- Artigo
Esse artigo se aplica ao Microsoft 365 Enterprise e ao Office 365 Enterprise.
A Autenticação Moderna, é um método de gerenciamento de identidade que oferece autenticação e autorização de usuário mais seguras, está disponível para Skype for Business servidor local e servidor exchange local e híbridos de Skype for Business de domínio dividido.
Importante
Você gostaria de saber mais sobre a MA (Autenticação Moderna) e por que você pode preferir usá-la em sua empresa ou organização? Verifique este documento para obter uma visão geral. Se você precisar saber quais topologias Skype for Business têm suporte com MA, isso está documentado aqui!
Antes de começarmos, uso estes termos:
Ma (Autenticação Moderna)
HMA (Autenticação Moderna Híbrida)
EXCH (Exchange local)
Exchange Online (EXO)
Skype for Business SFB (local)
Skype for Business Online (SFBO)
Além disso, se um gráfico neste artigo tiver um objeto esmaecido ou esmaecido, isso significa que o elemento mostrado em cinza não está incluído na configuração específica de MA.
Ler o resumo
Este resumo divide o processo em etapas que podem ser perdidas durante a execução e é bom para uma lista de verificação geral para acompanhar onde você está no processo.
Primeiro, verifique se você atende a todos os pré-requisitos.
Como muitos pré-requisitos são comuns para Skype for Business e Exchange, confira o artigo de visão geral da lista de verificação pré-req. Faça isso antes de iniciar qualquer uma das etapas deste artigo.
Colete as informações específicas do HMA que você precisará em um arquivo ou no OneNote.
Ativar a Autenticação Moderna para EXO (se ainda não estiver ativada).
Ativar a Autenticação Moderna para SFBO (se ainda não estiver ativada).
Ativar a Autenticação Moderna Híbrida para Exchange local.
Ativar a Autenticação Moderna Híbrida para Skype for Business local.
Essas etapas ativam o MA para SFB, SFBO, EXCH e EXO – ou seja, todos os produtos que podem participar de uma configuração HMA de SFB e SFBO (incluindo dependências em EXCH/EXO). Em outras palavras, se os usuários estiverem hospedados/tiverem caixas de correio criadas em qualquer parte do Híbrido (EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB), seu produto concluído será assim:
Como você pode ver, há quatro lugares diferentes para ativar o MA! Para obter a melhor experiência do usuário, é recomendável ativar a MA em todos esses quatro locais. Se você não puder ativar a MA em todos esses locais, ajuste as etapas para ativar a MA somente nos locais necessários para o ambiente.
Consulte o tópico De suporte para Skype for Business com MA para topologias com suporte.
Importante
Verifique se você já conheceu todos os pré-requisitos antes de começar. Você encontrará essas informações em visão geral e pré-requisitos de autenticação moderna híbrida.
Coletar todas as informações específicas do HMA que você precisará
Depois de verificar duas vezes se você atende aos pré-requisitos para usar a Autenticação Moderna (confira a nota acima), você deve criar um arquivo para manter as informações necessárias para configurar o HMA nas etapas à frente. Exemplos usados neste artigo:
Domínio SIP/SMTP
- Exemplo. contoso.com (é federado com Office 365)
ID do locatário
- O GUID que representa seu locatário Office 365 (no logon do contoso.onmicrosoft.com).
URLs do Serviço Web do SFB 2015 CU5
Você precisará de URLs de serviço Web internas e externas para todos os pools do SfB 2015 implantados. Para obtê-los, execute o seguinte de Skype for Business Management Shell:
Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FLExemplo. Interno: https://lyncwebint01.contoso.com
Exemplo. Externo: https://lyncwebext01.contoso.com
Se você estiver usando um servidor Standard Edition, a URL interna ficará em branco. Nesse caso, use o pool fqdn para a URL interna.
Ativar a Autenticação Moderna para EXO
Siga as instruções aqui: Exchange Online: como habilitar seu locatário para autenticação moderna.
Ativar a Autenticação Moderna para SFBO
Siga as instruções aqui: Skype for Business Online: habilite seu locatário para autenticação moderna.
Ativar a Autenticação Moderna Híbrida para Exchange local
Siga as instruções aqui: como configurar Exchange Server local para usar a Autenticação Moderna Híbrida.
