Verwenden der anspruchsbasierten AD FS-Authentifizierung mit Outlook im Web

Durch die Installation und Konfiguration von Active Directory-Verbunddienste (AD FS) (AD FS) in Exchange Server Organisationen können Clients die anspruchsbasierte AD FS-Authentifizierung verwenden, um eine Verbindung mit Outlook im Web (früher als Outlook Web App bezeichnet) und dem Exchange Admin Center (EAC). Anspruchsbasierte Identität ist ein weiterer Ansatz für die Authentifizierung, der die Authentifizierungsverwaltung aus der Anwendung entfernt und Ihnen die Verwaltung von Konten durch die Zentralisierung der Authentifizierung erleichtert. Wenn die anspruchsbasierte Authentifizierung aktiviert ist, sind Outlook im Web und das EAC nicht für die Authentifizierung von Benutzern, das Speichern von Benutzerkonten und Kennwörtern, das Nachschlagen von Benutzeridentitätsdetails oder die Integration in andere Identitätssysteme verantwortlich. Durch die Zentralisierung der Authentifizierung können Authentifizierungsmethoden in Zukunft einfacher aktualisiert werden.

Die anspruchsbasierte AD FS-Authentifizierung ersetzt die herkömmlichen Authentifizierungsmethoden, die für Outlook im Web und das EAC verfügbar sind. Zum Beispiel:

• Active Directory-Authentifizierung mit Clientzertifikaten
• Standardauthentifizierung
• Digestauthentifizierung
• Formularbasierte Authentifizierung
• Windows-Authentifizierung

Das Einrichten der anspruchsbasierten AD FS-Authentifizierung für Outlook im Web und das EAC in Exchange Server umfasst die folgenden zusätzlichen Server:

• Ein Domänencontroller unter Windows Server 2012 oder höher (Active Directory Domain Services Serverrolle).

• Ein AD FS-Server mit Windows Server 2012 oder höher (Active Directory-Verbunddienste (AD FS) Serverrolle). Windows Server 2012 verwendet AD FS 2.1, und Windows Server 2012 R2 verwendet AD FS 3.0. Sie müssen Mitglied der Sicherheitsgruppe Domänenadministratoren, Unternehmensadministratoren oder lokale Administratoren sein, um AD FS zu installieren und die erforderlichen Vertrauensstellungen und Anspruchsregeln der vertrauenden Seite auf dem AD FS-Server zu erstellen.

• Optional ein Web-Anwendungsproxy-Server mit Windows Server 2012 R2 oder höher (RAS-Serverrolle, Web Anwendungsproxy Rollendienst).

  • Web Anwendungsproxy ist ein Reverseproxyserver für Webanwendungen, die sich innerhalb des Unternehmensnetzwerks befinden. Web Anwendungsproxy ermöglicht Benutzern auf vielen Geräten den Zugriff auf veröffentlichte Webanwendungen von außerhalb des Unternehmensnetzwerks. Weitere Informationen finden Sie unter Installieren und Konfigurieren von Web-Anwendungsproxy für die Veröffentlichung interner Anwendungen.

  • Obwohl Web Anwendungsproxy normalerweise empfohlen wird, wenn externe Clients auf AD FS zugreifen können, wird der Offlinezugriff in Outlook im Web bei Verwendung der AD FS-Authentifizierung über Web Anwendungsproxy nicht unterstützt.

  • Für die Installation von Web Anwendungsproxy auf einem Windows Server 2012 R2-Server sind lokale Administratorberechtigungen erforderlich.

  • Sie müssen den AD FS-Server bereitstellen und konfigurieren, bevor Sie den Web Anwendungsproxy-Server konfigurieren, und Sie können Web Anwendungsproxy nicht auf demselben Server installieren, auf dem AD FS installiert ist.

Was sollten Sie wissen, bevor Sie beginnen?

• Geschätzte Zeit zum Abschließen dieses Verfahrens: 45 Minuten.

• Die Verfahren in diesem Thema basieren auf Windows Server 2012 R2.

• Outlook im Web für Geräte bietet keine Unterstützung für anspruchsbasierte AD FS-Authentifizierung.

• Für die Verfahren im Exchange-organization benötigen Sie Organisationsverwaltungsberechtigungen.

• Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.

Schritt 1: Überprüfen der Zertifikatanforderungen für AD FS

AD FS erfordert zwei grundlegende Arten von Zertifikaten:

• Ein SSL-Zertifikat (Secure Sockets Layer) für die Dienstkommunikation für verschlüsselten Webdienstdatenverkehr zwischen dem AD FS-Server, Clients, Exchange-Servern und dem optionalen Web Anwendungsproxy-Server. Es wird empfohlen, ein Zertifikat zu verwenden, das von einer internen oder kommerziellen Zertifizierungsstelle ausgestellt wurde, da alle Clients diesem Zertifikat vertrauen müssen.

• Ein Tokensignaturzertifikat für die verschlüsselte Kommunikation und Authentifizierung zwischen dem AD FS-Server, Active Directory-Domänencontrollern und Exchange-Servern. Es wird empfohlen, das standardmäßige selbstsignierte AD FS-Tokensignaturzertifikat zu verwenden.

Weitere Informationen zum Erstellen und Importieren von SSL-Zertifikaten in Windows finden Sie unter Serverzertifikate.

Hier ist eine Zusammenfassung der Zertifikate, die wir in diesem Szenario verwenden werden:

Allgemeiner Name (Common Name, CN) im Zertifikat (in der Übereinstimmung antragsteller, alternativer Antragstellername oder Eines Wildcardzertifikats)	Typ	Auf Servern erforderlich	Kommentare
adfs.contoso.com	Von einer Zertifizierungsstelle ausgestellt	AD FS-Server Web Anwendungsproxy Server	Dies ist der Hostname, der für Clients sichtbar ist, sodass Clients dem Aussteller dieses Zertifikats vertrauen müssen.
ADFS Signing - adfs.contoso.com	Selbstsigniert	AD FS-Server Exchange-Server Web Anwendungsproxy Server	Das selbstsignierte Standardzertifikat wird während der Konfiguration des optionalen Web Anwendungsproxy-Servers automatisch kopiert. Sie müssen es jedoch manuell in den Speicher für vertrauenswürdige Stammzertifikate auf allen Exchange-Servern in Ihrem organization importieren. Standardmäßig sind die selbstsignierten Tokensignaturzertifikate ein Jahr lang gültig. Der AD FS-Server ist so konfiguriert, dass er seine selbstsignierten Zertifikate automatisch verlängert (ersetzt), bevor sie ablaufen. Sie müssen das Zertifikat jedoch auf den Exchange-Servern erneut importieren. Sie können den Standardzeitraum für den Zertifikatablauf erhöhen, indem Sie den folgenden Befehl in Windows PowerShell auf dem AD FS-Server ausführen: Set-AdfsProperties -CertificateDuration <Days> (der Standardwert ist 365). Weitere Informationen finden Sie unter Set-AdfsProperties. Um das Zertifikat aus der AD FS-Verwaltungskonsole zu exportieren, wählen SieDienstzertifikate>> aus, klicken Sie mit der rechten Maustaste auf das Tokensignaturzertifikat>, und wählen Sie Zertifikat> anzeigen aus. Klicken Sie auf die Registerkarte >Details auf In Datei kopieren.
mail.contoso.com	Von einer Zertifizierungsstelle ausgestellt	Exchange-Server Web Anwendungsproxy Server	Dies ist das typische Zertifikat, das verwendet wird, um externe Clientverbindungen mit Outlook im Web (und wahrscheinlich anderen Exchange IIS-Diensten) zu verschlüsseln. Weitere Informationen finden Sie unter Zertifikatanforderungen für Exchange-Dienste.

Weitere Informationen finden Sie im Abschnitt "Zertifikatanforderungen" unter AD FS-Anforderungen.

Hinweis

Secure Sockets Layer (SSL) wird durch Transport Layer Security (TLS) als Protokoll ersetzt, das zum Verschlüsseln von Daten verwendet wird, die zwischen Computersystemen gesendet werden. Sie sind so eng miteinander verbunden, dass die Begriffe "SSL" und "TLS" (ohne Versionen) häufig synonym verwendet werden. Aufgrund dieser Ähnlichkeit wurden Verweise auf "SSL" in Exchange-Themen, dem Exchange Admin Center und der Exchange-Verwaltungsshell häufig verwendet, um sowohl das SSL- als auch das TLS-Protokoll zu umfassen. „SSL“ bezieht sich in der Regel nur dann auf das eigentliche SSL-Protokoll, wenn auch eine Version angegeben wird (z. B. SSL 3.0). Wenn Sie herausfinden möchten, warum Sie das SSL-Protokoll deaktivieren und zu TLS wechseln sollten, lesen Sie Schutz vor der Sicherheitsanfälligkeit in SSL 3.0.

Schritt 2: Bereitstellen eines AD FS-Servers

Sie können Server-Manager oder Windows PowerShell verwenden, um den Active Directory-Verbunddienste (AD FS) Rollendienst auf dem Zielserver zu installieren.

Führen Sie die folgenden Schritte aus, um Server-Manager zum Installieren von AD FS zu verwenden:

1. Öffnen Sie auf dem Zielserver Server-Manager, klicken Sie auf Verwalten, und wählen Sie dann Rollen und Features hinzufügen aus.

   

2. Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet. Sie beginnen auf der Seite Vor Beginn , es sei denn, Sie haben diese Seite standardmäßig überspringen ausgewählt. Klicken Sie auf Weiter.

   

3. Überprüfen Sie auf der Seite Installationstyp auswählen , ob rollenbasierte oder featurebasierte Installation ausgewählt ist, und klicken Sie dann auf Weiter.

   

4. Überprüfen Sie auf der Seite Zielserver auswählen die Serverauswahl, und klicken Sie dann auf Weiter.

   

5. Wählen Sie auf der Seite Serverrollen auswählen in der Liste Active Directory-Verbunddienste (AD FS) aus, und klicken Sie dann auf Weiter.

   

6. Klicken Sie auf der Seite Features auswählen auf Weiter (übernehmen Sie die Standardfeatureauswahl).

   

7. Klicken Sie auf der Seite Active Directory-Verbunddienste (AD FS) (AD FS) auf Weiter.

   

8. Nur Windows Server 2012: Klicken Sie auf der Seite Rollendienste auswählen auf Weiter (übernehmen Sie die Standardauswahl des Rollendiensts).

9. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.

   

10. Auf der Seite Installationsstatus können Sie die Statusanzeige watch, um zu überprüfen, ob die Installation erfolgreich war. Lassen Sie nach Abschluss der Installation den Assistenten geöffnet, damit Sie in Schritt 3b: Konfigurieren des AD FS-Serversauf Den Verbunddienst auf diesem Server konfigurieren klicken können.

Um Windows PowerShell zum Installieren von AD FS zu verwenden, führen Sie den folgenden Befehl aus:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Schritt 3: Konfigurieren und Testen des AD FS-Servers

Sie können auch diese Prüfliste lesen, um Sie bei der Konfiguration von AD FS: Checkliste: Einrichten eines Verbundservers zu unterstützen.

Schritt 3a: Erstellen eines gMSA auf einem Domänencontroller

Bevor Sie den AD FS-Server konfigurieren, müssen Sie ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) auf einem Domänencontroller unter Windows Server 2012 oder höher erstellen. Dies geschieht in einem Fenster mit erhöhten Windows PowerShell auf dem Domänencontroller (ein Windows PowerShell Fenster, das Sie öffnen, indem Sie Als Administrator ausführen auswählen).

1. Führen Sie den folgenden Befehl aus:

   Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
   

   Wenn der Befehl erfolgreich ist, wird ein GUID-Wert zurückgegeben. Zum Beispiel:

   Guid
   ----
   2570034b-ab50-461d-eb80-04e73ecf142b

2. Verwenden Sie die folgende Syntax, um ein neues gMSA-Konto für den AD FS-Server zu erstellen:

   New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
   

   In diesem Beispiel wird ein neues gMSA-Konto namens FSgMSA für den Verbunddienst namens adfs.contoso.com erstellt. Der Verbunddienstname ist der Wert, der für Clients sichtbar ist.

   New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
   

Schritt 3b: Konfigurieren des AD FS-Servers

Zum Konfigurieren des AD FS-Servers können Sie Server-Manager oder Windows PowerShell verwenden.

Gehen Sie wie folgt vor, um Server-Manager zu verwenden:

1. Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features auf dem AD FS-Server aus Schritt 2: Bereitstellen eines AD FS-Servers geöffnet gelassen haben, können Sie auf der Seite Installationsstatus auf den Link Konfigurieren des Verbunddiensts auf diesem Server klicken.

   

   Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features geschlossen haben oder Windows PowerShell zum Installieren von AD FS verwendet haben, können Sie zur gleichen Stelle in Server-Manager gelangen, indem Sie auf Benachrichtigungen und dann in der Warnung Konfiguration nach der Bereitstellungauf Verbunddienst auf diesem Server konfigurieren klicken.

   

2. Der Active Directory-Verbunddienste (AD FS)-Assistent wird geöffnet. Aktivieren Sie auf der Seite Willkommendie Option Erste Verbundserver in einer Verbundserverfarm erstellen , und klicken Sie dann auf Weiter.

   

3. Wählen Sie auf der Seite Verbindung mit Active Directory-Verbunddienste (AD FS) herstellen ein Domänenadministratorkonto in der Domäne aus, in der sich der AD FS-Server befindet (Ihre aktuellen Anmeldeinformationen sind standardmäßig ausgewählt). Wenn Sie einen anderen Benutzer auswählen wollen, klicken Sie auf Ändern. Wenn Sie fertig sind, klicken Sie auf Weiter.

   

4. Konfigurieren Sie auf der Seite Diensteigenschaften angeben die folgenden Einstellungen:

   • SSL-Zertifikat: Importieren Oder wählen Sie das SSL-Zertifikat aus, das den Namen des Verbunddiensts enthält, den Sie in Schritt 3a: Erstellen eines gMSA auf einem Domänencontroller konfiguriert haben (z. B adfs.contoso.com. ). Wenn Sie ein Zertifikat importieren, das noch nicht auf dem Server installiert ist, müssen Sie eine PFX-Datei importieren (wahrscheinlich eine kennwortgeschützte Datei, die den privaten Schlüssel des Zertifikats enthält). Der CN-Wert (Common Name) im Feld Betreff des Zertifikats wird hier angezeigt.

   • Verbunddienstname: Dieses Feld wird automatisch basierend auf dem Typ des SSL-Zertifikats aufgefüllt, das Sie auswählen oder importieren:

     • Zertifikat eines einzelnen Antragstellers: Der CN-Wert des Felds Betreff des Zertifikats wird angezeigt, und Sie können ihn nicht ändern (z. B adfs.contoso.com. ).

     • SAN-Zertifikat: Wenn das Zertifikat den erforderlichen Verbunddienstnamen enthält, wird dieser Wert angezeigt (z. B adfs.contoso.com. ). Sie können die Dropdownliste verwenden, um andere CN-Werte im Zertifikat anzuzeigen.

     • Platzhalterzertifikat: Der CN-Wert des Felds Betreff des Zertifikats wird angezeigt (z. B *.contoso.com. ), Aber Sie müssen ihn in den erforderlichen Verbunddienstnamen ändern (z. B adfs.contoso.com. ).

     Hinweis: Wenn das ausgewählte Zertifikat nicht den erforderlichen Verbunddienstnamen enthält (das Feld Verbunddienstname enthält nicht den erforderlichen Wert), erhalten Sie die folgende Fehlermeldung:

     The federation service name does not match any of the subject names found in the certificate.

   • Anzeigename des Verbunddiensts: Geben Sie den Namen Ihrer organization ein. Beispiel: Contoso, Ltd..

   Wenn Sie fertig sind, klicken Sie auf Weiter.

   

5. Konfigurieren Sie auf der Seite Dienstkonto angeben die folgenden Einstellungen:

   • Wählen Sie Vorhandenes Domänenbenutzerkonto oder gruppenverwaltetes Dienstkonto verwenden aus.

   • Kontoname: Klicken Sie auf Auswählen , und geben Sie das gMSA-Konto ein, das Sie in Schritt 3a: Erstellen eines gMSA auf einem Domänencontroller erstellt haben (z. B FSgMSA. ). Beachten Sie, dass nach der Auswahl der Wert angezeigt wird <Domain>\<gMSAAccountName>$ (z. B CONTOSO\FSgMSA$. ).

   Wenn Sie fertig sind, klicken Sie auf Weiter.

   

6. Vergewissern Sie sich auf der Seite Konfigurationsdatenbank angeben , dass Datenbank auf diesem Server mit interner Windows-Datenbank erstellen ausgewählt ist, und klicken Sie dann auf Weiter.

   

7. Überprüfen Sie auf der Seite Optionen überprüfen Ihre Auswahl. Sie können auf die Schaltfläche Skript anzeigen klicken, um das Windows PowerShell Äquivalent der Auswahl zu kopieren, die Sie für die zukünftige Verwendung vorgenommen haben. Wenn Sie fertig sind, klicken Sie auf Weiter.

   

8. Überprüfen Sie auf der Seite Voraussetzungsprüfungen , ob alle erforderlichen Überprüfungen erfolgreich abgeschlossen wurden, und klicken Sie dann auf Konfigurieren.

   

9. Überprüfen Sie auf der Seite Ergebnisse die Ergebnisse, und überprüfen Sie, ob die Konfiguration erfolgreich abgeschlossen wurde. Sie können auf Nächste Schritte klicken, die zum Abschließen der Bereitstellung des Verbunddiensts erforderlich sind , wenn Sie sich über die nächsten Schritte (z. B. konfigurieren von DNS) informieren möchten. Klicken Sie nach Abschluss des Vorgangs auf Schließen.

   

Führen Sie die folgenden Schritte aus, um AD FS mit Windows PowerShell zu konfigurieren:

1. Führen Sie den folgenden Befehl auf dem AD FS-Server aus, um den Fingerabdruckwert des installierten Zertifikats zu suchen, das enthält adfs.contoso.com:

   Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
   

2. Führen Sie den folgenden Befehl aus:

   Import-Module ADFS
   

3. Verwenden Sie die folgende Syntax:

   Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>
   

In diesem Beispiel wird AD FS mit den folgenden Einstellungen konfiguriert:

• adfs.contoso.com Zertifikatfingerabdruck: Das *.contoso.com Zertifikat mit dem Fingerabdruckwert 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

• Name des Verbunddiensts: adfs.contoso.com

• Anzeigename des Verbunddiensts: Contoso, Ltd.

• Name und Domäne des gMSA-Sam-Kontos des Verbunds: Für das gMSA-Konto mit dem Namen FSgMSA in der contoso.com Domäne lautet contoso\FSgMSA$der erforderliche Wert beispielsweise .

Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"

Hinweise:

• Wenn Sie das gMSA erstellen, wird automatisch an $ den Name-Wert angefügt, um den Hier erforderlichen SamAccountName-Wert zu erstellen.

• Das Escapezeichen (''') ist für das $ in SamAccountName erforderlich.

Weitere Informationen und die Syntax finden Sie unter Install-AdfsFarm.

Schritt 3c: Testen des AD FS-Servers

Nachdem Sie AD FS konfiguriert haben, können Sie die Installation auf dem AD FS-Server überprüfen, indem Sie die URL der Verbundmetadaten erfolgreich in einem Webbrowser öffnen. Die URL verwendet die Syntax https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml. Beispiel: https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

Schritt 4: Erstellen einer Vertrauensstellung der vertrauenden Seite und benutzerdefinierter Anspruchsregeln in AD FS für Outlook im Web und das EAC

• Auf dem Exchange-Server verwendet Outlook im Web das virtuelle Verzeichnis namensowa, und das EAC verwendet das virtuelle Verzeichnis namens ecp.

• Der nachfolgende Schrägstrich (/), der in den Werten der Outlook im Web- und EAC-URL verwendet wird, ist beabsichtigt. Es ist wichtig, dass die AD FS-Vertrauensstellungen der vertrauenden Seite und die URI der Exchange-Zielgruppe identisch sind. Beide müssen über oder beide verfügen, müssen die nachfolgenden Schrägstriche in ihren URLs weglassen . Die Beispiele in diesem Abschnitt enthalten die nachfolgenden Schrägstriche nach den URLs owa und ecp (owa/ und ecp/).

• In Organisationen mit mehreren Active Directory-Standorten, die separate Namespaces verwenden (z. Beu.contoso.com. und na.contoso.com), müssen Sie vertrauensstellungen der vertrauenden Seite für jeden Namespace sowohl für Outlook im Web als auch für das EAC konfigurieren.

Schritt 4a: Erstellen von Vertrauensstellungen der vertrauenden Seite in AD FS für Outlook im Web und das EAC

Zum Erstellen der Vertrauensstellungen der vertrauenden Seite auf dem AD FS-Server können Sie die AD FS-Verwaltungskonsole oder Windows PowerShell verwenden.

Führen Sie die folgenden Schritte aus, um die AD FS-Verwaltungskonsole zum Erstellen der Vertrauensstellungen der vertrauenden Seite zu verwenden:

Hinweis: Sie müssen diese Schritte zweimal ausführen: einmal für Outlook im Web und einmal für das EAC. Der einzige Unterschied sind die Werte, die Sie in den Schritten 5 und 8 eingeben (die Seiten Anzeigenamen angeben und URL konfigurieren im Assistenten).

1. Klicken Sie in Server-Manager auf Tools und wählen Sie anschließend AD FS-Verwaltung aus.

   

2. Erweitern Sie in der AD FS-Verwaltungskonsole Vertrauensstellungen , und wählen Sie dann Vertrauensstellungen der vertrauenden Seite aus. Wählen Sie im Bereich Aktionen die Option Vertrauensstellung der vertrauenden Seite hinzufügen aus.

   

3. Der Assistent zum Hinzufügen der Vertrauensstellung der vertrauenden Seite wird geöffnet. Klicken Sie auf der Begrüßungsseite auf Start.

   

4. Wählen Sie auf der Seite Datenquelle auswählen die Option Daten zur vertrauenden Seite manuell eingeben aus, und klicken Sie dann auf Weiter.

   

5. Konfigurieren Sie auf der Seite Anzeigenamen angeben die folgenden Einstellungen:

   • Für Outlook im Web:

   • Anzeigename: Geben Sie Outlook im Web ein.

   • Hinweise: Geben Sie eine Beschreibung ein. Dies ist z. B. eine Vertrauensstellung für https://mail.contoso.com/owa/.

     

   • Für das EAC:

   • Anzeigename: Geben Sie EAC ein.

   • Hinweise: Geben Sie eine Beschreibung ein. Dies ist z. B. eine Vertrauensstellung für https://mail.contoso.com/ecp/.

   

   Wenn Sie fertig sind, klicken Sie auf Weiter.

6. Überprüfen Sie auf der Seite Profil auswählen , ob AD FS-Profil ausgewählt ist, und klicken Sie dann auf Weiter.

   

7. Klicken Sie auf der Seite Zertifikat konfigurieren auf Weiter (geben Sie kein optionales Tokenverschlüsselungszertifikat an).

   

8. Wählen Sie auf der Seite URL konfigurierendie Option Unterstützung für das WS-Federation Passive-Protokoll aktivieren aus, und geben Sie unter Vertrauende Seite WS-Federation Passive Protokoll-URL die folgenden Informationen ein:

   • Outlook im Web: Geben Sie Ihre externe Outlook im Web-URL ein (z. Bhttps://mail.contoso.com/owa/. ).

     

   • EAC: Geben Sie Ihre externe EAC-URL ein (z. B https://mail.contoso.com/ecp/. ).

   Wenn Sie fertig sind, klicken Sie auf Weiter.

   

9. Klicken Sie auf der Seite Bezeichner konfigurieren auf Weiter (die URL aus dem vorherigen Schritt wird unter Vertrauensbezeichner der vertrauenden Seite aufgeführt).

   

10. Vergewissern Sie sich auf der Seite Multi-Factor Authentication jetzt konfigurieren? , dass die Option Mehrstufige Authentifizierung für diese Vertrauensstellung der vertrauenden Seite derzeit nicht konfiguriert werden soll , und klicken Sie dann auf Weiter.

    

11. Aktivieren Sie auf der Seite Ausstellungsautorisierungsregeln auswählen die Option Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben , und klicken Sie dann auf Weiter.

    

12. Auf der Seite Vertrauensstellung kann hinzugefügt werden prüfen Sie die Einstellungen und klicken dann auf Weiter, um die Daten der Vertrauensstellung zu speichern.

    

13. Deaktivieren Sie auf der Seite Fertig stellendie Option Anspruchsregeln bearbeiten für diese Vertrauensstellung der vertrauenden Seite öffnen, wenn der Assistent geschlossen wird, und klicken Sie dann auf Schließen.

    

Führen Sie die folgenden Schritte aus, um Windows PowerShell Eingabeaufforderung zum Erstellen der Vertrauensstellungen der vertrauenden Seite zu verwenden:

1. Führen Sie in einem Fenster mit erhöhten Windows PowerShell den folgenden Befehl aus:

   Import-Module ADFS
   

2. Verwenden Sie die folgende Syntax:

   Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL | EACURL> -WSFedEndpoint <OotwURL | EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
   

In diesem Beispiel wird eine Vertrauensstellung der vertrauenden Seite für Outlook im Web mit den folgenden Werten erstellt:

• Name: Outlook im Web
• Hinweise: Dies ist eine Vertrauensstellung für https://mail.contoso.com/owa/
• Bezeichner: https://mail.contoso.com/owa/
• WSFedEndpoint: https://mail.contoso.com/owa/

Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

In diesem Beispiel wird eine Vertrauensstellung der vertrauenden Seite für das EAC mit den folgenden Werten erstellt:

• Name: EAC
• Hinweise: Dies ist eine Vertrauensstellung für https://mail.contoso.com/ecp/
• Bezeichner: https://mail.contoso.com/ecp/
• WSFedEndpoint: https://mail.contoso.com/ecp/

Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

Schritt 4b: Erstellen von benutzerdefinierten Anspruchsregeln in AD FS für Outlook im Web und das EAC

Sowohl für Outlook im Web als auch für das EAC müssen Sie zwei Anspruchsregeln erstellen:

• Active Directory-Benutzer-SID

• Active Directory UPN

Zum Erstellen der Anspruchsregeln auf dem AD FS-Server können Sie die AD FS-Verwaltungskonsole oder Windows PowerShell verwenden.

Führen Sie die folgenden Schritte aus, um die Anspruchsregeln mithilfe der AD FS-Verwaltungskonsole zu erstellen:

Hinweis: Sie müssen diese Schritte zweimal ausführen: einmal für Outlook im Web und einmal für EAC. Der einzige Unterschied ist die Vertrauensstellung der vertrauenden Seite, die Sie im ersten Schritt auswählen. Alle anderen Werte in der Prozedur sind identisch.

So fügen Sie die erforderlichen Anspruchsregeln hinzu:

1. Erweitern Sie in der AD FS-Verwaltungskonsole Vertrauensstellungen, wählen Sie Vertrauensstellungen der vertrauenden Seite aus, und wählen Sie dann die Outlook im Web- oder EAC-Vertrauensstellung der vertrauenden Seite aus. Wählen Sie im Bereich Aktionen die Option Anspruchsregeln bearbeiten aus.

   

2. Überprüfen Sie im geöffneten Fenster Anspruchsregeln für <RuleName> bearbeiten, ob die Registerkarte Ausstellungstransformationsregeln ausgewählt ist, und klicken Sie dann auf Regel hinzufügen.

   

3. Der Assistent zum Hinzufügen von Transformationsanspruchsregel wird geöffnet. Klicken Sie auf der Seite Regelvorlage auswählen auf die Dropdownliste Anspruchsregelvorlage , und wählen Sie dann Ansprüche mithilfe einer benutzerdefinierten Regel senden aus. Wenn Sie fertig sind, klicken Sie auf Weiter.

   

4. Geben Sie auf der Seite Regel konfigurieren die folgenden Informationen ein:

   • Name der Anspruchsregel: Geben Sie einen beschreibenden Namen für die Anspruchsregel ein. Beispiel: ActiveDirectoryUserSID.

   • Benutzerdefinierte Regel: Kopieren Sie den folgenden Text, und fügen Sie ihn ein:

     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
     

   

   Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.

5. Überprüfen Sie im Fenster Anspruchsregeln für <RuleName> bearbeiten, ob die Registerkarte Ausstellungstransformationsregeln ausgewählt ist, und klicken Sie dann auf Regel hinzufügen.

   

6. Der Assistent zum Hinzufügen von Transformationsanspruchsregel wird geöffnet. Klicken Sie auf der Seite Regelvorlage auswählen auf die Dropdownliste Anspruchsregelvorlage , und wählen Sie dann Ansprüche mithilfe einer benutzerdefinierten Regel senden aus. Wenn Sie fertig sind, klicken Sie auf Weiter.

   

7. Geben Sie auf der Seite Regel konfigurieren die folgenden Informationen ein:

   • Name der Anspruchsregel: Geben Sie einen beschreibenden Namen für die Anspruchsregel ein. Beispiel: ActiveDirectoryUPN.

   • Benutzerdefinierte Regel: Kopieren Sie den folgenden Text, und fügen Sie ihn ein:

     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
     

   

   Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.

8. Klicken Sie im Fenster Anspruchsregeln für <RuleName> bearbeiten auf OK.

   

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Erstellen der benutzerdefinierten Anspruchsregeln zu verwenden:

1. Öffnen Sie ein fenster mit erhöhten Windows PowerShell, und führen Sie den folgenden Befehl aus:

   Import-Module ADFS
   

2. Verwenden Sie die folgende Syntax:

   Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
   

Führen Sie den folgenden Befehl aus, um die benutzerdefinierten Anspruchsregeln in der vorhandenen Vertrauensstellung der vertrauenden Seite namens Outlook im Web zu erstellen:

Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Führen Sie den folgenden Befehl aus, um die benutzerdefinierten Anspruchsregeln in der vorhandenen Vertrauensstellung der vertrauenden Seite namens EAC zu erstellen:

Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Schritt 5: (Optional) Bereitstellen und Konfigurieren eines Windows Server 2012 R2 Web Anwendungsproxy Servers

Die Schritte in diesem Abschnitt sind nur erforderlich, wenn Sie Outlook im Web und das EAC mithilfe von Web Anwendungsproxy veröffentlichen möchten und web Anwendungsproxy die AD FS-Authentifizierung durchführen möchten. Denken Sie daran:

• Sie können den Offlinezugriff in Outlook im Web nicht verwenden, wenn Sie die AD FS-Authentifizierung über Web Anwendungsproxy verwenden.

• Sie können Web Anwendungsproxy nicht auf demselben Server installieren, auf dem AD FS installiert ist.

Wenn Sie Web Anwendungsproxy nicht verwenden möchten, fahren Sie mit Schritt 6 fort.

Schritt 5a: Installieren von Web Anwendungsproxy

Führen Sie die folgenden Schritte aus, um web Anwendungsproxy mithilfe von Server-Manager zu installieren:

1. Öffnen Sie auf dem Zielserver Server-Manager, klicken Sie auf Verwalten, und wählen Sie dann Rollen und Features hinzufügen aus.

   

2. Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet. Sie beginnen auf der Seite Vor Beginn , es sei denn, Sie haben diese Seite standardmäßig überspringen ausgewählt. Klicken Sie auf Weiter.

   

3. Überprüfen Sie auf der Seite Installationstyp auswählen , ob rollenbasierte oder featurebasierte Installation ausgewählt ist, und klicken Sie dann auf Weiter.

   

4. Überprüfen Sie auf der Seite Zielserver auswählen die Serverauswahl, und klicken Sie dann auf Weiter.

   

5. Wählen Sie auf der Seite Serverrollen auswählen die Option Remotezugriff in der Liste der Rollen aus, und klicken Sie dann auf Weiter.

   

6. Klicken Sie auf der Seite Features auf Weiter (übernehmen Sie die Standardfeatureauswahl).

   

7. Lesen Sie auf der Seite Remotezugriff die Informationen und klicken Sie dann auf Weiter.

   

8. Wählen Sie auf der Seite Rollendienste auswählendie Option Web Anwendungsproxy aus. Klicken Sie im daraufhin geöffneten Dialogfeld Features hinzufügen auf Features hinzufügen , um die Standardwerte zu übernehmen und das Dialogfeld zu schließen. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.

   

   

9. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.

   

10. Watch Auf der Seite Installationsstatus die Statusanzeige aus, um zu überprüfen, ob die Installation erfolgreich war. Lassen Sie nach Abschluss der Installation den Assistenten geöffnet, damit Sie im nächsten Schritt (5b) auf Web-Anwendungsproxy-Assistenten öffnen klicken können.

    

Um Windows PowerShell zum Installieren von Web Anwendungsproxy zu verwenden, führen Sie den folgenden Befehl aus:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Schritt 5b: Konfigurieren des Web Anwendungsproxy-Servers

Nachdem Sie den Web Anwendungsproxy-Server bereitgestellt haben, müssen Sie die folgenden Web Anwendungsproxy-Einstellungen konfigurieren:

• Verbunddienstname: Beispiel: adfs.contoso.com.

• Anmeldeinformationen der Verbunddienstvertrauensstellung: Der Benutzername und das Kennwort eines lokalen Administratorkontos auf dem AD FS-Server.

• AD FS-Proxyzertifikat: Ein Auf dem Web Anwendungsproxy Server installiertes Zertifikat, das den Server für Clients als Proxy für den Verbunddienst identifiziert und daher den Namen des Verbunddiensts enthält (z. Badfs.contoso.com. ). Außerdem muss der Name des Verbunddiensts für den Web-Anwendungsproxy-Server zugänglich sein (in DNS auflösbar).

Sie können Server-Manager oder Windows PowerShell verwenden, um den Web-Anwendungsproxy-Server zu konfigurieren.

Führen Sie die folgenden Schritte aus, um Server-Manager zum Konfigurieren von Web Anwendungsproxy zu verwenden:

1. Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features auf dem Web-Anwendungsproxy-Server aus dem vorherigen Schritt geöffnet haben, können Sie auf der Seite Installationsstatus auf den Link Web-Anwendungsproxy-Assistent öffnen klicken.

   

   Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features geschlossen oder Windows PowerShell zum Installieren von Web Anwendungsproxy verwendet haben, können Sie zum gleichen Ort gelangen, indem Sie auf Benachrichtigungen und dann in der Warnung Konfiguration nach der Bereitstellung auf Web-Anwendungsproxy-Assistenten öffnen klicken.

   

2. Der Web Anwendungsproxy-Konfigurations-Assistent wird geöffnet. Klicken Sie auf der Seite Willkommen auf Weiter.

   

3. Geben Sie auf der Seite Verbundserver die folgenden Informationen ein:

   • Verbunddienstname: Beispiel: adfs.contoso.com.

   • Benutzername und Kennwort: Geben Sie die Anmeldeinformationen eines lokalen Administratorkontos auf dem AD FS-Server ein.

   Wenn Sie fertig sind, klicken Sie auf Weiter.

   

4. Wählen Sie auf der Seite AD FS-Proxyzertifikat ein installiertes Zertifikat aus, das den Namen des Verbunddiensts enthält (z. B adfs.contoso.com. ). Sie können ein Zertifikat in der Dropdownliste auswählen und dann aufDetailsanzeigen> klicken, um weitere Informationen zum Zertifikat anzuzeigen. Wenn Sie fertig sind, klicken Sie auf Weiter.

   

5. Überprüfen Sie auf der Seite Bestätigung die Einstellungen. Sie können den Befehl Windows PowerShell kopieren, um zusätzliche Installationen (insbesondere den Zertifikatfingerabdruckwert) zu automatisieren. Wenn Sie fertig sind, klicken Sie auf Konfigurieren.

   

6. Überprüfen Sie auf der Seite Ergebnisse , ob die Konfiguration erfolgreich war, und klicken Sie dann auf Schließen.

   

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Konfigurieren von Web Anwendungsproxy zu verwenden:

1. Führen Sie den folgenden Befehl auf dem Web Anwendungsproxy-Server aus, um den Fingerabdruckwert des installierten Zertifikats zu suchen, das enthältadfs.contoso.com:

   Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
   

2. Führen Sie den folgenden Befehl aus, und geben Sie den Benutzernamen und das Kennwort eines lokalen Administratorkontos auf dem AD FS-Server ein.

   $ADFSServerCred = Get-Credential
   

3. Verwenden Sie die folgende Syntax:

   Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>
   

   In diesem Beispiel wird der Web Anwendungsproxy-Server mit den folgenden Einstellungen konfiguriert:

   • Name des Verbunddiensts: adfs.contoso.com

   • AD FS SSL-Zertifikatfingerabdruck: Das *.contoso.com Zertifikat mit dem Fingerabdruckwert 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

   Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
   

Schritt 5c: Veröffentlichen der Vertrauensstellungen der vertrauenden Seite für ansprüche für Outlook im Web und das EAC in Web Anwendungsproxy

Um die Vertrauensstellungen der vertrauenden Seite in Web Anwendungsproxy zu veröffentlichen, können Sie die Remotezugriffs-Verwaltungskonsole oder Windows PowerShell verwenden.

Führen Sie die folgenden Schritte aus, um die Remotezugriffs-Verwaltungskonsole zu verwenden:

Hinweis: Sie müssen diese Schritte zweimal ausführen: einmal für Outlook im Web und einmal für EAC. Die erforderlichen Einstellungen werden im Verfahren beschrieben.

1. Öffnen Sie die Remotezugriffsverwaltungskonsole auf dem Web Anwendungsproxy-Server: Klicken Sie in Server-Manager auf Tools>Remotezugriffsverwaltung.

2. Klicken Sie in der Remotezugriffs-Verwaltungskonsole unter Konfiguration auf Web Anwendungsproxy und dann im Bereich Aufgaben auf Veröffentlichen.

   

3. Der Assistent zum Veröffentlichen neuer Anwendungen wird geöffnet. Klicken Sie auf der Seite Willkommen auf Weiter.

   

4. Überprüfen Sie auf der Seite Vorauthentifizierung, ob Active Directory-Verbunddienste (AD FS) (AD FS) ausgewählt ist, und klicken Sie dann auf Weiter.

   

5. Wählen Sie auf der Seite Vertrauende Seite die vertrauende Seite aus, die Sie auf dem AD FS-Server in Schritt 4: Erstellen einer Vertrauensstellung der vertrauenden Seite und benutzerdefinierten Anspruchsregeln in AD FS für Outlook im Web und das EAC erstellt haben:

   

   • Für Outlook im Web: Wählen Sie Outlook im Web aus.

   • Für das EAC: Wählen Sie EAC aus.

   Wenn Sie fertig sind, klicken Sie auf Weiter.

6. Geben Sie auf der Seite Veröffentlichungseinstellungen die folgenden Informationen ein:

   • Für Outlook im Web

     • Name: Beispiel: Outlook on the web. Dieser Name wird nur in der Remotezugriffs-Verwaltungskonsole angezeigt.

     • Externe URL: Beispiel: https://mail.contoso.com/owa/.

     • Externes Zertifikat: Wählen Sie ein installiertes Zertifikat aus, mail.contoso.comdas den Hostnamen der externen URL für Outlook im Web enthält (z. B. ). Sie können ein Zertifikat in der Dropdownliste auswählen und dann aufDetailsanzeigen> klicken, um weitere Informationen zum Zertifikat anzuzeigen.

     • Back-End-Server-URL: Dieser Wert wird automatisch von der externen URL aufgefüllt. Sie müssen sie nur ändern, wenn sich die Url des Back-End-Servers von der externen URL unterscheidet. Beispiel: https://server01.contoso.com/owa/. Beachten Sie, dass die Pfade in der externen URL und der Back-End-Server-URL mit (/owa/) übereinstimmen müssen, mail.contoso.com die Hostnamenwerte sich jedoch unterscheiden können (z. B. und server01.contoso.com).

     

   • Für das EAC

     • Name: Beispiel: EAC. Dieser Name wird nur in der Remotezugriffs-Verwaltungskonsole angezeigt.

     • Externe URL: Die externe URL für das EAC. Beispiel: https://mail.contoso.com/ecp/.

     • Externes Zertifikat: Wählen Sie ein installiertes Zertifikat aus, mail.contoso.comdas den Hostnamen der externen URL für das EAC enthält (z. B. ). Das Zertifikat ist wahrscheinlich ein Wildcardzertifikat oder ein SAN-Zertifikat. Sie können ein Zertifikat in der Dropdownliste auswählen und dann aufDetailsanzeigen> klicken, um weitere Informationen zum Zertifikat anzuzeigen.

     • Back-End-Server-URL: Dieser Wert wird automatisch von der externen URL aufgefüllt. Sie müssen sie nur ändern, wenn sich die Url des Back-End-Servers von der externen URL unterscheidet. Beispiel: https://server01.contoso.com/ecp/. Beachten Sie, dass die Pfade in der externen URL und der Back-End-Server-URL mit (/ecp/) übereinstimmen müssen, mail.contoso.com die Hostnamenwerte sich jedoch unterscheiden können (z. B. und server01.contoso.com).

   Wenn Sie fertig sind, klicken Sie auf Weiter.

   

7. Überprüfen Sie auf der Seite Bestätigung die Einstellungen. Sie können den Befehl Windows PowerShell kopieren, um zusätzliche Installationen (insbesondere den Zertifikatfingerabdruckwert) zu automatisieren. Wenn Sie fertig sind, klicken Sie auf Veröffentlichen.

   

8. Überprüfen Sie auf der Seite Ergebnisse , ob die Anwendung erfolgreich veröffentlicht wurde, und klicken Sie dann auf Schließen.

   

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Veröffentlichen der Vertrauensstellungen der vertrauenden Seite zu verwenden:

1. Führen Sie den folgenden Befehl auf dem Web Anwendungsproxy Server aus, um den Fingerabdruck des installierten Zertifikats zu suchen, mail.contoso.comdas den Hostnamen der Outlook im Web- und EAC-URLs enthält (z. B. ):

   Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
   

2. Verwenden Sie die folgende Syntax:

   Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web  | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>
   

   In diesem Beispiel werden Outlook im Web in Web Anwendungsproxy mit den folgenden Einstellungen veröffentlicht:

   • AD FS-vertrauende Seite: Outlook im Web
   • Name: Outlook im Web
   • Externe URL: https://mail.contoso.com/owa/
   • Externer Zertifikatfingerabdruck: Das *.contoso.com Zertifikat mit dem Fingerabdruckwert 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.
   • Back-End-Server-URL: https://mail.contoso.com/owa/

   Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/
   

   In diesem Beispiel wird das EAC in Web Anwendungsproxy mit den folgenden Einstellungen veröffentlicht:

   • Name: EAC
   • Externe URL: https://external.contoso.com/ecp/
   • Externer Zertifikatfingerabdruck: Das *.contoso.com Zertifikat mit dem Fingerabdruckwert 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.
   • Back-End-Server-URL: https://mail.contoso.com/ecp/

   Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
   

Hinweis: Alle AD FS-Endpunkte, die Sie über Web-Anwendungsproxy veröffentlichen möchten, müssen proxyfähig sein. Sie tundies in der AD FS-Verwaltungskonsole unter Dienstendpunkte> (stellen Sie sicher, dass Proxy aktiviert für den angegebenen Endpunkt auf Ja festgelegt ist).

Schritt 6: Konfigurieren der Exchange-organization für die Verwendung der AD FS-Authentifizierung

Um die Exchange-organization für die Verwendung der AD FS-Authentifizierung zu konfigurieren, müssen Sie die Exchange-Verwaltungsshell verwenden. Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

1. Führen Sie den folgenden Befehl aus, um den Fingerabdruckwert des importierten AD FS-Tokensignaturzertifikats zu ermitteln:

   Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
   

   Suchen Sie nach dem Wert CN=ADFS Signing - <FederationServiceName> Betreff (z. B CN=ADFS Signing - adfs.contoso.com. ).

   Sie können diesen Fingerabdruckwert auf dem AD FS-Server in einem Fenster mit erhöhten Windows PowerShell bestätigen, indem Sie den Befehl Import-Module ADFSausführen und dann den Befehl Get-AdfsCertificate -CertificateType Token-Signingausführen.

2. Verwenden Sie die folgende Syntax:

   Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"
   

   In diesem Beispiel werden die folgenden Werte verwendet:

   • AD FS-URL: https://adfs.contoso.com/adfs/ls/

   • Outlook im Web URL:https://mail.contoso.com/owa/

   • EAC-URL: https://mail.contoso.com/ecp/

   • Fingerabdruck des AD FS-Tokensignaturzertifikats: Das ADFS Signing - adfs.contoso.com Zertifikat, das den Fingerabdruckwert aufweist 88970C64278A15D642934DC2961D9CCA5E28DA6B.

   Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
   

   Hinweis: Der AdfsEncryptCertificateThumbprint-Parameter wird in diesen Szenarien nicht unterstützt.

Schritt 7: Konfigurieren der AD FS-Authentifizierung in den virtuellen Verzeichnissen Outlook im Web und EAC

Für die virtuellen Verzeichnisse Outlook im Web und EAC müssen Sie die AD FS-Authentifizierung als einzige verfügbare Authentifizierungsmethode konfigurieren, indem Sie alle anderen Authentifizierungsmethoden deaktivieren.

• Sie müssen das virtuelle EAC-Verzeichnis konfigurieren, bevor Sie das Outlook im Web virtuelle Verzeichnis konfigurieren.

• Sie sollten die AD FS-Authentifizierung wahrscheinlich nur auf Exchange-Servern mit Internetzugriff konfigurieren, die Clients zum Herstellen einer Verbindung mit Outlook im Web und dem EAC verwenden.

• Standardmäßig sind nur die Standard- und Formularauthentifizierung für die virtuellen Verzeichnisse Outlook im Web und EAC aktiviert.

Wenn Sie die Exchange-Verwaltungsshell verwenden möchten, um ein EAC oder Outlook im Web virtuelles Verzeichnis so zu konfigurieren, dass nur die AD FS-Authentifizierung akzeptiert wird, verwenden Sie die folgende Syntax:

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

In diesem Beispiel wird das virtuelle EAC-Verzeichnis auf der Standardwebsite auf dem Server Mailbox01 konfiguriert:

Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

In diesem Beispiel wird das Outlook im Web virtuelle Verzeichnis in der Standardwebsite auf dem Server mit dem Namen Mailbox01 konfiguriert:

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Hinweis: Führen Sie die folgenden Befehle aus, um alle EAC- und Outlook im Web virtuellen Verzeichnisse auf jedem Exchange-Server in Ihrem organization zu konfigurieren:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Schritt 8: Neustarten von IIS auf dem Exchange-Server

1. Öffnen Sie IIS-Manager auf dem Exchange-Server. Eine einfache Möglichkeit hierzu in Windows Server 2012 oder höher ist das Drücken der Windows-Taste + Q, Eingeben von inetmgr und Auswählen von Internetinformationsdienste-Manager (IIS) in den Ergebnissen.

2. Wählen Sie in IIS-Manager den Server aus.

3. Klicken Sie im Bereich Aktionen auf Neustart.

   

Hinweis: Um dieses Verfahren in der Befehlszeile auszuführen, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Exchange-Server (ein Eingabeaufforderungsfenster, das Sie öffnen, indem Sie Als Administrator ausführen auswählen), und führen Sie die folgenden Befehle aus:

net stop w3svc /y

net start w3svc

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

So testen Sie die AD FS-Ansprüche auf Outlook im Web:

1. Öffnen Sie in einem Webbrowser Outlook im Web (z. Bhttps://mail.contoso.com/owa. ).

2. Wenn im Webbrowser ein Zertifikatfehler auftritt, fahren Sie einfach mit der Outlook im Web-Website fort. Sie sollten zur AD FS-Anmeldeseite oder zur AD FS-Aufforderung zur Eingabe von Anmeldeinformationen weitergeleitet werden.

3. Geben Sie Ihren Benutzernamen (Domäne\Benutzer) und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.

4. Outlook im Web wird im Fenster geladen.

So testen Sie die AD FS-Ansprüche für die Exchange-Verwaltungskonsole:

1. Öffnen Sie in einem Webbrowser EAC (z. B https://mail.contoso.com/ecp. ).

2. Wenn im Webbrowser ein Zertifikatfehler angezeigt wird, fahren Sie einfach mit der EAC-Website fort. Sie sollten zur AD FS-Anmeldeseite oder zur AD FS-Aufforderung zur Eingabe von Anmeldeinformationen weitergeleitet werden.

3. Geben Sie Ihren Benutzernamen (Domäne\Benutzer) und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.

4. EAC wird im Fenster geladen.

Zusätzliche Überlegungen

Mehrstufige Authentifizierung

Durch die Bereitstellung und Konfiguration von AD FS für die anspruchsbasierte Authentifizierung können Outlook im Web und das EAC die mehrstufige Authentifizierung unterstützen, z. B. zertifikatbasierte Authentifizierung, Authentifizierungs- oder Sicherheitstoken und Fingerabdruckauthentifizierung. Die mehrstufige Authentifizierung erfordert zwei dieser drei Authentifizierungsfaktoren:

• Etwas, das nur dem Benutzer bekannt ist (z. B. Kennwort, PIN oder Muster).

• Etwas, über das nur der Benutzer verfügt (z. B. ein ATM-Karte, ein Sicherheitstoken, ein intelligentes Karte oder ein Mobiltelefon).

• Etwas, das nur der Benutzer ist (z. B. ein biometrisches Merkmal, z. B. ein Fingerabdruck).

Beispielsweise ein Kennwort und ein Sicherheitscode, der an ein Mobiltelefon gesendet wird, oder eine PIN und ein Fingerabdruck.

Weitere Informationen zur mehrstufigen Authentifizierung in Windows Server 2012 R2 finden Sie unter Übersicht: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen und Handbuch mit exemplarischer Vorgehensweise: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen.

Auf dem AD FS-Server fungiert der Verbunddienst als Sicherheitstokendienst und stellt die Sicherheitstoken bereit, die mit Ansprüchen verwendet werden. Der Verbunddienst stellt Token auf Grundlage der angegebenen Anmeldeinformationen aus. Nachdem der Kontospeicher die Anmeldeinformationen eines Benutzers überprüft hat, werden die Ansprüche für den Benutzer entsprechend den Regeln der Vertrauensrichtlinie erstellt und anschließend einem Sicherheitstoken hinzugefügt, das an den Client ausgegeben wird. Weitere Informationen zu Ansprüchen finden Sie unter Grundlegendes zu Ansprüchen.

Koexistenz mit anderen Versionen von Exchange

Sie können die AD FS-Authentifizierung für Outlook im Web und das EAC verwenden, wenn Sie mehr als eine Version von Exchange in Ihrem organization bereitgestellt haben. Dieses Szenario wird nur unterstützt, wenn alle Clients eine Verbindung über Exchange-Server herstellen und alle diese Server für die AD FS-Authentifizierung konfiguriert wurden.

In Exchange 2016-Organisationen können Benutzer mit Postfächern auf Exchange 2010-Servern über einen Exchange 2016-Server, der für die AD FS-Authentifizierung konfiguriert ist, auf ihre Postfächer zugreifen. Die erste Clientverbindung mit dem Exchange 2016-Server verwendet die AD FS-Authentifizierung. Für die proxyierte Verbindung mit Exchange 2010 wird jedoch Kerberos verwendet. Es gibt keine unterstützte Möglichkeit, Exchange 2010 für die direkte AD FS-Authentifizierung zu konfigurieren.