Come configurare Exchange Server locale per utilizzare l'autenticazione moderna ibrida

Questo articolo può essere applicato sia a Microsoft 365 Enterprise che a Office 365 Enterprise.

L'autenticazione moderna ibrida (HMA) è un metodo di gestione delle identità che offre un'autenticazione e un'autorizzazione degli utenti più sicure ed è disponibile per le distribuzioni ibride Exchange server locali.

Definizioni

Prima di iniziare, è necessario avere familiarità con alcune definizioni:

  • HMA per > l'autenticazione moderna ibrida

  • Exchange > exCH locale

  • >Exchange Online EXO

Inoltre, se un elemento grafico in questo articolo ha un oggetto "grigio" o "in grigio", significa che l'elemento visualizzato in grigio non è incluso nella configurazione specifica di HMA.

Abilitazione dell'autenticazione moderna ibrida

L'attivazione di HMA significa:

  1. Assicurarsi di soddisfare i prereq prima di iniziare.

  2. Poiché molti prerequisiti sono comuni sia per Skype for Business che per Exchange, panoramica dell'autenticazione moderna ibrida e prerequisiti per l'utilizzo con server Skype for Business e Exchange locali. Eseguire questa operazione prima di iniziare una delle operazioni descritte in questo articolo. Requisiti relativi alle cassette postali collegate da inserire.

  3. Aggiunta di URL del servizio Web locale come nomi dell'entità servizio (SPN) in Azure AD. Se EXCH è ibrido con più tenant, questi URL del servizio Web locale devono essere aggiunti come SPN nel Azure AD di tutti i tenant che sono ibridi con EXCH.

  4. Verificare che tutte le directory virtuali siano abilitate per HMA

  5. Verifica dell'oggetto EvoSTS Auth Server

  6. Abilitazione di HMA in EXCH.

Assicurarsi di soddisfare tutti i prerequisiti

Poiché molti prerequisiti sono comuni sia per Skype for Business che per Exchange, vedere Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. Eseguire questa operazione prima di iniziare una delle operazioni descritte in questo articolo.

Nota

Outlook Web App e Exchange pannello di controllo non funziona con l'autenticazione moderna ibrida.

Aggiungere URL del servizio Web locale come SPN in Azure AD

Eseguire i comandi che assegnano gli URL del servizio Web locale come Azure AD SPN. Gli SPN vengono utilizzati dai computer client e dai dispositivi durante l'autenticazione e l'autorizzazione. Tutti gli URL che possono essere usati per connettersi da locale a Azure Active Directory (Azure AD) devono essere registrati in Azure AD (inclusi gli spazi dei nomi interni ed esterni).

Prima di tutto, raccogliere tutti gli URL che è necessario aggiungere in AAD. Eseguire questi comandi in locale:

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*

Verificare che gli URL a cui i client possano connettersi siano elencati come nomi dell'entità servizio HTTPS in AAD. Se EXCH è ibrido con più tenant, questi SPN HTTPS devono essere aggiunti nel AAD di tutti i tenant ibridi con EXCH.

  1. Prima di tutto, connettersi AAD con queste istruzioni.

    Nota

    Devi usare l'opzione Connessione-MsolService in questa pagina per poter usare il comando seguente.

  2. Per gli EXCHANGE relativi ai dati, digitare il comando seguente:

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
    

    Prendere nota (e screenshot per un confronto successivo) dell'output di questo comando, che deve includere un URL https:// autodiscover.yourdomain.com e https:// mail.yourdomain.com, ma costituito principalmente da SPN che iniziano con 000000002-0000-0ff1-ce00-0000000000000/. Se mancano https:// URL locali, sarà necessario aggiungere tali record specifici all'elenco.

  3. Se i record MAPI/HTTP, EWS, ActiveSync, OAB e Autodiscover interni ed esterni non sono visualizzati in questo elenco, è necessario aggiungerli utilizzando il comando seguente (gli URL di esempio sono ' mail.corp.contoso.com ' e ' ', ma è necessario sostituire gli URL di esempio con i propri owa.contoso.com ):

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
    $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. Verificare che i nuovi record siano stati aggiunti eseguendo di nuovo il comando Get-MsolServicePrincipal dal passaggio 2 e esaminando l'output. Confronta l'elenco/screenshot di prima con il nuovo elenco di SPN. È inoltre possibile acquisire uno screenshot del nuovo elenco per i record. Se l'operazione ha avuto esito positivo, nell'elenco verranno visualizzati i due nuovi URL. In base all'esempio, l'elenco degli SPN includerà ora gli URL specifici https://mail.corp.contoso.com e https://owa.contoso.com .

Verificare che le directory virtuali siano configurate correttamente

Verificare ora che OAuth sia abilitato correttamente Exchange in tutte le directory virtuali Outlook possibile utilizzare eseguendo i comandi seguenti:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Controlla l'output per assicurarti che OAuth sia abilitato in ognuno di questi VDir, avrà un aspetto simile al seguente (e la cosa chiave da vedere è "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Se OAuth non è presente in alcun server e in una delle quattro directory virtuali, è necessario aggiungerla utilizzando i comandi pertinenti prima di procedere (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectorye Set-AutodiscoverVirtualDirectory).

Verificare che l'oggetto server di autenticazione EvoSTS sia presente

Tornare alla shell di Exchange locale per l'ultimo comando. A questo punto è possibile verificare che l'utente locale abbia una voce per il provider di autenticazione evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

L'output dovrebbe mostrare un AuthServer di Name EvoSts con un GUID e lo stato "Enabled" deve essere True. In caso contrario, è consigliabile scaricare ed eseguire la versione più recente della procedura guidata di configurazione ibrida.

Nota

Se EXCH è ibrido con più tenant, l'output dovrebbe mostrare un AuthServer del nome EvoSts - {GUID} per ogni tenant ibrido con EXCH e lo stato "Enabled" deve essere True per tutti questi oggetti AuthServer.

Importante

Se si esegue Exchange 2010 nell'ambiente, il provider di autenticazione EvoSTS non verrà creato.

Abilita HMA

Eseguire il comando seguente in Exchange Management Shell locale, sostituendo nella riga di comando <GUID> con la stringa nell'ambiente:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Nota

Nelle versioni precedenti della procedura guidata di configurazione ibrida l'EvoSts AuthServer era semplicemente denominato EvoSTS senza un GUID associato. Non è necessario eseguire alcuna azione, è sufficiente modificare la riga di comando precedente in modo da riflettere questo problema rimuovendo la parte GUID del comando:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Se la versione EXCH è Exchange 2016 (CU18 o versione successiva) o Exchange 2019 (CU7 o versione successiva) e l'ambiente ibrido è stato configurato con HCW scaricato dopo settembre 2020, eseguire il comando seguente in Exchange Management Shell, locale:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Nota

Se EXCH è ibrido con più tenant, in EXCH sono presenti più oggetti AuthServer con domini corrispondenti a ogni tenant. Il flag IsDefaultAuthorizationEndpoint deve essere impostato su true (utilizzando il cmdlet IsDefaultAuthorizationEndpoint) per uno di questi oggetti AuthServer. Questo flag non può essere impostato su true per tutti gli oggetti Authserver e HMA viene abilitato anche se il flag IsDefaultAuthorizationEndpoint di uno di questi oggetti AuthServer è impostato su true.

Verificare

Dopo aver abilitato HMA, l'accesso successivo di un client userà il nuovo flusso di autenticazione. Tieni presente che l'attivazione di HMA non attiverà una riautenticazione per alcun client e potrebbe essere necessario un po' Exchange per selezionare le nuove impostazioni.

È inoltre necessario tenere premuto IL tasto CTRL contemporaneamente a fare clic con il pulsante destro del mouse sull'icona del client Outlook (anche nella barra delle notifiche di Windows) e fare clic su "Stato connessione". Cercare l'indirizzo SMTP del client rispetto a un tipo "Authn" di "Bearer", che rappresenta il token del portatore * utilizzato in OAuth.

Nota

È necessario configurare Skype for Business con HMA? Sono necessari due articoli: uno in cui sono elencate le topologiesupportate e uno che illustra come eseguire la configurazione.

Utilizzo dell'autenticazione moderna ibrida con Outlook per iOS e Android

Se si è un cliente locale che utilizza Exchange server su TCP 443, consentire il traffico di rete dai seguenti intervalli IP:

52.125.128.0/20
52.127.96.0/23

Questi intervalli di indirizzi IP sono inoltre documentati in Endpoint aggiuntivi non inclusi nel servizio Web Office 365 indirizzo IP e URL.

Requisiti di configurazione dell'autenticazione moderna per la transizione da Office 365/ITAR dedicato a vNext