Как настроить локальное развертывание Exchange Server для использования гибридной современной проверки подлинности

  • Статья

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Гибридная современная проверка подлинности (HMA) — это метод управления удостоверениями, который обеспечивает более безопасную проверку подлинности и авторизацию пользователей и доступен для локальных гибридных развертываний Exchange Server.

Включение гибридной современной проверки подлинности

Для включения HMA требуется, чтобы ваша среда соответствовала следующим требованиям:

  1. Перед началом работы убедитесь, что выполнены предварительные требования.

  2. Так как многие предварительные требования являются общими для Skype для бизнеса и Exchange, ознакомьтесь с ними в статье Общие сведения о гибридной современной проверке подлинности и предварительные требования для ее использования с локальными серверами Skype для бизнеса и Exchange. Сделайте это, прежде чем приступить к любому из действий, описанных в этой статье. Требования к вставленным связанным почтовым ящикам.

  3. Добавьте URL-адреса локальных веб-служб в качестве имен субъектов-служб в Microsoft Entra ID. Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, эти URL-адреса локальных веб-служб должны быть добавлены в качестве имен субъектов-служб в Microsoft Entra ID всех клиентов, которые находятся в гибридной среде с локальной службой Exchange.

  4. Убедитесь, что для HMA включены все виртуальные каталоги.

  5. Проверка объекта EvoSTS Auth Server

  6. Убедитесь, что сертификат OAuth Exchange Server действителен.

  7. Убедитесь, что все удостоверения пользователей синхронизированы с Microsoft Entra ID

  8. Включите HMA в локальной среде Exchange.

Примечание.

Поддерживает ли ваша версия Office MA? См . статью Как работает современная проверка подлинности для клиентских приложений Office 2013 и Office 2016.

Предупреждение

Публикация Outlook Web App и Exchange панель управления через прокси-сервер приложения Microsoft Entra не поддерживается.

Добавление URL-адресов локальных веб-служб в качестве имен субъектов-служб в Microsoft Entra ID

Выполните команды, которые назначают URL-адреса локальной веб-службы как Microsoft Entra именам субъектов-служб. Имена субъектов-служб используются клиентскими компьютерами и устройствами во время проверки подлинности и авторизации. Все URL-адреса, которые могут использоваться для подключения из локальной среды к Microsoft Entra ID, должны быть зарегистрированы в Microsoft Entra ID (включая внутренние и внешние пространства имен).

  1. Сначала выполните следующие команды на Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    Убедитесь, что URL-адреса клиентов, к которому могут подключаться, перечислены в Microsoft Entra ID как имена субъектов-служб HTTPS. Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, эти имена субъектов-служб HTTPS следует добавить в Microsoft Entra ID всех клиентов в гибридной среде с локальным exchange.

  2. Установите модуль Microsoft Graph PowerShell:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Затем подключитесь к Microsoft Entra ID с помощью этих инструкций. Чтобы предоставить согласие на необходимые разрешения, выполните следующую команду:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Для URL-адресов, связанных с Exchange, введите следующую команду:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Запишите (и снимок экрана для последующего сравнения) выходные данные этой команды, которые должны включать https://*autodiscover.yourdomain.com* URL-адрес и https://*mail.yourdomain.com* , но в основном состоят из имен субъектов-служб, которые начинаются с 00000002-0000-0ff1-ce00-000000000000/. https:// Если отсутствуют URL-адреса из локальной среды, эти конкретные записи должны быть добавлены в этот список.

  5. Если в этом списке не отображаются внутренние и внешние MAPI/HTTPзаписи , EWS, ActiveSync, OABи Autodiscover , необходимо добавить их. Используйте следующую команду, чтобы добавить все отсутствующие URL-адреса:

    Важно!

    В нашем примере будут добавлены mail.corp.contoso.com URL-адреса и owa.contoso.com. Убедитесь, что они заменены URL-адресами, настроенными в вашей среде.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Убедитесь, что новые записи добавлены, снова выполнив Get-MsolServicePrincipal команду из шага 2 и просмотрев выходные данные. Сравните список или снимок экрана до с новым списком имен субъектов-служб. Вы также можете сделать снимок экрана с новым списком записей. В случае успеха вы увидите два новых URL-адреса в списке. В нашем примере список имен субъектов-служб теперь включает конкретные URL-адреса https://mail.corp.contoso.com и https://owa.contoso.com.

