Konfigurace Exchange Server místního prostředí pro používání hybridního moderního ověřování

  • Článek

Tento článek se týká Microsoft 365 Enterprise i Office 365 Enterprise.

Hybridní moderní ověřování (HMA) je metoda správy identit, která nabízí bezpečnější ověřování a autorizaci uživatelů a je dostupná pro místní hybridní nasazení Serveru Exchange.

Povolení hybridního moderního ověřování

Zapnutí HMA vyžaduje, aby vaše prostředí splňovalo následující podmínky:

  1. Než začnete, ujistěte se, že splňujete požadavky.

  2. Vzhledem k tomu, že mnoho požadavků je společných pro Skype pro firmy i Exchange, projděte si je v tématu Přehled hybridního moderního ověřování a předpoklady pro jeho použití s místními Skype pro firmy a servery Exchange. Udělejte to předtím, než začnete s některým z kroků v tomto článku. Požadavky týkající se propojených poštovních schránek, které se mají vložit

  3. Přidejte adresy URL místních webových služeb jako hlavní názvy služeb (SPN) v Microsoft Entra ID. V případě, že je místní Exchange v hybridním prostředí s více tenanty, musí být tyto adresy URL místní webové služby přidány jako hlavní názvy služeb (SPN) v Microsoft Entra ID všech tenantů, které jsou hybridní s místním Exchangem.

  4. Ujistěte se, že jsou pro HMA povolené všechny virtuální adresáře.

  5. Kontrola objektu serveru ověřování EvoSTS

  6. Ujistěte se, že je certifikát OAuth Exchange Server platný.

  7. Ujistěte se, že se všechny identity uživatelů synchronizují s Microsoft Entra ID

  8. Povolte HMA v místním Exchange.

Poznámka

Podporuje vaše verze Office MA? Přečtěte si článek Jak funguje moderní ověřování v klientských aplikacích Office 2013 a Office 2016.

Upozornění

Publikování Outlook Web App a Ovládací panely Exchange prostřednictvím proxy aplikací Microsoft Entra se nepodporuje.

Přidání adres URL místní webové služby jako hlavní názvy služeb (SPN) v Microsoft Entra ID

Spusťte příkazy, které přiřazují adresy URL místních webových služeb jako Microsoft Entra hlavní názvy služeb (SPN). Hlavní názvy služeb používají klientské počítače a zařízení během ověřování a autorizace. Všechny adresy URL, které se dají použít pro připojení z místního prostředí k Microsoft Entra ID, musí být zaregistrované v Microsoft Entra ID (včetně interních i externích oborů názvů).

  1. Nejprve na Microsoft Exchange Server spusťte následující příkazy:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    Ujistěte se, že adresy URL, ke které se klienti mohou připojit, jsou v Microsoft Entra ID uvedené jako hlavní názvy služeb HTTPS. V případě, že je místní Exchange v hybridním prostředí s více tenanty, měly by se tyto hlavní názvy služeb HTTPS přidat do Microsoft Entra ID všech tenantů v hybridním prostředí s místním Exchangem.

  2. Nainstalujte modul Microsoft Graph PowerShellu:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Dále se pomocí těchto pokynů připojte k Microsoft Entra ID. Pokud chcete vyjádřit souhlas s požadovanými oprávněními, spusťte následující příkaz:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Pro adresy URL související s Exchangem zadejte následující příkaz:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Poznamenejte si výstup tohoto příkazu (a snímek obrazovky pro pozdější porovnání), který by měl obsahovat https://*autodiscover.yourdomain.com* adresu URL a, https://*mail.yourdomain.com* ale většinou se skládat z hlavních názvů služby začínajících 00000002-0000-0ff1-ce00-000000000000/na . https:// Pokud chybí adresy URL z místního prostředí, měly by se tyto konkrétní záznamy přidat do tohoto seznamu.

  5. Pokud v tomto seznamu nevidíte interní a externí MAPI/HTTPzáznamy , EWS, ActiveSync, OABa Autodiscover , musíte je přidat. Pomocí následujícího příkazu přidejte všechny adresy URL, které chybí:

    Důležité

    V našem příkladu jsou adresy URL, které se přidají, a mail.corp.contoso.comowa.contoso.com. Ujistěte se, že jsou nahrazené adresami URL nakonfigurovanými ve vašem prostředí.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Ověřte, že se nové záznamy přidaly, a to tak, že znovu spustíte Get-MsolServicePrincipal příkaz z kroku 2 a projdete si výstup. Porovnejte seznam nebo snímek obrazovky z dřívějšku s novým seznamem hlavních názvů služeb. Můžete také pořídit snímek obrazovky s novým seznamem vašich záznamů. Pokud budete úspěšní, zobrazí se v seznamu dvě nové adresy URL. V našem příkladu teď seznam hlavních názvů služeb (SPN) obsahuje konkrétní adresy URL https://mail.corp.contoso.com a https://owa.contoso.com.

