019
    • Todos Skype para Empresas mais recentes têm de ter as atualizações cumulativas mais recentes instaladas. Consulte o Skype para Empresas Server atualizações disponíveis para encontrar e gerir todas as atualizações disponíveis.
    • Não existe nenhum Lync Server 2010 ou 2013 no ambiente híbrido.

Nota

Se os servidores de front-end do Skype para Empresas utilizarem um servidor proxy para acesso à Internet, o ip do servidor proxy e o número de Porta utilizados têm de ser introduzidos na secção de configuração do ficheiro web.config para cada front-end.

  • C:\Programas\Skype para Empresas Server 2015\Web Components\Web ticket\int\web.config
  • C:\Programas\Skype para Empresas Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Importante

Certifique-se de que subscreve o feed RSS para que Office 365 intervalos de URLs e endereços IP para se manterem atualizados com as listas mais recentes de URLs necessários.

  • Exchange Server específico

    • Está a utilizar o Exchange SERVER 2013 CU19 e up, o Exchange Server 2016 CU8 e up ou o Exchange Server 2019 CU1 e up.
    • Não existe nenhum Exchange 2010 no ambiente.
    • O Envio de SSL não está configurado. A cessação e encriptação SSL são suportadas.
    • Caso o seu ambiente utilize uma infraestrutura de servidor proxy para permitir que os servidores se liguem à Internet, certifique-se de que todos os servidores Exchange têm o servidor proxy definido na propriedade InternetWebProxy.

  • Exchange Server no local num ambiente híbrido Office 365 híbrido

    • Se estiver a utilizar o Exchange Server 2013, pelo menos um servidor tem de ter as funções Caixa de Correio e Servidor de Acesso de Cliente instaladas. Embora seja possível instalar as funções Caixa de Correio e Acesso de Cliente em servidores separados, recomendamos vivamente que instale ambas as funções no mesmo servidor para fornecer mais fiabilidade e um desempenho melhorado.
    • Se estiver a utilizar o Exchange 2016 ou versão posterior, pelo menos um servidor tem de ter a função de servidor da Caixa de Correio instalada.
    • Não existe nenhum Exchange 2007 ou 2010 no ambiente Híbrido.
    • Todos os servidores Exchange têm de ter as atualizações cumulativas mais recentes instaladas. Consulte o Exchange atualizações Cumulativas mais recentes para encontrar e gerir todas as atualizações disponíveis.

  • Exchange requisitos de cliente e protocolo

    A disponibilidade da autenticação moderna é determinada pela combinação do cliente, do protocolo e da configuração. Se a autenticação moderna não for suportada pelo cliente, protocolo e/ou configuração, o cliente continuará a utilizar a autenticação legada.

    Os seguintes clientes e protocolos suportam a autenticação moderna Exchange no local quando a autenticação moderna está ativada no ambiente:

    Clientes Protocolo Principal Notas
    Outlook 2013 e posterior
    		MAPI por HTTP
    		A autenticação moderna no MAPI através de HTTP tem de estar ativada no Exchange para poder utilizar a autenticação moderna com estes clientes (ativado ou Verdadeiro para novas instalações do Service Pack 1 e superior do Exchange 2013); para obter mais informações, consulte Como funciona a autenticação moderna nas aplicações cliente do Office 2013 e Office 2016.
    Certifique-se de que está a executar a com build mínima necessária do Outlook; consulte Atualizações mais recentes para versões do Outlook que utilizam o Windows Installer (MSI).
    Outlook 2016 para Mac e posterior
    		Serviços Web Exchange

    Outlook para iOS e Android
    		Tecnologia de sincronização da Microsoft
    		Consulte Utilizar a Autenticação Moderna híbrida com Outlook para iOS e Android para obter mais informações.
    Exchange ActiveSync cliente (por exemplo, o Correio do iOS11)
    		Exchange ActiveSync
    		Para Exchange ActiveSync que suportem a autenticação moderna, tem de recriar o perfil para mudar da autenticação básica para a autenticação moderna.

    Os clientes e/ou protocolos não listados (por exemplo, POP3) não suportam a autenticação moderna com o Exchange no local e continuam a utilizar mecanismos de autenticação legados mesmo depois de a autenticação moderna estar ativada no ambiente.

  • Pré-requisitos gerais

    • Os cenários da floresta de recursos exigem uma confiança em dois sentidos com a floresta de contas para garantir que as consultas SID adequadas são efetuadas durante pedidos de autenticação moderna híbrida.

    • Se utilizar o AD FS, deverá ter o Windows 2012 R2 AD FS 3.0 e superior para federação.

    • As suas configurações de identidade são qualquer um dos tipos suportados pelo Azure AD Ligação, como sincronização de hashes de palavras-passe, autenticação pass-through e STS no local suportados pelo Office 365.

    • Tem o Azure AD Ligação configurado e a funcionar para a replicação e sincronização do utilizador.

    • Verificou que a configuração híbrida está Exchange modo de Topologia Híbrida Clássica entre o seu ambiente no local e Office 365 híbrido. A declaração de suporte oficial para Exchange híbrido indica que tem de ter o CU atual ou o CU - 1 atual.

      Nota

      A autenticação moderna híbrida não é suportada pelo Agente Híbrido.

    • Certifique-se de que um utilizador de teste no local, bem como um utilizador de teste híbrido alonhado no Office 365, podem fazer login no cliente de ambiente de trabalho do Skype para Empresas (se pretender utilizar a autenticação moderna com o Skype) e o Microsoft Outlook (se pretender utilizar a autenticação moderna com o Exchange).

    • Certifique-se de que a definição SignInOptions no Microsoft Office não está configurada para a sua definição mais restritiva. Para obter mais informações, consulte Como permitir Office ligação à Internet.

O que mais preciso de saber antes de começar?

  • Todos os cenários para servidores no local envolvem configurar a autenticação moderna no local (na verdade, para o Skype para Empresas existe uma lista de topologias suportadas) de modo a que o servidor responsável pela autenticação e autorização se inscreva na Microsoft Cloud (serviço de tokens de segurança do Azure AD, denominado "evoSTS") e atualizar o Azure AD sobre os URLs ou espaços de nome utilizados pela sua instalação no local de qualquer uma das Skype para Empresas ou Exchange. Assim, os servidores no local adotam uma dependência da Microsoft Cloud. Tomar esta ação pode ser considerada a configuração de "autarização híbrida".
  • Este artigo liga-o a outras pessoas que o ajudarão a selecionar topologias de autenticação modernas suportadas (necessárias apenas para o Skype para Empresas) e artigos de procedimentos que realcem os passos de configuração ou os passos para desativar a autenticação moderna para o Exchange no local e Skype para Empresas no local. Utilize a autenticação moderna no seu ambiente de servidor como favorita no seu browser.