Översikt över modern hybridautentisering och förutsättningar för att använda den med lokala Skype för företag och Exchange servrar

Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.

Modern autentisering är en metod för identitetshantering som ger säkrare användarautentisering och auktorisering. Den är tillgänglig för Office 365-hybriddistributioner av Skype för företag lokalt och i Exchange lokal server samt för Skype för företag-hybrider. Den här artikeln länkar till relaterade dokument om krav, konfiguration/inaktivering av modern autentisering och till en del relaterad klient (t.ex. Outlook och Skype klienter).

Vad är modern autentisering?

Modern autentisering är en övergripande term för en kombination av autentiserings- och auktoriseringsmetoder mellan en klient (till exempel din bärbara dator eller telefon) och en server, samt vissa säkerhetsåtgärder som förlitar sig på åtkomstprinciper som du kanske redan är bekant med. Det innehåller:

  • Autentiseringsmetoder: Multifaktorautentisering (MFA) smartkortsautentisering certifikatbaserad autentisering för klient
  • Auktoriseringsmetoder: Microsofts implementering av Open Authorization (OAuth)
  • Villkorsstyrda åtkomstprinciper: Hantering av mobilprogram (MAM) och villkorsstyrd Azure Active Directory (Azure AD)

Hantering av användaridentiteter med modern autentisering ger administratörer många olika verktyg för att skydda resurser och erbjuder säkrare metoder för identitetshantering både lokalt (Exchange och Skype för företag), Exchange-hybrid och Skype för företag-hybrid-/delad domän.

Eftersom Skype för företag fungerar tillsammans med Exchange påverkas inloggningsbeteendet som Skype för företag klientanvändarna ser av den moderna autentiseringsstatusen för Exchange. Det här gäller även om du har en Skype för företag-hybridarkitektur med delad domän där du har både Skype för företag Online och Skype för företag lokalt, med användare som finns på båda platserna.

Mer information om modern autentisering i Office 365 finns i Office 365 stöd för klientappen – multifaktorautentisering.

Viktigt

Från och med augusti 2017 Office 365 alla nya klientorganisationen som inkluderar Skype för företag online och Exchange online modern autentisering aktiverad som standard. Befintliga klientorganisationar har ingen ändring i standardtillståndet för ma, men alla nya klientorganisationen stöder automatiskt den utökade uppsättningen identitetsfunktioner som visas ovan. Information om hur du kontrollerar din ma-status finns i avsnittet Kontrollera status för modern autentisering för din lokala miljö.

Vad ändras när jag använder modern autentisering?

När du använder modern autentisering med lokal Skype för företag eller Exchange-server autentiserar du fortfarande användare lokalt, men när du auktoriserar åtkomsten till resurser (till exempel filer eller e-postmeddelanden) ändras. Det är därför, även om modern autentisering handlar om klient- och serverkommunikation, stegen som vidtas när du konfigurerar MA-resultatet i säkerhetstoken (en säkerhetstokentjänst som används av Azure AD) anges som autentiseringsserver för Skype för företag och Exchange-server lokalt.

Genom att ändra till systemskydd kan de lokala servrarna dra nytta av OAuth (token-utfärdning) för att auktorisera klienter, och även låta dina lokala använda säkerhetsmetoder som är vanliga i molnet (t.ex. Multifaktorautentisering). Det innebär också att token som gör att användare kan begära åtkomst till resurser utan att ange sitt lösenord som en del av begäran. Oavsett var användarna finns (online eller lokalt) och oavsett på vilken plats som är värd för den nödvändiga resursen blir ResurssTS kärnan i auktorisering av användare och klienter när modern autentisering har konfigurerats.

Om en Skype för företag-klient till exempel behöver åtkomst till Exchange-servern för att hämta kalenderinformation åt en användare, så används Microsoft Authentication Library (MSAL) för att göra det. MSAL är ett kodbibliotek som utformats för att göra skyddade resurser i katalogen tillgängliga för klientprogram med OAuth-säkerhetstoken. MSAL arbetar med OAuth för att verifiera anspråk och utbyta token (i stället för lösenord) för att ge en användare åtkomst till en resurs. Tidigare vet certifikatutfärdaren i en transaktion som den här 1:e servern som vet hur användaren gör anspråk och utfärdar nödvändiga token – kan ha varit en lokal säkerhetstokentjänst eller till och med Active Directory Federation Services. Men modern autentisering centraliserar den behörigheten med hjälp av Azure AD.

Det innebär också att även om din Exchange-server och Skype för företag-miljö kan vara helt lokala, kommer den auktoriseringsserver som är online och din lokala miljö måste kunna skapa och underhålla en anslutning till din Office 365-prenumeration i molnet (och Azure AD-instansen som prenumerationen använder som dess katalog).

Vad ändras inte? Oavsett om du använder en hybrid med delad domän eller Skype för företag och Exchange en server lokalt måste alla användare först autentisera lokalt. I en hybridimplementering av modern autentisering pekar Både Lyncdiscovery och Automatisk upptäckt på din lokala server.

Viktigt

Om du behöver veta vilka topologier Skype för företag kan användas med ma, finns det information här.

Kontrollera status för modern autentisering för din lokala miljö

Eftersom modern autentisering ändrar auktoriseringsservern som används när tjänster utnyttjar OAuth/S2S behöver du veta om modern autentisering är aktiverad eller inaktiverad för dina lokala Skype för företag och Exchange miljöer. Du kan kontrollera statusen på Exchange-servrar genom att köra följande PowerShell-kommando:

Get-OrganizationConfig | ft OAuth*

Om värdet för egenskapen OAuth2ClientProfileEnabled är Falskt inaktiveras modern autentisering.

Mer information om Get-OrganizationConfig cmdlet finns i Get-OrganizationConfig.

Du kan kontrollera dina Skype för företag genom att köra följande PowerShell-kommando:

Get-CSOAuthConfiguration

Om kommandot returnerar en tom OAuthServers-egenskap, eller om värdet för egenskapen ClientADALAuthOverride inte är Tillåtet, är modern autentisering inaktiverad.

Mer information om Get-CsOAuthConfiguration cmdlet finns i Get-CsOAuthConfiguration.

Uppfyller du krav för modern autentisering?

Kontrollera och kontrollera dessa objekt i listan innan du fortsätter:

  • Skype för företag specifik

    • Alla servrar måste ha kumulativ uppdatering maj 2017 (CU5) för Skype för företag – Server 2015 eller senare
      • Undantag – SBA (AA) kan användas i den aktuella versionen (baserat på Lync 2013)
    • Din SIP-domän läggs till som en federerad domän i Office 365
    • Alla SFB-klientslut måste ha anslutningar utgående till Internet, till URL:er för Office 365-autentisering (TCP 443) och välkända rotcertifikat-CRL (TCP 80) som visas i raderna 56 och 125 i avsnittet "Microsoft 365 Common and Office" i Office 365 URL:eroch IP-adressintervall.
  • Skype för företag lokalt i en hybridmiljö Office 365 miljö

    • En Skype för företag – Server 2019-distribution med alla servrar som kör Skype för företag – Server 2019.
    • En Skype för företag – Server 2015-distribution med alla servrar som Skype för företag – Server 2015.
    • En distribution med högst två olika serverversioner enligt nedan:
      • Skype för företag Server 2015
      • Skype för företag Server 2019
    • Alla Skype för företag servrar måste ha de senaste kumulativa uppdateringarna installerade. Se Skype för företag – Server uppdateringar för att hitta och hantera alla tillgängliga uppdateringar.
    • Det finns ingen Lync Server 2010 eller 2013 i hybridmiljön.

Anteckning

Om dina Skype för företag-frontend-servrar använder en proxyserver för internetåtkomst måste den proxyserver-IP och det portnummer som används anges i konfigurationsavsnittet i web.config-filen för varje frontend.

  • C:\Program Files\Skype för företag – Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype för företag – Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

Viktigt

Se till att prenumerera på RSS-feeden för Office 365 URL:er och IP-adressintervall för att hålla dig aktuell med de senaste listorna med obligatoriska URL:er.

  • Exchange Server specifik

    • Du använder antingen Exchange server 2013 CU19 och uppåt, Exchange server 2016 CU8 och uppåt eller Exchange Server 2019 CU1 och uppåt.
    • Det finns Exchange server 2010 i miljön.
    • SSL Offloading är inte konfigurerat. Ssl-uppsägning och omkryptering stöds.
    • Om miljön använder en proxyserverinfrastruktur så att servrar kan ansluta till Internet bör du kontrollera att alla Exchange-servrar har proxyservern definierad i egenskapen InternetWebProxy.
  • Exchange Server lokalt i en hybridmiljö Office 365 miljö

    • Om du använder Exchange Server 2013 måste minst en server ha serverrollerna Postlåda och Klientåtkomst installerad. Även om det är möjligt att installera rollerna Postlåda och Klientåtkomst på separata servrar rekommenderar vi starkt att du installerar båda rollerna på samma server för att ge ytterligare tillförlitlighet och högre prestanda.
    • Om du använder Exchange server 2016 eller senare måste minst en server ha serverrollen Mailbox installerad.
    • Det finns Exchange server 2007 eller 2010 i hybridmiljön.
    • Alla Exchange-servrar måste ha de senaste kumulativa uppdateringarna installerade. Se uppgradera till Exchange senaste kumulativa uppdateringar för att hitta och hantera alla tillgängliga uppdateringar.
  • Exchange klient- och protokollkrav

    Tillgängligheten för modern autentisering avgörs av kombinationen av klienten, protokollet och konfigurationen. Om modern autentisering inte stöds av klienten, protokollet och/eller konfigurationen fortsätter klienten att utnyttja äldre autentisering.

    Följande klienter och protokoll stöder modern autentisering med lokal autentisering Exchange när modern autentisering är aktiverad i miljön:

    Klienter Primary Protocol Kommentarer
    Outlook 2013 och senare
    MAPI över HTTP
    MAPI över HTTP måste vara aktiverat inom Exchange för att du ska kunna utnyttja modern autentisering med dessa klienter (normalt aktiverat eller Sant för nya installationer av Exchange 2013 Service Pack 1 och högre), mer information finns i Hur modern autentisering fungerar för Office 2013- och Office 2016-klientappar.
    Se till att du kör den lägsta version som krävs av Outlook. Se Senaste uppdateringar för versioner Outlook använder Windows Installer (MSI).
    Outlook 2016 för Mac och senare
    Exchange-webbtjänster

    Outlook för iOS och Android
    Microsofts synkroniseringsteknik
    Mer information finns i Använda modern hybridautentisering med Outlook för iOS och Android.
    Exchange ActiveSync klienter (t.ex. e-post i iOS11)
    Exchange ActiveSync
    För Exchange ActiveSync klienter som stöder modern autentisering måste du återskapa profilen för att kunna växla från grundläggande autentisering till modern autentisering.

    Klienter och/eller protokoll som inte listas (t.ex. POP3) stöder inte modern autentisering med lokal Exchange och fortsätter att använda äldre autentiseringsmetoder även efter att modern autentisering har aktiverats i miljön.

  • Allmänna krav

    • Resursskogsscenarier kräver tvåvägsförtroende med kontoskogen för att säkerställa att korrekt SID-sökning utförs under hybrid modern autentiseringsbegäranden.

    • Om du använder AD FS bör du ha AD FS 3.0 Windows 2012 R2 AD FS 3.0 och högre för federation.

    • Dina identitetskonfigurationer är alla typer som stöds av Azure AD Anslut, till exempel synkronisering av lösenordshashar, direktautentisering och lokal STS som stöds av Office 365.

    • Du har Azure AD Anslut konfigurerat och hur de ska fungera för användarreplikering och synkronisering.

    • Du har kontrollerat att hybrid är konfigurerad Exchange klassiskt hybridtopologiläge mellan din lokala miljö och Office 365 miljö. Officiellt supportmeddelande för Exchange-hybriden säger att du måste ha antingen aktuell CU eller aktuell CU - 1.

      Anteckning

      Modern hybridautentisering stöds inte med hybridagenten.

    • Kontrollera att både en testanvändare på datorn och en hybridtestanvändare som finns i Office 365 kan logga in på Skype för företag-datorklienten (om du vill använda modern autentisering med Skype) och Microsoft Outlook (om du vill använda modern autentisering med Exchange).

Behöver jag veta något mer innan jag börjar?

  • Alla scenarier för lokala servrar innebär att konfigurera modern autentisering lokalt (för Skype för företag finns det i själva verket en lista över topologier som stöds) så att den server som ansvarar för autentisering och auktorisering finns i Microsoft Cloud (Azure AD:s säkerhetstokentjänst, kallad 'azureSTS') och uppdaterar Azure AD om URL:er eller namnområden som används av den lokala installationen av någon av Skype för företag eller Exchange. Därför har lokala servrar ett Microsoft Cloud-beroende. Du kan överväga att konfigurera "hybridauth" för att vidta den här åtgärden.
  • Den här artikeln länkar till andra som hjälper dig att välja topologier som stöds för modern autentisering (endast nödvändiga för Skype för företag) och instruktioner som beskriver konfigurationsstegen eller anvisningar för att inaktivera modern autentisering, för Exchange lokalt och Skype för företag lokalt. Gör den här sidan till favorit i webbläsaren om du behöver en bas för användning av modern autentisering i servermiljön.