Jak skonfigurować Exchange Server lokalnie do korzystania z nowoczesnego uwierzytelniania hybrydowego
Ten artykuł dotyczy zarówno Microsoft 365 Enterprise, jak i Office 365 Enterprise.
Nowoczesne uwierzytelnianie hybrydowe (HMA) to metoda zarządzania tożsamościami, która oferuje bezpieczniejsze uwierzytelnianie i autoryzację użytkowników i jest dostępna dla lokalnych wdrożeń hybrydowych serwera Exchange.
Włączanie nowoczesnego uwierzytelniania hybrydowego
Włączenie usługi HMA wymaga, aby środowisko spełniało następujące wymagania:
Przed rozpoczęciem upewnij się, że spełniasz wymagania wstępne.
Ponieważ wiele wymagań wstępnych jest typowych zarówno dla Skype dla firm, jak i programu Exchange, przejrzyj je w temacie Omówienie nowoczesnego uwierzytelniania hybrydowego i wymagania wstępne dotyczące używania go z lokalnymi serwerami Skype dla firm i serwerami Exchange. Należy to zrobić przed rozpoczęciem wykonywania jakichkolwiek kroków opisanych w tym artykule. Wymagania dotyczące połączonych skrzynek pocztowych do wstawienia.
Dodaj lokalne adresy URL usługi internetowej jako nazwy główne usługi (SPN) w Tożsamość Microsoft Entra. Jeśli lokalna usługa Exchange jest w środowisku hybrydowym z wieloma dzierżawami, te adresy URL lokalnej usługi internetowej muszą zostać dodane jako nazwy SPN w Tożsamość Microsoft Entra wszystkich dzierżaw, które są w środowisku hybrydowym z lokalnym programem Exchange.
Upewnij się, że wszystkie katalogi wirtualne są włączone dla usługi HMA
Sprawdzanie obiektu EvoSTS Auth Server
Upewnij się, że certyfikat OAuth Exchange Server jest prawidłowy
Upewnij się, że wszystkie tożsamości użytkowników są synchronizowane z Tożsamość Microsoft Entra
Włącz usługę HMA w lokalnym programie Exchange.
Uwaga
Czy Twoja wersja pakietu Office obsługuje usługę MA? Zobacz Jak działa nowoczesne uwierzytelnianie dla aplikacji klienckich pakietu Office 2013 i Office 2016.
Ostrzeżenie
Publikowanie Outlook Web App i Panel sterowania programu Exchange za pośrednictwem serwera proxy aplikacji Microsoft Entra nie jest obsługiwane.
Dodawanie lokalnych adresów URL usługi internetowej jako nazw SPN w Tożsamość Microsoft Entra
Uruchom polecenia, które przypisują adresy URL lokalnej usługi internetowej jako Microsoft Entra nazwy SPN. Nazwy SPN są używane przez maszyny klienckie i urządzenia podczas uwierzytelniania i autoryzacji. Wszystkie adresy URL, które mogą służyć do nawiązywania połączenia ze środowiska lokalnego do Tożsamość Microsoft Entra, muszą być zarejestrowane w Tożsamość Microsoft Entra (w tym w wewnętrznych i zewnętrznych przestrzeniach nazw).
Najpierw uruchom następujące polecenia w Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*Upewnij się, że adresy URL, z którymi klienci mogą się łączyć, są wymienione jako nazwy główne usługi HTTPS w Tożsamość Microsoft Entra. Jeśli lokalna usługa Exchange jest w środowisku hybrydowym z wieloma dzierżawami, te nazwy SPN https powinny zostać dodane w Tożsamość Microsoft Entra wszystkich dzierżaw w środowisku hybrydowym z lokalnym programem Exchange.
