Freigeben über

Lokale Konfiguration von Exchange Server derart, dass die moderne Hybridauthentifizierung verwendet wird

  • Artikel

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA) ist eine Methode der Identitätsverwaltung, die eine sicherere Benutzerauthentifizierung und Autorisierung bietet und für lokale Hybridbereitstellungen von Exchange Server verfügbar ist.

Aktivieren der modernen Hybridauthentifizierung

Zum Aktivieren von HMA muss Ihre Umgebung Folgendes erfüllen:

  1. Stellen Sie sicher, dass sie die Voraussetzungen erfüllen, bevor Sie beginnen.

  2. Da sowohl für Skype for Business als auch für Exchange viele Voraussetzungen gelten, lesen Sie diese unter Übersicht und Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern. Führen Sie dies aus, bevor Sie mit den Schritten in diesem Artikel beginnen. Anforderungen zu verknüpften Postfächern, die eingefügt werden sollen.

  3. Fügen Sie lokale Webdienst-URLs als Dienstprinzipalnamen (SPNs) in Microsoft Entra ID hinzu. Für den Fall, dass Exchange lokal hybrid mit mehreren Mandanten ist, müssen diese lokalen Webdienst-URLs als SPNs im Microsoft Entra ID aller Mandanten hinzugefügt werden, die mit Exchange lokal hybrid sind.

  4. Sicherstellen, dass alle virtuellen Verzeichnisse für HMA aktiviert sind

  5. Suchen Sie nach dem EvoSTS-Authentifizierungsserverobjekt.

  6. Stellen Sie sicher, dass das Exchange Server OAuth-Zertifikat gültig ist.

  7. Stellen Sie sicher, dass alle Benutzeridentitäten mit Microsoft Entra ID

  8. Aktivieren Sie HMA in Exchange lokal.

Hinweis

Unterstützt Ihre Version von Office MA? Weitere Informationen finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps.

Warnung

Das Veröffentlichen von Outlook Web App und Exchange-Systemsteuerung über Microsoft Entra Anwendungsproxy wird nicht unterstützt.

Hinzufügen lokaler Webdienst-URLs als SPNs in Microsoft Entra ID

Führen Sie die Befehle aus, die Ihre lokalen Webdienst-URLs als Microsoft Entra SPNs zuweisen. SPNs werden von Clientcomputern und Geräten während der Authentifizierung und Autorisierung verwendet. Alle URLs, die verwendet werden können, um eine Verbindung zwischen der lokalen Umgebung und Microsoft Entra ID herzustellen, müssen in Microsoft Entra ID registriert werden (einschließlich interner und externer Namespaces).

  1. Führen Sie zunächst die folgenden Befehle auf Ihrem Microsoft Exchange Server aus:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    Stellen Sie sicher, dass die URLs, mit denen Clients eine Verbindung herstellen können, in Microsoft Entra ID als HTTPS-Dienstprinzipalnamen aufgeführt sind. Falls Exchange lokal hybrid mit mehreren Mandanten ist, sollten diese HTTPS-SPNs in der Microsoft Entra ID aller Mandanten im Hybrid mit Exchange lokal hinzugefügt werden.

  2. Installieren Sie das Microsoft Graph PowerShell-Modul:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Stellen Sie als Nächstes mit den folgenden Anweisungen eine Verbindung mit Microsoft Entra ID her. Führen Sie den folgenden Befehl aus, um den erforderlichen Berechtigungen zuzustimmen:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Geben Sie für Ihre Exchange-bezogenen URLs den folgenden Befehl ein:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Notieren Sie sich (und screenshot für einen späteren Vergleich) die Ausgabe dieses Befehls, die eine - und https://*mail.yourdomain.com* -https://*autodiscover.yourdomain.com*URL enthalten sollte, aber größtenteils aus SPNs besteht, die mit 00000002-0000-0ff1-ce00-000000000000/beginnen. https:// Wenn URLs aus Ihrer lokalen Umgebung fehlen, sollten diese spezifischen Datensätze dieser Liste hinzugefügt werden.