Проверка правильной настройки виртуальных каталогов

Теперь убедитесь, что OAuth включен правильно в Exchange для всех виртуальных каталогов, которые может использовать Outlook, выполнив следующие команды:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Проверьте выходные данные, чтобы убедиться, что OAuth включен в каждом из этих VDirs. Он выглядит примерно так (и главное, на что следует обратить внимание— OAuth):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Если OAuth отсутствует на любом сервере и любом из четырех виртуальных каталогов, необходимо добавить его с помощью соответствующих команд, прежде чем продолжить (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory и Set-AutodiscoverVirtualDirectory).

Убедитесь, что объект сервера проверки подлинности EvoSTS присутствует

Вернитесь в локальную командную консоль Exchange для последней команды. Теперь вы можете проверить, есть ли в локальной среде запись для поставщика проверки подлинности evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

В выходных данных должен отображаться authServer с именем EvoSts с идентификатором GUID, а состояние "Включено" должно иметь значение True. В противном случае следует скачать и запустить последнюю версию мастера гибридной конфигурации.

Примечание.

Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, в выходных данных должен отображаться один authServer с именем EvoSts - {GUID} для каждого клиента в гибридном режиме с локальным exchange, а состояние Включено должно иметь значение True для всех этих объектов AuthServer.

Важно!

Если вы используете Exchange 2010 в своей среде, поставщик проверки подлинности EvoSTS не будет создан.

Включение HMA

Выполните следующую команду в локальной командной консоли Exchange, заменив <GUID> в командной строке идентификатором GUID из выходных данных последней выполненной команды:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Примечание.

В более старых версиях мастера гибридной конфигурации EvoSts AuthServer просто назывался EvoSTS без присоединенного GUID. Вам не нужно выполнять никаких действий. Просто измените предыдущую командную строку, чтобы отразить это, удалив часть команды GUID:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Если локальная версия Exchange — Exchange 2016 (CU18 или более поздняя) или Exchange 2019 (CU7 или более поздняя) и гибридная среда была настроена с HCW, скачанным после сентября 2020 г., выполните следующую команду в локальной командной консоли Exchange:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Примечание.

Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, в локальной среде Exchange присутствует несколько объектов AuthServer с доменами, соответствующими каждому клиенту. Флаг IsDefaultAuthorizationEndpoint должен иметь значение true (с помощью командлета IsDefaultAuthorizationEndpoint ) для любого из этих объектов AuthServer. Этот флаг не может иметь значение true для всех объектов Authserver, и HMA будет включена, даже если для флага IsDefaultAuthorizationEndpoint одного из этих объектов AuthServer задано значение true.

Примечание.

Для параметра DomainName используйте значение домена клиента, которое обычно имеет вид contoso.onmicrosoft.com.

Проверяем подлинность

После включения HMA следующий вход клиента будет использовать новый поток проверки подлинности. Простое включение HMA не вызовет повторную проверку подлинности для любого клиента, и exchange может занять некоторое время, чтобы получить новые параметры.

Кроме того, удерживая нажатой клавишу CTRL, щелкните правой кнопкой мыши значок клиента Outlook (также на панели уведомлений Windows) и выберите Состояние подключения. Найдите SMTP-адрес клиента для типа Bearer\*AuthN , который представляет маркер носителя, используемый в OAuth.

Примечание.

Требуется настроить Skype для бизнеса с помощью HMA? Вам потребуется две статьи: одна со списком поддерживаемых топологий, а вторая — сведения о настройке.

Включение гибридной современной проверки подлинности для OWA и ECP

Гибридная современная проверка подлинности теперь также может быть включена для OWA и ECP. Прежде чем продолжить, убедитесь, что выполнены необходимые условия .

После включения гибридной современной проверки подлинности для OWA и ECPкаждый конечный пользователь и администратор, который пытается войти в OWA систему или ECP будет перенаправлен на страницу проверки подлинности Microsoft Entra ID. После успешной проверки подлинности пользователь будет перенаправлен на OWA или ECP.