Zainstaluj moduł Programu PowerShell programu Microsoft Graph:
Install-Module Microsoft.Graph -Scope AllUsersNastępnie połącz się z Tożsamość Microsoft Entra, korzystając z tych instrukcji. Aby wyrazić zgodę na wymagane uprawnienia, uruchom następujące polecenie:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.AllW przypadku adresów URL związanych z programem Exchange wpisz następujące polecenie:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNamesZanotuj (i zrzut ekranu do późniejszego porównania) dane wyjściowe tego polecenia, które powinny zawierać
https://*autodiscover.yourdomain.com*adres URL ihttps://*mail.yourdomain.com*, ale składają się głównie z00000002-0000-0ff1-ce00-000000000000/nazw SPN rozpoczynających się od .https://Jeśli brakuje adresów URL lokalnych, te konkretne rekordy powinny zostać dodane do tej listy.Jeśli rekordy wewnętrzne i zewnętrzne
MAPI/HTTP,EWS, ,ActiveSync,OABiAutodiscovernie są widoczne na tej liście, należy je dodać. Użyj następującego polecenia, aby dodać wszystkie brakujące adresy URL:Ważna
W naszym przykładzie adresy URL, które zostaną dodane, to
mail.corp.contoso.comiowa.contoso.com. Upewnij się, że zostały one zastąpione przez adresy URL skonfigurowane w środowisku.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdateSprawdź, czy nowe rekordy zostały dodane, uruchamiając
Get-MsolServicePrincipalponownie polecenie z kroku 2 i przeglądając dane wyjściowe. Porównaj listę /zrzut ekranu z poprzedniego z nową listą nazw SPN. Możesz również wykonać zrzut ekranu przedstawiający nową listę rekordów. Jeśli to się powiedzie, na liście zostaną wyświetlone dwa nowe adresy URL. W naszym przykładzie lista nazw SPN zawiera teraz określone adresy URLhttps://mail.corp.contoso.comihttps://owa.contoso.com.
Sprawdź, czy katalogi wirtualne są prawidłowo skonfigurowane
Teraz sprawdź, czy uwierzytelnianie OAuth jest prawidłowo włączone w programie Exchange we wszystkich katalogach wirtualnych, których program Outlook może używać, uruchamiając następujące polecenia:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Sprawdź dane wyjściowe, aby upewnić się, że protokół OAuth jest włączony dla każdego z tych katalogów VDir, wygląda to mniej więcej tak (a kluczową rzeczą, na którą należy zwrócić uwagę, jest "OAuth"):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Jeśli brakuje protokołu OAuth na dowolnym serwerze i w dowolnym z czterech katalogów wirtualnych, należy dodać go przy użyciu odpowiednich poleceń przed kontynuowaniem (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory i Set-AutodiscoverVirtualDirectory).
Potwierdzanie obecności obiektu serwera uwierzytelniania EvoSTS
Wróć do lokalnej powłoki zarządzania programu Exchange dla tego ostatniego polecenia. Teraz możesz sprawdzić, czy w środowisku lokalnym jest dostępny wpis dla dostawcy uwierzytelniania evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Dane wyjściowe powinny zawierać AuthServer nazwy EvoSts z identyfikatorem GUID, a stan "Włączone" powinien mieć wartość True. Jeśli nie, należy pobrać i uruchomić najnowszą wersję Kreatora konfiguracji hybrydowej.
Uwaga
Jeśli lokalna usługa Exchange jest w środowisku hybrydowym z wieloma dzierżawami, dane wyjściowe powinny zawierać jedną wartość AuthServer nazwy EvoSts - {GUID} dla każdej dzierżawy w środowisku hybrydowym z lokalnym programem Exchange, a stan Włączone powinien mieć wartość True dla wszystkich tych obiektów AuthServer.
Ważna
Jeśli korzystasz z programu Exchange 2010 w swoim środowisku, dostawca uwierzytelniania EvoSTS nie zostanie utworzony.