Ativar a Autenticação Moderna Híbrida para Skype for Business local
Adicionar URLs de serviço Web locais como SPNs no Azure Active Directory
Agora você precisará executar comandos para adicionar as URLs (coletadas anteriormente) como Entidades de Serviço no SFBO.
Observação
Os SPNs (nomes de entidade de serviço) identificam serviços Web e os associam a uma entidade de segurança (como um nome de conta ou grupo) para que o serviço possa agir em nome de um usuário autorizado. Os clientes que se autenticam em um servidor usam informações contidas em SPNs.
Primeiro, conecte-se ao Azure Active Directory (Azure AD) com essas instruções.
Execute este comando, localmente, para obter uma lista de URLs do serviço Web SFB.
Observe que o AppPrincipalId começa com
00000004. Isso corresponde a Skype for Business Online.Anote (e captura de tela para comparação posterior) a saída desse comando, que incluirá uma URL SE e WS, mas consiste principalmente em SPNs que começam com
00000004-0000-0ff1-ce00-000000000000/.Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNamesSe as URLs SFB internas ou externas do local estiverem ausentes (por exemplo, https://lyncwebint01.contoso.com e https://lyncwebext01.contoso.com) precisaremos adicionar esses registros específicos a esta lista.
Substitua as URLs de exemplo abaixo por suas URLs reais nos comandos Adicionar!
$x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000$x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")$x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNamesVerifique se seus novos registros foram adicionados executando o comando Get-MsolServicePrincipal da etapa 2 novamente e examinando a saída. Compare a lista ou a captura de tela de antes com a nova lista de SPNs. Você também pode capturar a nova lista de registros. Se você tiver sido bem-sucedido, verá as duas novas URLs na lista. Seguindo nosso exemplo, a lista de SPNs agora incluirá as URLs específicas https://lyncwebint01.contoso.com e https://lyncwebext01.contoso.com/.
Criar o objeto EvoSTS Auth Server
Execute o comando a seguir no Shell de Gerenciamento de Skype for Business.
New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureADHabilitar a Autenticação Moderna Híbrida
Esta é a etapa que realmente ativa a MA. Todas as etapas anteriores podem ser executadas com antecedência sem alterar o fluxo de autenticação do cliente. Quando estiver pronto para alterar o fluxo de autenticação, execute esse comando no Shell de Gerenciamento de Skype for Business.
Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTSVerify
Depois de habilitar o HMA, o próximo logon de um cliente usará o novo fluxo de auth. Observe que apenas ativar o HMA não disparará uma reauthenticação para nenhum cliente. Os clientes reauthenticam com base no tempo de vida dos tokens de auth e/ou certificados que eles têm.
Para testar se o HMA está funcionando depois de habilitá-lo, saia de um cliente SFB Windows de teste e clique em "excluir minhas credenciais". Entre novamente. O cliente agora deve usar o fluxo do Auth Moderno e seu logon agora incluirá um prompt de Office 365 para uma conta 'Trabalho ou escola', vista logo antes do cliente entrar em contato com o servidor e fazer logon com você.
Você também deve verificar as 'Informações de Configuração' para clientes Skype for Business para uma 'Autoridade OAuth'. Para fazer isso no computador cliente, mantenha pressionada a tecla CTRL ao mesmo tempo em que você clica com o botão direito do mouse no ícone Skype for Business na bandeja de notificação do Windows. Clique em Informações de Configuração no menu exibido. Na janela "Skype for Business Informações de Configuração" que será exibida na área de trabalho, procure o seguinte:
Você também deve segurar a tecla CTRL ao mesmo tempo em que clica com o botão direito do mouse no ícone para o cliente do Outlook (também na bandeja Notificações do Windows) e clique em 'Status de Conexão'. Procure o endereço SMTP do cliente em relação a um tipo AuthN de 'Bearer*', que representa o token de portador usado no OAuth.
Artigos relacionados
Vincule-se novamente à visão geral da Autenticação Moderna.
Você precisa saber como usar a Autenticação Moderna para seus clientes Skype for Business? Temos etapas aqui: visão geral da autenticação moderna híbrida e pré-requisitos para usá-la com servidores locais Skype for Business e Exchange.