Lokale Konfiguration von Exchange Server derart, dass die moderne Hybridauthentifizierung verwendet wird
Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.
Hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA) ist eine Methode der Identitätsverwaltung, die eine sicherere Benutzerauthentifizierung und Autorisierung bietet und für lokale Hybridbereitstellungen von Exchange Server verfügbar ist.
Aktivieren der modernen Hybridauthentifizierung
Zum Aktivieren von HMA muss Ihre Umgebung Folgendes erfüllen:
Stellen Sie sicher, dass sie die Voraussetzungen erfüllen, bevor Sie beginnen.
Da sowohl für Skype for Business als auch für Exchange viele Voraussetzungen gelten, lesen Sie diese unter Übersicht und Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern. Führen Sie dies aus, bevor Sie mit den Schritten in diesem Artikel beginnen. Anforderungen zu verknüpften Postfächern, die eingefügt werden sollen.
Fügen Sie lokale Webdienst-URLs als Dienstprinzipalnamen (SPNs) in Microsoft Entra ID hinzu. Für den Fall, dass Exchange lokal hybrid mit mehreren Mandanten ist, müssen diese lokalen Webdienst-URLs als SPNs im Microsoft Entra ID aller Mandanten hinzugefügt werden, die mit Exchange lokal hybrid sind.
Sicherstellen, dass alle virtuellen Verzeichnisse für HMA aktiviert sind
Suchen Sie nach dem EvoSTS-Authentifizierungsserverobjekt.
Stellen Sie sicher, dass das Exchange Server OAuth-Zertifikat gültig ist.
Stellen Sie sicher, dass alle Benutzeridentitäten mit Microsoft Entra ID
Aktivieren Sie HMA in Exchange lokal.
Hinweis
Unterstützt Ihre Version von Office MA? Weitere Informationen finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps.
Warnung
Das Veröffentlichen von Outlook Web App und Exchange-Systemsteuerung über Microsoft Entra Anwendungsproxy wird nicht unterstützt.
Hinzufügen lokaler Webdienst-URLs als SPNs in Microsoft Entra ID
Führen Sie die Befehle aus, die Ihre lokalen Webdienst-URLs als Microsoft Entra SPNs zuweisen. SPNs werden von Clientcomputern und Geräten während der Authentifizierung und Autorisierung verwendet. Alle URLs, die verwendet werden können, um eine Verbindung zwischen der lokalen Umgebung und Microsoft Entra ID herzustellen, müssen in Microsoft Entra ID registriert werden (einschließlich interner und externer Namespaces).
Führen Sie zunächst die folgenden Befehle auf Ihrem Microsoft Exchange Server aus:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
Stellen Sie sicher, dass die URLs, mit denen Clients eine Verbindung herstellen können, in Microsoft Entra ID als HTTPS-Dienstprinzipalnamen aufgeführt sind. Falls Exchange lokal hybrid mit mehreren Mandanten ist, sollten diese HTTPS-SPNs in der Microsoft Entra ID aller Mandanten im Hybrid mit Exchange lokal hinzugefügt werden.
Installieren Sie das Microsoft Graph PowerShell-Modul:
Install-Module Microsoft.Graph -Scope AllUsers
Stellen Sie als Nächstes mit den folgenden Anweisungen eine Verbindung mit Microsoft Entra ID her. Führen Sie den folgenden Befehl aus, um den erforderlichen Berechtigungen zuzustimmen:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Geben Sie für Ihre Exchange-bezogenen URLs den folgenden Befehl ein:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Notieren Sie sich (und screenshot für einen späteren Vergleich) die Ausgabe dieses Befehls, die eine - und
https://*mail.yourdomain.com*
-https://*autodiscover.yourdomain.com*
URL enthalten sollte, aber größtenteils aus SPNs besteht, die mit00000002-0000-0ff1-ce00-000000000000/
beginnen.https://
Wenn URLs aus Ihrer lokalen Umgebung fehlen, sollten diese spezifischen Datensätze dieser Liste hinzugefügt werden.Wenn Die internen und externen
MAPI/HTTP
Datensätze , ,OAB
EWS
ActiveSync
undAutodiscover
in dieser Liste nicht angezeigt werden, müssen Sie sie hinzufügen. Verwenden Sie den folgenden Befehl, um alle urLs hinzuzufügen, die fehlen:Wichtig
In unserem Beispiel sind
mail.corp.contoso.com
die URLs, die hinzugefügt werden, undowa.contoso.com
. Stellen Sie sicher, dass sie durch die URLs ersetzt werden, die in Ihrer Umgebung konfiguriert sind.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Überprüfen Sie, ob Ihre neuen Datensätze hinzugefügt wurden, indem Sie den
Get-MsolServicePrincipal
Befehl aus Schritt 2 erneut ausführen und die Ausgabe durchsuchen. Vergleichen Sie die Liste bzw. den Screenshot von zuvor mit der neuen Liste der SPNs. Sie können auch einen Screenshot der neuen Liste für Ihre Datensätze erstellen. Wenn Sie erfolgreich sind, werden die beiden neuen URLs in der Liste angezeigt. In unserem Beispiel enthält die Liste der SPNs nun die spezifischen URLshttps://mail.corp.contoso.com
undhttps://owa.contoso.com
.