Włączanie usługi HMA
Uruchom następujące polecenie w lokalnej powłoce zarządzania programu Exchange, zastępując <identyfikator GUID> w wierszu polecenia identyfikatorem GUID z danych wyjściowych ostatniego uruchomionego polecenia:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Uwaga
W starszych wersjach Kreatora konfiguracji hybrydowej evosts AuthServer został po prostu nazwany EvoSTS bez dołączonego identyfikatora GUID. Nie ma żadnej akcji, którą należy wykonać, po prostu zmodyfikuj poprzedni wiersz polecenia, aby to odzwierciedlić, usuwając część identyfikatora GUID polecenia:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Jeśli lokalna wersja programu Exchange to Exchange 2016 (CU18 lub nowszy) lub Exchange 2019 (CU7 lub nowszy) i została skonfigurowana hybrydowo z modułem HCW pobranym po wrześniu 2020 r., uruchom następujące polecenie w lokalnej powłoki zarządzania programu Exchange:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Uwaga
Jeśli lokalna usługa Exchange jest w środowisku hybrydowym z wieloma dzierżawami, w lokalnym programie Exchange istnieje wiele obiektów AuthServer z domenami odpowiadającymi każdej dzierżawie. Flagę IsDefaultAuthorizationEndpoint należy ustawić na wartość true (przy użyciu polecenia cmdlet IsDefaultAuthorizationEndpoint ) dla dowolnego z tych obiektów AuthServer. Tej flagi nie można ustawić na wartość true dla wszystkich obiektów Authserver i hma będzie włączona, nawet jeśli jeden z tych obiektów AuthServer isdefaultAuthorizationEndpoint flaga jest ustawiona na wartość true.
Uwaga
W przypadku parametru DomainName użyj wartości domeny dzierżawy, która zwykle ma postać contoso.onmicrosoft.com.
Sprawdź
Po włączeniu usługi HMA następne logowanie klienta użyje nowego przepływu uwierzytelniania. Samo włączenie usługi HMA nie spowoduje wyzwolenia ponownego uwierzytelniania dla żadnego klienta i pobranie nowych ustawień przez program Exchange może trochę potrwać.
Należy również przytrzymać wciśnięty klawisz CTRL w tym samym czasie kliknij prawym przyciskiem myszy ikonę klienta programu Outlook (również w obszarze Powiadomienia systemu Windows) i wybierz pozycję Stan połączenia. Wyszukaj adres SMTP klienta względem typu AuthN , Bearer\*który reprezentuje token elementu nośnego używany w usłudze OAuth.
Uwaga
Chcesz skonfigurować Skype dla firm z usługą HMA? Potrzebne będą dwa artykuły: jeden zawierający listę obsługiwanych topologii i jeden, który pokazuje , jak wykonać konfigurację.
Włączanie nowoczesnego uwierzytelniania hybrydowego dla systemów OWA i ECP
Nowoczesne uwierzytelnianie hybrydowe można teraz również włączyć dla elementów OWA i ECP. Przed kontynuowaniem upewnij się, że wymagania wstępne zostały spełnione.
Po włączeniu nowoczesnego uwierzytelniania hybrydowego dla OWA i ECP, każdy użytkownik końcowy i administrator, który próbuje zalogować się do OWA lub ECP zostanie przekierowany do strony uwierzytelniania Tożsamość Microsoft Entra najpierw. Po pomyślnym uwierzytelnieniu użytkownik zostanie przekierowany do OWA lub ECP.
Wymagania wstępne dotyczące włączania nowoczesnego uwierzytelniania hybrydowego dla systemów OWA i ECP
Aby włączyć nowoczesne uwierzytelnianie hybrydowe dla OWA i ECP, wszystkie tożsamości użytkowników muszą być zsynchronizowane z Tożsamość Microsoft Entra.
Ponadto przed wykonaniem dalszych kroków konfiguracji należy ustanowić konfigurację protokołu OAuth między Exchange Server lokalnym i Exchange Online.
Klienci, którzy już uruchomili Kreatora konfiguracji hybrydowej (HCW) w celu skonfigurowania hybrydowego, będą mieć konfigurację OAuth. Jeśli protokół OAuth nie został wcześniej skonfigurowany, można to zrobić, uruchamiając narzędzie HCW lub wykonując kroki opisane w dokumentacji Konfigurowanie uwierzytelniania OAuth między programem Exchange a organizacjami Exchange Online.
Zaleca się udokumentowanie OwaVirtualDirectory ustawień i EcpVirtualDirectory przed wprowadzeniem jakichkolwiek zmian. Ta dokumentacja umożliwi przywrócenie oryginalnych ustawień, jeśli wystąpią problemy po skonfigurowaniu funkcji.
Ważna
Wszystkie serwery muszą mieć zainstalowaną aktualizację cu14 Exchange Server 2019. Muszą również uruchomić Exchange Server 2019 CU14 z kwietnia 2024 r. LUB nowszą aktualizację.
