Como configurar Exchange Server no local para utilizar a Autenticação Moderna Híbrida
Este artigo aplica-se tanto a Microsoft 365 Enterprise como a Office 365 Enterprise.
A Autenticação Moderna Híbrida (HMA) é um método de gestão de identidades que oferece autenticação e autorização de utilizador mais seguras e está disponível para implementações híbridas no local do exchange server.
Ativar a Autenticação Moderna Híbrida
Ativar o HMA requer que o seu ambiente cumpra o seguinte:
Certifique-se de que cumpre os pré-requisitos antes de começar.
Uma vez que muitos pré-requisitos são comuns tanto para Skype para Empresas como para o Exchange, reveja-os em Descrição geral da Autenticação Moderna Híbrida e pré-requisitos para utilizá-lo com servidores do Exchange e Skype para Empresas no local. Faça isto antes de iniciar qualquer um dos passos neste artigo. Requisitos sobre caixas de correio ligadas a inserir.
Adicione URLs do serviço Web no local como Nomes dos Principais de Serviço (SPNs) no Microsoft Entra ID. Caso o Exchange no local esteja híbrido com vários inquilinos, estes URLs do serviço Web no local têm de ser adicionados como SPNs no Microsoft Entra ID de todos os inquilinos, que estão híbridos com o Exchange no local.
Confirme que todos os Diretórios Virtuais estão ativados para HMA
Verificar o objeto EvoSTS Auth Server
Certifique-se de que o certificado OAuth Exchange Server é válido
Certifique-se de que todas as identidades de utilizador são sincronizadas com Microsoft Entra ID
Ative o HMA no Exchange no local.
Nota
A sua versão do Office suporta MA? Consulte How modern authentication works for Office 2013 and Office 2016 client apps (Como funciona a autenticação moderna para as aplicações cliente do Office 2013 e do Office 2016).
Aviso
A publicação do Outlook Web App e do Exchange Painel de Controlo através do proxy de aplicações Microsoft Entra não é suportada.
Adicionar URLs do serviço Web no local como SPNs no Microsoft Entra ID
Execute os comandos que atribuem os URLs do serviço Web no local como Microsoft Entra SPNs. Os SPNs são utilizados por computadores cliente e dispositivos durante a autenticação e autorização. Todos os URLs que podem ser utilizados para ligar do local ao Microsoft Entra ID têm de ser registados no Microsoft Entra ID (incluindo espaços de nomes internos e externos).
Primeiro, execute os seguintes comandos no Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
Confirme que os URLs aos quais os clientes se podem ligar estão listados como nomes principais de serviço HTTPS no Microsoft Entra ID. Caso o Exchange no local esteja híbrido com vários inquilinos, estes SPNs HTTPS devem ser adicionados no Microsoft Entra ID de todos os inquilinos híbridos com o Exchange no local.
Instale o módulo do PowerShell do Microsoft Graph:
Install-Module Microsoft.Graph -Scope AllUsers
Em seguida, ligue-se a Microsoft Entra ID com estas instruções. Para consentir as permissões necessárias, execute o seguinte comando:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Para os URLs relacionados com o Exchange, escreva o seguinte comando:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Tome nota (e captura de ecrã para comparação posterior) da saída deste comando, que deve incluir um
https://*autodiscover.yourdomain.com*
URL ehttps://*mail.yourdomain.com*
, na sua maioria, consiste em SPNs que começam por00000002-0000-0ff1-ce00-000000000000/
. Se existiremhttps://
URLs no local em falta, esses registos específicos devem ser adicionados a esta lista.Se não vir os registos internos e externos
MAPI/HTTP
,EWS
,ActiveSync
,OAB
eAutodiscover
nesta lista, tem de os adicionar. Utilize o seguinte comando para adicionar todos os URLs em falta:Importante
No nosso exemplo, os URLs que serão adicionados são
mail.corp.contoso.com
eowa.contoso.com
. Certifique-se de que são substituídos pelos URLs configurados no seu ambiente.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Verifique se os novos registos foram adicionados ao executar novamente o comando a
Get-MsolServicePrincipal
partir do passo 2 e ao analisar a saída. Compare a lista/captura de ecrã de antes com a nova lista de SPNs. Também pode efetuar uma captura de ecrã da nova lista para os seus registos. Se tiver êxito, verá os dois novos URLs na lista. Ao seguir o nosso exemplo, a lista de SPNs inclui agora os URLs específicoshttps://mail.corp.contoso.com
ehttps://owa.contoso.com
.
Verificar se os Diretórios Virtuais estão Configurados Corretamente
Agora, verifique se o OAuth está corretamente ativado no Exchange em todos os Diretórios Virtuais que o Outlook pode utilizar ao executar os seguintes comandos:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Verifique o resultado para se certificar de que o OAuth está ativado em cada um destes VDirs, que tem um aspeto semelhante ao seguinte (e o principal aspeto a ter em conta é "OAuth"):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Se o OAuth estiver em falta em qualquer servidor e em qualquer um dos quatro diretórios virtuais, tem de adicioná-lo através dos comandos relevantes antes de continuar (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory e Set-AutodiscoverVirtualDirectory).
Confirme que o Objeto de Servidor de Autenticação EvoSTS está Presente
Regresse à Shell de Gestão do Exchange no local para este último comando. Agora, pode confirmar que o local tem uma entrada para o fornecedor de autenticação evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
O resultado deve mostrar um AuthServer dos EvoSts de Nome com um GUID e o estado "Ativado" deve ser Verdadeiro. Caso contrário, deve transferir e executar a versão mais recente do Assistente de Configuração Híbrida.
Nota
Caso o Exchange no local esteja híbrido com vários inquilinos, a saída deverá mostrar um AuthServer do Nome EvoSts - {GUID}
para cada inquilino em híbrido com o Exchange no local e o estado Ativado deve ser Verdadeiro para todos estes objetos AuthServer.
Importante
Se estiver a executar o Exchange 2010 no seu ambiente, o fornecedor de autenticação EvoSTS não será criado.
Ativar o HMA
Execute o seguinte comando na Shell de Gestão do Exchange, no local, ao substituir <o GUID> na linha de comandos pelo GUID da saída do último comando que executou:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Nota
Em versões mais antigas do Assistente de Configuração Híbrida, o EvoSts AuthServer era simplesmente denominado EvoSTS sem um GUID anexado. Não é necessário efetuar nenhuma ação, basta modificar a linha de comandos anterior para refletir isto ao remover a parte GUID do comando:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Se a versão do Exchange no local for o Exchange 2016 (CU18 ou superior) ou o Exchange 2019 (CU7 ou superior) e tiver sido configurada com o HCW transferido após setembro de 2020, execute o seguinte comando na Shell de Gestão do Exchange, no local:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Nota
Caso o Exchange no local esteja híbrido com vários inquilinos, existem vários objetos AuthServer presentes no Exchange no local com domínios correspondentes a cada inquilino. O sinalizador IsDefaultAuthorizationEndpoint deve ser definido como verdadeiro (utilizando o cmdlet IsDefaultAuthorizationEndpoint ) para qualquer um destes objetos AuthServer. Este sinalizador não pode ser definido como verdadeiro para todos os objetos Authserver e o HMA seria ativado mesmo que um dos sinalizadores IsDefaultAuthorizationEndpoint do objeto AuthServer estivesse definido como verdadeiro.
Nota
Para o parâmetro DomainName , utilize o valor de domínio do inquilino, que normalmente está no formato contoso.onmicrosoft.com
.
Verificar
Depois de ativar o HMA, o próximo início de sessão de um cliente utilizará o novo fluxo de autenticação. Ativar o HMA não irá acionar uma reautenticação para nenhum cliente e o Exchange poderá demorar algum tempo a recolher as novas definições.
Também deve manter premida a tecla CTRL ao mesmo tempo que clica com o botão direito do rato no ícone do cliente do Outlook (também no tabuleiro notificações do Windows) e selecione Estado da Ligação. Procure o endereço SMTP do cliente relativamente a um tipo de AuthN de Bearer\*
, que representa o token de portador utilizado no OAuth.
Nota
Precisa de configurar Skype para Empresas com o HMA? Precisará de dois artigos: um que lista topologias suportadas e outro que lhe mostra como efetuar a configuração.
Ativar a Autenticação Moderna Híbrida para OWA e ECP
A Autenticação Moderna Híbrida também pode agora ser ativada para OWA
e ECP
. Certifique-se de que os Pré-requisitos são cumpridos antes de continuar.
Após a Autenticação Moderna Híbrida ter sido ativada para OWA
e ECP
, cada utilizador final e administrador que tente iniciar sessão em OWA
ou ECP
será redirecionado primeiro para a página de autenticação Microsoft Entra ID. Depois de a autenticação ter sido efetuada com êxito, o utilizador será redirecionado para OWA
ou ECP
.
Pré-requisitos para ativar a Autenticação Moderna Híbrida para OWA e ECP
Para ativar a Autenticação Moderna Híbrida para OWA
e ECP
, todas as identidades de utilizador têm de ser sincronizadas com Microsoft Entra ID.
Além disso, é importante que a configuração do OAuth entre Exchange Server no local e Exchange Online tenha sido estabelecida antes de serem realizados mais passos de configuração.
Os clientes que já executaram o Assistente de Configuração Híbrida (HCW) para configurar o híbrido terão uma configuração OAuth implementada. Se o OAuth não tiver sido configurado anteriormente, pode fazê-lo ao executar o HCW ou ao seguir os passos descritos na documentação Configurar a autenticação OAuth entre o Exchange e Exchange Online organizações.
Recomenda-se que documente as OwaVirtualDirectory
definições e EcpVirtualDirectory
antes de efetuar alterações. Esta documentação irá permitir-lhe restaurar as definições originais se surgirem problemas após a configuração da funcionalidade.
Importante
Todos os servidores têm de ter, pelo menos, a Exchange Server atualização CU14 de 2019 instalada. Também devem executar o Exchange Server HU de abril de 2024 ou uma atualização posterior do EXCHANGE SERVER 2019.
Passos para ativar a Autenticação Moderna Híbrida para OWA e ECP
Consulte os
OWA
URLs eECP
que estão configurados no seu Exchange Server no local. Isto é importante porque têm de ser adicionados como URL de resposta a Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Instale o módulo do PowerShell do Microsoft Graph se ainda não tiver sido instalado:
Install-Module Microsoft.Graph -Scope AllUsers
Ligue-se a Microsoft Entra ID com estas instruções. Para consentir as permissões necessárias, execute o seguinte comando:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Especifique os seus
OWA
URLs eECP
:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
Atualize a aplicação com os URLs de resposta:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Verifique se os URLs de resposta foram adicionados com êxito:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Para permitir que Exchange Server capacidade no local efetue a Autenticação Moderna Híbrida, siga os passos descritos na secção Ativar HMA.
(Opcional) Só é necessário se forem utilizados Domínios de Transferência :
Create uma nova substituição de definição global ao executar os seguintes comandos a partir de uma Shell de Gestão do Exchange (EMS) elevada. Execute estes comandos num Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Opcional) Apenas necessário em cenários de topologia de floresta de recursos do Exchange :
Adicione as seguintes chaves ao
<appSettings>
nó do<ExchangeInstallPath>\ClientAccess\Owa\web.config
ficheiro. Efetue este procedimento em cada Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Create uma nova substituição de definição global ao executar os seguintes comandos a partir de uma Shell de Gestão do Exchange (EMS) elevada. Execute estes comandos num Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Para ativar a Autenticação Moderna Híbrida para
OWA
eECP
, primeiro tem de desativar qualquer outro método de autenticação nestes diretórios virtuais. Execute estes comandos para cadaOWA
diretório virtual eECP
em cada Exchange Server:Importante
É importante executar estes comandos pela ordem indicada. Caso contrário, verá uma mensagem de erro ao executar os comandos. Depois de executar estes comandos, inicie sessão
OWA
em eECP
deixará de funcionar até que a autenticação OAuth para esses diretórios virtuais tenha sido ativada.Além disso, certifique-se de que todas as contas estão sincronizadas, especialmente as contas utilizadas para a administração Microsoft Entra ID. Caso contrário, o início de sessão deixará de funcionar até ser sincronizado. Tenha em atenção que as contas, como o Administrador incorporado, não serão sincronizadas com Microsoft Entra ID e, por conseguinte, não podem ser utilizadas para administração depois de o HMA para OWA e ECP ter sido ativado. Tal deve-se ao
isCriticalSystemObject
atributo , que está definidoTRUE
como para algumas contas.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Ative o OAuth para o
OWA
diretório virtual eECP
. Execute estes comandos para cadaOWA
diretório virtual eECP
em cada Exchange Server:Importante
É importante executar estes comandos pela ordem indicada. Caso contrário, verá uma mensagem de erro ao executar os comandos.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Utilizar a Autenticação Moderna Híbrida com o Outlook para iOS e Android
Se for um cliente no local a utilizar Exchange Server no TCP 443, permita o tráfego de rede a partir dos seguintes intervalos de IP:
52.125.128.0/20
52.127.96.0/23
Estes intervalos de endereços IP também estão documentados em Pontos finais adicionais não incluídos na Office 365 endereço IP e no serviço Web de URL.
Artigos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários