混合式新式驗證概觀和搭配內部部署 商務用 Skype 和 Exchange 伺服器使用的必要條件

  • 發行項

本文適用於 Microsoft 365 企業版和 Office 365 企業版。

新式驗證 是一種身分識別管理方法,可提供更安全的使用者驗證和授權。 它適用於內部部署 商務用 Skype 伺服器和 Exchange 伺服器內部部署的 Office 365 混合式部署,以及混合式 商務用 Skype 分割網域。 本文連結至有關必要條件、設定/停用新式驗證,以及一些相關用戶端 (相關文件。Outlook 和 Skype 用戶端) 資訊。

什麼是新式驗證?

新式驗證是用戶端 (例如膝上型計算機或手機) 與伺服器之間驗證和授權方法的組合,以及一些依賴您可能已熟悉之存取原則的安全性措施。 包括:

  • 驗證方法:多重要素驗證 (MFA) ;智慧卡驗證;用戶端憑證式驗證
  • 授權方法:Microsoft 的開放式授權 (OAuth)
  • 條件式存取原則:行動應用程式管理 (MAM) 和 Microsoft Entra 條件式存取

使用新式驗證管理使用者身分識別可讓系統管理員在保護資源時使用許多不同的工具,併為內部部署 (Exchange 和 商務用 Skype) 、Exchange 混合式,以及 商務用 Skype 混合式/分割網域案例提供更安全的身分識別管理方法。

因為 商務用 Skype 與 Exchange 密切合作,所以用戶端使用者 商務用 Skype 登入行為會受到 Exchange 的新式驗證狀態影響。 如果您有一個 商務用 Skype 分割網域混合式架構,其中您有 商務用 Skype Online 和內部部署 商務用 Skype,且用戶位於這兩個位置,則也適用此架構。

如需 Office 365 中新式驗證的詳細資訊,請參閱 Office 365 用戶端應用程式支援 - 多重要素驗證

重要事項

自 2017 年 8 月起,所有包含 商務用 Skype Online 和 Exchange Online 的新 Office 365 租使用者預設都會啟用新式驗證。 預先存在的租使用者不會變更其預設MA狀態,但所有新租用戶都會自動支援您先前所列的一組擴充身分識別功能。 若要檢查MA狀態,請 參閱檢查內部部署環境的新式驗證狀態一 節。

當我使用新式驗證時,有哪些變更?

搭配內部部署 商務用 Skype 或 Exchange Server 使用新式驗證時,您仍在內部部署驗證使用者,但授權使用者存取資源 (如檔案或電子郵件) 變更。 這就是為什麼雖然新式驗證是關於客戶端和伺服器通訊,但設定MA期間所採取的步驟會導致 evoSTS (安全性令牌服務,Microsoft Entra ID) 在內部部署環境中設定為適用於 商務用 Skype 和 Exchange 伺服器的驗證伺服器。

evoSTS 的變更可讓您的內部部署伺服器利用 OAuth (令牌發行) 來授權您的用戶端,也可讓您的內部部署使用雲端 (中常見的安全性方法,例如 Multi-Factor Authentication) 。 此外,evoSTS 會發出令牌,允許使用者要求存取資源,而不需要在要求中提供其密碼。 無論您的使用者在何處 (在線或內部部署) ,而且無論哪個位置裝載所需的資源,一旦設定新式驗證之後,EvoSTS 都會成為授權使用者和用戶端的核心。

例如,如果 商務用 Skype 用戶端需要存取 Exchange Server 來代表使用者取得行事曆資訊,它會使用 Microsoft 驗證連結庫 (MSAL) 來執行此動作。 MSAL 是一個程式代碼連結庫,其設計目的是讓您目錄中的安全資源可供使用 OAuth 安全性令牌的用戶端應用程式使用。 MSAL 會與 OAuth 搭配運作,以驗證宣告,並交換令牌 (而非密碼) ,以授與用戶資源的存取權。 在過去,像這樣的交易授權單位--知道如何驗證使用者宣告併發出所需令牌的伺服器,可能是內部部署的安全性令牌服務,甚至是 Active Directory 同盟服務。 不過,新式驗證會使用 Microsoft Entra ID 來集中該授權單位。

這也表示即使您的 Exchange 伺服器和 商務用 Skype 環境可能完全在內部部署,授權伺服器仍處於在線狀態,而且您的內部部署環境必須能夠建立及維護與雲端 (中 Office 365 訂用帳戶的連線,以及訂用帳戶用來作為其目錄) 的 Microsoft Entra 實例。

哪些專案不會變更? 無論您是在分割網域混合式中,還是使用內部部署 商務用 Skype 和 Exchange 伺服器,所有使用者都必須先在內部部署進行驗證。 在新式驗證的混合式實作 中,Lyncdiscovery自動探索 都會指向您的內部部署伺服器。

重要事項

如果您需要知道 MA 所支援的特定 商務用 Skype 拓撲,請參閱這裡說明。

檢查內部部署環境的新式驗證狀態

由於新式驗證會變更服務套用 OAuth/S2S 時所使用的授權伺服器,因此您必須知道內部部署 商務用 Skype 和 Exchange 環境是否已啟用或停用新式驗證。 您可以執行下列 PowerShell 命令來檢查 Exchange 伺服器上的狀態:

Get-OrganizationConfig | ft OAuth*

如果 OAuth2ClientProfileEnabled 屬性的值為 False,則會停用新式驗證。

如需 Cmdlet 的 Get-OrganizationConfig 詳細資訊,請參閱 Get-OrganizationConfig

您可以執行下列 PowerShell 命令來檢查 商務用 Skype 伺服器:

Get-CSOAuthConfiguration

如果命令傳回空的 OAuthServers 屬性,或 ClientADALAuthOverride 屬性的值不是 [允許],則會停用新式驗證。

如需 Cmdlet 的 Get-CsOAuthConfiguration 詳細資訊,請參閱 Get-CsOAuthConfiguration

您是否符合新式驗證必要條件?

在您繼續之前,請先從清單中確認並檢查這些專案:

  • 商務用 Skype 特定

    • 所有伺服器都必須有 2017 年 5 月累積更新 (2015 年 商務用 Skype Server 或更新版本的 CU5)
      • 例外 狀況 - Survivability Branch Appliance (SBA) 可以是以 Lync 2013 為基礎的目前版本 ()
    • 您的 SIP 網域會新增為 Office 365 中的同盟網域
    • 所有 SFB 前端都必須有輸出至因特網的連線,才能 Office 365 TCP 443) 和已知憑證根 CRL (的驗證 URL, (TCP 80) 列於 Office 365 URL 和 IP 位址範圍的 'Microsoft 365 Common and Office' 區段的第 56 和 125 列中。

  • 在混合式 Office 365 環境中 商務用 Skype 內部部署

    • 含所有執行商務用 Skype 伺服器 2019 之伺服器的商務用 Skype 伺服器 2019 部署。
    • 含所有執行商務用 Skype 伺服器 2015 之伺服器的商務用 Skype 伺服器 2015 部署。
    • 部署最多兩個不同的伺服器版本,如下所列:
      • 商務用 Skype Server 2015
      • 商務用 Skype Server 2019
    • 所有 商務用 Skype 伺服器都必須安裝最新的累積更新,請參閱 商務用 Skype Server 更新以尋找和管理所有可用的更新。
    • 混合式環境中沒有 Lync Server 2010 或 2013。

注意事項

如果您的 商務用 Skype 前端伺服器使用 Proxy 伺服器進行因特網存取,則必須在每個前端 web.config 檔案的組態區段中輸入使用的 Proxy 伺服器 IP 和埠號碼。

  • C:\Program Files\商務用 Skype Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\商務用 Skype Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

重要事項

請務必訂閱 Office 365 URL 和 IP 位址範圍的 RSS 摘要,以掌握所需 URL 的最新清單。

  • Exchange Server 特定

    • 您使用 Exchange Server 2013 CU19 和更新版本、Exchange Server 2016 CU8 和更新版本,或 Exchange Server 2019 CU1 和更新版本。
    • 環境中沒有 Exchange Server 2010。
    • 未設定 SSL 卸除。 支援 SSL 終止和重新加密。
    • 如果您的環境利用 Proxy 伺服器基礎結構來允許伺服器連線到因特網,請確定所有 Exchange 伺服器都已在 InternetWebProxy 屬性中定義 Proxy 伺服器。

  • 在混合式 Office 365 環境中 Exchange Server 內部部署

    • 如果您使用 Exchange Server 2013,至少一部伺服器必須安裝信箱和用戶端存取伺服器角色。 雖然可以在不同的伺服器上安裝信箱和用戶端存取角色,但我們強烈建議您在同一部伺服器上安裝這兩個角色,以提供更高的可靠性和改善的效能。
    • 如果您使用 Exchange Server 2016 或更新版本,則至少必須安裝一部伺服器信箱伺服器角色。
    • 混合式環境中沒有 Exchange Server 2007 或 2010。
    • 所有 Exchange 伺服器都必須安裝最新的累積更新。 請參閱將 Exchange 升級至最新的累積 匯報,以尋找和管理所有可用的更新。