Überprüfen, ob virtuelle Verzeichnisse ordnungsgemäß konfiguriert sind
Überprüfen Sie nun, ob OAuth in Exchange für alle virtuellen Verzeichnisse, die Outlook verwenden könnte, ordnungsgemäß aktiviert ist, indem Sie die folgenden Befehle ausführen:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Überprüfen Sie die Ausgabe, um sicherzustellen, dass OAuth für jede dieser VDirs aktiviert ist. Es sieht in etwa wie folgt aus (und das Wichtigste, was Sie sich ansehen sollten, ist "OAuth"):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Wenn OAuth auf einem Server und einem der vier virtuellen Verzeichnisse fehlt, müssen Sie es mithilfe der entsprechenden Befehle hinzufügen, bevor Sie fortfahren (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory und Set-AutodiscoverVirtualDirectory).
Vergewissern Sie sich, dass das EvoSTS-Authentifizierungsserverobjekt vorhanden ist.
Kehren Sie für diesen letzten Befehl zur lokalen Exchange-Verwaltungsshell zurück. Jetzt können Sie überprüfen, ob Ihre lokale Umgebung über einen Eintrag für den evoSTS-Authentifizierungsanbieter verfügt:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Ihre Ausgabe sollte einen AuthServer des Namens EvoSts mit einer GUID anzeigen, und der Status "Enabled" sollte True sein. Andernfalls sollten Sie die neueste Version des Hybridkonfigurations-Assistenten herunterladen und ausführen.
Hinweis
Für den Fall, dass Exchange lokal hybrid mit mehreren Mandanten ist, sollte ihre Ausgabe einen AuthServer des Namens EvoSts - {GUID}
für jeden Mandanten in hybrider Verbindung mit Exchange lokal anzeigen, und der Status Aktiviert sollte für alle diese AuthServer-Objekte True sein.
Wichtig
Wenn Sie Exchange 2010 in Ihrer Umgebung ausführen, wird der EvoSTS-Authentifizierungsanbieter nicht erstellt.
Aktivieren von HMA
Führen Sie den folgenden Befehl lokal in der Exchange-Verwaltungsshell aus, und <ersetzen Sie guid> in der Befehlszeile durch die GUID aus der Ausgabe des letzten ausgeführten Befehls:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Hinweis
In älteren Versionen des Hybridkonfigurations-Assistenten wurde der EvoSts AuthServer einfach EvoSTS ohne angefügte GUID genannt. Es ist keine Aktion erforderlich, die Sie ausführen müssen. Ändern Sie einfach die vorangehende Befehlszeile, um dies widerzuspiegeln, indem Sie den GUID-Teil des Befehls entfernen:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Wenn die lokale Exchange-Version Exchange 2016 (CU18 oder höher) oder Exchange 2019 (CU7 oder höher) ist und hybrid mit HCW konfiguriert wurde, die nach September 2020 heruntergeladen wurde, führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell lokal aus:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Hinweis
Falls Exchange lokal hybrid mit mehreren Mandanten ist, gibt es mehrere AuthServer-Objekte in Exchange lokal mit Domänen, die jedem Mandanten entsprechen. Das IsDefaultAuthorizationEndpoint-Flag sollte (mithilfe des Cmdlets IsDefaultAuthorizationEndpoint ) für eines dieser AuthServer-Objekte auf true festgelegt werden. Dieses Flag kann nicht für alle Authserver-Objekte auf true festgelegt werden, und HMA wäre auch dann aktiviert, wenn das IsDefaultAuthorizationEndpoint-Flag eines dieser AuthServer-Objekte auf true festgelegt ist.
