- Artigo
Este artigo aplica-se tanto a Microsoft 365 Enterprise como a Office 365 Enterprise.
A Autenticação Moderna é um método de gestão de identidades que oferece autenticação e autorização de utilizadores mais seguras, está disponível para Skype para Empresas servidor no local e exchange server no local e Skype para Empresas híbridos de domínio dividido.
Importante
Gostaria de saber mais sobre a Autenticação Moderna (MA) e por que motivo poderá preferir utilizá-la na sua empresa ou organização? Consulte este documento para obter uma descrição geral. Se precisar de saber que topologias Skype para Empresas são suportadas com o MA, isso está documentado aqui!
Antes de começarmos, utilizo estes termos:
Autenticação Moderna (MA)
Autenticação Moderna Híbrida (HMA)
Exchange no local (EXCH)
Exchange Online (EXO)
Skype para Empresas no local (SFB)
Skype para Empresas Online (SFBO)
Além disso, se um gráfico neste artigo tiver um objeto desativado ou desativado, isso significa que o elemento apresentado a cinzento não está incluído na configuração específica do MA.
Ler o resumo
Este resumo divide o processo em passos que, de outra forma, poderiam perder-se durante a execução e é bom para uma lista de verificação geral para controlar onde está no processo.
Primeiro, certifique-se de que cumpre todos os pré-requisitos.
Uma vez que muitos pré-requisitos são comuns tanto para Skype para Empresas como para o Exchange, veja o artigo de descrição geral da lista de verificação de pré-requisitos. Faça isto antes de iniciar qualquer um dos passos neste artigo.
Recolha as informações específicas de HMA necessárias num ficheiro ou no OneNote.
Ative a Autenticação Moderna para EXO (se ainda não estiver ativada).
Ative a Autenticação Moderna para SFBO (se ainda não estiver ativada).
Ative a Autenticação Moderna Híbrida para o Exchange no local.
Ative a Autenticação Moderna Híbrida para Skype para Empresas no local.
Estes passos ativam o MA para SFB, SFBO, EXCH e EXO, ou seja, todos os produtos que podem participar numa configuração HMA de SFB e SFBO (incluindo dependências no EXCH/EXO). Por outras palavras, se os seus utilizadores estiverem alojados/tiverem caixas de correio criadas em qualquer parte da Funcionalidade Híbrida (EXO + SFBO, EXO + SFB, EXCH + SFBO ou EXCH + SFB), o produto concluído terá o seguinte aspeto:
Como pode ver, existem quatro locais diferentes para ativar o MA! Para obter a melhor experiência de utilizador, recomendamos que ative o MA em todas as quatro localizações. Se não conseguir ativar o MA em todas estas localizações, ajuste os passos para que ative o MA apenas nas localizações necessárias para o seu ambiente.
Veja o tópico Suporte para Skype para Empresas com o MA para obter topologias suportadas.
Importante
Verifique novamente se cumpriu todos os pré-requisitos antes de começar. Encontrará essas informações na Descrição geral e nos pré-requisitos da autenticação moderna híbrida.
Recolha todas as informações específicas do HMA de que irá precisar
Depois de verificar novamente se cumpre os pré-requisitos para utilizar a Autenticação Moderna (veja a nota acima), deve criar um ficheiro para conter as informações necessárias para configurar o HMA nos passos seguintes. Exemplos utilizados neste artigo:
Domínio SIP/SMTP
- Por exemplo, contoso.com (está federado com Office 365)
ID do Inquilino
- O GUID que representa o seu inquilino Office 365 (no início de sessão de contoso.onmicrosoft.com).
URLs do Serviço Web CU5 do SFB 2015
Precisará de URLs de serviço Web internos e externos para todos os conjuntos do SfB 2015 implementados. Para os obter, execute o seguinte a partir da Shell de Gestão do Skype para Empresas:
Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FLPor exemplo, Interno: https://lyncwebint01.contoso.com
Por exemplo, Externo: https://lyncwebext01.contoso.com
Se estiver a utilizar um servidor standard edition, o URL interno estará em branco. Neste caso, utilize o fqdn do conjunto para o URL interno.
Ativar a Autenticação Moderna para EXO
Siga as instruções aqui: Exchange Online: Como ativar o seu inquilino para autenticação moderna.
Ativar a Autenticação Moderna para SFBO
Siga as instruções aqui: Skype para Empresas Online: ative o seu inquilino para autenticação moderna.
Ativar a Autenticação Moderna Híbrida para o Exchange no local
Siga as instruções aqui: Como configurar Exchange Server no local para utilizar a Autenticação Moderna Híbrida.