  5. Wenn Die internen und externen MAPI/HTTPDatensätze , , OABEWSActiveSyncund Autodiscover in dieser Liste nicht angezeigt werden, müssen Sie sie hinzufügen. Verwenden Sie den folgenden Befehl, um alle urLs hinzuzufügen, die fehlen:

    Wichtig

    In unserem Beispiel sind mail.corp.contoso.com die URLs, die hinzugefügt werden, und owa.contoso.com. Stellen Sie sicher, dass sie durch die URLs ersetzt werden, die in Ihrer Umgebung konfiguriert sind.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Überprüfen Sie, ob Ihre neuen Datensätze hinzugefügt wurden, indem Sie den Get-MsolServicePrincipal Befehl aus Schritt 2 erneut ausführen und die Ausgabe durchsuchen. Vergleichen Sie die Liste bzw. den Screenshot von zuvor mit der neuen Liste der SPNs. Sie können auch einen Screenshot der neuen Liste für Ihre Datensätze erstellen. Wenn Sie erfolgreich sind, werden die beiden neuen URLs in der Liste angezeigt. In unserem Beispiel enthält die Liste der SPNs nun die spezifischen URLs https://mail.corp.contoso.com und https://owa.contoso.com.

Überprüfen, ob virtuelle Verzeichnisse ordnungsgemäß konfiguriert sind

Überprüfen Sie nun, ob OAuth in Exchange für alle virtuellen Verzeichnisse, die Outlook verwenden könnte, ordnungsgemäß aktiviert ist, indem Sie die folgenden Befehle ausführen:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Überprüfen Sie die Ausgabe, um sicherzustellen, dass OAuth für jede dieser VDirs aktiviert ist. Es sieht in etwa wie folgt aus (und das Wichtigste, was Sie sich ansehen sollten, ist "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Wenn OAuth auf einem Server und einem der vier virtuellen Verzeichnisse fehlt, müssen Sie es mithilfe der entsprechenden Befehle hinzufügen, bevor Sie fortfahren (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory und Set-AutodiscoverVirtualDirectory).

Vergewissern Sie sich, dass das EvoSTS-Authentifizierungsserverobjekt vorhanden ist.

Kehren Sie für diesen letzten Befehl zur lokalen Exchange-Verwaltungsshell zurück. Jetzt können Sie überprüfen, ob Ihre lokale Umgebung über einen Eintrag für den evoSTS-Authentifizierungsanbieter verfügt:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Ihre Ausgabe sollte einen AuthServer des Namens EvoSts mit einer GUID anzeigen, und der Status "Enabled" sollte True sein. Andernfalls sollten Sie die neueste Version des Hybridkonfigurations-Assistenten herunterladen und ausführen.

Hinweis

Für den Fall, dass Exchange lokal hybrid mit mehreren Mandanten ist, sollte ihre Ausgabe einen AuthServer des Namens EvoSts - {GUID} für jeden Mandanten in hybrider Verbindung mit Exchange lokal anzeigen, und der Status Aktiviert sollte für alle diese AuthServer-Objekte True sein.

Wichtig

Wenn Sie Exchange 2010 in Ihrer Umgebung ausführen, wird der EvoSTS-Authentifizierungsanbieter nicht erstellt.

Aktivieren von HMA

Führen Sie den folgenden Befehl lokal in der Exchange-Verwaltungsshell aus, und <ersetzen Sie guid> in der Befehlszeile durch die GUID aus der Ausgabe des letzten ausgeführten Befehls:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Hinweis

In älteren Versionen des Hybridkonfigurations-Assistenten wurde der EvoSts AuthServer einfach EvoSTS ohne angefügte GUID genannt. Es ist keine Aktion erforderlich, die Sie ausführen müssen. Ändern Sie einfach die vorangehende Befehlszeile, um dies widerzuspiegeln, indem Sie den GUID-Teil des Befehls entfernen:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Wenn die lokale Exchange-Version Exchange 2016 (CU18 oder höher) oder Exchange 2019 (CU7 oder höher) ist und hybrid mit HCW konfiguriert wurde, die nach September 2020 heruntergeladen wurde, führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell lokal aus:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Hinweis

Falls Exchange lokal hybrid mit mehreren Mandanten ist, gibt es mehrere AuthServer-Objekte in Exchange lokal mit Domänen, die jedem Mandanten entsprechen. Das IsDefaultAuthorizationEndpoint-Flag sollte (mithilfe des Cmdlets IsDefaultAuthorizationEndpoint ) für eines dieser AuthServer-Objekte auf true festgelegt werden. Dieses Flag kann nicht für alle Authserver-Objekte auf true festgelegt werden, und HMA wäre auch dann aktiviert, wenn das IsDefaultAuthorizationEndpoint-Flag eines dieser AuthServer-Objekte auf true festgelegt ist.

