Konfigurace Exchange Server místního prostředí pro používání hybridního moderního ověřování
Tento článek se týká Microsoft 365 Enterprise i Office 365 Enterprise.
Hybridní moderní ověřování (HMA) je metoda správy identit, která nabízí bezpečnější ověřování a autorizaci uživatelů a je dostupná pro místní hybridní nasazení Serveru Exchange.
Povolení hybridního moderního ověřování
Zapnutí HMA vyžaduje, aby vaše prostředí splňovalo následující podmínky:
Než začnete, ujistěte se, že splňujete požadavky.
Vzhledem k tomu, že mnoho požadavků je společných pro Skype pro firmy i Exchange, projděte si je v tématu Přehled hybridního moderního ověřování a předpoklady pro jeho použití s místními Skype pro firmy a servery Exchange. Udělejte to předtím, než začnete s některým z kroků v tomto článku. Požadavky týkající se propojených poštovních schránek, které se mají vložit
Přidejte adresy URL místních webových služeb jako hlavní názvy služeb (SPN) v Microsoft Entra ID. V případě, že je místní Exchange v hybridním prostředí s více tenanty, musí být tyto adresy URL místní webové služby přidány jako hlavní názvy služeb (SPN) v Microsoft Entra ID všech tenantů, které jsou hybridní s místním Exchangem.
Ujistěte se, že jsou pro HMA povolené všechny virtuální adresáře.
Kontrola objektu serveru ověřování EvoSTS
Ujistěte se, že je certifikát OAuth Exchange Server platný.
Ujistěte se, že se všechny identity uživatelů synchronizují s Microsoft Entra ID
Povolte HMA v místním Exchange.
Poznámka
Podporuje vaše verze Office MA? Přečtěte si článek Jak funguje moderní ověřování v klientských aplikacích Office 2013 a Office 2016.
Upozornění
Publikování Outlook Web App a Ovládací panely Exchange prostřednictvím proxy aplikací Microsoft Entra se nepodporuje.
Přidání adres URL místní webové služby jako hlavní názvy služeb (SPN) v Microsoft Entra ID
Spusťte příkazy, které přiřazují adresy URL místních webových služeb jako Microsoft Entra hlavní názvy služeb (SPN). Hlavní názvy služeb používají klientské počítače a zařízení během ověřování a autorizace. Všechny adresy URL, které se dají použít pro připojení z místního prostředí k Microsoft Entra ID, musí být zaregistrované v Microsoft Entra ID (včetně interních i externích oborů názvů).
Nejprve na Microsoft Exchange Server spusťte následující příkazy:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
Ujistěte se, že adresy URL, ke které se klienti mohou připojit, jsou v Microsoft Entra ID uvedené jako hlavní názvy služeb HTTPS. V případě, že je místní Exchange v hybridním prostředí s více tenanty, měly by se tyto hlavní názvy služeb HTTPS přidat do Microsoft Entra ID všech tenantů v hybridním prostředí s místním Exchangem.
Nainstalujte modul Microsoft Graph PowerShellu:
Install-Module Microsoft.Graph -Scope AllUsers
Dále se pomocí těchto pokynů připojte k Microsoft Entra ID. Pokud chcete vyjádřit souhlas s požadovanými oprávněními, spusťte následující příkaz:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Pro adresy URL související s Exchangem zadejte následující příkaz:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Poznamenejte si výstup tohoto příkazu (a snímek obrazovky pro pozdější porovnání), který by měl obsahovat
https://*autodiscover.yourdomain.com*
adresu URL a,https://*mail.yourdomain.com*
ale většinou se skládat z hlavních názvů služby začínajících00000002-0000-0ff1-ce00-000000000000/
na .https://
Pokud chybí adresy URL z místního prostředí, měly by se tyto konkrétní záznamy přidat do tohoto seznamu.Pokud v tomto seznamu nevidíte interní a externí
MAPI/HTTP
záznamy ,EWS
,ActiveSync
,OAB
aAutodiscover
, musíte je přidat. Pomocí následujícího příkazu přidejte všechny adresy URL, které chybí:Důležité
V našem příkladu jsou adresy URL, které se přidají, a
mail.corp.contoso.com
owa.contoso.com
. Ujistěte se, že jsou nahrazené adresami URL nakonfigurovanými ve vašem prostředí.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Ověřte, že se nové záznamy přidaly, a to tak, že znovu spustíte
Get-MsolServicePrincipal
příkaz z kroku 2 a projdete si výstup. Porovnejte seznam nebo snímek obrazovky z dřívějšku s novým seznamem hlavních názvů služeb. Můžete také pořídit snímek obrazovky s novým seznamem vašich záznamů. Pokud budete úspěšní, zobrazí se v seznamu dvě nové adresy URL. V našem příkladu teď seznam hlavních názvů služeb (SPN) obsahuje konkrétní adresy URLhttps://mail.corp.contoso.com
ahttps://owa.contoso.com
.
