On-premises Exchange Server configureren voor het gebruik van hybride moderne verificatieHow to configure Exchange Server on-premises to use Hybrid Modern Authentication

Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.This article applies to both Microsoft 365 Enterprise and Office 365 Enterprise.

HMA (Hybrid Modern Authentication) is een methode voor identiteitsbeheer die veiligere gebruikersverificatie en autorisatie biedt en beschikbaar is voor on-premises Exchange-server.Hybrid Modern Authentication (HMA) is a method of identity management that offers more secure user authentication and authorization, and is available for Exchange server on-premises hybrid deployments.

TER INFORMATIEFYI

Voordat we beginnen, bel ik:Before we begin, I call:

  • Hybride moderne verificatie > HMAHybrid Modern Authentication > HMA

  • Exchange on-premises > EXCHExchange on-premises > EXCH

  • >Exchange Online EXOExchange Online > EXO

Als een afbeelding in dit artikel een object bevat dat 'grijs'of 'grijs' is, betekent dit dat het element dat in grijs wordt weergegeven, niet is opgenomen in HMA-specifieke configuratie.Also, if a graphic in this article has an object that's 'grayed-out' or 'dimmed' that means the element shown in gray is not included in HMA-specific configuration.

Hybride moderne verificatie inschakelenEnabling Hybrid Modern Authentication

HMA in- of uitschakelen betekent:Turning on HMA means:

  1. Zorg ervoor dat u aan de prereqs voldoet voordat u begint.Being sure you meet the prereqs before you begin.

  2. Aangezien veel vereisten gebruikelijk zijn voor zowel Skype voor Bedrijven als Exchange, zijn hybride moderne verificatieoverzicht en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijvenen Exchange servers.Since many prerequisites are common for both Skype for Business and Exchange, Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. Doe dit voordat u een van de stappen in dit artikel start.Do this before you begin any of the steps in this article.

  3. On-premises webservice-URL's toevoegen als SPN's (Service Principal Names) in Azure AD.Adding on-premises web service URLs as Service Principal Names (SPNs) in Azure AD. Als EXCH hybride is met meerdere tenants, moeten deze on-premises webservice-URL's worden toegevoegd als SPN's in de Azure AD van alle tenants die hybride zijn met EXCH.In case EXCH is in hybrid with multiple tenants, these on-premises web service URLs must be added as SPNs in the Azure AD of all the tenants which are in hybrid with EXCH.

  4. Ervoor zorgen dat alle virtuele directories zijn ingeschakeld voor HMAEnsuring all Virtual Directories are enabled for HMA

  5. Controleren op het object Auth Server van EvoSTSChecking for the EvoSTS Auth Server object

  6. HMA inschakelen in EXCH.Enabling HMA in EXCH.

Zorg ervoor dat u aan alle vereisten voldoetMake sure you meet all the prerequisites

Aangezien veel vereisten gebruikelijk zijn voor zowel Skype voor Bedrijven als Exchange, controleert u het overzicht van hybride moderne verificatie en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijvenen Exchange servers.Since many prerequisites are common for both Skype for Business and Exchange, review Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. Doe dit voordat u een van de stappen in dit artikel start.Do this before you begin any of the steps in this article.

Notitie

Outlook Web App en Exchange configuratiescherm werkt niet met hybride moderne verificatie.Outlook Web App and Exchange Control Panel does not work with hybrid Modern Authentication.

On-premises webservice-URL's toevoegen als SPN's in Azure ADAdd on-premises web service URLs as SPNs in Azure AD

Voer de opdrachten uit die uw on-premises webservice-URL's toewijzen als Azure AD SPN's.Run the commands that assign your on-premises web service URLs as Azure AD SPNs. SPN's worden gebruikt door clientapparaten en apparaten tijdens verificatie en autorisatie.SPNs are used by client machines and devices during authentication and authorization. Alle URL's die kunnen worden gebruikt om verbinding te maken van on-premises naar Azure Active Directory (Azure AD) moeten zijn geregistreerd in Azure AD (dit omvat zowel interne als externe naamruimten).All the URLs that might be used to connect from on-premises to Azure Active Directory (Azure AD) must be registered in Azure AD (this includes both internal and external namespaces).

Verzamel eerst alle URL's die u in AAD moet toevoegen.First, gather all the URLs that you need to add in AAD. Voer deze opdrachten on-premises uit:Run these commands on-premises:

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*

Zorg ervoor dat de URL's waar verbinding mee kan worden gemaakt, worden weergegeven als HTTPS-service principal names in AAD.Ensure the URLs clients may connect to are listed as HTTPS service principal names in AAD. Als EXCH hybride is met meerdere tenants, moeten deze HTTPS-SPN's worden toegevoegd in de AAD van alle tenants in hybride versie van EXCH.In case EXCH is in hybrid with multiple tenants, these HTTPS SPNs should be added in the AAD of all the tenants in hybrid with EXCH.

  1. Maak eerst verbinding met AAD met deze instructies.First, connect to AAD with these instructions.

    Notitie

    U moet de optie Verbinding maken-MsolService op deze pagina gebruiken om de onderstaande opdracht te kunnen gebruiken.You need to use the Connect-MsolService option from this page to be able to use the command below.

  2. Voor uw Exchange-gerelateerde URL's typt u de volgende opdracht:For your Exchange-related URLs, type the following command:

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
    

    Noteer (en schermafbeelding voor latere vergelijking) de uitvoer van deze opdracht, die een https:// autodiscover.yourdomain.com en https:// mail.yourdomain.com-URL moet bevatten, maar meestal bestaat uit SPN's die beginnen met 00000002-0000-0ff1-ce00-0000000000/.Take note of (and screenshot for later comparison) the output of this command, which should include an https:// autodiscover.yourdomain.com and https:// mail.yourdomain.com URL, but mostly consist of SPNs that begin with 00000002-0000-0ff1-ce00-000000000000/. Als er https:// url's van uw on-premises url's ontbreken, moeten we deze specifieke records toevoegen aan deze lijst.If there are https:// URLs from your on-premises that are missing, we will need to add those specific records to this list.

  3. Als u uw interne en externe MAPI/HTTP-, EWS-, ActiveSync-, OAB- en Autodiscover-records niet ziet in deze lijst, moet u deze toevoegen met de onderstaande opdracht (het voorbeeld-URL's zijn ' ' en ' ', maar u vervangt de voorbeeld-URL's door uw mail.corp.contoso.com owa.contoso.com eigen URL's):If you don't see your internal and external MAPI/HTTP, EWS, ActiveSync, OAB, and Autodiscover records in this list, you must add them using the command below (the example URLs are 'mail.corp.contoso.com' and 'owa.contoso.com', but you'd replace the example URLs with your own):

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
    $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. Controleer of de nieuwe records zijn toegevoegd door de opdracht Get-MsolServicePrincipal stap 2 opnieuw uit te voeren en door de uitvoer te kijken.Verify your new records were added by running the Get-MsolServicePrincipal command from step 2 again, and looking through the output. Vergelijk de lijst /schermafbeelding van vóór met de nieuwe lijst met SPN's.Compare the list / screenshot from before to the new list of SPNs. Mogelijk maakt u ook een schermafbeelding van de nieuwe lijst voor uw records.You might also take a screenshot of the new list for your records. Als u succes hebt gehad, ziet u de twee nieuwe URL's in de lijst.If you were successful, you will see the two new URLs in the list. Als u naar ons voorbeeld gaat, bevat de lijst met SPN's nu de specifieke URL's https://mail.corp.contoso.com en https://owa.contoso.com .Going by our example, the list of SPNs will now include the specific URLs https://mail.corp.contoso.com and https://owa.contoso.com.

Controleren of virtuele adresgegevens correct zijn geconfigureerdVerify Virtual Directories are Properly Configured

Controleer nu of OAuth correct is ingeschakeld in Exchange op alle virtuele Outlook door de volgende opdrachten uit te voeren:Now verify OAuth is properly enabled in Exchange on all of the Virtual Directories Outlook might use by running the following commands:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Controleer de uitvoer om te controleren of OAuth is ingeschakeld op elk van deze VDirs, het ziet er zo uit (en het belangrijkste wat u moet bekijken is 'OAuth'):Check the output to make sure OAuth is enabled on each of these VDirs, it will look something like this (and the key thing to look at is 'OAuth'):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Als OAuth ontbreekt op een server en een van de vier virtuele directories, moet u deze toevoegen met behulp van de relevante opdrachten voordat u verdergaat (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectoryen Set-AutodiscoverVirtualDirectory).If OAuth is missing from any server and any of the four virtual directories, you need to add it using the relevant commands before proceeding (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, and Set-AutodiscoverVirtualDirectory).

Bevestig dat het Object Auth Server van EvoSTS aanwezig isConfirm the EvoSTS Auth Server Object is Present

Ga terug naar de on-premises Exchange Management Shell voor deze laatste opdracht.Return to the on-premises Exchange Management Shell for this last command. U kunt nu valideren dat uw on-premises vermelding een vermelding heeft voor de provider van de verificatieprovider van evoSTS:Now you can validate that your on-premises has an entry for the evoSTS authentication provider:

Get-AuthServer | where {$_.Name -like "EvoSts"}

De uitvoer moet een AuthServer van de naam EvoSts laten zien en de status 'Ingeschakeld' moet Waar zijn.Your output should show an AuthServer of the Name EvoSts and the 'Enabled' state should be True. Als u dit niet ziet, moet u de meest recente versie van de wizard Hybride configuratie downloaden en uitvoeren.If you don't see this, you should download and run the most recent version of the Hybrid Configuration Wizard.

Notitie

Als EXCH hybride is met meerdere tenants, moet in de uitvoer één AuthServer van de naam EvoSts worden getoond : {GUID} voor elke tenant in hybride versie met EXCH en moet de status 'Ingeschakeld' Waar zijn voor al deze AuthServer-objecten.In case EXCH is in hybrid with multiple tenants, your output should show one AuthServer of the Name EvoSts - {GUID} for each tenant in hybrid with EXCH and the 'Enabled' state should be True for all of these AuthServer objects.

