Come configurare Exchange Server locale per utilizzare l'autenticazione moderna ibrida

  • Articolo

Questo articolo si applica sia a Microsoft 365 Enterprise che a Office 365 Enterprise.

L'autenticazione moderna ibrida (HMA) è un metodo di gestione delle identità che offre un'autenticazione utente e un'autorizzazione più sicure ed è disponibile per le distribuzioni ibride locali di Exchange Server.

Abilitazione dell'autenticazione moderna ibrida

L'attivazione di HMA richiede che l'ambiente soddisfi quanto segue:

  1. Assicurarsi di soddisfare i prerequisiti prima di iniziare.

  2. Poiché molti prerequisiti sono comuni sia per Skype for Business che per Exchange, esaminarli in Panoramica dell'autenticazione moderna ibrida e prerequisiti per l'uso con i server Skype for Business ed Exchange locali. Eseguire questa operazione prima di iniziare uno dei passaggi descritti in questo articolo. Requisiti relativi alle cassette postali collegate da inserire.

  3. Aggiungere GLI URL del servizio Web locale come nomi di entità servizio (SPN) in Microsoft Entra ID. Nel caso in cui Exchange locale sia ibrido con più tenant, questi URL del servizio Web locale devono essere aggiunti come NOMI SPN nella Microsoft Entra ID di tutti i tenant, che sono ibridi con Exchange locale.

  4. Verificare che tutte le directory virtuali siano abilitate per HMA

  5. Verificare la presenza dell'oggetto EvoSTS Auth Server

  6. Assicurarsi che il certificato OAuth Exchange Server sia valido

  7. Assicurarsi che tutte le identità utente siano sincronizzate con Microsoft Entra ID

  8. Abilitare HMA in Exchange locale.

Nota

La versione di Office supporta MA? Vedere Funzionamento dell'autenticazione moderna per le app client di Office 2013 e Office 2016.

Avviso

La pubblicazione di Outlook Web App ed Exchange Pannello di controllo tramite Microsoft Entra proxy di applicazione non è supportata.

Aggiungere URL del servizio Web locale come NOMI SPN in Microsoft Entra ID

Eseguire i comandi che assegnano gli URL del servizio Web locale come nomi SPN Microsoft Entra. I nomi SPN vengono usati dai computer client e dai dispositivi durante l'autenticazione e l'autorizzazione. Tutti gli URL che possono essere usati per connettersi da locale a Microsoft Entra ID devono essere registrati in Microsoft Entra ID (inclusi gli spazi dei nomi interni ed esterni).

  1. Eseguire prima di tutto i comandi seguenti nel Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    Verificare che gli URL a cui i client possono connettersi siano elencati come nomi di entità servizio HTTPS in Microsoft Entra ID. Nel caso in cui Exchange locale sia ibrido con più tenant, questi NOMI SPN HTTPS devono essere aggiunti nel Microsoft Entra ID di tutti i tenant in ambiente ibrido con Exchange locale.

  2. Installare il modulo PowerShell di Microsoft Graph:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Connettersi quindi a Microsoft Entra ID con queste istruzioni. Per concedere il consenso alle autorizzazioni necessarie, eseguire il comando seguente:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Per gli URL correlati a Exchange, digitare il comando seguente:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Prendere nota dell'output di questo comando, che deve includere un https://*autodiscover.yourdomain.com* URL e https://*mail.yourdomain.com* e e per lo più costituito da nomi SPN che iniziano con 00000002-0000-0ff1-ce00-000000000000/. Se sono https:// presenti URL dell'ambiente locale mancanti, questi record specifici devono essere aggiunti a questo elenco.

  5. Se non vengono visualizzati i record interni ed esterni MAPI/HTTP, , EWSActiveSync, OABe Autodiscover in questo elenco, è necessario aggiungerli. Usare il comando seguente per aggiungere tutti gli URL mancanti:

    Importante

    Nell'esempio gli URL che verranno aggiunti sono mail.corp.contoso.com e owa.contoso.com. Assicurarsi che siano sostituiti dagli URL configurati nell'ambiente.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Verificare che i nuovi record siano stati aggiunti eseguendo di nuovo il Get-MsolServicePrincipal comando dal passaggio 2 e esaminando l'output. Confrontare l'elenco o lo screenshot di prima con il nuovo elenco di nomi SPN. È anche possibile acquisire uno screenshot del nuovo elenco per i record. In caso di esito positivo, verranno visualizzati i due nuovi URL nell'elenco. In base all'esempio, l'elenco di nomi SPN include ora gli URL https://mail.corp.contoso.com specifici e https://owa.contoso.com.

Verificare che le directory virtuali siano configurate correttamente

Verificare ora che OAuth sia abilitato correttamente in Exchange in tutte le directory virtuali che Outlook potrebbe usare eseguendo i comandi seguenti:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Controllare l'output per assicurarsi che OAuth sia abilitato in ognuno di questi VDir, l'aspetto è simile al seguente (e l'aspetto chiave da esaminare è "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Se OAuth non è presente in un server e in una qualsiasi delle quattro directory virtuali, è necessario aggiungerlo usando i comandi pertinenti prima di procedere (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory e Set-AutodiscoverVirtualDirectory).

Verificare che l'oggetto server di autenticazione EvoSTS sia presente

Tornare a Exchange Management Shell locale per questo ultimo comando. A questo punto è possibile verificare che l'ambiente locale disponga di una voce per il provider di autenticazione evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

L'output deve mostrare un AuthServer del nome EvoSts con un GUID e lo stato 'Enabled' deve essere True. In caso contrario, scaricare ed eseguire la versione più recente della Configurazione guidata ibrida.

Nota

Se Exchange locale è ibrido con più tenant, l'output deve mostrare un AuthServer del nome EvoSts - {GUID} per ogni tenant ibrido con Exchange locale e lo stato Abilitato deve essere True per tutti questi oggetti AuthServer.

Importante

Se si esegue Exchange 2010 nell'ambiente, il provider di autenticazione EvoSTS non verrà creato.

Abilitare HMA

Eseguire il comando seguente in Exchange Management Shell, in locale, sostituendo <GUID> nella riga di comando con il GUID dell'output dell'ultimo comando eseguito:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Nota

Nelle versioni precedenti della Configurazione guidata ibrida, EvoSts AuthServer era semplicemente denominato EvoSTS senza un GUID collegato. Non è necessario eseguire alcuna azione, è sufficiente modificare la riga di comando precedente per riflettere questo problema rimuovendo la parte GUID del comando:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Se la versione locale di Exchange è Exchange 2016 (CU18 o versione successiva) o Exchange 2019 (CU7 o versione successiva) e la versione ibrida è stata configurata con HCW scaricato dopo settembre 2020, eseguire il comando seguente in Exchange Management Shell, in locale:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Nota

Nel caso in cui Exchange locale sia ibrido con più tenant, in Exchange sono presenti più oggetti AuthServer con domini corrispondenti a ogni tenant. Il flag IsDefaultAuthorizationEndpoint deve essere impostato su true (usando il cmdlet IsDefaultAuthorizationEndpoint ) per uno qualsiasi di questi oggetti AuthServer. Questo flag non può essere impostato su true per tutti gli oggetti Authserver e HMA viene abilitato anche se uno di questi flag IsDefaultAuthorizationEndpoint dell'oggetto AuthServer è impostato su true.

Nota

Per il parametro DomainName usare il valore del dominio tenant, in genere nel formato contoso.onmicrosoft.com.

Verificare

Dopo aver abilitato HMA, l'accesso successivo di un client userà il nuovo flusso di autenticazione. L'attivazione di HMA non attiverà una riautenticazione per nessun client e potrebbe essere necessario un po' di tempo prima che Exchange selezioni le nuove impostazioni.

Tenere premuto il tasto CTRL nello stesso momento in cui si fa clic con il pulsante destro del mouse sull'icona per il client Outlook (anche nella barra delle notifiche di Windows) e selezionare Stato connessione. Cercare l'indirizzo SMTP del client in base a un tipo AuthN di Bearer\*, che rappresenta il token di connessione usato in OAuth.

Nota

È necessario configurare Skype for Business con HMA? Sono necessari due articoli: uno che elenca le topologie supportate e uno che illustra come eseguire la configurazione.

Abilitare l'autenticazione moderna ibrida per OWA ed ECP

L'autenticazione moderna ibrida può ora essere abilitata anche per OWA e ECP. Assicurarsi che i prerequisiti siano soddisfatti prima di continuare.

Dopo aver abilitato l'autenticazione moderna ibrida per OWA e ECP, ogni utente finale e amministratore che tenta di accedere OWA a o ECP verrà reindirizzato prima alla pagina di autenticazione Microsoft Entra ID. Una volta completata l'autenticazione, l'utente verrà reindirizzato a OWA o ECP.

Prerequisiti per abilitare l'autenticazione moderna ibrida per OWA ed ECP

Per abilitare l'autenticazione moderna ibrida per OWA e ECP, tutte le identità utente devono essere sincronizzate con Microsoft Entra ID. Oltre a questo, è importante che la configurazione di OAuth tra Exchange Server locale e Exchange Online sia stata stabilita prima di poter eseguire ulteriori passaggi di configurazione.

I clienti che hanno già eseguito la Configurazione guidata ibrida (HCW) per configurare l'ambiente ibrido avranno già una configurazione OAuth. Se OAuth non è stato configurato in precedenza, è possibile eseguire HCW o seguendo i passaggi descritti nella documentazione Configurare l'autenticazione OAuth tra Exchange e Exchange Online organizzazioni.

È consigliabile documentare le OwaVirtualDirectory impostazioni e EcpVirtualDirectory prima di apportare modifiche. Questa documentazione consente di ripristinare le impostazioni originali se si verificano problemi dopo la configurazione della funzionalità.

Importante

Tutti i server devono avere installato almeno l'aggiornamento CU14 Exchange Server 2019. Devono anche eseguire l'interfaccia utente Exchange Server 2019 CU14 aprile 2024 o un aggiornamento successivo.

Passaggi per abilitare l'autenticazione moderna ibrida per OWA ed ECP

  1. Eseguire query sugli OWA URL e ECP configurati nel Exchange Server locale. Questo è importante perché devono essere aggiunti come URL di risposta a Microsoft Entra ID:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Installare il modulo PowerShell di Microsoft Graph se non è ancora stato installato:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Connettersi a Microsoft Entra ID con queste istruzioni. Per concedere il consenso alle autorizzazioni necessarie, eseguire il comando seguente:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Specificare gli OWA URL e ECP :

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Aggiornare l'applicazione con gli URL di risposta:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Verificare che gli URL di risposta siano stati aggiunti correttamente:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Per abilitare Exchange Server capacità locale di eseguire l'autenticazione moderna ibrida, seguire i passaggi descritti nella sezione Abilita HMA.

  8. (Facoltativo) Obbligatorio solo se vengono usati i domini di download :

    Create una nuova sostituzione dell'impostazione globale eseguendo i comandi seguenti da Exchange Management Shell (EMS) con privilegi elevati. Eseguire questi comandi in un Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Facoltativo) Obbligatorio solo negli scenari di topologia della foresta di risorse di Exchange :

    Aggiungere le chiavi seguenti al <appSettings> nodo del <ExchangeInstallPath>\ClientAccess\Owa\web.config file. Eseguire questa operazione in ogni Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Create una nuova sostituzione dell'impostazione globale eseguendo i comandi seguenti da Exchange Management Shell (EMS) con privilegi elevati. Eseguire questi comandi in un Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Per abilitare l'autenticazione moderna ibrida per OWA e ECP, è innanzitutto necessario disabilitare qualsiasi altro metodo di autenticazione in queste directory virtuali. Eseguire questi comandi per ogni OWA directory virtuale e ECP in ogni Exchange Server:

    Importante

    È importante eseguire questi comandi nell'ordine specificato. In caso contrario, verrà visualizzato un messaggio di errore durante l'esecuzione dei comandi. Dopo aver eseguito questi comandi, accedere a OWA e ECP interromperà il lavoro fino a quando non viene attivata l'autenticazione OAuth per tali directory virtuali.

    Assicurarsi inoltre che tutti gli account siano sincronizzati, in particolare gli account usati per l'amministrazione da Microsoft Entra ID. In caso contrario, l'account di accesso smette di funzionare fino a quando non viene sincronizzato. Si noti che gli account, ad esempio l'amministratore predefinito, non verranno sincronizzati con Microsoft Entra ID e, pertanto, non potranno essere usati per l'amministrazione dopo l'abilitazione di HMA per OWA ed ECP. Ciò è dovuto all'attributo isCriticalSystemObject , impostato su TRUE per alcuni account.

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Abilitare OAuth per la OWA directory virtuale e ECP . Eseguire questi comandi per ogni OWA directory virtuale e ECP in ogni Exchange Server:

    Importante

    È importante eseguire questi comandi nell'ordine specificato. In caso contrario, verrà visualizzato un messaggio di errore durante l'esecuzione dei comandi.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Uso dell'autenticazione moderna ibrida con Outlook per iOS e Android

Se si è un cliente locale che usa Exchange Server su TCP 443, consentire il traffico di rete dagli intervalli IP seguenti:

52.125.128.0/20
52.127.96.0/23

Questi intervalli di indirizzi IP sono documentati anche in Endpoint aggiuntivi non inclusi nel servizio Web url e indirizzo IP Office 365.

Requisiti di configurazione dell'autenticazione moderna per la transizione da Office 365 dedicato/ITAR a vNext