Ověření správné konfigurace virtuálních adresářů
Teď spuštěním následujících příkazů ověřte, že je na Serveru správně povolený protokol OAuth ve všech virtuálních adresářích, které Outlook může používat:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Zkontrolujte výstup a ujistěte se, že je pro každý z těchto adresářů VDir povolený protokol OAuth , který vypadá nějak takto (a hlavní věcí, na kterou je potřeba se podívat, je OAuth):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Pokud na jakémkoli serveru a v některém ze čtyř virtuálních adresářů chybí OAuth, musíte ho přidat pomocí příslušných příkazů, než budete pokračovat (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory a Set-AutodiscoverVirtualDirectory).
Ověřte, že je k dispozici objekt serveru ověřování EvoSTS.
Vraťte se do místního prostředí Exchange Management Shell pro tento poslední příkaz. Teď můžete ověřit, že vaše místní zařízení obsahuje záznam pro zprostředkovatele ověřování evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Ve výstupu by se měl zobrazit AuthServer s názvem EvoSts s identifikátorem GUID a stav Povoleno by měl být True. Pokud ne, měli byste si stáhnout a spustit nejnovější verzi Průvodce hybridní konfigurací.
Poznámka
V případě, že je místní Exchange v hybridním prostředí s více tenanty, měl by se ve výstupu zobrazit jeden AuthServer s názvem EvoSts - {GUID}
pro každého tenanta v hybridním prostředí s místním Exchangem a povolený stav by měl být pro všechny tyto objekty AuthServer pravdivý .
Důležité
Pokud ve svém prostředí používáte Exchange 2010, zprostředkovatel ověřování EvoSTS se nevytvořil.
Povolit HMA
V místním prostředí Exchange Management Shell spusťte následující příkaz a nahraďte <identifikátor GUID> v příkazovém řádku identifikátorem GUID z výstupu posledního příkazu, který jste spustili:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Poznámka
Ve starších verzích Průvodce hybridní konfigurací byl EvoSts AuthServer jednoduše pojmenován EvoSTS bez připojeného identifikátoru GUID. Není potřeba provést žádnou akci, stačí upravit předchozí příkazový řádek tak, aby to odrážel, odebráním části příkazu GUID:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Pokud je místní verze Exchange Exchange 2016 (CU18 nebo vyšší) nebo Exchange 2019 (CU7 nebo vyšší) a hybridní verze byla nakonfigurovaná s HCW staženou po září 2020, spusťte v místním prostředí Exchange Management Shell následující příkaz:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Poznámka
V případě, že je místní Exchange v hybridním prostředí s více tenanty, existuje v místním Exchange několik objektů AuthServer s doménami odpovídajícími každému tenantovi. Příznak IsDefaultAuthorizationEndpoint by měl být nastaven na hodnotu true (pomocí rutiny IsDefaultAuthorizationEndpoint ) pro některý z těchto objektů AuthServer. Tento příznak nelze nastavit na hodnotu true pro všechny objekty Authserver a HMA by byl povolen i v případě, že je příznak IsDefaultAuthorizationEndpoint jednoho z těchto objektů AuthServer nastavený na hodnotu true.
Poznámka
Jako parametr DomainName použijte hodnotu domény tenanta, která je obvykle ve tvaru contoso.onmicrosoft.com
.
Ověřit
Po povolení HMA se při dalším přihlášení klienta použije nový tok ověřování. Zapnutí HMA neaktivuje opětovné ověření pro žádného klienta a může chvíli trvat, než Exchange převezme nové nastavení.
Měli byste také podržet stisknutou klávesu CTRL a současně kliknout pravým tlačítkem myši na ikonu klienta Outlooku (také na hlavním panelu oznámení Windows) a vybrat Stav připojení. Vyhledejte adresu SMTP klienta proti typu Bearer\*
AuthN , který představuje nosný token použitý v OAuth.
Poznámka
Potřebujete nakonfigurovat Skype pro firmy pomocí HMA? Budete potřebovat dva články: jeden, který obsahuje seznam podporovaných topologií, a druhý, který vám ukáže , jak provést konfiguraci.
Povolení hybridního moderního ověřování pro OWA a ECP
Hybridní moderní ověřování je teď možné povolit také pro OWA
a ECP
. Než budete pokračovat, ujistěte se, že jsou splněné požadavky .
Po povolení hybridního moderního ověřování pro OWA
a ECP
budou všichni koncoví uživatelé a správci, kteří se pokusí přihlásit OWA
k nebo ECP
budou nejprve přesměrováni na stránku ověřování Microsoft Entra ID. Po úspěšném ověření bude uživatel přesměrován na OWA
adresu nebo ECP
.