Belangrijk Als u een Exchange 2010 in uw omgeving gebruikt, wordt de Provider voor Verificatie van EvoSTS niet gemaakt.Important If you're running Exchange 2010 in your environment, the EvoSTS authentication provider won't be created.

HMA inschakelenEnable HMA

Voer de volgende opdracht uit in de Exchange Management Shell, on-premises:Run the following command in the Exchange Management Shell, on-premises:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Als de EXCH-versie Exchange 2016 (CU18 of hoger) of Exchange 2019 (CU7 of hoger) is en hybride is geconfigureerd met HCW die is gedownload na september 2020, voer dan de volgende opdracht uit in de Exchange Management Shell, on-premises:If the EXCH version is Exchange 2016 (CU18 or higher) or Exchange 2019 (CU7 or higher) and hybrid was configured with HCW downloaded after September 2020, run the following command in the Exchange Management Shell, on-premises:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Notitie

Als EXCH hybride is met meerdere tenants, zijn er meerdere AuthServer-objecten aanwezig in EXCH met domeinen die overeenkomen met elke tenant.In case EXCH is in hybrid with multiple tenants, there are multiple AuthServer objects present in EXCH with domains corresponding to each tenant. De vlag IsDefaultAuthorizationEndpoint moet zijn ingesteld op waar (met de cmdlet IsDefaultAuthorizationEndpoint) voor een van deze AuthServer-objecten.The IsDefaultAuthorizationEndpoint flag should be set to true (using the IsDefaultAuthorizationEndpoint cmdlet) for any one of these AuthServer objects. Deze vlag kan niet worden ingesteld op waar voor alle Authserver-objecten en HMA is zelfs ingeschakeld als een van de isDefaultAuthorizationEndpoint-vlag van een van deze AuthServer-objecten is ingesteld op waar.This flag can't be set to true for all the Authserver objects and HMA would be enabled even if one of these AuthServer object's IsDefaultAuthorizationEndpoint flag is set to true.

ControlerenVerify

Wanneer u HMA hebt ingeschakeld, wordt de nieuwe auth-stroom gebruikt voor de volgende aanmelding van een klant.Once you enable HMA, a client's next login will use the new auth flow. Houd er rekening mee dat u met het in-/uitschakelen van HMA geen herauthenticatie voor een client kunt activeren.Note that just turning on HMA won't trigger a reauthentication for any client. De clients reauthenticate op basis van de levensduur van de auth tokens en/of certs die ze hebben.The clients reauthenticate based on the lifetime of the auth tokens and/or certs they have.

U moet ook de Ctrl-toets ingedrukt houden terwijl u met de rechtermuisknop op het pictogram voor de Outlook-client (ook in het Windows-systeemvak) klikt en klikt u op 'Verbindingsstatus'.You should also hold down the CTRL key at the same time you right-click the icon for the Outlook client (also in the Windows Notifications tray) and click 'Connection Status'. Zoek naar het SMTP-adres van de klant tegen het type 'Authn' van 'Bearer', dat het token voor de toler vertegenwoordigt dat * in OAuth wordt gebruikt.Look for the client's SMTP address against an 'Authn' type of 'Bearer*', which represents the bearer token used in OAuth.

Notitie

Wilt u Skype voor Bedrijven met HMA configureren?Need to configure Skype for Business with HMA? U hebt twee artikelen nodig: een met ondersteunde toologieënen een waarin u kunt zien hoe u de configuratie kunt doen.You'll need two articles: One that lists supported topologies, and one that shows you how to do the configuration.

Hybride moderne verificatie gebruiken met Outlook voor iOS en AndroidUsing hybrid Modern Authentication with Outlook for iOS and Android

Als u een on-premises klant bent met Exchange server op TCP 443, kunt u de verwerking van verkeer voor de volgende IP-adresbereiken omzeilen:If you are an on-premises customer using Exchange server on TCP 443, bypass traffic processing for the following IP address ranges:

52.125.128.0/20
52.127.96.0/23

De Outlook-app voor iOS en Android is ontworpen als de beste manier om Microsoft 365 of Office 365 op uw mobiele apparaat te ervaren met behulp van Microsoft-services om uw dagelijkse leven en werk te vinden, plannen en prioriteit te geven.The Outlook app for iOS and Android is designed as the best way to experience Microsoft 365 or Office 365 on your mobile device by using Microsoft services to help find, plan, and prioritize your daily life and work. Zie Hybride moderne verificatie gebruiken met Outlook voor iOS en Android voor meer informatie.For more information, please refer to Using hybrid Modern Authentication with Outlook for iOS and Android.

Moderne verificatieconfiguratievereisten voor de overgang van Office 365 dedicated/ITAR naar vNextModern Authentication configuration requirements for transition from Office 365 dedicated/ITAR to vNext