Предварительные требования для включения гибридной современной проверки подлинности для OWA и ECP

Чтобы включить гибридную современную проверку подлинности для OWA и ECP, все удостоверения пользователей должны быть синхронизированы с Microsoft Entra ID. Кроме того, важно установить настройку OAuth между Exchange Server локальной и Exchange Online, прежде чем можно будет выполнить дальнейшие действия по настройке.

Клиенты, которые уже запускали мастер гибридной конфигурации (HCW) для настройки гибридной среды, будут иметь конфигурацию OAuth. Если OAuth не был настроен ранее, это можно сделать, запустив HCW или выполнив действия, описанные в документации по настройке проверки подлинности OAuth между Exchange и Exchange Online организациями.

Перед внесением OwaVirtualDirectory изменений рекомендуется документировать параметры и EcpVirtualDirectory . Эта документация позволяет восстановить исходные параметры при возникновении каких-либо проблем после настройки функции.

Важно!

На всех серверах должно быть установлено по крайней мере обновление Exchange Server 2019 CU14. Они также должны запускать Exchange Server 2019 CU14 за апрель 2024 г. или более поздней версии.

Действия по включению гибридной современной проверки подлинности для OWA и ECP

  1. Запросите OWA URL-адреса иECP, настроенные в локальной среде Exchange Server . Это важно, так как они должны быть добавлены в качестве URL-адреса ответа в Microsoft Entra ID:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Установите модуль Microsoft Graph PowerShell, если он еще не установлен:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Подключитесь к Microsoft Entra ID с помощью этих инструкций. Чтобы предоставить согласие на необходимые разрешения, выполните следующую команду:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Укажите URL-адреса OWA и ECP :

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Обновите приложение с помощью URL-адресов ответа:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Убедитесь, что URL-адреса ответа успешно добавлены:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Чтобы включить Exchange Server локальную возможность выполнять гибридную современную проверку подлинности, выполните действия, описанные в разделе Включение HMA.

  8. (Необязательно) Требуется только в том случае, если используются домены загрузки :

    Create переопределить новый глобальный параметр, выполнив следующие команды из командной консоли Exchange с повышенными привилегиями (EMS). Выполните следующие команды на одном Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Необязательно) Требуется только в сценариях топологии леса ресурсов Exchange :

    Добавьте следующие ключи в <appSettings> узел <ExchangeInstallPath>\ClientAccess\Owa\web.config файла. Выполните это на каждой Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Create переопределить новый глобальный параметр, выполнив следующие команды из командной консоли Exchange с повышенными привилегиями (EMS). Выполните следующие команды на одном Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Чтобы включить гибридную современную проверку подлинности для OWA и ECP, необходимо сначала отключить любой другой метод проверки подлинности в этих виртуальных каталогах. Выполните следующие команды для каждого OWA и ECP виртуального каталога на каждом Exchange Server:

    Важно!

    Эти команды важно выполнять в заданном порядке. В противном случае при выполнении команд отобразится сообщение об ошибке. После выполнения этих команд вход OWA в систему и ECP будет останавливаться до активации проверки подлинности OAuth для этих виртуальных каталогов.

    Кроме того, убедитесь, что все учетные записи синхронизированы, особенно учетные записи, используемые для администрирования для Microsoft Entra ID. В противном случае имя входа перестанет работать, пока не будет синхронизировано. Обратите внимание, что учетные записи, такие как встроенный администратор, не будут синхронизированы с Microsoft Entra ID и, следовательно, не могут использоваться для администрирования после включения HMA для OWA и ECP. Это связано с атрибутом isCriticalSystemObject , который имеет значение TRUE для некоторых учетных записей.

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Включите OAuth для виртуального OWA каталога и ECP . Выполните следующие команды для каждого OWA и ECP виртуального каталога на каждом Exchange Server:

    Важно!

    Эти команды важно выполнять в заданном порядке. В противном случае при выполнении команд отобразится сообщение об ошибке.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Использование гибридной современной проверки подлинности с Outlook для iOS и Android

Если вы являетесь локальным клиентом, использующим Exchange Server на TCP 443, разрешите сетевой трафик из следующих диапазонов IP-адресов:

52.125.128.0/20
52.127.96.0/23

Эти диапазоны IP-адресов также описаны в разделе Дополнительные конечные точки, не включенные в веб-службу Office 365 IP-адреса и URL-адреса.

Требования к конфигурации современной проверки подлинности для перехода с Office 365 Dedicated/ITAR на vNext