Verwenden der anspruchsbasierten AD FS-Authentifizierung mit Outlook im Web

Durch das Installieren und Konfigurieren von Active Directory-Verbunddiensten (AD FS) in Exchange Server Organisationen können Clients die anspruchsbasierte AD FS-Authentifizierung verwenden, um eine Verbindung mit Outlook im Web (früher als Outlook Web App bezeichnet) und dem Exchange Admin Center (EAC) herzustellen. Anspruchsbasierte Identität ist ein weiterer Ansatz für die Authentifizierung, der die Authentifizierungsverwaltung aus der Anwendung entfernt und die Verwaltung von Konten durch zentrale Authentifizierung erleichtert. Wenn die anspruchsbasierte Authentifizierung aktiviert ist, sind Outlook im Web und das EAC nicht für die Authentifizierung von Benutzern, das Speichern von Benutzerkonten und Kennwörtern, das Suchen nach Benutzeridentitätsdetails oder die Integration in andere Identitätssysteme verantwortlich. Durch die Zentrale Authentifizierung können Authentifizierungsmethoden künftig einfacher aktualisiert werden.

Die anspruchsbasierte AD FS-Authentifizierung ersetzt die herkömmlichen Authentifizierungsmethoden, die für Outlook im Web und EAC verfügbar sind. Beispiel:

  • Active Directory-Authentifizierung mit Clientzertifikaten
  • Standardauthentifizierung
  • Digestauthentifizierung
  • Formularbasierte Authentifizierung
  • Windows-Authentifizierung

Das Einrichten der anspruchsbasierten AD FS-Authentifizierung für Outlook im Web und das EAC in Exchange Server umfasst die folgenden zusätzlichen Server:

  • Ein Windows Server 2012 oder höherer Domänencontroller (Active Directory Domain Services-Serverrolle).

  • Ein Windows Server 2012 oder höher AD FS-Server (Active Directory-Verbunddienste-Serverrolle). Windows Server 2012 verwendet AD FS 2.1 und Windows Server 2012 R2 AD FS 3.0. Sie müssen Mitglied der Sicherheitsgruppe "Domänenadministratoren", "Enterprise"-Administratoren oder "Lokale Administratoren" sein, um AD FS zu installieren und die erforderlichen Vertrauensstellungen der vertrauenden Seite und Anspruchsregeln auf dem AD FS-Server zu erstellen.

  • Optional ein Windows Server 2012 R2 oder höher Webanwendungsproxyserver (Remotezugriffsserverrolle, Webanwendungsproxy-Rollendienst).

    • Webanwendungsproxy ist ein Reverseproxyserver für Webanwendungen, die sich innerhalb des Unternehmensnetzwerks befinden. Mit dem Webanwendungsproxy können Benutzer auf vielen Geräten von außerhalb des Unternehmensnetzwerks auf veröffentlichte Webanwendungen zugreifen. Weitere Informationen finden Sie unter Installieren und Konfigurieren des Webanwendungsproxys für die Veröffentlichung interner Anwendungen.

    • Webanwendungsproxy wird in der Regel empfohlen, wenn auf AD FS für externe Clients zugegriffen werden kann, der Offlinezugriff in Outlook im Web wird jedoch bei Verwendung der AD FS-Authentifizierung über webanwendungsproxy nicht unterstützt.

    • Zum Installieren des Webanwendungsproxys auf einem Windows Server 2012 R2-Server sind lokale Administratorberechtigungen erforderlich.

    • Sie müssen den AD FS-Server bereitstellen und konfigurieren, bevor Sie den Webanwendungsproxyserver konfigurieren, und Sie können den Webanwendungsproxy nicht auf dem server installieren, auf dem AD FS installiert ist.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen dieses Verfahrens: 45 Minuten.

  • Die Verfahren in diesem Thema basieren auf Windows Server 2012 R2.

  • Outlook im Web für Geräte bietet keine Unterstützung für anspruchsbasierte AD FS-Authentifizierung.

  • Für die Verfahren in der Exchange Organisation benötigen Sie Organisationsverwaltungsberechtigungen.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Sie haben Probleme? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.

Schritt 1: Überprüfen der Zertifikatanforderungen für AD FS

AD FS erfordert zwei grundlegende Arten von Zertifikaten:

  • Ein SSL-Zertifikat (Secure Sockets Layer) für die Dienstkommunikation für verschlüsselten Webdienstdatenverkehr zwischen dem AD FS-Server, Clients, Exchange Servern und dem optionalen Webanwendungsproxyserver. Es wird empfohlen, ein Zertifikat zu verwenden, das von einer internen oder kommerziellen Zertifizierungsstelle ausgestellt wurde, da alle Clients diesem Zertifikat vertrauen müssen.

  • Ein Tokensignaturzertifikat für verschlüsselte Kommunikation und Authentifizierung zwischen dem AD FS-Server, Active Directory-Domänencontrollern und Exchange Servern. Es wird empfohlen, das standardmäßige selbstsignierungsfähige AD FS-Tokensignaturzertifikat zu verwenden.

Weitere Informationen zum Erstellen und Importieren von SSL-Zertifikaten in Windows finden Sie unter "Serverzertifikate".

Hier ist eine Zusammenfassung der Zertifikate, die wir in diesem Szenario verwenden werden:

Allgemeiner Name (Common Name, CN) im Zertifikat (im Betreff, im alternativen Antragstellernamen oder in einer Übereinstimmung mit einem Platzhalterzertifikat) Typ Erforderlich auf Servern Kommentare
adfs.contoso.com Ausgestellt von einer Zertifizierungsstelle AD FS-Server

Webanwendungsproxyserver

Dies ist der Hostname, der für Clients sichtbar ist. Daher müssen Clients dem Aussteller dieses Zertifikats vertrauen.
ADFS Signing - adfs.contoso.com Selbstsigngeschützt AD FS-Server

Exchange-Server

Webanwendungsproxyserver

Das selbstsigniert standardmäßige Zertifikat wird während der Konfiguration des optionalen Webanwendungsproxyservers automatisch kopiert. Sie müssen es jedoch manuell in den vertrauenswürdigen Stammzertifikatspeicher auf allen Exchange Servern in Ihrer Organisation importieren.

Standardmäßig sind die selbstsignierungsbasierten Tokensignaturzertifikate ein Jahr lang gültig. Der AD FS-Server ist so konfiguriert, dass seine selbstsignierten Zertifikate automatisch erneuert (ersetzt werden), bevor sie ablaufen. Sie müssen das Zertifikat jedoch erneut auf den Exchange Servern importieren.

Sie können den Standardablaufzeitraum für Zertifikate erhöhen, indem Sie diesen Befehl in Windows PowerShell auf dem AD FS-Server ausführen: Set-AdfsProperties -CertificateDuration <Days> (Der Standardwert ist 365). Weitere Informationen finden Sie unter "Set-AdfsProperties".

Um das Zertifikat aus der AD FS-Verwaltungskonsole zu exportieren, wählen Sie Dienstzertifikate > aus>, klicken Sie mit der rechten Maustaste auf das Tokensignierungszertifikat>, und wählen Sie "Zertifikat > anzeigen" aus, und klicken Sie auf die Registerkarte "Details" > auf "In Datei kopieren".

mail.contoso.com Ausgestellt von einer Zertifizierungsstelle Exchange-Server

Webanwendungsproxyserver

Dies ist das typische Zertifikat, das verwendet wird, um externe Clientverbindungen mit Outlook im Web (und wahrscheinlich anderen Exchange IIS-Diensten) zu verschlüsseln. Weitere Informationen finden Sie unter Zertifikatanforderungen für Exchange-Dienste.

Weitere Informationen finden Sie im Abschnitt "Zertifikatanforderungen" in den AD FS-Anforderungen.

Hinweis

Secure Sockets Layer (SSL) wird durch Transport Layer Security (TLS) als Protokoll ersetzt, das zum Verschlüsseln von Daten verwendet wird, die zwischen Computersystemen gesendet werden. Da die Begriffe „SSL" und „TLS" (ohne Versionen) so eng im Zusammenhang stehen, werden sie häufig synonym verwendet. Aufgrund dieser Ähnlichkeit wurden Verweise auf „SSL" in Exchange-Themen, Exchange-Verwaltungskonsole und Exchange-Verwaltungsshell häufig so verwendet, dass sowohl die SSL- als auch die TLS-Protokolle enthalten sind. „SSL" bezieht sich in der Regel nur dann auf das eigentliche SSL-Protokoll, wenn auch eine Version angegeben wird (z. B. SSL 3.0). Um zu erfahren, warum Sie das SSL-Protokoll deaktivieren und auf TLS umsteigen sollten, lesen Sie Schutz vor der Sicherheitsanfälligkeit von SSL 3.0.

Schritt 2: Bereitstellen eines AD FS-Servers

Sie können den Server-Manager oder Windows PowerShell verwenden, um den Active Directory-Verbunddienste-Rollendienst auf dem Zielserver zu installieren.

Gehen Sie folgendermaßen vor, um AD FS mithilfe des Server-Managers zu installieren:

  1. Öffnen Sie auf dem Zielserver den Server-Manager, klicken Sie auf "Verwalten", und wählen Sie dann "Rollen und Features hinzufügen" aus.

    Klicken Sie im Server-Manager auf "Verwalten", um zum Hinzufügen von Rollen und Features zu gelangen.

  2. Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet. Sie beginnen auf der Seite "Vor dem Start ", es sei denn, Sie haben zuvor die Option " Diese Seite überspringen" standardmäßig ausgewählt. Klicken Sie auf Weiter.

    Die Seite "Bevor Sie beginnen" im Assistenten zum Hinzufügen von Rollen und Features.

  3. Überprüfen Sie auf der Seite "Installationstyp auswählen ", ob die rollenbasierte oder featurebasierte Installation ausgewählt ist, und klicken Sie dann auf "Weiter".

    Die Seite "Zielserver auswählen" im Assistenten zum Hinzufügen von Rollen und Features.

  4. Überprüfen Sie auf der Seite " Zielserver auswählen " die Serverauswahl, und klicken Sie dann auf "Weiter".

    Die Seite "Zielserver auswählen" im Assistenten zum Hinzufügen von Rollen und Features.

  5. Wählen Sie auf der Seite " Serverrollen auswählen " die Active Directory-Verbunddienste aus der Liste aus, und klicken Sie dann auf "Weiter".

    Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features auf der Seite "Serverrollen auswählen" die Option "Active Directory-Verbunddienste" aus.

  6. Klicken Sie auf der Seite "Features auswählen " auf "Weiter " (übernehmen Sie die Standardfeatureauswahl).

    Klicken Sie auf der Seite "Features auswählen" im Assistenten zum Hinzufügen von Rollen und Features auf "Weiter".

  7. Klicken Sie auf der Seite active Directory-Verbunddienste (AD FS) auf "Weiter".

    Die Seite "Active Directory-Verbunddienste" im Assistenten zum Hinzufügen von Rollen und Features.

  8. Windows Server 2012 nur: Klicken Sie auf der Seite "Rollendienste auswählen" auf "Weiter" (übernehmen Sie die Standardauswahl für den Rollendienst).

  9. Klicken Sie auf der Seite "Installationsauswahl bestätigen " auf "Installieren".

    Die Seite "Installationsauswahl bestätigen" im Assistenten zum Hinzufügen von Rollen und Features.

  10. Auf der Seite " Installationsfortschritt " können Sie die Statusanzeige anzeigen, um zu überprüfen, ob die Installation erfolgreich war. Lassen Sie nach Abschluss der Installation den Assistenten geöffnet, damit Sie in Schritt 3b: Konfigurieren des AD FS-Servers auf den Verbunddienst auf diesem Server klicken können.

Sehen Sie sich den Fortschritt auf der Seite "Installationsfortschritt" im Assistenten zum Hinzufügen von Rollen und Features an.

Führen Sie den folgenden Befehl aus, um Windows PowerShell zum Installieren von AD FS zu verwenden:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Schritt 3: Konfigurieren und Testen des AD FS-Servers

Sie können sich auch auf diese Prüfliste beziehen, um AD FS: Prüfliste: Einrichten eines Verbundservers zu konfigurieren.

Schritt 3a: Erstellen einer gMSA auf einem Domänencontroller

Bevor Sie den AD FS-Server konfigurieren, müssen Sie ein gruppen verwaltetes Dienstkonto (gMSA) auf einem Windows Server 2012 oder einem späteren Domänencontroller erstellen. Dies geschieht in einem Fenster mit erhöhten Windows PowerShell auf dem Domänencontroller (einem Windows PowerShell Fenster, das Sie öffnen, indem Sie "Als Administrator ausführen" auswählen).

  1. Führen Sie den folgenden Befehl aus:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    

    Wenn der Befehl erfolgreich ist, wird ein GUID-Wert zurückgegeben. Beispiel:

    Guid
    ----
    2570034b-ab50-461d-eb80-04e73ecf142b

  2. Verwenden Sie die folgende Syntax, um ein neues gMSA-Konto für den AD FS-Server zu erstellen:

    New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
    

    In diesem Beispiel wird ein neues gMSA-Konto namens FSgMSA für den Verbunddienst mit dem Namen adfs.contoso.com erstellt. Der Name des Verbunddiensts ist der Wert, der für Clients sichtbar ist.

    New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
    

Schritt 3b: Konfigurieren des AD FS-Servers

Zum Konfigurieren des AD FS-Servers können Sie den Server-Manager oder Windows PowerShell verwenden.

Führen Sie die folgenden Schritte aus, um den Server-Manager zu verwenden:

  1. Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features aus Schritt 2: Bereitstellen eines AD FS-Servers auf dem AD FS-Server geöffnet lassen haben, können Sie auf der Seite "Installationsfortschritt" auf den Link "Verbunddienst auf diesem Server konfigurieren" klicken.

    Klicken Sie auf der Seite "Installationsfortschritt" im Assistenten zum Hinzufügen von Rollen und Features auf "Verbunddienst auf diesem Server konfigurieren".

    If you closed the Add Roles and Features Wizard or you used Windows PowerShell to install AD FS, you can get to the same place in Server Manager by clicking Notifications, and then clicking Configure the federation service on this server in the Post-deployment Configuration warning.

    Klicken Sie im Server-Manager auf "Benachrichtigungen", um die Warnung anzuzeigen, die den Link zum Konfigurieren des Fedrationsdiensts auf diesem Server enthält.

  2. Der Assistent für Active Directory-Verbunddienste wird geöffnet. Überprüfen Sie auf der Willkommensseite , ob der erste Verbundserver in einer Verbundserverfarm ausgewählt ist, und klicken Sie dann auf "Weiter".

    Die Willkommensseite im Konfigurations-Assistenten für Active Directory-Verbunddienste.

  3. Wählen Sie auf der Seite Verbinden zu Active Directory-Verbunddienste ein Domänenadministratorkonto in der Domäne aus, in der sich der AD FS-Server befindet (Ihre aktuellen Anmeldeinformationen sind standardmäßig ausgewählt). Wenn Sie einen anderen Benutzer auswählen wollen, klicken Sie auf Ändern. Wenn Sie fertig sind, klicken Sie auf Weiter.

    Die seite Verbinden zu AD DS im Konfigurations-Assistenten für Active Directory-Verbunddienste.

  4. Konfigurieren Sie auf der Seite "Diensteigenschaften angeben " die folgenden Einstellungen:

    • SSL-Zertifikat: Importieren oder Auswählen des SSL-Zertifikats, das den Verbunddienstnamen enthält, den Sie in Schritt 3a: Erstellen einer gMSA auf einem Domänencontroller (z. B adfs.contoso.com. ) konfiguriert haben. Wenn Sie ein Zertifikat importieren, das noch nicht auf dem Server installiert ist, müssen Sie eine PFX-Datei importieren (wahrscheinlich eine kennwortgeschützte Datei, die den privaten Schlüssel des Zertifikats enthält). Der CN-Wert (Common Name) im Feld "Betreff" des Zertifikats wird hier angezeigt.

    • Name des Verbunddiensts: Dieses Feld wird basierend auf dem ausgewählten oder importierten SSL-Zertifikattyp automatisch ausgefüllt:

      • Einzelnes Antragstellerzertifikat: Der CN-Wert des Felds "Betreff" des Zertifikats wird angezeigt, und Sie können es nicht ändern (z. B adfs.contoso.com. ).

      • SAN-Zertifikat: Wenn das Zertifikat den erforderlichen Verbunddienstnamen enthält, wird dieser Wert angezeigt (z. B adfs.contoso.com. ). Sie können die Dropdownliste verwenden, um andere CN-Werte im Zertifikat anzuzeigen.

      • Platzhalterzertifikat: Der CN-Wert des Felds "Antragsteller" des Zertifikats wird angezeigt (z *.contoso.com. B. ), Sie müssen ihn jedoch in den erforderlichen Verbunddienstnamen ändern (z. B adfs.contoso.com. ).

      Hinweis: Wenn das ausgewählte Zertifikat nicht den erforderlichen Verbunddienstnamen enthält (das Feld "Verbunddienstname " enthält nicht den erforderlichen Wert), wird der folgende Fehler angezeigt:

      The federation service name does not match any of the subject names found in the certificate.

    • Anzeigename des Verbunddiensts: Geben Sie den Namen Ihrer Organisation ein. Beispiel: Contoso, Ltd.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

    Die Seite "Diensteigenschaften angeben" im Konfigurations-Assistenten für Active Directory-Verbunddienste.

  5. Konfigurieren Sie auf der Seite " Dienstkonto angeben " die folgenden Einstellungen:

    • Wählen Sie "Vorhandenes Domänenbenutzerkonto oder gruppen verwaltetes Dienstkonto verwenden" aus.

    • Kontoname: Klicken Sie auf "Auswählen ", und geben Sie das gMSA-Konto ein, das Sie in Schritt 3a erstellt haben: Erstellen einer gMSA auf einem Domänencontroller (z. B FSgMSA. ). Beachten Sie, dass nach der Auswahl der angezeigte Wert lautet <Domain>\<gMSAAccountName>$ (z. B CONTOSO\FSgMSA$. ).

    Wenn Sie fertig sind, klicken Sie auf Weiter.

    Die Seite "Dienstkonto angeben" im Konfigurations-Assistenten für Active Directory-Verbunddienste.

  6. Überprüfen Sie auf der Seite "Konfigurationsdatenbank angeben", ob eine Datenbank auf diesem Server mithilfe von interne Windows-Datenbank ausgewählt ist, und klicken Sie dann auf "Weiter".

    Die Seite "Konfigurationsdatenbank angeben" im Konfigurations-Assistenten für Active Directory-Verbunddienste.

  7. Überprüfen Sie auf der Seite "Überprüfungsoptionen " Ihre Auswahl. Sie können auf die Schaltfläche "Skript anzeigen" klicken, um die Windows PowerShell Entsprechung der Auswahl zu kopieren, die Sie für die zukünftige Verwendung getroffen haben. Wenn Sie fertig sind, klicken Sie auf Weiter.

    Die Seite "Überprüfungsoptionen" im Konfigurations-Assistenten für Active Directory-Verbunddienste.

  8. Überprüfen Sie auf der Seite " Voraussetzungsprüfungen ", ob alle erforderlichen Prüfungen erfolgreich abgeschlossen wurden, und klicken Sie dann auf "Konfigurieren".

    Die Seite "Voraussetzungsprüfung" im Konfigurations-Assistenten für Active Directory-Verbunddienste.

  9. Überprüfen Sie auf der Ergebnisseite, ob die Konfiguration erfolgreich abgeschlossen wurde. Sie können auf "Nächste Schritte" klicken, die zum Abschließen der Verbunddienstbereitstellung erforderlich sind , wenn Sie mehr über die nächsten Schritte (z. B. konfigurieren von DNS) erfahren möchten. Klicken Sie nach Abschluss des Vorgangs auf Schließen.

    Die Seite "Ergebnisse" im Konfigurations-Assistenten für Active Directory-Verbunddienste.

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Konfigurieren von AD FS zu verwenden:

  1. Führen Sie den folgenden Befehl auf dem AD FS-Server aus, um den Fingerabdruckwert des installierten Zertifikats zu suchen, das Folgendes enthält adfs.contoso.com:

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Führen Sie den folgenden Befehl aus:

    Import-Module ADFS
    
  3. Verwenden Sie folgende Syntax:

    Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>
    

In diesem Beispiel wird AD FS mit den folgenden Einstellungen konfiguriert:

  • adfs.contoso.com Zertifikatfingerabdruck: Das *.contoso.com Zertifikat mit dem Fingerabdruckwert 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

  • Name des Verbunddiensts: adfs.contoso.com

  • Anzeigename des Verbunddiensts: Contoso, Ltd.

  • Verbund-gMSA SAM-Kontoname und Domäne: Für das in der Domäne genannte FSgMSA contoso.com gMSA-Konto ist contoso\FSgMSA$beispielsweise der erforderliche Wert .

Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"

Hinweise:

  • Wenn Sie die gMSA erstellen, wird sie $ automatisch an den Name-Wert angefügt, um den SamAccountName-Wert zu erstellen, der hier erforderlich ist.

  • Das Escapezeichen ("''") ist für das $ In-SamAccountName erforderlich.

Weitere Informationen und die Syntax finden Sie unter Install-AdfsFarm.

Schritt 3c: Testen des AD FS-Servers

Nachdem Sie AD FS konfiguriert haben, können Sie die Installation auf dem AD FS-Server überprüfen, indem Sie die URL der Verbundmetadaten erfolgreich in einem Webbrowser öffnen. Die URL verwendet die Syntax https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml. Beispiel: https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

Schritt 4: Erstellen einer Vertrauensstellung der vertrauenden Seite und benutzerdefinierte Anspruchsregeln in AD FS für Outlook im Web und EAC

  • Auf dem Exchange Server verwendet Outlook im Web das virtuelle Verzeichnis mit dem Namenowa, und das EAC verwendet das virtuelle Verzeichnis mit dem Namen ecp.

  • Der nachstehende Schrägstrich (/), der in den Outlook im Web- und EAC-URL-Werten verwendet wird, ist beabsichtigt. Es ist wichtig, dass die AD FS-Vertrauensstellungen der vertrauenden Seite und Exchange Zielgruppen-URI identisch sind. Beide müssen die nachgestellten Schrägstriche in ihren URLs aufweisen oder beide auslassen . Die Beispiele in diesem Abschnitt enthalten die nachgestellten Schrägstriche nach den URLs owa und ecp (owa/ und ecp/).

  • In Organisationen mit mehreren Active Directory-Standorten, die separate Namespaces verwenden (zeu.contoso.com. B. und na.contoso.com), müssen Sie Vertrauensstellungen der vertrauenden Seite für jeden Namespace sowohl für Outlook im Web als auch für das EAC konfigurieren.

Schritt 4a: Erstellen von Vertrauensstellungen vertrauender Parteien in AD FS für Outlook im Web und EAC

Um die Vertrauensstellungen der vertrauenden Seite auf dem AD FS-Server zu erstellen, können Sie die AD FS-Verwaltungskonsole oder Windows PowerShell verwenden.

Führen Sie die folgenden Schritte aus, um die AD FS-Verwaltungskonsole zum Erstellen der Vertrauensstellungen der vertrauenden Seite zu verwenden:

Hinweis: Sie müssen diese Schritte zweimal ausführen: einmal für Outlook im Web und einmal für EAC. Der einzige Unterschied sind die Werte, die Sie in den Schritten 5 und 8 eingeben (die Seiten "Anzeigename angeben " und "URL konfigurieren " im Assistenten).

  1. Klicken Sie in Server-Manager auf Tools und wählen Sie anschließend AD FS-Verwaltung aus.

    Wählen Sie im Server-Manager die Option "Tools > AD FS Management" aus.

  2. Erweitern Sie in der AD FS-Verwaltungskonsole Vertrauensstellungen , und wählen Sie dann Vertrauensstellungen der vertrauenden Seite aus. Wählen Sie im Bereich "Aktionen " die Option " Vertrauensstellung der vertrauenden Seite hinzufügen" aus.

    Erweitern Sie in der AD FS-Verwaltungskonsole "Vertrauensstellungen", und wählen Sie im Aktionsbereich "Vertrauensstellung vertrauende Seite hinzufügen" aus.

  3. Der Assistent zum Hinzufügen der Vertrauensstellung der vertrauenden Seite wird geöffnet. Klicken Sie auf der Begrüßungsseite auf Start.

    Die Willkommensseite im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

  4. Wählen Sie auf der Seite "Datenquelle auswählen**" die Option "Daten über die vertrauende Seite manuell eingeben**" aus, und klicken Sie dann auf "Weiter".

    Details zu Outlook im Web auf der Seite "Datenquelle auswählen" im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

  5. Konfigurieren Sie auf der Seite "Anzeigename angeben " die folgenden Einstellungen:

    • Für Outlook im Web:

    • Anzeigename: Geben Sie Outlook im Web ein.

    • Hinweis: Geben Sie eine Beschreibung ein. Dies ist beispielsweise eine Vertrauensstellung für https://mail.contoso.com/owa/.

      Die Seite "Anzeigename angeben" im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

    • Für EAC:

    • Anzeigename: Geben Sie EAC ein.

    • Hinweis: Geben Sie eine Beschreibung ein. Dies ist beispielsweise eine Vertrauensstellung für https://mail.contoso.com/ecp/.

    Details zum EAC auf der Seite "Datenquelle auswählen" im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  6. Überprüfen Sie auf der Seite "Profil auswählen ", ob DAS AD FS-Profil ausgewählt ist, und klicken Sie dann auf "Weiter".

    Die Seite "Profil auswählen" im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

  7. Klicken Sie auf der Seite "Zertifikat konfigurieren " auf "Weiter " (geben Sie kein optionales Tokenverschlüsselungszertifikat an).

    Die Seite "Zertifikat konfigurieren" im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

  8. Wählen Sie auf der Seite "URL konfigurieren**" die Option "Unterstützung für das WS-Federation Passive Protokoll aktivieren**" aus, und geben Sie in "Vertrauende Seite WS-Federation passive Protokoll-URL" die folgenden Informationen ein:

    Wenn Sie fertig sind, klicken Sie auf Weiter.

    Die Einstellungen für das EAC auf der Seite "URL konfigurieren" im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

  9. Klicken Sie auf der Seite "Bezeichner konfigurieren " auf "Weiter " (die URL aus dem vorherigen Schritt ist in den Vertrauensbezeichnern der vertrauenden Seite aufgeführt).

    Die Einstellungen für Outlook im Web auf der Seite "Bezeichner konfigurieren" im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

  10. Überprüfen Sie auf der Seite "Jetzt mehrstufige Authentifizierung konfigurieren" , ob ich die Einstellungen für die mehrstufige Authentifizierung für diese Vertrauensstellung der vertrauenden Seite zu diesem Zeitpunkt nicht konfigurieren möchte , und klicken Sie dann auf "Weiter".

    Die mehrstufige Authentifizierung jetzt konfigurieren? seite im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

  11. Überprüfen Sie auf der Seite "Ausstellungsautorisierungsregeln auswählen ", ob alle Benutzer auf diese vertrauende Seite zugreifen können, und klicken Sie dann auf "Weiter".

    The Choose Issuance Authorization Rules page in the Add Relying Party Trust Wizard.

  12. Auf der Seite Vertrauensstellung kann hinzugefügt werden prüfen Sie die Einstellungen und klicken dann auf Weiter, um die Daten der Vertrauensstellung zu speichern.

    Die Seite "Bereit zum Hinzufügen einer Vertrauensstellung" im Vertrauensstellungs-Assistenten der vertrauenden Seite.

  13. Deaktivieren Sie auf der Seite "Fertig stellen " das Dialogfeld "Anspruchsregeln bearbeiten" für diese Vertrauensstellung der vertrauenden Seite, wenn der Assistent geschlossen wird, und klicken Sie dann auf "Schließen".

    Die Seite "Fertig stellen" im Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite.

Führen Sie die folgenden Schritte aus, um Windows PowerShell Eingabeaufforderung zum Erstellen der Vertrauensstellungen der vertrauenden Seite zu verwenden:

  1. Führen Sie in einem Fenster mit erhöhten Windows PowerShell den folgenden Befehl aus:

    Import-Module ADFS
    
  2. Verwenden Sie die folgende Syntax:

    Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL | EACURL> -WSFedEndpoint <OotwURL | EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
    

In diesem Beispiel wird eine Vertrauensstellung der vertrauenden Seite für Outlook im Web mithilfe der folgenden Werte erstellt:

Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

In diesem Beispiel wird mithilfe der folgenden Werte eine Vertrauensstellung der vertrauenden Seite für das EAC erstellt:

Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

Schritt 4b: Erstellen benutzerdefinierter Anspruchsregeln in AD FS für Outlook im Web und EAC

Für Outlook im Web und EAC müssen Sie zwei Anspruchsregeln erstellen:

  • Active Directory-Benutzer-SID

  • Active Directory UPN

Zum Erstellen der Anspruchsregeln auf dem AD FS-Server können Sie die AD FS-Verwaltungskonsole oder Windows PowerShell verwenden.

Führen Sie die folgenden Schritte aus, um die AD FS-Verwaltungskonsole zum Erstellen der Anspruchsregeln zu verwenden:

Hinweis: Sie müssen diese Schritte zweimal ausführen: einmal für Outlook im Web und einmal für EAC. Der einzige Unterschied besteht in der Vertrauensstellung der vertrauenden Seite, die Sie im ersten Schritt auswählen. Alle anderen Werte in der Prozedur sind identisch.

So fügen Sie die erforderlichen Anspruchsregeln hinzu:

  1. Erweitern Sie in der AD FS-Verwaltungskonsole "Vertrauensstellungen", und wählen Sie dann die Vertrauensstellung der vertrauenden Seite aus, und wählen Sie dann die Outlook im Web oder EAC-Vertrauensstellung der vertrauenden Seite aus. Wählen Sie im Bereich "Aktionen**" die Option "Anspruchsregeln bearbeiten**" aus.

    Erweitern Sie in der AD FS-Verwaltungskonsole Vertrauensstellungen, wählen Sie Vertrauensstellungen der vertrauenden Seite aus, wählen Sie die Vertrauensstellung der vertrauenden Seite aus, und klicken Sie im Aktionsbereich auf "Anspruchsregeln bearbeiten".

  2. Überprüfen Sie im fenster "Anspruchsregeln <RuleName>bearbeiten", das geöffnet wird, ob die Registerkarte "Ausstellungstransformationsregeln" ausgewählt ist, und klicken Sie dann auf "Regel hinzufügen".

    Wählen Sie im Fenster Anspruchsregeln bearbeiten auf der Registerkarte "Ausstellungstransformationsregeln" die Option "Regel hinzufügen" aus.

  3. Der Assistent zum Hinzufügen von Anspruchsregel für Transformationen wird geöffnet. Klicken Sie auf der Seite "Regelvorlage auswählen " auf die Dropdownliste " Anspruchsregelvorlage ", und wählen Sie dann "Ansprüche mithilfe einer benutzerdefinierten Regel senden" aus. Wenn Sie fertig sind, klicken Sie auf Weiter.

    Wählen Sie auf der Seite Regelvorlage auswählen im Assistenten zum Hinzufügen von Anspruchsregel transformieren die Option "Ansprüche mithilfe einer benutzerdefinierten Regel senden" aus.

  4. Geben Sie auf der Seite "Regel konfigurieren " die folgenden Informationen ein:

    • Name der Anspruchsregel: Geben Sie einen beschreibenden Namen für die Anspruchsregel ein. Beispiel: ActiveDirectoryUserSID.

    • Benutzerdefinierte Regel: Kopieren Sie den folgenden Text, und fügen Sie ihn ein:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
      

    Konfigurieren Sie auf der Seite "Regel konfigurieren" im Assistenten zum Hinzufügen von Anspruchsregel transformieren die Anspruchsregeleinstellungen für die Active Directory-Benutzer-SID.

    Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.

  5. Überprüfen Sie im Fenster "Anspruchsregeln <RuleName>bearbeiten", ob die Registerkarte "Ausstellungstransformationsregeln" ausgewählt ist, und klicken Sie dann auf "Regel hinzufügen".

    Wählen Sie im Fenster Anspruchsregeln bearbeiten auf der Registerkarte "Ausstellungstransformationsregeln" die Option "Regel hinzufügen" aus.

  6. Der Assistent zum Hinzufügen von Anspruchsregel für Transformationen wird geöffnet. Klicken Sie auf der Seite "Regelvorlage auswählen " auf die Dropdownliste " Anspruchsregelvorlage ", und wählen Sie dann "Ansprüche mithilfe einer benutzerdefinierten Regel senden" aus. Wenn Sie fertig sind, klicken Sie auf Weiter.

    Wählen Sie auf der Seite Regelvorlage auswählen im Assistenten zum Hinzufügen von Anspruchsregel transformieren die Option "Ansprüche mithilfe einer benutzerdefinierten Regel senden" aus.

  7. Geben Sie auf der Seite "Regel konfigurieren " die folgenden Informationen ein:

    • Name der Anspruchsregel: Geben Sie einen beschreibenden Namen für die Anspruchsregel ein. Beispiel: ActiveDirectoryUPN.

    • Benutzerdefinierte Regel: Kopieren Sie den folgenden Text, und fügen Sie ihn ein:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
      

    Konfigurieren Sie auf der Seite "Regel konfigurieren" im Assistenten zum Hinzufügen von Anspruchsregeltransformationen die Anspruchsregeleinstellungen für den Active Directory-UPN.

    Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.

  8. Klicken Sie im Fenster "Anspruchsregeln <RuleName>bearbeiten" auf "OK".

    Wenn Sie mit dem Hinzufügen von Anspruchsregeln fertig sind, klicken Sie auf "OK".

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Erstellen der benutzerdefinierten Anspruchsregeln zu verwenden:

  1. Öffnen Sie ein Fenster mit erhöhten Windows PowerShell, und führen Sie den folgenden Befehl aus:

    Import-Module ADFS
    
  2. Verwenden Sie die folgende Syntax:

    Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
    

Führen Sie den folgenden Befehl aus, um die benutzerdefinierten Anspruchsregeln in der vorhandenen Vertrauensstellung der vertrauenden Seite mit dem Namen Outlook im Web zu erstellen:

Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Führen Sie den folgenden Befehl aus, um die benutzerdefinierten Anspruchsregeln in der vorhandenen Vertrauensstellung der vertrauenden Seite namens EAC zu erstellen:

Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Schritt 5: (Optional) Bereitstellen und Konfigurieren eines Windows Server 2012 R2-Webanwendungsproxyservers

Die Schritte in diesem Abschnitt sind nur erforderlich, wenn Sie Outlook im Web und das EAC mithilfe des Webanwendungsproxys veröffentlichen möchten und der Webanwendungsproxy die AD FS-Authentifizierung ausführen soll. Denken Sie daran:

  • Sie können den Offlinezugriff in Outlook im Web nicht verwenden, wenn Sie die AD FS-Authentifizierung über webanwendungsproxy verwenden.

  • Sie können den Webanwendungsproxy nicht auf demselben Server installieren, auf dem AD FS installiert ist.

Wenn Sie den Webanwendungsproxy nicht verwenden möchten, fahren Sie mit Schritt 6 fort.

Schritt 5a: Installieren des Webanwendungsproxys

Gehen Sie folgendermaßen vor, um den Server-Manager zum Installieren des Webanwendungsproxys zu verwenden:

  1. Öffnen Sie auf dem Zielserver den Server-Manager, klicken Sie auf "Verwalten", und wählen Sie dann "Rollen und Features hinzufügen" aus.

    Klicken Sie im Server-Manager auf "Verwalten", um zum Hinzufügen von Rollen und Features zu gelangen.

  2. Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet. Sie beginnen auf der Seite "Vor dem Start ", es sei denn, Sie haben zuvor die Option " Diese Seite überspringen" standardmäßig ausgewählt. Klicken Sie auf Weiter.

    Die Seite "Bevor Sie beginnen" im Assistenten zum Hinzufügen von Rollen und Features.

  3. Überprüfen Sie auf der Seite "Installationstyp auswählen ", ob die rollenbasierte oder featurebasierte Installation ausgewählt ist, und klicken Sie dann auf "Weiter".

    Die Seite "Zielserver auswählen" im Assistenten zum Hinzufügen von Rollen und Features.

  4. Überprüfen Sie auf der Seite " Zielserver auswählen " die Serverauswahl, und klicken Sie dann auf "Weiter".

    Die Seite "Zielserver auswählen" im Assistenten zum Hinzufügen von Rollen und Features.

  5. Wählen Sie auf der Seite " Serverrollen auswählen " die Option "Remotezugriff " in der Liste der Rollen aus, und klicken Sie dann auf "Weiter".

    Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features auf der Seite "Serverrollen auswählen" die Option "Remotezugriff" aus.

  6. Klicken Sie auf der Seite "Features" auf "Weiter " (übernehmen Sie die Standardfeatureauswahl).

    Die Seite "Features auswählen" im Assistenten zum Hinzufügen von Rollen und Features.

  7. Lesen Sie auf der Seite Remotezugriff die Informationen und klicken Sie dann auf Weiter.

    Lesen Sie die Informationen auf der Seite "Remotezugriff" im Assistenten zum Hinzufügen von Rollen und Features.

  8. Wählen Sie auf der Seite "Rollendienste auswählen " die Option "Webanwendungsproxy" aus. Klicken Sie im daraufhin geöffneten Dialogfeld "Features hinzufügen" auf " Features hinzufügen ", um die Standardwerte zu übernehmen, und schließen Sie das Dialogfeld. Klicken Sie zurück auf der Seite "Rollendienste auswählen " auf "Weiter".

    Nachdem Sie den Webanwendungsproxy ausgewählt haben, wird die Option "Features hinzufügen, die für den Web Applicaiton-Proxy erforderlich sind?" angezeigt. wird angezeigt.

    Wählen Sie auf der Seite "Rollendienste auswählen" den Webanwendungsproxy aus.

  9. Klicken Sie auf der Seite "Installationsauswahl bestätigen " auf "Installieren".

    X.

  10. Sehen Sie sich auf der Seite " Installationsfortschritt " die Statusanzeige an, um zu überprüfen, ob die Installation erfolgreich war. Lassen Sie nach Abschluss der Installation den Assistenten geöffnet, damit Sie im nächsten Schritt auf den Assistenten zum Öffnen des Webanwendungsproxys klicken können (5b).

    Klicken Sie auf der Seite "Installationsfortschritt" im Assistenten zum Hinzufügen von Rollen und Features auf "Webanwendungsproxy-Assistent öffnen".

Führen Sie den folgenden Befehl aus, um Windows PowerShell zum Installieren des Webanwendungsproxys zu verwenden:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Schritt 5b: Konfigurieren des Webanwendungsproxyservers

Nachdem Sie den Webanwendungsproxyserver bereitgestellt haben, müssen Sie die folgenden Webanwendungsproxyeinstellungen konfigurieren:

  • Name des Verbunddiensts: Beispiel adfs.contoso.com: .

  • Vertrauensanmeldeinformationen des Verbunddiensts: Der Benutzername und das Kennwort eines lokalen Administratorkontos auf dem AD FS-Server.

  • AD FS-Proxyzertifikat: Ein Zertifikat, das auf dem Webanwendungsproxyserver installiert ist und den Server für Clients als Proxy für den Verbunddienst identifiziert und daher den Verbunddienstnamen enthält (z. B adfs.contoso.com. ). Außerdem muss der Name des Verbunddiensts für den Webanwendungsproxyserver zugänglich sein (kann im DNS aufgelöst werden).

Sie können den Server-Manager oder Windows PowerShell verwenden, um den Webanwendungsproxyserver zu konfigurieren.

Gehen Sie folgendermaßen vor, um den Server-Manager zum Konfigurieren des Webanwendungsproxys zu verwenden:

  1. Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features aus dem vorherigen Schritt auf dem Webanwendungsproxyserver geöffnet gelassen haben, können Sie auf der Seite "Installationsfortschritt" auf den Link "Webanwendungsproxy-Assistent öffnen" klicken.

    Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features auf der Seite "Installationsfortschritt" die Option "Webanwendungsproxy-Assistent öffnen" aus.

    If you closed the Add Roles and Features Wizard or you used Windows PowerShell to install Web Application Proxy, you can get to the same place by clicking Notifications, and then clicking Open the Web Application Proxy Wizard in the Post-deployment Configuration warning.

    Klicken Sie im Server-Manager auf "Benachrichtigungen", um die Warnung anzuzeigen, die den Link zum Assistenten zum Öffnen des Webanwendungsproxys enthält.

  2. Der Assistent für die Webanwendungsproxykonfiguration wird geöffnet. Klicken Sie auf der Seite Willkommen auf Weiter.

    Die Willkommensseite im Assistenten für die Webanwendungsproxykonfiguration.

  3. Geben Sie auf der Seite "Verbundserver " die folgenden Informationen ein:

    • Name des Verbunddiensts: Beispiel adfs.contoso.com: .

    • Benutzername und Kennwort: Geben Sie die Anmeldeinformationen eines lokalen Administratorkontos auf dem AD FS-Server ein.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

    Geben Sie die Anmeldeinformationen für den AD FS-Server auf der Verbundserverseite im Assistenten für die Webanwendungsproxykonfiguration ein.

  4. Wählen Sie auf der Ad FS-Proxyzertifikatsseite ein installiertes Zertifikat aus, das den Verbunddienstnamen enthält (z. B adfs.contoso.com. ). Sie können ein Zertifikat in der Dropdownliste auswählen und dann auf "Details anzeigen>" klicken, um weitere Informationen zum Zertifikat anzuzeigen. Wenn Sie fertig sind, klicken Sie auf Weiter.

    Wählen Sie das AD FS-Proxyzertifikat auf der Seite "AD FS-Proxyzertifikat" im AD FS-Proxykonfigurations-Assistenten aus.

  5. Überprüfen Sie auf der Seite "Bestätigung " die Einstellungen. Sie können den Befehl Windows PowerShell kopieren, um zusätzliche Installationen zu automatisieren (insbesondere den Zertifikatfingerabdruckwert). Wenn Sie fertig sind, klicken Sie auf "Konfigurieren".

    Die Seite "Bestätigung" im Assistenten für die Webanwendungsproxykonfiguration.

  6. Überprüfen Sie auf der Seite "Ergebnisse ", ob die Konfiguration erfolgreich war, und klicken Sie dann auf "Schließen".

    Die Seite "Ergebnisse" im Assistenten für die Webanwendungsproxykonfiguration.

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Konfigurieren des Webanwendungsproxys zu verwenden:

  1. Führen Sie den folgenden Befehl auf dem Webanwendungsproxyserver aus, um den Fingerabdruckwert des installierten Zertifikats zu suchen, das Folgendes enthält adfs.contoso.com:

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Führen Sie den folgenden Befehl aus, und geben Sie den Benutzernamen und das Kennwort eines lokalen Administratorkontos auf dem AD FS-Server ein.

    $ADFSServerCred = Get-Credential
    
  3. Verwenden Sie die folgende Syntax:

    Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>
    

    In diesem Beispiel wird der Webanwendungsproxyserver mit den folgenden Einstellungen konfiguriert:

    • Name des Verbunddiensts: adfs.contoso.com

    • AD FS SSL-Zertifikatfingerabdruck: Das *.contoso.com Zertifikat mit dem Fingerabdruckwert 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

    Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
    

Schritt 5c: Veröffentlichen der Vertrauensstellungen der vertrauenden Seite für Outlook im Web und das EAC im Webanwendungsproxy

Um die Vertrauensstellungen der vertrauenden Seite im Webanwendungsproxy zu veröffentlichen, können Sie die Remotezugriffs-Verwaltungskonsole oder Windows PowerShell verwenden.

Gehen Sie folgendermaßen vor, um die Konsole für die Remotezugriffsverwaltung zu verwenden:

Hinweis: Sie müssen diese Schritte zweimal ausführen: einmal für Outlook im Web und einmal für EAC. Die erforderlichen Einstellungen werden im Verfahren beschrieben.

  1. Öffnen Sie die Remotezugriffsverwaltungskonsole auf dem Webanwendungsproxyserver: Klicken Sie im Server-Manager auf "Tools > Remote Access Management".

  2. Klicken Sie in der Konsole für die Remotezugriffsverwaltung unter "Konfiguration" auf "Webanwendungsproxy", und klicken Sie dann im Aufgabenbereich auf "Veröffentlichen".

    Wählen Sie im Aufgabenbereich in der Remotezugriffs-Verwaltungskonsole die Option "Veröffentlichen" aus.

  3. Der Assistent zum Veröffentlichen neuer Anwendungen wird geöffnet. Klicken Sie auf der Seite Willkommen auf Weiter.

    Die Willkommensseite im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungsproxyserver.

  4. Überprüfen Sie auf der Seite "Vorauthentifizierung ", ob Active Directory-Verbunddienste (AD FS) ausgewählt ist, und klicken Sie dann auf "Weiter".

    Die Seite "Vorauthentifizierung" im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungsproxyserver.

  5. Wählen Sie auf der Seite "Vertrauende Seite" die vertrauende Seite aus, die Sie in Schritt 4: Erstellen einer Vertrauensstellung der vertrauenden Seite und benutzerdefinierter Anspruchsregeln in AD FS für Outlook im Web und EAC auf dem AD FS-Server erstellt haben:

    Wählen Sie die vertrauende Seite auf der Seite "Vertrauende Seite" im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungsproxyserver aus.

    • Für Outlook im Web: Wählen Sie Outlook im Web aus.

    • Für das EAC: Wählen Sie EAC aus.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  6. Geben Sie auf der Seite "Veröffentlichen Einstellungen" die folgenden Informationen ein:

    • Für Outlook im Web

      • Name: Beispiel: Outlook on the web. Dieser Name ist nur in der Remotezugriffsverwaltungskonsole sichtbar.

      • Externe URL: Beispiel: https://mail.contoso.com/owa/.

      • Externes Zertifikat: Wählen Sie ein installiertes Zertifikat aus, das den Hostnamen der externen URL für Outlook im Web enthält (z. Bmail.contoso.com. ). Sie können ein Zertifikat in der Dropdownliste auswählen und dann auf "Details anzeigen>" klicken, um weitere Informationen zum Zertifikat anzuzeigen.

      • Back-End-Server-URL: Dieser Wert wird automatisch von der externen URL aufgefüllt. Sie müssen sie nur ändern, wenn sich die Back-End-Server-URL von der externen URL unterscheidet. Beispiel: https://server01.contoso.com/owa/. Beachten Sie, dass die Pfade in der externen URL und der Back-End-Server-URL übereinstimmen müssen (/owa/), die Werte des Hostnamens jedoch unterschiedlich sein können (z. B mail.contoso.com . und server01.contoso.com).

      Veröffentlichungseinstellungen für Outlook im Web auf der Seite "Vertrauende Seite" im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungsproxyserver.

    • Für EAC

      • Name: Beispiel: EAC. Dieser Name ist nur in der Remotezugriffsverwaltungskonsole sichtbar.

      • Externe URL: Die externe URL für das EAC. Beispiel: https://mail.contoso.com/ecp/.

      • Externes Zertifikat: Wählen Sie ein installiertes Zertifikat aus, das den Hostnamen der externen URL für das EAC enthält (z. B mail.contoso.com. ). Das Zertifikat ist wahrscheinlich ein Platzhalterzertifikat oder SAN-Zertifikat. Sie können ein Zertifikat in der Dropdownliste auswählen und dann auf "Details anzeigen>" klicken, um weitere Informationen zum Zertifikat anzuzeigen.

      • Back-End-Server-URL: Dieser Wert wird automatisch von der externen URL aufgefüllt. Sie müssen sie nur ändern, wenn sich die Back-End-Server-URL von der externen URL unterscheidet. Beispiel: https://server01.contoso.com/ecp/. Beachten Sie, dass die Pfade in der externen URL und der Back-End-Server-URL übereinstimmen müssen (/ecp/), die Werte des Hostnamens jedoch unterschiedlich sein können (z. B mail.contoso.com . und server01.contoso.com).

    Wenn Sie fertig sind, klicken Sie auf Weiter.

    Veröffentlichungseinstellungen für das EAC auf der Seite "Vertrauende Seite" im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungsproxyserver.

  7. Überprüfen Sie auf der Seite "Bestätigung " die Einstellungen. Sie können den Befehl Windows PowerShell kopieren, um zusätzliche Installationen zu automatisieren (insbesondere den Zertifikatfingerabdruckwert). Wenn Sie fertig sind, klicken Sie auf "Veröffentlichen".

    Die Seite "Bestätigung" im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungsproxyserver.

  8. Überprüfen Sie auf der Seite "Ergebnisse ", ob die Anwendung erfolgreich veröffentlicht wurde, und klicken Sie dann auf "Schließen".

    Die Seite "Ergebnisse" im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungsproxyserver.

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Veröffentlichen der Vertrauensstellungen der vertrauenden Seite zu verwenden:

  1. Führen Sie den folgenden Befehl auf dem Webanwendungsproxyserver aus, um den Fingerabdruck des installierten Zertifikats zu suchen, das den Hostnamen der Outlook im Web- und EAC-URLs enthält (z. B. mail.contoso.com):

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Verwenden Sie die folgende Syntax:

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web  | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>
    

    In diesem Beispiel werden Outlook im Web im Webanwendungsproxy mit den folgenden Einstellungen veröffentlicht:

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/
    

    In diesem Beispiel wird das EAC im Webanwendungsproxy mit den folgenden Einstellungen veröffentlicht:

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
    

Hinweis: Alle AD FS-Endpunkte, die Sie über Webanwendungsproxy veröffentlichen möchten, müssen proxyfähig sein. Sie tun dies in der AD FS-Verwaltungskonsole bei Dienstendpunkten > ( vergewissern Sie sich, dass proxyaktiviert für den angegebenen Endpunkt "Ja " ist).

Schritt 6: Konfigurieren der Exchange Organisation für die Verwendung der AD FS-Authentifizierung

Um die Exchange Organisation für die Verwendung der AD FS-Authentifizierung zu konfigurieren, müssen Sie die Exchange-Verwaltungsshell verwenden. Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

  1. Führen Sie den folgenden Befehl aus, um den Fingerabdruckwert des importierten AD FS-Tokensignaturzertifikats zu suchen:

    Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
    

    Suchen Sie nach dem Subject-Wert CN=ADFS Signing - <FederationServiceName> (z. B CN=ADFS Signing - adfs.contoso.com. ).

    Sie können diesen Fingerabdruckwert auf dem AD FS-Server in einem Fenster mit erhöhten Windows PowerShell bestätigen, indem Sie den Befehl Import-Module ADFSausführen und dann den Befehl Get-AdfsCertificate -CertificateType Token-Signingausführen.

  2. Verwenden Sie die folgende Syntax:

    Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"
    

    In diesem Beispiel werden die folgenden Werte verwendet:

    • AD FS-URL: https://adfs.contoso.com/adfs/ls/

    • Outlook im Web URL:https://mail.contoso.com/owa/

    • EAC-URL: https://mail.contoso.com/ecp/

    • AD FS-Tokensignaturzertifikatfingerabdruck: Das ADFS Signing - adfs.contoso.com Zertifikat mit dem Fingerabdruckwert 88970C64278A15D642934DC2961D9CCA5E28DA6B.

    Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
    

    Hinweis: Der Parameter AdfsEncryptCertificateThumbprint wird in diesen Szenarien nicht unterstützt.

Schritt 7: Konfigurieren der AD FS-Authentifizierung in den virtuellen Outlook im Web- und EAC-Verzeichnissen

Für die virtuellen Verzeichnisse Outlook im Web und EAC müssen Sie die AD FS-Authentifizierung als einzige verfügbare Authentifizierungsmethode konfigurieren, indem Sie alle anderen Authentifizierungsmethoden deaktivieren.

  • Sie müssen das virtuelle EAC-Verzeichnis konfigurieren, bevor Sie das Outlook im Web virtuellen Verzeichnis konfigurieren.

  • Sie sollten die AD FS-Authentifizierung wahrscheinlich nur auf Exchange Servern konfigurieren, die Clients zum Herstellen einer Verbindung mit Outlook im Web und dem EAC verwenden.

  • Standardmäßig ist nur die Standard- und Formularauthentifizierung für die virtuellen Outlook im Web- und EAC-Verzeichnisse aktiviert.

Verwenden Sie die folgende Syntax, um die Exchange-Verwaltungsshell zum Konfigurieren eines virtuellen EAC- oder Outlook im Web virtuellen Verzeichnisses zu verwenden, um nur die AD FS-Authentifizierung zu akzeptieren:

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

In diesem Beispiel wird das virtuelle EAC-Verzeichnis auf der Standardwebsite auf dem Server mit dem Namen "Mailbox01" konfiguriert:

Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

In diesem Beispiel wird das Outlook im Web virtuelle Verzeichnis in der Standardwebsite auf dem Server mit dem Namen "Mailbox01" konfiguriert:

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Hinweis: Führen Sie die folgenden Befehle aus, um alle EAC- und Outlook im Web virtuellen Verzeichnisse auf jedem Exchange Server in Ihrer Organisation zu konfigurieren:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Schritt 8: Starten Sie IIS auf dem Exchange Server neu.

  1. Öffnen Sie IIS-Manager auf dem Exchange-Server. Eine einfache Möglichkeit hierzu in Windows Server 2012 oder höher ist das Drücken der Windows-Taste + Q, Eingeben von inetmgr und Auswählen von Internetinformationsdienste-Manager (IIS) in den Ergebnissen.

  2. Wählen Sie in IIS-Manager den Server aus.

  3. Klicken Sie im Bereich Aktionen auf Neustart.

    Wählen Sie im IIS-Manager den Server aus, und klicken Sie im Bereich "Aktionen" auf "Neu starten".

Hinweis: Um dieses Verfahren über die Befehlszeile auszuführen, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Exchange Server (ein Eingabeaufforderungsfenster, das Sie öffnen, indem Sie als Administrator ausführen auswählen), und führen Sie die folgenden Befehle aus:

net stop w3svc /y
net start w3svc

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

So testen Sie die AD FS-Ansprüche auf Outlook im Web:

  1. Öffnen Sie in einem Webbrowser Outlook im Web (z. Bhttps://mail.contoso.com/owa. ).

  2. Wenn sie einen Zertifikatfehler im Webbrowser erhalten, fahren Sie einfach mit der Outlook im Web-Website fort. Sie sollten zur AD FS-Anmeldeseite oder zur AD FS-Eingabeaufforderung für Anmeldeinformationen umgeleitet werden.

  3. Geben Sie Ihren Benutzernamen (Domäne\Benutzer) und ihr Kennwort ein, und klicken Sie dann auf "Anmelden".

  4. Outlook im Web wird im Fenster geladen.

So testen Sie die AD FS-Ansprüche für die Exchange-Verwaltungskonsole:

  1. Öffnen Sie in einem Webbrowser EAC (z. B https://mail.contoso.com/ecp. ).

  2. Wenn sie im Webbrowser einen Zertifikatfehler erhalten, fahren Sie einfach mit der EAC-Website fort. Sie sollten zur AD FS-Anmeldeseite oder zur AD FS-Eingabeaufforderung für Anmeldeinformationen umgeleitet werden.

  3. Geben Sie Ihren Benutzernamen (Domäne\Benutzer) und ihr Kennwort ein, und klicken Sie dann auf "Anmelden".

  4. EAC wird im Fenster geladen.

Zusätzliche Überlegungen

Mehrstufige Authentifizierung

Durch die Bereitstellung und Konfiguration von AD FS für die anspruchsbasierte Authentifizierung können Outlook im Web und das EAC die mehrstufige Authentifizierung unterstützen, z. B. zertifikatbasierte Authentifizierung, Authentifizierung oder Sicherheitstoken und Fingerabdruckauthentifizierung. Die mehrstufige Authentifizierung erfordert zwei der folgenden drei Authentifizierungsfaktoren:

  • Etwas, das nur der Benutzer kennt (z. B. das Kennwort, die PIN oder das Muster).

  • Etwas, das nur der Benutzer hat (z. B. eine ATM-Karte, ein Sicherheitstoken, eine Smartcard oder ein Mobiltelefon).

  • Etwas, das nur der Benutzer ist (z. B. ein biometrisches Merkmal, z. B. ein Fingerabdruck).

Beispielsweise ein Kennwort und ein Sicherheitscode, der an ein Mobiltelefon gesendet wird, oder eine PIN und ein Fingerabdruck.

Weitere Informationen zur mehrstufigen Authentifizierung in Windows Server 2012 R2 finden Sie unter Übersicht: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen und Handbuch mit exemplarischer Vorgehensweise: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen.

Auf dem AD FS-Server fungiert der Verbunddienst als Sicherheitstokendienst und stellt die Sicherheitstoken bereit, die mit Ansprüchen verwendet werden. Der Verbunddienst stellt Token auf Grundlage der angegebenen Anmeldeinformationen aus. Nachdem der Kontospeicher die Anmeldeinformationen eines Benutzers überprüft hat, werden die Ansprüche für den Benutzer entsprechend den Regeln der Vertrauensrichtlinie erstellt und anschließend einem Sicherheitstoken hinzugefügt, das an den Client ausgegeben wird. Weitere Informationen zu Ansprüchen finden Sie unter Grundlegendes zu Ansprüchen.

Koexistenz mit anderen Versionen von Exchange

Sie können die AD FS-Authentifizierung für Outlook im Web und EAC verwenden, wenn Sie mehr als eine Version von Exchange in Ihrer Organisation bereitgestellt haben. Dieses Szenario wird nur unterstützt, wenn alle Clients über Exchange Server eine Verbindung herstellen und alle diese Server für die AD FS-Authentifizierung konfiguriert wurden.

In Exchange 2016-Organisationen können Benutzer mit Postfächern auf Exchange 2010-Servern über einen Exchange 2016-Server, der für die AD FS-Authentifizierung konfiguriert ist, auf ihre Postfächer zugreifen. Die anfängliche Clientverbindung mit dem server oder Exchange 2016 verwendet die AD FS-Authentifizierung. Die proxied-Verbindung mit Exchange 2010 verwendet jedoch Kerberos. Es gibt keine unterstützte Möglichkeit, Exchange 2010 für die direkte AD FS-Authentifizierung zu konfigurieren.