Ověření správné konfigurace virtuálních adresářů

Teď spuštěním následujících příkazů ověřte, že je na Serveru správně povolený protokol OAuth ve všech virtuálních adresářích, které Outlook může používat:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Zkontrolujte výstup a ujistěte se, že je pro každý z těchto adresářů VDir povolený protokol OAuth , který vypadá nějak takto (a hlavní věcí, na kterou je potřeba se podívat, je OAuth):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Pokud na jakémkoli serveru a v některém ze čtyř virtuálních adresářů chybí OAuth, musíte ho přidat pomocí příslušných příkazů, než budete pokračovat (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory a Set-AutodiscoverVirtualDirectory).

Ověřte, že je k dispozici objekt serveru ověřování EvoSTS.

Vraťte se do místního prostředí Exchange Management Shell pro tento poslední příkaz. Teď můžete ověřit, že vaše místní zařízení obsahuje záznam pro zprostředkovatele ověřování evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Ve výstupu by se měl zobrazit AuthServer s názvem EvoSts s identifikátorem GUID a stav Povoleno by měl být True. Pokud ne, měli byste si stáhnout a spustit nejnovější verzi Průvodce hybridní konfigurací.

Poznámka

V případě, že je místní Exchange v hybridním prostředí s více tenanty, měl by se ve výstupu zobrazit jeden AuthServer s názvem EvoSts - {GUID} pro každého tenanta v hybridním prostředí s místním Exchangem a povolený stav by měl být pro všechny tyto objekty AuthServer pravdivý .

Důležité

Pokud ve svém prostředí používáte Exchange 2010, zprostředkovatel ověřování EvoSTS se nevytvořil.

Povolit HMA

V místním prostředí Exchange Management Shell spusťte následující příkaz a nahraďte <identifikátor GUID> v příkazovém řádku identifikátorem GUID z výstupu posledního příkazu, který jste spustili:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Poznámka

Ve starších verzích Průvodce hybridní konfigurací byl EvoSts AuthServer jednoduše pojmenován EvoSTS bez připojeného identifikátoru GUID. Není potřeba provést žádnou akci, stačí upravit předchozí příkazový řádek tak, aby to odrážel, odebráním části příkazu GUID:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Pokud je místní verze Exchange Exchange 2016 (CU18 nebo vyšší) nebo Exchange 2019 (CU7 nebo vyšší) a hybridní verze byla nakonfigurovaná s HCW staženou po září 2020, spusťte v místním prostředí Exchange Management Shell následující příkaz:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Poznámka

V případě, že je místní Exchange v hybridním prostředí s více tenanty, existuje v místním Exchange několik objektů AuthServer s doménami odpovídajícími každému tenantovi. Příznak IsDefaultAuthorizationEndpoint by měl být nastaven na hodnotu true (pomocí rutiny IsDefaultAuthorizationEndpoint ) pro některý z těchto objektů AuthServer. Tento příznak nelze nastavit na hodnotu true pro všechny objekty Authserver a HMA by byl povolen i v případě, že je příznak IsDefaultAuthorizationEndpoint jednoho z těchto objektů AuthServer nastavený na hodnotu true.

Poznámka

Jako parametr DomainName použijte hodnotu domény tenanta, která je obvykle ve tvaru contoso.onmicrosoft.com.

Ověřit

Po povolení HMA se při dalším přihlášení klienta použije nový tok ověřování. Zapnutí HMA neaktivuje opětovné ověření pro žádného klienta a může chvíli trvat, než Exchange převezme nové nastavení.

Měli byste také podržet stisknutou klávesu CTRL a současně kliknout pravým tlačítkem myši na ikonu klienta Outlooku (také na hlavním panelu oznámení Windows) a vybrat Stav připojení. Vyhledejte adresu SMTP klienta proti typu Bearer\*AuthN , který představuje nosný token použitý v OAuth.

Poznámka

Potřebujete nakonfigurovat Skype pro firmy pomocí HMA? Budete potřebovat dva články: jeden, který obsahuje seznam podporovaných topologií, a druhý, který vám ukáže , jak provést konfiguraci.

Povolení hybridního moderního ověřování pro OWA a ECP

Hybridní moderní ověřování je teď možné povolit také pro OWA a ECP. Než budete pokračovat, ujistěte se, že jsou splněné požadavky .

Po povolení hybridního moderního ověřování pro OWA a ECPbudou všichni koncoví uživatelé a správci, kteří se pokusí přihlásit OWA k nebo ECP budou nejprve přesměrováni na stránku ověřování Microsoft Entra ID. Po úspěšném ověření bude uživatel přesměrován na OWA adresu nebo ECP.

Požadavky na povolení hybridního moderního ověřování pro OWA a ECP

Pokud chcete povolit hybridní moderní ověřování pro OWA a ECP, musí být všechny identity uživatelů synchronizovány s Microsoft Entra ID. Kromě toho je důležité, aby se nastavení OAuth mezi místním Exchange Server a Exchange Online vytvořilo před provedením dalších kroků konfigurace.

Zákazníci, kteří již spustili Průvodce hybridní konfigurací (HCW), budou mít zavedenou konfiguraci OAuth. Pokud OAuth ještě nebyl nakonfigurovaný, můžete to provést spuštěním hcw nebo postupujte podle kroků uvedených v dokumentaci Konfigurace ověřování OAuth mezi Exchangem a Exchange Online organizacemi.

Před provedením jakýchkoli změn doporučujeme zdokumentovat OwaVirtualDirectory nastavení a EcpVirtualDirectory . Tato dokumentace vám umožní obnovit původní nastavení v případě jakýchkoli problémů po konfiguraci funkce.

Důležité

Na všech serverech musí být nainstalovaná alespoň aktualizace Exchange Server 2019 CU14. Musí také spustit Exchange Server 2019 CU14 z dubna 2024 HU nebo novější aktualizaci.

Postup povolení hybridního moderního ověřování pro OWA a ECP

  1. Zadejte dotaz na OWAECP adresy a, které jsou nakonfigurované v místním Exchange Server . To je důležité, protože je potřeba je přidat jako adresu URL odpovědi do Microsoft Entra ID:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Pokud ještě není nainstalovaný modul Microsoft Graph PowerShell, nainstalujte ho:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Připojte se k Microsoft Entra ID pomocí těchto pokynů. Pokud chcete vyjádřit souhlas s požadovanými oprávněními, spusťte následující příkaz:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Zadejte adresy URL a OWAECP :

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Aktualizujte aplikaci pomocí adres URL odpovědí:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Ověřte, že adresy URL odpovědí byly úspěšně přidány:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Pokud chcete Exchange Server místní možnosti provádět hybridní moderní ověřování, postupujte podle kroků uvedených v části Povolení HMA.

  8. (Volitelné) Vyžaduje se pouze v případě, že se používají domény pro stahování :

    Create přepsání nového globálního nastavení spuštěním následujících příkazů z prostředí Exchange Management Shell (EMS) se zvýšenými oprávněními. Na jednom Exchange Server spusťte tyto příkazy:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Volitelné) Vyžaduje se pouze ve scénářích topologie doménové struktury prostředků Exchange :

    Do uzlu <ExchangeInstallPath>\ClientAccess\Owa\web.config souboru přidejte následující klíče<appSettings>. Udělejte to na každém Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Create přepsání nového globálního nastavení spuštěním následujících příkazů z prostředí Exchange Management Shell (EMS) se zvýšenými oprávněními. Na jednom Exchange Server spusťte tyto příkazy:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Pokud chcete povolit hybridní moderní ověřování pro OWA a ECP, musíte v těchto virtuálních adresářích nejprve zakázat jakoukoli jinou metodu ověřování. Spusťte tyto příkazy pro každý OWA a ECP virtuální adresář na každém Exchange Server:

    Důležité

    Tyto příkazy je důležité spouštět v daném pořadí. Jinak se při spouštění příkazů zobrazí chybová zpráva. Po spuštění těchto příkazů se přihlaste k OWA a ECP přestane fungovat, dokud se neaktivuje ověřování OAuth pro tyto virtuální adresáře.

    Ujistěte se také, že jsou synchronizované všechny účty, zejména účty používané pro správu Microsoft Entra ID. Jinak přihlášení přestane fungovat, dokud nebudou synchronizovány. Mějte na paměti, že účty, jako je například integrovaný správce, se nebudou synchronizovat s Microsoft Entra ID, a proto je po povolení HMA pro OWA a ECP nebude možné použít pro správu. Důvodem je isCriticalSystemObject atribut, který je pro některé účty nastavený na TRUE hodnotu .

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Pro virtuální adresář a ECP povolte OAuthOWA. Spusťte tyto příkazy pro každý OWA a ECP virtuální adresář na každém Exchange Server:

    Důležité

    Tyto příkazy je důležité spouštět v daném pořadí. Jinak se při spouštění příkazů zobrazí chybová zpráva.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Použití hybridního moderního ověřování v Outlooku pro iOS a Android

Pokud jste místní zákazník a používáte Exchange Server v protokolu TCP 443, povolte síťový provoz z následujících rozsahů IP adres:

52.125.128.0/20
52.127.96.0/23

Tyto rozsahy IP adres jsou také popsané v tématu Další koncové body, které nejsou součástí webové služby Office 365 IP adresy a adresy URL.

Požadavky na konfiguraci moderního ověřování pro přechod z Office 365 dedicated/ITAR na vNext