Ativar a Autenticação Moderna Híbrida para Skype para Empresas no local
Adicionar URLs de serviço Web no local como SPNs no Azure Active Directory
Agora, terá de executar comandos para adicionar os URLs (recolhidos anteriormente) como Principais de Serviço no SFBO.
Nota
Os nomes dos principais de serviço (SPNs) identificam os serviços Web e associam-nos a um principal de segurança (como um nome de conta ou grupo) para que o serviço possa agir em nome de um utilizador autorizado. Os clientes que efetuam a autenticação num servidor utilizam informações contidas em SPNs.
Em primeiro lugar, ligue-se ao Azure Active Directory (Azure AD) com estas instruções.
Execute este comando, no local, para obter uma lista de URLs do serviço Web SFB.
Tenha em atenção que o AppPrincipalId começa com
00000004. Isto corresponde ao Skype para Empresas Online.Tome nota (e captura de ecrã para comparação posterior) da saída deste comando, que incluirá um URL SE e WS, mas consiste principalmente em SPNs que começam por
00000004-0000-0ff1-ce00-000000000000/.Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNamesSe os URLs de SFB internos ou externos no local estiverem em falta (por exemplo, https://lyncwebint01.contoso.com e https://lyncwebext01.contoso.com) teremos de adicionar esses registos específicos a esta lista.
Certifique-se de que substitui os URLs de exemplo abaixo pelos URLs reais nos comandos Adicionar!
$x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000$x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/")$x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/")Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNamesVerifique se os novos registos foram adicionados ao executar o comando Get-MsolServicePrincipal no passo 2 novamente e ao analisar o resultado. Compare a lista ou captura de ecrã de antes com a nova lista de SPNs. Também pode fazer uma captura de ecrã da nova lista para os seus registos. Se tiver sido bem-sucedido, verá os dois novos URLs na lista. Ao seguir o nosso exemplo, a lista de SPNs irá agora incluir os URLs específicos https://lyncwebint01.contoso.com e https://lyncwebext01.contoso.com/.
Criar o Objeto de Servidor de Autenticação EvoSTS
Execute o seguinte comando na Shell de Gestão do Skype para Empresas.
New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureADAtivar a Autenticação Moderna Híbrida
Este é o passo que ativa o MA. Todos os passos anteriores podem ser executados antecipadamente sem alterar o fluxo de autenticação do cliente. Quando estiver pronto para alterar o fluxo de autenticação, execute este comando na Shell de Gestão do Skype para Empresas.
Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTSVerificar
Depois de ativar o HMA, o próximo início de sessão de um cliente utilizará o novo fluxo de autenticação. Tenha em atenção que ativar o HMA não irá acionar uma reautenticação para nenhum cliente. Os clientes reautenticam-se com base na duração dos tokens de autenticação e/ou certificados que têm.
Para testar se o HMA está a funcionar depois de o ativar, termine sessão num cliente Windows SFB de teste e certifique-se de que clica em "eliminar as minhas credenciais". Inicie sessão novamente. O cliente deverá agora utilizar o fluxo de Autenticação Moderna e o seu início de sessão irá agora incluir um pedido de Office 365 para uma conta "Profissional ou escolar", vista imediatamente antes de o cliente contactar o servidor e iniciar sessão.
Também deve verificar as "Informações de Configuração" dos Clientes Skype para Empresas para uma "Autoridade OAuth". Para fazê-lo no computador cliente, mantenha premida a tecla CTRL ao mesmo tempo que clica com o botão direito do rato no Ícone de Skype para Empresas no tabuleiro de Notificação do Windows. Clique em Informações de Configuração no menu apresentado. Na janela "Skype para Empresas Informações de Configuração" que será apresentada no ambiente de trabalho, procure o seguinte:
Também deve manter premida a tecla CTRL ao mesmo tempo que clica com o botão direito do rato no ícone do cliente do Outlook (também no tabuleiro notificações do Windows) e clique em "Estado da Ligação". Procure o endereço SMTP do cliente relativamente a um tipo de AuthN de "Portador*", que representa o token de portador utilizado no OAuth.
Artigos relacionados
Ligue novamente à Descrição geral da Autenticação Moderna.
Precisa de saber como utilizar a Autenticação Moderna para os seus clientes Skype para Empresas? Temos passos aqui: Descrição geral da autenticação moderna híbrida e pré-requisitos para utilizá-la com servidores do Exchange e Skype para Empresas no local.