  • Exchange 用戶端和通訊協定需求

    新式驗證的可用性取決於客戶端、通訊協定和組態的組合。 如果客戶端、通訊協定和/或組態不支援新式驗證,則用戶端會繼續使用舊版驗證。

    下列用戶端和通訊協定支援在環境中啟用新式驗證時,使用內部部署 Exchange 進行新式驗證:

    用戶端 主要通訊協定 附註
    Outlook 2013 及更新版本
    		 MAPI over HTTP
    		 您必須在 Exchange 中啟用 MAPI over HTTP,才能對這些用戶端使用新式驗證 (啟用或 True 是表示 Exchange 2013 Service Pack 1 及更新版本的新安裝) ;如需詳細資訊,請 參閱 Office 2013 和 Office 2016 用戶端應用程式的新式驗證運作方式
    請確定您正在執行 Outlook 的最低必要組建;請參閱 使用 Windows Installer (MSI) 的最新 Outlook 版本更新
    Mac 版 Outlook 2016 及更新版本
    		 Exchange Web 服務
    iOS 和 Android 版 Outlook
    		 Microsoft 同步科技
    		 如需詳細資訊,請參閱 搭配 iOS 和 Android 版 Outlook 使用混合式新式驗證
    Exchange ActiveSync 用戶端 (例如 iOS11 Mail)
    		Exchange ActiveSync
    		 針對支援新式驗證 Exchange ActiveSync 用戶端,您必須重新建立配置檔,才能從基本身份驗證切換至新式驗證。

    例如,未列出 (的用戶端和/或通訊協定 POP3) 不支持內部部署 Exchange 的新式驗證,即使在環境中啟用新式驗證之後,仍繼續使用舊版驗證機制。

  • 一般必要條件

    • 資源樹系案例需要與帳戶樹系的雙向信任,以確保在混合式新式驗證要求期間執行適當的 SID 查閱。

    • 如果您使用 AD FS,則應該要有 Windows 2012 R2 AD FS 3.0 和更新版本來進行同盟。

    • 您的身分識別組態是 Microsoft Entra Connect 支援的任何類型,例如密碼哈希同步處理、傳遞驗證,以及 Office 365 支援的內部部署 STS。

    • 您已 Microsoft Entra Connect 設定並運作以進行使用者復寫和同步處理。

      注意事項

      任何未同步至 Microsoft Entra 身分識別的用戶帳戶,都不會透過混合式新式驗證提供授權令牌。 將內部部署應用程式設定為使用 evoSTS 作為預設授權端點之後,如果無法使用適當的設定,這些未同步處理的用戶帳戶將會在存取應用程式時遇到問題。

    • 您已確認已在內部部署與 Office 365 環境之間使用 Exchange 傳統混合式拓撲模式來設定混合式。 Exchange 混合式的官方支持聲明指出您必須擁有目前的 CU 或目前的 CU - 1。

      注意事項

      混合式代理程式不支援混合式新式驗證。

    • 如果您想要搭配使用 () 新式驗證與 Exchange) ,請確定內部部署測試使用者和位於 Office 365 的混合式測試使用者都可以登入 商務用 Skype 桌面用戶端 (。

    • 請確定 Microsoft Office 中的 SignInOptions 設定未設定為限制最嚴格的設定。 如需詳細資訊,請 參閱如何允許 Office 連線到因特網

開始之前還需要知道什麼?

  • 內部部署伺服器的所有案例實際上都牽涉到設定新式驗證內部部署 (,商務用 Skype 有支援的拓撲清單) ,讓負責驗證和授權的伺服器位於 Microsoft Cloud (Microsoft Entra ID 的安全性令牌服務中,稱為 『evoSTS』) ,並更新Microsoft Entra ID 商務用 Skype 或 Exchange 內部部署安裝所使用的 URL 或命名空間。 因此,內部部署伺服器會採用 Microsoft Cloud 相依性。 採取此動作可視為設定「混合式驗證」。
  • 本文連結至其他人,可協助您選擇支援的現代化驗證拓撲 (僅適用於 商務用 Skype) ,以及概述 Exchange 內部部署和 商務用 Skype 內部部署之設定步驟或停用新式驗證步驟的操作說明文章。 如果您需要在伺服器環境中使用新式驗證的基底,請在瀏覽器中將此頁面設為我的最愛。