Požadavky na povolení hybridního moderního ověřování pro OWA a ECP
Pokud chcete povolit hybridní moderní ověřování pro OWA
a ECP
, musí být všechny identity uživatelů synchronizovány s Microsoft Entra ID.
Kromě toho je důležité, aby se nastavení OAuth mezi místním Exchange Server a Exchange Online vytvořilo před provedením dalších kroků konfigurace.
Zákazníci, kteří již spustili Průvodce hybridní konfigurací (HCW), budou mít zavedenou konfiguraci OAuth. Pokud OAuth ještě nebyl nakonfigurovaný, můžete to provést spuštěním hcw nebo postupujte podle kroků uvedených v dokumentaci Konfigurace ověřování OAuth mezi Exchangem a Exchange Online organizacemi.
Před provedením jakýchkoli změn doporučujeme zdokumentovat OwaVirtualDirectory
nastavení a EcpVirtualDirectory
. Tato dokumentace vám umožní obnovit původní nastavení v případě jakýchkoli problémů po konfiguraci funkce.
Důležité
Na všech serverech musí být nainstalovaná alespoň aktualizace Exchange Server 2019 CU14. Musí také spustit Exchange Server 2019 CU14 z dubna 2024 HU nebo novější aktualizaci.
Postup povolení hybridního moderního ověřování pro OWA a ECP
Zadejte dotaz na
OWA
ECP
adresy a, které jsou nakonfigurované v místním Exchange Server . To je důležité, protože je potřeba je přidat jako adresu URL odpovědi do Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Pokud ještě není nainstalovaný modul Microsoft Graph PowerShell, nainstalujte ho:
Install-Module Microsoft.Graph -Scope AllUsers
Připojte se k Microsoft Entra ID pomocí těchto pokynů. Pokud chcete vyjádřit souhlas s požadovanými oprávněními, spusťte následující příkaz:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Zadejte adresy URL a
OWA
ECP
:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
Aktualizujte aplikaci pomocí adres URL odpovědí:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Ověřte, že adresy URL odpovědí byly úspěšně přidány:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Pokud chcete Exchange Server místní možnosti provádět hybridní moderní ověřování, postupujte podle kroků uvedených v části Povolení HMA.
(Volitelné) Vyžaduje se pouze v případě, že se používají domény pro stahování :
Create přepsání nového globálního nastavení spuštěním následujících příkazů z prostředí Exchange Management Shell (EMS) se zvýšenými oprávněními. Na jednom Exchange Server spusťte tyto příkazy:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Volitelné) Vyžaduje se pouze ve scénářích topologie doménové struktury prostředků Exchange :
Do uzlu
<ExchangeInstallPath>\ClientAccess\Owa\web.config
souboru přidejte následující klíče<appSettings>
. Udělejte to na každém Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Create přepsání nového globálního nastavení spuštěním následujících příkazů z prostředí Exchange Management Shell (EMS) se zvýšenými oprávněními. Na jednom Exchange Server spusťte tyto příkazy:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Pokud chcete povolit hybridní moderní ověřování pro
OWA
aECP
, musíte v těchto virtuálních adresářích nejprve zakázat jakoukoli jinou metodu ověřování. Spusťte tyto příkazy pro každýOWA
aECP
virtuální adresář na každém Exchange Server:Důležité
Tyto příkazy je důležité spouštět v daném pořadí. Jinak se při spouštění příkazů zobrazí chybová zpráva. Po spuštění těchto příkazů se přihlaste k
OWA
aECP
přestane fungovat, dokud se neaktivuje ověřování OAuth pro tyto virtuální adresáře.Ujistěte se také, že jsou synchronizované všechny účty, zejména účty používané pro správu Microsoft Entra ID. Jinak přihlášení přestane fungovat, dokud nebudou synchronizovány. Mějte na paměti, že účty, jako je například integrovaný správce, se nebudou synchronizovat s Microsoft Entra ID, a proto je po povolení HMA pro OWA a ECP nebude možné použít pro správu. Důvodem je
isCriticalSystemObject
atribut, který je pro některé účty nastavený naTRUE
hodnotu .Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Pro virtuální adresář a
ECP
povolte OAuthOWA
. Spusťte tyto příkazy pro každýOWA
aECP
virtuální adresář na každém Exchange Server:Důležité
Tyto příkazy je důležité spouštět v daném pořadí. Jinak se při spouštění příkazů zobrazí chybová zpráva.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Použití hybridního moderního ověřování v Outlooku pro iOS a Android
Pokud jste místní zákazník a používáte Exchange Server v protokolu TCP 443, povolte síťový provoz z následujících rozsahů IP adres:
52.125.128.0/20
52.127.96.0/23
Tyto rozsahy IP adres jsou také popsané v tématu Další koncové body, které nejsou součástí webové služby Office 365 IP adresy a adresy URL.
Související články
Požadavky na konfiguraci moderního ověřování pro přechod z Office 365 dedicated/ITAR na vNext
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro