Slik konfigurerer du Exchange Server lokalt til å bruke hybrid moderne godkjenning

  • Artikkel
  • 3 minutter å lese

Denne artikkelen gjelder for både Microsoft 365 Enterprise og Office 365 Enterprise.

Hybrid moderne godkjenning (HMA) er en metode for identitetsbehandling som tilbyr sikrere brukergodkjenning og autorisasjon, og er tilgjengelig for lokale hybriddistribusjoner for Exchange server.

Definisjoner

Før vi begynner, bør du være kjent med noen definisjoner:

  • Hybrid moderne godkjenning > HMA

  • Exchange lokalt > EKSCH

  • > Exchange Online EXO

Hvis grafikk i denne artikkelen inneholder et objekt som er nedtonet eller nedtonet, betyr det også at elementet som vises i grått, ikke er inkludert i HMA-spesifikk konfigurasjon.

Aktivering av hybrid moderne godkjenning

Aktivering av HMA betyr:

  1. Vær sikker på at du møter prereqs før du begynner.

  2. Siden mange forutsetninger er vanlige for både Skype for Business og Exchange, oversikt over hybrid moderne godkjenning og forutsetninger for å bruke den med lokale Skype for Business- og Exchange-servere. Gjør dette før du begynner noen av trinnene i denne artikkelen. Krav om koblede postbokser som skal settes inn.

  3. Legger til lokale nettadresser for nettjenesten som tjenestekontohavernavn (SPN-er) i Azure AD. I tilfelle EXCH er i hybrid med flere leiere, må disse lokale nettadressene for nettjenesten legges til som SPN-er i Azure AD for alle tenantene som er hybrid med EXCH.

  4. Sikre at alle virtuelle kataloger er aktivert for HMA

  5. Ser etter EvoSTS Auth Server-objektet

  6. Aktivering av HMA i EXCH.

Obs!

Støtter din versjon av Office MA? Se hvordan moderne godkjenning fungerer for Office 2013 og Office 2016-klientapper.

Sørg for at du oppfyller alle forutsetningene

Siden mange forutsetninger er vanlige for både Skype for Business og Exchange, kan du se gjennom oversikt over hybrid moderne godkjenning og forutsetninger for å bruke den med lokale Skype for Business- og Exchange-servere. Gjør dette før du begynner noen av trinnene i denne artikkelen.

Obs!

Outlook Web App og Exchange Kontrollpanel fungerer ikke med hybrid moderne godkjenning.

Legg til lokale nettadresser for nettjenester som SPN-er i Azure AD

Kjør kommandoene som tilordner dine lokale nettadresser for nettjenester som Azure AD SPN-er. SPN-er brukes av klientmaskiner og enheter under godkjenning og autorisasjon. Alle nettadressene som kan brukes til å koble fra lokale til Azure Active Directory (Azure AD) må være registrert i Azure AD (dette omfatter både interne og eksterne navneområder).

Først samler du inn alle url-adressene du må legge til i AAD. Kjør disse kommandoene lokalt:

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*

Kontroller at URL-adressene klientene kan koble til, er oppført som HTTPS-tjenestehovednavn i AAD. I tilfelle EXCH er i hybrid med flere leiere, bør disse HTTPS SPN-ene legges til i AAD av alle leierne i hybrid med EXCH.

  1. Først kobler du til AAD med disse instruksjonene.

    Obs!

    Du må bruke alternativet Koble til-MsolService fra denne siden for å kunne bruke kommandoen nedenfor.

  2. Skriv inn følgende kommando for Exchange-relaterte URL-adresser:

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames

    Noter (og skjermbilde for senere sammenligning) utdataene for denne kommandoen, som skal inneholde en https://*autodiscover.yourdomain.com* url-adresse https://*mail.yourdomain.com* , men som for det meste består av SPN-er som begynner med 00000002-0000-0ff1-ce00-000000000000/. Hvis det finnes https:// URL-adresser fra de lokale adressene som mangler, bør disse bestemte postene legges til i denne listen.

  3. Hvis du ikke ser de interne og eksterne MAPI/HTTP-, EWS-, ActiveSync-, OAB- og Autosøk-postene i denne listen, må du legge dem til ved hjelp av kommandoen nedenfor (nettadressene for eksemplet er mail.corp.contoso.com og owa.contoso.com, men du vil erstatte nettadressene for eksemplet med dine egne):

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
$x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
$x.ServicePrincipalnames.Add("https://owa.contoso.com/")
Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames

  4. Kontroller at de nye postene ble lagt til ved å kjøre Get-MsolServicePrincipal kommandoen fra trinn 2 på nytt, og se gjennom utdataene. Sammenlign listen /skjermbildet fra før med den nye listen over SPN-er. Du kan også ta et skjermbilde av den nye listen for postene dine. Hvis du var vellykket, ser du de to nye URL-adressene i listen. I vårt eksempel vil listen over SPN-er nå inkludere de bestemte nettadressene https://mail.corp.contoso.com og https://owa.contoso.com.

Kontroller at virtuelle mapper er riktig konfigurert

Kontroller nå at OAuth er riktig aktivert i Exchange på alle virtuelle kataloger Outlook kan bruke ved å kjøre følgende kommandoer:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Kontroller utdataene for å sikre at OAuth er aktivert på hver av disse VDirs, det vil se omtrent slik ut (og det viktigste å se på er 'OAuth'):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Hvis OAuth mangler på en server og noen av de fire virtuelle katalogene, må du legge den til ved hjelp av de relevante kommandoene før du fortsetter (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory og Set-AutodiscoverVirtualDirectory).

Bekreft at EvoSTS Auth Server-objektet finnes

Gå tilbake til den lokale Exchange Management Shell for denne siste kommandoen. Nå kan du validere at den lokale har en oppføring for evoSTS-godkjenningsleverandøren:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Utdataene skal vise en godkjenningsserver for navnet EvoSts med en GUID, og «Aktivert»-tilstanden skal være sann. Hvis du ikke ser dette, bør du laste ned og kjøre den nyeste versjonen av veiviseren for hybridkonfigurasjon.

Obs!

I tilfelle EXCH er i hybrid med flere leiere, skal utdataene vise én AuthServer for navnet EvoSts - {GUID} for hver leier i hybrid med EXCH, og den aktiverte tilstanden bør være sann for alle disse AuthServer-objektene.

Viktig

Hvis du kjører Exchange 2010 i miljøet, opprettes ikke EvoSTS-godkjenningsleverandøren.

Aktiver HMA

Kjør følgende kommando i Exchange Management Shell lokalt, og erstatt <GUID> i kommandolinjen med strengen i miljøet:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Obs!

I eldre versjoner av veiviseren for hybridkonfigurasjon ble EvoSts AuthServer ganske enkelt kalt EvoSTS uten en GUID vedlagt. Det er ingen handling du må utføre, bare endre kommandolinjen ovenfor for å gjenspeile dette ved å fjerne GUID-delen av kommandoen:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Hvis EXCH-versjonen er Exchange 2016 (CU18 eller nyere) eller Exchange 2019 (CU7 eller høyere) og hybrid ble konfigurert med HCW lastet ned etter september 2020, kjører du følgende kommando i Exchange Management Shell lokalt:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Obs!

I tilfelle EXCH er i hybrid med flere leiere, finnes det flere AuthServer-objekter i EXCH med domener som tilsvarer hver leier. IsDefaultAuthorizationEndpoint-flagget må settes til sann (ved hjelp av Cmdleten IsDefaultAuthorizationEndpoint) for ett av disse AuthServer-objektene. Dette flagget kan ikke settes til sann for alle Authserver-objektene, og HMA aktiveres selv om et av isDefaultAuthorizationEndpoint-flagget for AuthServer-objektet er satt til sann.

For DomainName-parameteren bruker du leierdomeneverdien, som vanligvis er i skjemaet contoso.onmicrosoft.com.

Kontroller

Når du aktiverer HMA, bruker klientens neste pålogging den nye godkjenningsflyten. Vær oppmerksom på at bare å slå på HMA ikke utløser en regodkjenning for noen klient, og det kan ta litt tid før Exchange plukker opp de nye innstillingene.

Du bør også holde nede CTRL-tasten samtidig som du høyreklikker ikonet for Outlook-klienten (også i Windows varslingsstatusfeltet) og klikker Tilkoblingsstatus. Se etter klientens SMTP-adresse mot en Authn-type Bearer\*, som representerer bærertokenet som brukes i OAuth.

Obs!

Trenger du å konfigurere Skype for Business med HMA? Du trenger to artikler: Én som viser støttede topologier, og én som viser deg hvordan du utfører konfigurasjonen.

Bruke hybrid moderne godkjenning med Outlook for iOS og Android

Hvis du er en lokal kunde som bruker Exchange server på TCP 443, kan du tillate nettverkstrafikk fra følgende IP-områder:

52.125.128.0/20
52.127.96.0/23

Disse IP-adresseområder er også dokumentert i flere endepunkter som ikke er inkludert i Office 365 IP-adresse og nettadressewebtjeneste.

Moderne godkjenningskonfigurasjonskrav for overgang fra Office 365 dedikert/ITAR til vNext