Hinweis

Verwenden Sie für den DomainName-Parameter den Mandantendomänenwert, der in der Regel im Format contoso.onmicrosoft.comliegt.

Überprüfen

Nachdem Sie HMA aktiviert haben, verwendet die nächste Anmeldung eines Clients den neuen Authentifizierungsflow. Durch das Aktivieren von HMA wird keine erneute Authentifizierung für einen Client ausgelöst, und es kann eine Weile dauern, bis Exchange die neuen Einstellungen übernimmt.

Sie sollten auch die STRG-TASTE gedrückt halten, während Sie mit der rechten Maustaste auf das Symbol für den Outlook-Client klicken (auch in der Windows-Benachrichtigungsleiste), und wählen Sie Verbindungsstatus aus. Suchen Sie nach der SMTP-Adresse des Clients für den AuthN-TypBearer\*, der das in OAuth verwendete Bearertoken darstellt.

Hinweis

Müssen Sie Skype for Business mit HMA konfigurieren? Sie benötigen zwei Artikel: einen, der die unterstützten Topologien auflistet, und einen, in dem die Konfiguration erläutert wird.

Aktivieren der modernen Hybridauthentifizierung für OWA und ECP

Die moderne Hybridauthentifizierung kann jetzt auch für OWA und ECPaktiviert werden. Stellen Sie sicher, dass die Voraussetzungen erfüllt sind, bevor Sie fortfahren.

Nachdem die moderne Hybridauthentifizierung für OWA und ECPaktiviert wurde, werden alle Endbenutzer und Administratoren, die versuchen, sich bei oder ECP anzumeldenOWA, zuerst zur seite Microsoft Entra ID Authentifizierung umgeleitet. Nachdem die Authentifizierung erfolgreich war, wird der Benutzer an OWA oder ECPumgeleitet.

Voraussetzungen zum Aktivieren der modernen Hybridauthentifizierung für OWA und ECP

Um die moderne Hybridauthentifizierung für OWA und ECPzu aktivieren, müssen alle Benutzeridentitäten mit Microsoft Entra ID synchronisiert werden. Darüber hinaus ist es wichtig, dass das OAuth-Setup zwischen Exchange Server lokalen und Exchange Online eingerichtet wurde, bevor weitere Konfigurationsschritte ausgeführt werden können.

Kunden, die bereits den Hybridkonfigurations-Assistenten (HCW) zum Konfigurieren der Hybridkonfiguration ausgeführt haben, verfügen über eine OAuth-Konfiguration. Wenn OAuth noch nicht konfiguriert wurde, kann dies durch Ausführen des HCW oder durch Ausführen der Schritte erfolgen, die in der Dokumentation Konfigurieren der OAuth-Authentifizierung zwischen Exchange und Exchange Online Organisationen beschrieben sind.

Es wird empfohlen, die OwaVirtualDirectory Einstellungen und EcpVirtualDirectory zu dokumentieren, bevor Sie Änderungen vornehmen. In dieser Dokumentation können Sie die ursprünglichen Einstellungen wiederherstellen, wenn nach der Konfiguration des Features Probleme auftreten.

Wichtig

Auf allen Servern muss mindestens das Exchange Server CU14-Update 2019 installiert sein. Sie müssen auch die Exchange Server 2019 CU14 April 2024 HU oder ein späteres Update ausführen.