Kroki włączania nowoczesnego uwierzytelniania hybrydowego dla systemów OWA i ECP
Wykonaj zapytanie dotyczące
OWAadresów URL iECPskonfigurowanych w Exchange Server lokalnie. Jest to ważne, ponieważ muszą zostać dodane jako adres URL odpowiedzi do Tożsamość Microsoft Entra:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*Zainstaluj moduł Programu PowerShell programu Microsoft Graph, jeśli nie został jeszcze zainstalowany:
Install-Module Microsoft.Graph -Scope AllUsersPołącz się z Tożsamość Microsoft Entra, korzystając z tych instrukcji. Aby wyrazić zgodę na wymagane uprawnienia, uruchom następujące polecenie:
Connect-Graph -Scopes User.Read, Application.ReadWrite.AllOkreśl adresy
OWAURL iECP:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )Zaktualizuj aplikację przy użyciu adresów URL odpowiedzi:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrlsSprawdź, czy adresy URL odpowiedzi zostały pomyślnie dodane:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrlsAby umożliwić Exchange Server lokalnej możliwości wykonywania nowoczesnego uwierzytelniania hybrydowego, wykonaj kroki opisane w sekcji Włączanie usługi HMA.
(Opcjonalnie) Wymagane tylko wtedy, gdy są używane domeny pobierania :
Twórca nowego ustawienia globalnego, uruchamiając następujące polecenia z poziomu powłoki zarządzania programu Exchange z podwyższonym poziomem poziomu (EMS). Uruchom następujące polecenia na jednym Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force(Opcjonalnie) Wymagane tylko w scenariuszach topologii lasu zasobów programu Exchange :
Dodaj następujące klucze do
<appSettings>węzła<ExchangeInstallPath>\ClientAccess\Owa\web.configpliku. Wykonaj to na każdym Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>Twórca nowego ustawienia globalnego, uruchamiając następujące polecenia z poziomu powłoki zarządzania programu Exchange z podwyższonym poziomem poziomu (EMS). Uruchom następujące polecenia na jednym Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -ForceAby włączyć nowoczesne uwierzytelnianie hybrydowe dla
OWAiECP, należy najpierw wyłączyć dowolną inną metodę uwierzytelniania w tych katalogach wirtualnych. Uruchom następujące polecenia dla każdegoOWAkatalogu wirtualnego iECPdla każdego Exchange Server:Ważna
Ważne jest, aby wykonać te polecenia w danej kolejności. W przeciwnym razie podczas uruchamiania poleceń zostanie wyświetlony komunikat o błędzie. Po uruchomieniu tych poleceń zaloguj się do
OWAusługi iECPprzestanie działać do momentu aktywowania uwierzytelniania OAuth dla tych katalogów wirtualnych.Upewnij się również, że wszystkie konta są zsynchronizowane, zwłaszcza konta używane do administrowania Tożsamość Microsoft Entra. W przeciwnym razie logowanie przestanie działać, dopóki nie zostaną zsynchronizowane. Należy pamiętać, że konta, takie jak wbudowany administrator, nie będą synchronizowane z Tożsamość Microsoft Entra i w związku z tym nie mogą być używane do administrowania po włączeniu umowy HMA dla OWA i ECP. Jest to spowodowane atrybutem ustawionym
isCriticalSystemObjectTRUEdla niektórych kont.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $falseWłącz usługę
OWAOAuth dla katalogu iECPkatalogu wirtualnego. Uruchom następujące polecenia dla każdegoOWAkatalogu wirtualnego iECPdla każdego Exchange Server:Ważna
Ważne jest, aby wykonać te polecenia w danej kolejności. W przeciwnym razie podczas uruchamiania poleceń zostanie wyświetlony komunikat o błędzie.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Korzystanie z nowoczesnego uwierzytelniania hybrydowego w programie Outlook dla systemów iOS i Android
Jeśli jesteś klientem lokalnym korzystającym z Exchange Server na TCP 443, zezwól na ruch sieciowy z następujących zakresów adresów IP:
52.125.128.0/20
52.127.96.0/23
Te zakresy adresów IP są również udokumentowane w temacie Dodatkowe punkty końcowe, które nie są uwzględnione w usłudze sieci Web Office 365 adresów IP i adresów URL.
Artykuły pokrewne
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla