Eventos
Conferência da Comunidade do Microsoft 365
6 de mai., 14 - 9 de mai., 00
Prepare-se para a era da IA no evento Microsoft 365 liderado pela comunidade, de 6 a 8 de maio em Las Vegas.
Saiba maisNão há mais suporte para esse navegador.
Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.
Este artigo se aplica tanto ao Microsoft 365 Enterprise quanto ao Office 365 Enterprise.
A Autenticação Moderna é um método de gerenciamento de identidades que oferece autenticação e autorização de usuários mais seguras. Está disponível para implementações híbridas do Office 365 do servidor do Skype para Empresas no local e do servidor Exchange no local e híbridos do Skype para Empresas de domínio dividido. Este artigo liga-se a documentos relacionados sobre pré-requisitos, configuração/desativação da autenticação moderna e a algumas das informações relacionadas do cliente (por exemplo, clientes do Outlook e do Skype).
A autenticação moderna é um termo para uma combinação de métodos de autenticação e autorização entre um cliente (por exemplo, o seu portátil ou telemóvel) e um servidor, bem como algumas medidas de segurança que dependem de políticas de acesso com as quais já esteja familiarizado. Isso inclui:
O gerenciamento das identidades de usuário com a autenticação moderna proporciona aos administradores muitas ferramentas diferentes que podem ser usadas para a proteção de recursos e oferece métodos mais seguros de gerenciamento de identidades, tanto para o ambiente no local (Exchange e Skype for Business), quanto para os ambientes do Exchange híbrido e do Skype for Business híbrido/com domínio dividido.
Uma vez que o Skype para Empresas funciona em estreita colaboração com o Exchange, o comportamento de início de sessão dos utilizadores cliente do Skype para Empresas será afetado pelo estado de autenticação moderno do Exchange. Também é aplicável se tiver uma arquitetura híbrida de domínio dividido do Skype para Empresas, na qual tem o Skype para Empresas Online e o Skype para Empresas no local, com utilizadores armazenados em ambas as localizações.
Para obter mais informações sobre a autenticação moderna no Office 365, consulte Suporte da Aplicação Cliente do Office 365 – Autenticação multifator.
Importante
A partir de agosto de 2017, todos os locatários do novo Office 365 que incluíam o Skype for Business online e o Exchange online passaram a ter a autenticação moderna habilitada por padrão. Os inquilinos pré-existentes não terão uma alteração no estado de MA predefinido, mas todos os novos inquilinos suportam automaticamente o conjunto expandido de funcionalidades de identidade que vê listado anteriormente. Para verificar seu status de AM, confira a seção Verificar o status da autenticação moderna do seu ambiente no local.
Quando você usa a autenticação moderna com o Skype for Business ou Exchange Server no local, você continua autenticando os usuários no local, mas a forma de autorizar seu acesso aos recursos (como arquivos ou emails) muda. É por isso que, embora a autenticação moderna tenha a ver com a comunicação do cliente e do servidor, os passos realizados durante a configuração do MA resultam na definição de evoSTS (um Serviço de Tokens de Segurança utilizado pelo Microsoft Entra ID) como Servidor de Autenticação para Skype para Empresas e servidor exchange no local.
A mudança para o evoSTS permite que seus servidores no local tirem proveito do OAuth (emissão de token) para autorizar seus clientes, além de permitir que o seu local utilize métodos de segurança que são comuns na nuvem (como a autenticação multifator). Além disso, o evoSTS emite tokens que permitem que os usuários solicitem acesso aos recursos sem fornecer sua senha como parte da solicitação. Independentemente de onde os seus utilizadores estejam alojados (online ou no local) e independentemente da localização que aloje o recurso necessário, o EvoSTS tornar-se-ia o núcleo da autorização de utilizadores e clientes assim que a autenticação moderna fosse configurada.
Por exemplo, se um cliente do Skype para Empresas precisar de aceder ao servidor Exchange para obter informações de calendário em nome de um utilizador, utiliza a Biblioteca de Autenticação da Microsoft (MSAL) para o fazer. A MSAL é uma biblioteca de código concebida para disponibilizar recursos protegidos no seu diretório para aplicações cliente com tokens de segurança OAuth. A MSAL trabalha com o OAuth para verificar afirmações e trocar tokens (em vez de palavras-passe), para conceder a um utilizador acesso a um recurso. No passado, a autoridade numa transação como esta – o servidor que sabe como validar afirmações de utilizador e emitir os tokens necessários – pode ter sido um Serviço de Tokens de Segurança no local ou mesmo os Serviços de Federação do Active Directory. No entanto, a autenticação moderna centraliza essa autoridade através do ID do Microsoft Entra.
Isto também significa que, embora o seu servidor Exchange e ambientes do Skype para Empresas possam estar totalmente no local, o servidor de autorização está online e o seu ambiente no local tem de ter a capacidade de criar e manter uma ligação à sua subscrição do Office 365 na Nuvem (e à instância do Microsoft Entra que a sua subscrição utiliza como diretório).
O que não muda? Não importa se você está em um híbrido de domínio dividido ou usando o Skype for Business e o Exchange Server no local: todos os usuários devem em primeiro lugar autenticar no local. Em uma implementação híbrida da autenticação moderna, tanto a Lyncdiscovery quanto a Autodiscovery apontam para um servidor no local.
Importante
Se você precisar saber quais são as topologias específicas do Skype for Business compatíveis com a AM, essa informação está documentada aqui.
Uma vez que a autenticação moderna altera o servidor de autorização utilizado quando os serviços aplicam OAuth/S2S, precisa de saber se a autenticação moderna está ativada ou desativada para os seus ambientes do Skype para Empresas e Exchange no local. Você pode verificar o status dos seus servidores do Exchange executando o seguinte comando do PowerShell:
Get-OrganizationConfig | ft OAuth*
Se o valor da propriedade OAuth2ClientProfileEnabled for False, isso significa que a autenticação moderna está desabilitada.
Para obter mais informações sobre o Get-OrganizationConfig
cmdlet, consulte Get-OrganizationConfig.
Você pode fazer uma verificação dos seus servidores do Skype for Business executando o seguinte comando do PowerShell:
Get-CSOAuthConfiguration
Se o comando devolver uma propriedade OAuthServers vazia ou se o valor da propriedade ClientADALAuthOverride não for Permitido, a autenticação moderna será desativada.
Para obter mais informações sobre o Get-CsOAuthConfiguration
cmdlet, veja Get-CsOAuthConfiguration.
Verifique e marque esses itens na sua lista de verificação antes de continuar:
Específicos para o Skype for Business
Skype for Business no local em um ambiente híbrido do Office 365
Observação
Se os servidores de front-end do seu Skype for Business usam um servidor proxy para ter acesso à internet, o IP e o número da Porta do servidor proxy devem ser inseridos na seção de configuração do arquivo web.config para cada front-end.
<configuration>
<system.net>
<defaultProxy>
<proxy
proxyaddress="https://192.168.100.60:8080"
bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>
Importante
Certifique-se de assinar um feed RSS para as faixas de endereços de IP e URLs do Office 365 para se manter atualizado quanto às listas mais recentes dos URLs obrigatórios.
Específicos para o Exchange Server
Exchange Server no local em um ambiente híbrido do Office 365
Requisitos de cliente e de protocolo do Exchange
A disponibilidade da autenticação moderna é determinada pela combinação do cliente, protocolo e configuração. Se a autenticação moderna não for suportada pelo cliente, protocolo e/ou configuração, o cliente continuará a utilizar a autenticação legada.
Os seguintes clientes e protocolos suportam a autenticação moderna com o Exchange no local quando a autenticação moderna é ativada no ambiente:
Clientes | Protocolo principal | Observações |
---|---|---|
Outlook 2013 e posterior |
MAPI sobre HTTP |
O MAPI através de HTTP tem de estar ativado no Exchange para poder utilizar a autenticação moderna com estes clientes (ativado ou Verdadeiro para novas instalações do Exchange 2013 Service Pack 1 e superior); Para obter mais informações, consulte How modern authentication works for Office 2013 and Office 2016 client apps (Como funciona a autenticação moderna para aplicações cliente do Office 2013 e Office 2016). Certifique-se de que está a executar a compilação mínima necessária do Outlook; consulte Atualizações mais recentes para versões do Outlook que utilizam o Windows Installer (MSI). |
Outlook 2016 para Mac e posterior |
Serviços de Web do Exchange |
|
Outlook para iOS e Android |
Tecnologia de sincronização da Microsoft |
Confira o artigo Como usar a autenticação moderna híbrida com o Outlook para iOS e Android para obter mais informações. |
Clientes do Exchange ActiveSync (por exemplo, Correio iOS11) |
Exchange ActiveSync |
Para os clientes do Exchange ActiveSync compatíveis com a autenticação moderna, é preciso recriar o perfil para migrar da autenticação básica para a autenticação moderna. |
Os clientes e/ou protocolos que não estão listados (por exemplo, POP3) não suportam a autenticação moderna com o Exchange no local e continuam a utilizar mecanismos de autenticação legados mesmo após a autenticação moderna ser ativada no ambiente.
Pré-requisitos gerais
Os cenários de floresta de recursos requerem uma fidedignidade bidirecional com a floresta de contas para garantir que as pesquisas de SID adequadas são realizadas durante pedidos de autenticação moderna híbrida.
Se você usa o AD FS, é preciso ter o Windows 2012 R2 AD FS 3.0 e acima para os serviços de federação.
As configurações de identidade são qualquer um dos tipos suportados pelo Microsoft Entra Connect, como a sincronização do hash de palavras-passe, a autenticação pass-through e o STS no local suportados pelo Office 365.
Tem o Microsoft Entra Connect configurado e a funcionar para replicação e sincronização de utilizadores.
Observação
Quaisquer contas de utilizador que não estejam sincronizadas com o Microsoft Entra Identity não receberão um token de autorização através da Autenticação Moderna Híbrida. Assim que a aplicação no local estiver configurada para utilizar o evoSTS como ponto final de autorização predefinido, estas contas de utilizador que não estão sincronizadas encontrarão problemas com o respetivo acesso à aplicação se a configuração adequada não estiver disponível.
Você deve ter verificado que o híbrido foi configurado usando o modo de Topologia Híbrida Clássica do Exchange entre os seus ambientes no local e o Office 365. Uma declaração oficial de suporte do híbrido do Exchange afirma que você deve ter a CU atual ou a CU -1 atual.
Observação
A autenticação moderna híbrida não é compatível com o Agente Híbrido.
Certifique-se de que um utilizador de teste no local e um utilizador de teste híbrido no Office 365 podem iniciar sessão no cliente de ambiente de trabalho do Skype para Empresas (se quiser utilizar a autenticação moderna com o Skype) e o Microsoft Outlook (se quiser utilizar a autenticação moderna com o Exchange).
Certifique-se de que a definição SignInOptions no Microsoft Office não está configurada para a definição mais restritiva. Para obter mais informações, consulte Como permitir que o Office se ligue à Internet.
Eventos
Conferência da Comunidade do Microsoft 365
6 de mai., 14 - 9 de mai., 00
Prepare-se para a era da IA no evento Microsoft 365 liderado pela comunidade, de 6 a 8 de maio em Las Vegas.
Saiba mais