Schritte zum Aktivieren der modernen Hybridauthentifizierung für OWA und ECP

  1. Fragen Sie die OWA URLs und ECP ab, die auf Ihrem Exchange Server lokalen konfiguriert sind. Dies ist wichtig, da sie als Antwort-URL zu Microsoft Entra ID hinzugefügt werden müssen:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Installieren Sie das Microsoft Graph PowerShell-Modul, falls es noch nicht installiert wurde:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Stellen Sie mit diesen Anweisungen eine Verbindung mit Microsoft Entra ID her. Führen Sie den folgenden Befehl aus, um den erforderlichen Berechtigungen zuzustimmen:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Geben Sie Ihre OWA URLs und ECP an:

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Aktualisieren Sie Ihre Anwendung mit den Antwort-URLs:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Vergewissern Sie sich, dass die Antwort-URLs erfolgreich hinzugefügt wurden:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Um Exchange Server lokale Möglichkeit zur Durchführung der modernen Hybridauthentifizierung zu aktivieren, führen Sie die schritte aus, die im Abschnitt Aktivieren von HMA beschrieben sind.

  8. (Optional) Nur erforderlich, wenn Downloaddomänen verwendet werden:

    Create eine neue globale Einstellung außer Kraft setzen, indem Sie die folgenden Befehle über eine Exchange Management Shell (EMS) mit erhöhten Rechten ausführen. Führen Sie die folgenden Befehle auf einem Exchange Server aus:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Optional) Nur in Szenarien mit Exchange-Ressourcengesamtstruktur erforderlich :

    Fügen Sie dem Knoten der <ExchangeInstallPath>\ClientAccess\Owa\web.config Datei die <appSettings> folgenden Schlüssel hinzu. Führen Sie dies für jede Exchange Server aus:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Create eine neue globale Einstellung außer Kraft setzen, indem Sie die folgenden Befehle über eine Exchange Management Shell (EMS) mit erhöhten Rechten ausführen. Führen Sie die folgenden Befehle auf einem Exchange Server aus:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Um die moderne Hybridauthentifizierung für OWA und ECPzu aktivieren, müssen Sie zunächst jede andere Authentifizierungsmethode für diese virtuellen Verzeichnisse deaktivieren. Führen Sie die folgenden Befehle für jedes OWA virtuelle Verzeichnis und ECP jedes virtuelle Verzeichnis auf jedem Exchange Server aus:

    Wichtig

    Es ist wichtig, diese Befehle in der angegebenen Reihenfolge auszuführen. Andernfalls wird beim Ausführen der Befehle eine Fehlermeldung angezeigt. Nachdem Sie diese Befehle ausgeführt haben, melden Sie sich bei an OWA , und ECP die Arbeit wird beendet, bis die OAuth-Authentifizierung für diese virtuellen Verzeichnisse aktiviert wurde.

    Stellen Sie außerdem sicher, dass alle Konten synchronisiert sind, insbesondere die Konten, die für die Verwaltung verwendet werden, um Microsoft Entra ID. Andernfalls funktioniert die Anmeldung nicht mehr, bis sie synchronisiert sind. Beachten Sie, dass Konten, z. B. der integrierte Administrator, nicht mit Microsoft Entra ID synchronisiert werden und daher nicht für die Verwaltung verwendet werden können, nachdem HMA für OWA und ECP aktiviert wurden. Dies ist auf das isCriticalSystemObject -Attribut zurückzuführen, das für einige Konten auf TRUE festgelegt ist.

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Aktivieren Sie OAuth für das OWA virtuelle Verzeichnis und ECP . Führen Sie die folgenden Befehle für jedes OWA virtuelle Verzeichnis und ECP jedes virtuelle Verzeichnis auf jedem Exchange Server aus:

    Wichtig

    Es ist wichtig, diese Befehle in der angegebenen Reihenfolge auszuführen. Andernfalls wird beim Ausführen der Befehle eine Fehlermeldung angezeigt.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android

Wenn Sie ein lokaler Kunde sind, der Exchange Server unter TCP 443 verwendet, lassen Sie Netzwerkdatenverkehr aus den folgenden IP-Adressbereichen zu:

52.125.128.0/20
52.127.96.0/23

Diese IP-Adressbereiche sind auch unter Zusätzliche Endpunkte dokumentiert, die nicht im Office 365 IP-Adresse und URL-Webdienst enthalten sind.

Konfigurationsanforderungen für die moderne Authentifizierung für den Übergang von Office 365 dedicated/ITAR zu vNext