Comment configurer Exchange Server en local pour utiliser l’authentification moderne hybride

Cet article est valable pour Microsoft 365 Entreprise et Office 365 Entreprise.

L’authentification moderne hybride (HMA) est une méthode de gestion des identités qui offre une authentification et une autorisation utilisateur plus sécurisées, et est disponible pour les déploiements hybrides exchange server sur site.

Définitions

Avant de commencer, vous devez connaître certaines définitions :

  • Authentification > moderne hybride HMA

  • Exchange sur site > EXCH

  • > Exchange Online EXO

En outre, si un graphique de cet article a un objet « grisé » ou « grisé », cela signifie que l’élément affiché en gris n’est pas inclus dans la configuration spécifique à HMA.

Activation de l’authentification moderne hybride

L’activation de HMA nécessite que votre environnement réponde aux exigences suivantes :

  1. Vérifiez que vous remplissez les conditions préalables avant de commencer.

  2. Étant donné que de nombreuses conditions préalables sont courantes pour Skype Entreprise et Exchange, consultez vue d’ensemble de l’authentification moderne hybride et conditions préalables à son utilisation avec des serveurs Skype Entreprise et Exchange locaux. Procédez ainsi avant de commencer l’une des étapes décrites dans cet article. Exigences relatives aux boîtes aux lettres liées à insérer.

  3. Ajoutez des URL de service web locale en tant que noms de principal de service (SPN) dans Microsoft Entra ID. Si EXCH est hybride avec plusieurs locataires, ces URL de service web locales doivent être ajoutées en tant que SPN dans le Microsoft Entra ID de tous les locataires, qui sont en mode hybride avec EXCH.

  4. Vérifier que tous les répertoires virtuels sont activés pour HMA

  5. Rechercher l’objet EvoSTS Auth Server

  6. Activez HMA dans EXCH.

Remarque

Outlook Web App et Exchange Panneau de configuration ne fonctionnent pas avec l’authentification moderne hybride. En outre, la publication d’Outlook Web App et d’Exchange Panneau de configuration via Microsoft Entra proxy d’application n’est pas prise en charge.

Ajouter des URL de service web locales en tant que SPN dans Microsoft Entra ID

Exécutez les commandes qui attribuent les URL de votre service web local en tant que Microsoft Entra SPN. Les spN sont utilisés par les ordinateurs et appareils clients lors de l’authentification et de l’autorisation. Toutes les URL qui peuvent être utilisées pour se connecter à partir d’un emplacement local vers Microsoft Entra ID doivent être inscrites dans Microsoft Entra ID (y compris les espaces de noms internes et externes).

  1. Tout d’abord, exécutez les commandes suivantes sur votre Microsoft Exchange Server :

    Get-MapiVirtualDirectory | FL server,*url*
    Get-WebServicesVirtualDirectory | FL server,*url*
    Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
    Get-OABVirtualDirectory | FL server,*url*
    Get-AutodiscoverVirtualDirectory | FL server,*url*
    Get-OutlookAnywhere | FL server,*hostname*
    

    Vérifiez que les URL à laquelle les clients peuvent se connecter sont répertoriées en tant que noms de principal de service HTTPS dans Microsoft Entra ID. Dans le cas où EXCH est en mode hybride avec plusieurs locataires, ces noms de principal de service HTTPS doivent être ajoutés dans la Microsoft Entra ID de tous les locataires hybrides avec EXCH.

  2. Ensuite, connectez-vous à Microsoft Entra ID en suivant ces instructions. Pour donner votre consentement aux autorisations requises, exécutez la commande suivante :

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
    
  3. Pour vos URL liées à Exchange, tapez la commande suivante :

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
    

    Notez (et la capture d’écran pour une comparaison ultérieure) la sortie de cette commande, qui doit inclure une https://*autodiscover.yourdomain.com* URL et https://*mail.yourdomain.com* , mais qui se compose principalement de NOMS de service qui commencent par 00000002-0000-0ff1-ce00-000000000000/. https:// Si des URL de votre site local sont manquantes, ces enregistrements spécifiques doivent être ajoutés à cette liste.

  4. Si vous ne voyez pas vos enregistrements MAPI/HTTP, EWS, ActiveSync, OAB et Autodiscover internes et externes dans cette liste, vous devez les ajouter à l’aide de la commande suivante (les exemples d’URL sont mail.corp.contoso.com et owa.contoso.com, mais vous devez remplacer les exemples d’URL par les vôtres) :

    $x= Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
    $ServicePrincipalUpdate =@(
    "https://mail.corp.contoso.com/","https://owa.contoso.com/"
    )
    Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
    
  5. Vérifiez que vos nouveaux enregistrements ont été ajoutés en exécutant à nouveau la Get-MsolServicePrincipal commande de l’étape 2 et en examinant la sortie. Comparez la liste/capture d’écran d’avant à la nouvelle liste de SPN. Vous pouvez également prendre une capture d’écran de la nouvelle liste pour vos enregistrements. Si vous réussissez, vous verrez les deux nouvelles URL dans la liste. Dans notre exemple, la liste des noms de principal du service inclut désormais les URL https://mail.corp.contoso.com spécifiques et https://owa.contoso.com.

Vérifier que les répertoires virtuels sont correctement configurés

Vérifiez maintenant qu’OAuth est correctement activé dans Exchange sur tous les répertoires virtuels qu’Outlook peut utiliser en exécutant les commandes suivantes :

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Vérifiez la sortie pour vous assurer qu’OAuth est activé sur chacun de ces VDirs, qu’il ressemble à ceci (et que la chose clé à examiner est « OAuth ») :

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Si OAuth est absent d’un serveur et de l’un des quatre répertoires virtuels, vous devez l’ajouter à l’aide des commandes appropriées avant de continuer (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory et Set-AutodiscoverVirtualDirectory).

Vérifier que l’objet de serveur d’authentification EvoSTS est présent

Revenez à l’environnement de ligne de commande Exchange Management Shell local pour cette dernière commande. Vous pouvez maintenant vérifier que votre site local dispose d’une entrée pour le fournisseur d’authentification evoSTS :

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Votre sortie doit afficher un AuthServer du nom EvoSts avec un GUID et l’état « Enabled » doit avoir la valeur True. Si ce n’est pas le cas, vous devez télécharger et exécuter la version la plus récente de l’Assistant Configuration hybride.

Remarque

Si EXCH est en mode hybride avec plusieurs locataires, votre sortie doit afficher un authServer du nom EvoSts - {GUID} pour chaque locataire hybride avec EXCH et l’état Activé doit avoir la valeur True pour tous ces objets AuthServer.

Importante

Si vous exécutez Exchange 2010 dans votre environnement, le fournisseur d’authentification EvoSTS n’est pas créé.

Activer HMA

Exécutez la commande suivante dans l’environnement de ligne de commande Exchange Management Shell local, en <remplaçant GUID> dans la ligne de commande par le GUID de la sortie de la dernière commande que vous avez exécutée :

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Remarque

Dans les versions antérieures de l’Assistant Configuration hybride, EvoSts AuthServer était simplement nommé EvoSTS sans GUID attaché. Vous n’avez aucune action à effectuer. Modifiez simplement la ligne de commande précédente pour refléter cela en supprimant la partie GUID de la commande :

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Si la version EXCH est Exchange 2016 (CU18 ou ultérieure) ou Exchange 2019 (CU7 ou version ultérieure) et que la version hybride a été configurée avec HCW téléchargée après septembre 2020, exécutez la commande suivante dans Exchange Management Shell, localement :

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Remarque

Dans le cas où EXCH est en mode hybride avec plusieurs locataires, plusieurs objets AuthServer sont présents dans EXCH avec des domaines correspondant à chaque locataire. L’indicateur IsDefaultAuthorizationEndpoint doit être défini sur true (à l’aide de l’applet de commande IsDefaultAuthorizationEndpoint ) pour l’un de ces objets AuthServer. Cet indicateur ne peut pas être défini sur true pour tous les objets Authserver et HMA est activé même si l’indicateur IsDefaultAuthorizationEndpoint de l’objet AuthServer est défini sur true.

Remarque

Pour le paramètre DomainName , utilisez la valeur de domaine de locataire, qui se présente généralement sous la forme contoso.onmicrosoft.com.

Vérifier

Une fois que vous avez activé HMA, la prochaine connexion d’un client utilise le nouveau flux d’authentification. Le simple fait d’activer HMA ne déclenche pas de réauthentification pour un client, et exchange peut prendre un certain temps pour récupérer les nouveaux paramètres.

Vous devez également maintenir la touche Ctrl enfoncée en même temps que vous cliquez avec le bouton droit sur l’icône du client Outlook (également dans la barre d’état notifications Windows) et sélectionner État de la connexion. Recherchez l’adresse SMTP du client par rapport à un type d’authentification de Bearer\*, qui représente le jeton du porteur utilisé dans OAuth.

Remarque

Vous avez besoin de configurer Skype Entreprise avec HMA ? Vous aurez besoin de deux articles : un qui répertorie les topologies prises en charge et un qui vous montre comment effectuer la configuration.

Utilisation de l’authentification moderne hybride avec Outlook pour iOS et Android

Si vous êtes un client local utilisant Exchange Server sur TCP 443, autorisez le trafic réseau à partir des plages d’adresses IP suivantes :

52.125.128.0/20
52.127.96.0/23

Ces plages d’adresses IP sont également documentées dans Points de terminaison supplémentaires non inclus dans le service Web Adresse IP et URL Office 365.

Exigences de configuration de l’authentification moderne pour la transition d’Office 365 dédié/ITAR vers vNext