Come configurare Exchange Server locale per utilizzare l'autenticazione moderna ibrida
Questo articolo si applica sia a Microsoft 365 Enterprise che a Office 365 Enterprise.
L'autenticazione moderna ibrida (HMA) è un metodo di gestione delle identità che offre un'autenticazione utente e un'autorizzazione più sicure ed è disponibile per le distribuzioni ibride locali di Exchange Server.
Abilitazione dell'autenticazione moderna ibrida
L'attivazione di HMA richiede che l'ambiente soddisfi quanto segue:
Assicurarsi di soddisfare i prerequisiti prima di iniziare.
Poiché molti prerequisiti sono comuni sia per Skype for Business che per Exchange, esaminarli in Panoramica dell'autenticazione moderna ibrida e prerequisiti per l'uso con i server Skype for Business ed Exchange locali. Eseguire questa operazione prima di iniziare uno dei passaggi descritti in questo articolo. Requisiti relativi alle cassette postali collegate da inserire.
Aggiungere GLI URL del servizio Web locale come nomi di entità servizio (SPN) in Microsoft Entra ID. Nel caso in cui Exchange locale sia ibrido con più tenant, questi URL del servizio Web locale devono essere aggiunti come NOMI SPN nella Microsoft Entra ID di tutti i tenant, che sono ibridi con Exchange locale.
Verificare che tutte le directory virtuali siano abilitate per HMA
Verificare la presenza dell'oggetto EvoSTS Auth Server
Assicurarsi che il certificato OAuth Exchange Server sia valido
Assicurarsi che tutte le identità utente siano sincronizzate con Microsoft Entra ID
Abilitare HMA in Exchange locale.
Nota
La versione di Office supporta MA? Vedere Funzionamento dell'autenticazione moderna per le app client di Office 2013 e Office 2016.
Avviso
La pubblicazione di Outlook Web App ed Exchange Pannello di controllo tramite Microsoft Entra proxy di applicazione non è supportata.
Aggiungere URL del servizio Web locale come NOMI SPN in Microsoft Entra ID
Eseguire i comandi che assegnano gli URL del servizio Web locale come nomi SPN Microsoft Entra. I nomi SPN vengono usati dai computer client e dai dispositivi durante l'autenticazione e l'autorizzazione. Tutti gli URL che possono essere usati per connettersi da locale a Microsoft Entra ID devono essere registrati in Microsoft Entra ID (inclusi gli spazi dei nomi interni ed esterni).
Eseguire prima di tutto i comandi seguenti nel Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
Verificare che gli URL a cui i client possono connettersi siano elencati come nomi di entità servizio HTTPS in Microsoft Entra ID. Nel caso in cui Exchange locale sia ibrido con più tenant, questi NOMI SPN HTTPS devono essere aggiunti nel Microsoft Entra ID di tutti i tenant in ambiente ibrido con Exchange locale.
Installare il modulo PowerShell di Microsoft Graph:
Install-Module Microsoft.Graph -Scope AllUsers
Connettersi quindi a Microsoft Entra ID con queste istruzioni. Per concedere il consenso alle autorizzazioni necessarie, eseguire il comando seguente:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Per gli URL correlati a Exchange, digitare il comando seguente:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Prendere nota dell'output di questo comando, che deve includere un
https://*autodiscover.yourdomain.com*
URL ehttps://*mail.yourdomain.com*
e e per lo più costituito da nomi SPN che iniziano con00000002-0000-0ff1-ce00-000000000000/
. Se sonohttps://
presenti URL dell'ambiente locale mancanti, questi record specifici devono essere aggiunti a questo elenco.Se non vengono visualizzati i record interni ed esterni
MAPI/HTTP
, ,EWS
ActiveSync
,OAB
eAutodiscover
in questo elenco, è necessario aggiungerli. Usare il comando seguente per aggiungere tutti gli URL mancanti:Importante
Nell'esempio gli URL che verranno aggiunti sono
mail.corp.contoso.com
eowa.contoso.com
. Assicurarsi che siano sostituiti dagli URL configurati nell'ambiente.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Verificare che i nuovi record siano stati aggiunti eseguendo di nuovo il
Get-MsolServicePrincipal
comando dal passaggio 2 e esaminando l'output. Confrontare l'elenco o lo screenshot di prima con il nuovo elenco di nomi SPN. È anche possibile acquisire uno screenshot del nuovo elenco per i record. In caso di esito positivo, verranno visualizzati i due nuovi URL nell'elenco. In base all'esempio, l'elenco di nomi SPN include ora gli URLhttps://mail.corp.contoso.com
specifici ehttps://owa.contoso.com
.
Verificare che le directory virtuali siano configurate correttamente
Verificare ora che OAuth sia abilitato correttamente in Exchange in tutte le directory virtuali che Outlook potrebbe usare eseguendo i comandi seguenti:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Controllare l'output per assicurarsi che OAuth sia abilitato in ognuno di questi VDir, l'aspetto è simile al seguente (e l'aspetto chiave da esaminare è "OAuth"):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Se OAuth non è presente in un server e in una qualsiasi delle quattro directory virtuali, è necessario aggiungerlo usando i comandi pertinenti prima di procedere (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory e Set-AutodiscoverVirtualDirectory).
Verificare che l'oggetto server di autenticazione EvoSTS sia presente
Tornare a Exchange Management Shell locale per questo ultimo comando. A questo punto è possibile verificare che l'ambiente locale disponga di una voce per il provider di autenticazione evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
L'output deve mostrare un AuthServer del nome EvoSts con un GUID e lo stato 'Enabled' deve essere True. In caso contrario, scaricare ed eseguire la versione più recente della Configurazione guidata ibrida.
Nota
Se Exchange locale è ibrido con più tenant, l'output deve mostrare un AuthServer del nome EvoSts - {GUID}
per ogni tenant ibrido con Exchange locale e lo stato Abilitato deve essere True per tutti questi oggetti AuthServer.
Importante
Se si esegue Exchange 2010 nell'ambiente, il provider di autenticazione EvoSTS non verrà creato.
Abilitare HMA
Eseguire il comando seguente in Exchange Management Shell, in locale, sostituendo <GUID> nella riga di comando con il GUID dell'output dell'ultimo comando eseguito:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Nota
Nelle versioni precedenti della Configurazione guidata ibrida, EvoSts AuthServer era semplicemente denominato EvoSTS senza un GUID collegato. Non è necessario eseguire alcuna azione, è sufficiente modificare la riga di comando precedente per riflettere questo problema rimuovendo la parte GUID del comando:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Se la versione locale di Exchange è Exchange 2016 (CU18 o versione successiva) o Exchange 2019 (CU7 o versione successiva) e la versione ibrida è stata configurata con HCW scaricato dopo settembre 2020, eseguire il comando seguente in Exchange Management Shell, in locale:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Nota
Nel caso in cui Exchange locale sia ibrido con più tenant, in Exchange sono presenti più oggetti AuthServer con domini corrispondenti a ogni tenant. Il flag IsDefaultAuthorizationEndpoint deve essere impostato su true (usando il cmdlet IsDefaultAuthorizationEndpoint ) per uno qualsiasi di questi oggetti AuthServer. Questo flag non può essere impostato su true per tutti gli oggetti Authserver e HMA viene abilitato anche se uno di questi flag IsDefaultAuthorizationEndpoint dell'oggetto AuthServer è impostato su true.
Nota
Per il parametro DomainName usare il valore del dominio tenant, in genere nel formato contoso.onmicrosoft.com
.
Verificare
Dopo aver abilitato HMA, l'accesso successivo di un client userà il nuovo flusso di autenticazione. L'attivazione di HMA non attiverà una riautenticazione per nessun client e potrebbe essere necessario un po' di tempo prima che Exchange selezioni le nuove impostazioni.
Tenere premuto il tasto CTRL nello stesso momento in cui si fa clic con il pulsante destro del mouse sull'icona per il client Outlook (anche nella barra delle notifiche di Windows) e selezionare Stato connessione. Cercare l'indirizzo SMTP del client in base a un tipo AuthN di Bearer\*
, che rappresenta il token di connessione usato in OAuth.
Nota
È necessario configurare Skype for Business con HMA? Sono necessari due articoli: uno che elenca le topologie supportate e uno che illustra come eseguire la configurazione.
Abilitare l'autenticazione moderna ibrida per OWA ed ECP
L'autenticazione moderna ibrida può ora essere abilitata anche per OWA
e ECP
. Assicurarsi che i prerequisiti siano soddisfatti prima di continuare.
Dopo aver abilitato l'autenticazione moderna ibrida per OWA
e ECP
, ogni utente finale e amministratore che tenta di accedere OWA
a o ECP
verrà reindirizzato prima alla pagina di autenticazione Microsoft Entra ID. Una volta completata l'autenticazione, l'utente verrà reindirizzato a OWA
o ECP
.
Prerequisiti per abilitare l'autenticazione moderna ibrida per OWA ed ECP
Per abilitare l'autenticazione moderna ibrida per OWA
e ECP
, tutte le identità utente devono essere sincronizzate con Microsoft Entra ID.
Oltre a questo, è importante che la configurazione di OAuth tra Exchange Server locale e Exchange Online sia stata stabilita prima di poter eseguire ulteriori passaggi di configurazione.
I clienti che hanno già eseguito la Configurazione guidata ibrida (HCW) per configurare l'ambiente ibrido avranno già una configurazione OAuth. Se OAuth non è stato configurato in precedenza, è possibile eseguire HCW o seguendo i passaggi descritti nella documentazione Configurare l'autenticazione OAuth tra Exchange e Exchange Online organizzazioni.
È consigliabile documentare le OwaVirtualDirectory
impostazioni e EcpVirtualDirectory
prima di apportare modifiche. Questa documentazione consente di ripristinare le impostazioni originali se si verificano problemi dopo la configurazione della funzionalità.
Importante
Tutti i server devono avere installato almeno l'aggiornamento CU14 Exchange Server 2019. Devono anche eseguire l'interfaccia utente Exchange Server 2019 CU14 aprile 2024 o un aggiornamento successivo.
Passaggi per abilitare l'autenticazione moderna ibrida per OWA ed ECP
Eseguire query sugli
OWA
URL eECP
configurati nel Exchange Server locale. Questo è importante perché devono essere aggiunti come URL di risposta a Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Installare il modulo PowerShell di Microsoft Graph se non è ancora stato installato:
Install-Module Microsoft.Graph -Scope AllUsers
Connettersi a Microsoft Entra ID con queste istruzioni. Per concedere il consenso alle autorizzazioni necessarie, eseguire il comando seguente:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Specificare gli
OWA
URL eECP
:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
Aggiornare l'applicazione con gli URL di risposta:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Verificare che gli URL di risposta siano stati aggiunti correttamente:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Per abilitare Exchange Server capacità locale di eseguire l'autenticazione moderna ibrida, seguire i passaggi descritti nella sezione Abilita HMA.
(Facoltativo) Obbligatorio solo se vengono usati i domini di download :
Create una nuova sostituzione dell'impostazione globale eseguendo i comandi seguenti da Exchange Management Shell (EMS) con privilegi elevati. Eseguire questi comandi in un Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Facoltativo) Obbligatorio solo negli scenari di topologia della foresta di risorse di Exchange :
Aggiungere le chiavi seguenti al
<appSettings>
nodo del<ExchangeInstallPath>\ClientAccess\Owa\web.config
file. Eseguire questa operazione in ogni Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Create una nuova sostituzione dell'impostazione globale eseguendo i comandi seguenti da Exchange Management Shell (EMS) con privilegi elevati. Eseguire questi comandi in un Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Per abilitare l'autenticazione moderna ibrida per
OWA
eECP
, è innanzitutto necessario disabilitare qualsiasi altro metodo di autenticazione in queste directory virtuali. Eseguire questi comandi per ogniOWA
directory virtuale eECP
in ogni Exchange Server:Importante
È importante eseguire questi comandi nell'ordine specificato. In caso contrario, verrà visualizzato un messaggio di errore durante l'esecuzione dei comandi. Dopo aver eseguito questi comandi, accedere a
OWA
eECP
interromperà il lavoro fino a quando non viene attivata l'autenticazione OAuth per tali directory virtuali.Assicurarsi inoltre che tutti gli account siano sincronizzati, in particolare gli account usati per l'amministrazione da Microsoft Entra ID. In caso contrario, l'account di accesso smette di funzionare fino a quando non viene sincronizzato. Si noti che gli account, ad esempio l'amministratore predefinito, non verranno sincronizzati con Microsoft Entra ID e, pertanto, non potranno essere usati per l'amministrazione dopo l'abilitazione di HMA per OWA ed ECP. Ciò è dovuto all'attributo
isCriticalSystemObject
, impostato suTRUE
per alcuni account.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Abilitare OAuth per la
OWA
directory virtuale eECP
. Eseguire questi comandi per ogniOWA
directory virtuale eECP
in ogni Exchange Server:Importante
È importante eseguire questi comandi nell'ordine specificato. In caso contrario, verrà visualizzato un messaggio di errore durante l'esecuzione dei comandi.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Uso dell'autenticazione moderna ibrida con Outlook per iOS e Android
Se si è un cliente locale che usa Exchange Server su TCP 443, consentire il traffico di rete dagli intervalli IP seguenti:
52.125.128.0/20
52.127.96.0/23
Questi intervalli di indirizzi IP sono documentati anche in Endpoint aggiuntivi non inclusi nel servizio Web url e indirizzo IP Office 365.
Articoli correlati
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per