Come configurare Exchange Server locale per utilizzare l'autenticazione moderna ibrida

Questo articolo può essere applicato sia a Microsoft 365 Enterprise che a Office 365 Enterprise.

L'autenticazione moderna ibrida (HMA, Hybrid Modern Authentication) è un metodo di gestione delle identità che offre un'autenticazione e un'autorizzazione utente più sicure ed è disponibile per le distribuzioni ibride Exchange server locali.

Definizioni

Prima di iniziare, è necessario avere familiarità con alcune definizioni:

  • HMA per > l'autenticazione moderna ibrida

  • Exchange locale > EXCH

  • Exchange Online > EXO

Inoltre, se un elemento grafico in questo articolo ha un oggetto "grigio" o "in grigio", significa che l'elemento visualizzato in grigio non è incluso nella configurazione specifica di HMA.

Abilitazione dell'autenticazione moderna ibrida

L'attivazione di HMA significa:

  1. Assicurarsi di soddisfare i prereq prima di iniziare.

  2. Poiché molti prerequisiti sono comuni sia per Skype for Business che per Exchange, panoramica dell'autenticazione moderna ibrida e prerequisiti per l'utilizzo con server Skype for Business e Exchange locali. Eseguire questa operazione prima di iniziare una delle operazioni descritte in questo articolo. Requisiti relativi alle cassette postali collegate da inserire.

  3. Aggiunta di URL del servizio Web locale come nomi dell'entità servizio (SPN) in Azure AD. Se EXCH è ibrido con più tenant, questi URL del servizio Web locale devono essere aggiunti come SPN nel Azure AD di tutti i tenant che sono ibridi con EXCH.

  4. Verificare che tutte le directory virtuali siano abilitate per HMA

  5. Verifica dell'oggetto EvoSTS Auth Server

  6. Abilitazione di HMA in EXCH.

Nota

La versione di Office supporta Ma? Vedi Funzionamento dell'autenticazione moderna Office 2013 e Office 2016.

Assicurarsi di soddisfare tutti i prerequisiti

Poiché molti prerequisiti sono comuni sia per Skype for Business che per Exchange, vedere Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. Eseguire questa operazione prima di iniziare una delle operazioni descritte in questo articolo.

Nota

Outlook Web App e Exchange pannello di controllo non funziona con l'autenticazione moderna ibrida.

Aggiungere URL del servizio Web locale come SPN in Azure AD

Eseguire i comandi che assegnano gli URL del servizio Web locale come Azure AD SPN. Gli SPN vengono utilizzati dai computer client e dai dispositivi durante l'autenticazione e l'autorizzazione. Tutti gli URL che possono essere usati per connettersi da locale a Azure Active Directory (Azure AD) devono essere registrati in Azure AD (inclusi gli spazi dei nomi interni ed esterni).

Innanzitutto, raccogliere tutti gli URL che è necessario aggiungere in AAD. Eseguire questi comandi in locale:

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*

Verificare che gli URL a cui i client possano connettersi siano elencati come nomi dell'entità servizio HTTPS in AAD. Nel caso exCH sia ibrido con più tenant, questi SPN HTTPS devono essere aggiunti nel AAD di tutti i tenant ibridi con EXCH.

  1. Prima di tutto, connettersi AAD con queste istruzioni.

    Nota

    Devi usare l'opzione Connessione-MsolService di questa pagina per poter usare il comando seguente.

  2. Per gli EXCHANGE relativi ai dati, digitare il comando seguente:

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
    

    Prendere nota (e screenshot per un confronto successivo) dell'output di questo comando, che deve includere un e URL, ma costituito principalmente da https://*autodiscover.yourdomain.com* https://*mail.yourdomain.com* SPN che iniziano con 00000002-0000-0ff1-ce00-000000000000/ . Se mancano URL locali, questi record specifici devono https:// essere aggiunti a questo elenco.

  3. Se i record MAPI/HTTP, EWS, ActiveSync, OAB e Autodiscover interni ed esterni non sono visualizzati in questo elenco, è necessario aggiungerli utilizzando il comando seguente (gli URL di esempio sono e , ma è necessario sostituire gli URL di esempio con i propri mail.corp.contoso.com owa.contoso.com ):

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
    $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. Verificare che i nuovi record siano stati aggiunti eseguendo di nuovo il comando dal passaggio Get-MsolServicePrincipal 2 e esaminando l'output. Confronta l'elenco/screenshot di prima con il nuovo elenco di SPN. È inoltre possibile acquisire uno screenshot del nuovo elenco per i record. Se l'operazione ha avuto esito positivo, nell'elenco verranno visualizzati i due nuovi URL. In base all'esempio, l'elenco degli SPN includerà ora gli URL specifici https://mail.corp.contoso.com e https://owa.contoso.com .

Verificare che le directory virtuali siano configurate correttamente

Verificare ora che OAuth sia abilitato correttamente Exchange in tutte le directory virtuali Outlook possibile utilizzare eseguendo i comandi seguenti:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Controlla l'output per assicurarti che OAuth sia abilitato in ognuno di questi VDir, avrà un aspetto simile al seguente (e la cosa chiave da vedere è "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Se OAuth non è presente in alcun server e in una delle quattro directory virtuali, è necessario aggiungerla utilizzando i comandi pertinenti prima di procedere (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectorye Set-AutodiscoverVirtualDirectory).

Verificare che l'oggetto server di autenticazione EvoSTS sia presente

Tornare alla shell di Exchange locale per l'ultimo comando. A questo punto è possibile verificare che l'utente locale abbia una voce per il provider di autenticazione evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

L'output dovrebbe mostrare un AuthServer di Name EvoSts con un GUID e lo stato "Enabled" deve essere True. In caso contrario, è consigliabile scaricare ed eseguire la versione più recente della procedura guidata di configurazione ibrida.

Nota

Nel caso in cui EXCH sia ibrido con più tenant, l'output dovrebbe mostrare un AuthServer del nome per ogni tenant ibrido con EXCH e lo stato Enabled deve essere True per tutti questi oggetti EvoSts - {GUID} AuthServer.

Importante

Se si esegue Exchange 2010 nell'ambiente, il provider di autenticazione EvoSTS non verrà creato.

Abilita HMA

Eseguire il comando seguente in Exchange Management Shell locale, sostituendo nella riga di comando <GUID> con la stringa nell'ambiente:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Nota

Nelle versioni precedenti della procedura guidata di configurazione ibrida l'EvoSts AuthServer era semplicemente denominato EvoSTS senza un GUID associato. Non è necessario eseguire alcuna azione, è sufficiente modificare la riga di comando precedente in modo da riflettere questo problema rimuovendo la parte GUID del comando:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Se la versione EXCH è Exchange 2016 (CU18 o versione successiva) o Exchange 2019 (CU7 o versione successiva) ed è stata configurata con HCW scaricato dopo settembre 2020, eseguire il comando seguente in Exchange Management Shell, locale:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Nota

Se EXCH è ibrido con più tenant, in EXCH sono presenti più oggetti AuthServer con domini corrispondenti a ogni tenant. Il flag IsDefaultAuthorizationEndpoint deve essere impostato su true (utilizzando il cmdlet IsDefaultAuthorizationEndpoint) per uno di questi oggetti AuthServer. Questo flag non può essere impostato su true per tutti gli oggetti Authserver e HMA viene abilitato anche se il flag IsDefaultAuthorizationEndpoint di uno di questi oggetti AuthServer è impostato su true.

Per il parametro DomainName, utilizzare il valore del dominio tenant, in genere nel formato contoso.onmicrosoft.com .

Verificare

Dopo aver abilitato HMA, l'accesso successivo di un client userà il nuovo flusso di autenticazione. Tieni presente che solo l'attivazione di HMA non attiverà una riautenticazione per alcun client e potrebbe essere necessario un po' Exchange per selezionare le nuove impostazioni.

È inoltre necessario tenere premuto IL TASTO CTRL contemporaneamente a fare clic con il pulsante destro del mouse sull'icona del client Outlook (anche nella barra delle notifiche di Windows) e fare clic su "Stato connessione". Cercare l'indirizzo SMTP del client rispetto a un tipo Authn di , che rappresenta il token del portatore Bearer\* utilizzato in OAuth.

Nota

È necessario configurare Skype for Business con HMA? Sono necessari due articoli: uno in cui sono elencate le topologiesupportate e uno che illustra come eseguire la configurazione.

Utilizzo dell'autenticazione moderna ibrida con Outlook per iOS e Android

Se si è un cliente locale che utilizza Exchange server su TCP 443, consentire il traffico di rete dai seguenti intervalli IP:

52.125.128.0/20
52.127.96.0/23

Questi intervalli di indirizzi IP sono inoltre documentati in Endpoint aggiuntivi non inclusi nel servizio Web Office 365 indirizzo IP e URL.

Requisiti di configurazione dell'autenticazione moderna per la transizione da Office 365/ITAR dedicato a vNext