Hinweis
Verwenden Sie für den DomainName-Parameter den Mandantendomänenwert, der in der Regel im Format contoso.onmicrosoft.com
liegt.
Überprüfen
Nachdem Sie HMA aktiviert haben, verwendet die nächste Anmeldung eines Clients den neuen Authentifizierungsflow. Durch das Aktivieren von HMA wird keine erneute Authentifizierung für einen Client ausgelöst, und es kann eine Weile dauern, bis Exchange die neuen Einstellungen übernimmt.
Sie sollten auch die STRG-TASTE gedrückt halten, während Sie mit der rechten Maustaste auf das Symbol für den Outlook-Client klicken (auch in der Windows-Benachrichtigungsleiste), und wählen Sie Verbindungsstatus aus. Suchen Sie nach der SMTP-Adresse des Clients für den AuthN-TypBearer\*
, der das in OAuth verwendete Bearertoken darstellt.
Hinweis
Müssen Sie Skype for Business mit HMA konfigurieren? Sie benötigen zwei Artikel: einen, der die unterstützten Topologien auflistet, und einen, in dem die Konfiguration erläutert wird.
Aktivieren der modernen Hybridauthentifizierung für OWA und ECP
Die moderne Hybridauthentifizierung kann jetzt auch für OWA
und ECP
aktiviert werden. Stellen Sie sicher, dass die Voraussetzungen erfüllt sind, bevor Sie fortfahren.
Nachdem die moderne Hybridauthentifizierung für OWA
und ECP
aktiviert wurde, werden alle Endbenutzer und Administratoren, die versuchen, sich bei oder ECP
anzumeldenOWA
, zuerst zur seite Microsoft Entra ID Authentifizierung umgeleitet. Nachdem die Authentifizierung erfolgreich war, wird der Benutzer an OWA
oder ECP
umgeleitet.
Voraussetzungen zum Aktivieren der modernen Hybridauthentifizierung für OWA und ECP
Um die moderne Hybridauthentifizierung für OWA
und ECP
zu aktivieren, müssen alle Benutzeridentitäten mit Microsoft Entra ID synchronisiert werden.
Darüber hinaus ist es wichtig, dass das OAuth-Setup zwischen Exchange Server lokalen und Exchange Online eingerichtet wurde, bevor weitere Konfigurationsschritte ausgeführt werden können.
Kunden, die bereits den Hybridkonfigurations-Assistenten (HCW) zum Konfigurieren der Hybridkonfiguration ausgeführt haben, verfügen über eine OAuth-Konfiguration. Wenn OAuth noch nicht konfiguriert wurde, kann dies durch Ausführen des HCW oder durch Ausführen der Schritte erfolgen, die in der Dokumentation Konfigurieren der OAuth-Authentifizierung zwischen Exchange und Exchange Online Organisationen beschrieben sind.
Es wird empfohlen, die OwaVirtualDirectory
Einstellungen und EcpVirtualDirectory
zu dokumentieren, bevor Sie Änderungen vornehmen. In dieser Dokumentation können Sie die ursprünglichen Einstellungen wiederherstellen, wenn nach der Konfiguration des Features Probleme auftreten.
Wichtig
Auf allen Servern muss mindestens das Exchange Server CU14-Update 2019 installiert sein. Sie müssen auch die Exchange Server 2019 CU14 April 2024 HU oder ein späteres Update ausführen.
Schritte zum Aktivieren der modernen Hybridauthentifizierung für OWA und ECP
Fragen Sie die
OWA
URLs undECP
ab, die auf Ihrem Exchange Server lokalen konfiguriert sind. Dies ist wichtig, da sie als Antwort-URL zu Microsoft Entra ID hinzugefügt werden müssen:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Installieren Sie das Microsoft Graph PowerShell-Modul, falls es noch nicht installiert wurde:
Install-Module Microsoft.Graph -Scope AllUsers
Stellen Sie mit diesen Anweisungen eine Verbindung mit Microsoft Entra ID her. Führen Sie den folgenden Befehl aus, um den erforderlichen Berechtigungen zuzustimmen:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Geben Sie Ihre
OWA
URLs undECP
an:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
Aktualisieren Sie Ihre Anwendung mit den Antwort-URLs:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Vergewissern Sie sich, dass die Antwort-URLs erfolgreich hinzugefügt wurden:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Um Exchange Server lokale Möglichkeit zur Durchführung der modernen Hybridauthentifizierung zu aktivieren, führen Sie die schritte aus, die im Abschnitt Aktivieren von HMA beschrieben sind.
(Optional) Nur erforderlich, wenn Downloaddomänen verwendet werden:
Create eine neue globale Einstellung außer Kraft setzen, indem Sie die folgenden Befehle über eine Exchange Management Shell (EMS) mit erhöhten Rechten ausführen. Führen Sie die folgenden Befehle auf einem Exchange Server aus:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Optional) Nur in Szenarien mit Exchange-Ressourcengesamtstruktur erforderlich :
Fügen Sie dem Knoten der
<ExchangeInstallPath>\ClientAccess\Owa\web.config
Datei die<appSettings>
folgenden Schlüssel hinzu. Führen Sie dies für jede Exchange Server aus:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Create eine neue globale Einstellung außer Kraft setzen, indem Sie die folgenden Befehle über eine Exchange Management Shell (EMS) mit erhöhten Rechten ausführen. Führen Sie die folgenden Befehle auf einem Exchange Server aus:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Um die moderne Hybridauthentifizierung für
OWA
undECP
zu aktivieren, müssen Sie zunächst jede andere Authentifizierungsmethode für diese virtuellen Verzeichnisse deaktivieren. Führen Sie die folgenden Befehle für jedesOWA
virtuelle Verzeichnis undECP
jedes virtuelle Verzeichnis auf jedem Exchange Server aus:Wichtig
Es ist wichtig, diese Befehle in der angegebenen Reihenfolge auszuführen. Andernfalls wird beim Ausführen der Befehle eine Fehlermeldung angezeigt. Nachdem Sie diese Befehle ausgeführt haben, melden Sie sich bei an
OWA
, undECP
die Arbeit wird beendet, bis die OAuth-Authentifizierung für diese virtuellen Verzeichnisse aktiviert wurde.Stellen Sie außerdem sicher, dass alle Konten synchronisiert sind, insbesondere die Konten, die für die Verwaltung verwendet werden, um Microsoft Entra ID. Andernfalls funktioniert die Anmeldung nicht mehr, bis sie synchronisiert sind. Beachten Sie, dass Konten, z. B. der integrierte Administrator, nicht mit Microsoft Entra ID synchronisiert werden und daher nicht für die Verwaltung verwendet werden können, nachdem HMA für OWA und ECP aktiviert wurden. Dies ist auf das
isCriticalSystemObject
-Attribut zurückzuführen, das für einige Konten aufTRUE
festgelegt ist.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Aktivieren Sie OAuth für das
OWA
virtuelle Verzeichnis undECP
. Führen Sie die folgenden Befehle für jedesOWA
virtuelle Verzeichnis undECP
jedes virtuelle Verzeichnis auf jedem Exchange Server aus:Wichtig
Es ist wichtig, diese Befehle in der angegebenen Reihenfolge auszuführen. Andernfalls wird beim Ausführen der Befehle eine Fehlermeldung angezeigt.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android
Wenn Sie ein lokaler Kunde sind, der Exchange Server unter TCP 443 verwendet, lassen Sie Netzwerkdatenverkehr aus den folgenden IP-Adressbereichen zu:
52.125.128.0/20
52.127.96.0/23
Diese IP-Adressbereiche sind auch unter Zusätzliche Endpunkte dokumentiert, die nicht im Office 365 IP-Adresse und URL-Webdienst enthalten sind.
Verwandte Artikel
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für