Как настроить локальное развертывание Exchange Server для использования гибридной современной проверки подлинности
Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.
Гибридная современная проверка подлинности (HMA) — это метод управления удостоверениями, который обеспечивает более безопасную проверку подлинности и авторизацию пользователей и доступен для локальных гибридных развертываний Exchange Server.
Включение гибридной современной проверки подлинности
Для включения HMA требуется, чтобы ваша среда соответствовала следующим требованиям:
Перед началом работы убедитесь, что выполнены предварительные требования.
Так как многие предварительные требования являются общими для Skype для бизнеса и Exchange, ознакомьтесь с ними в статье Общие сведения о гибридной современной проверке подлинности и предварительные требования для ее использования с локальными серверами Skype для бизнеса и Exchange. Сделайте это, прежде чем приступить к любому из действий, описанных в этой статье. Требования к вставленным связанным почтовым ящикам.
Добавьте URL-адреса локальных веб-служб в качестве имен субъектов-служб в Microsoft Entra ID. Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, эти URL-адреса локальных веб-служб должны быть добавлены в качестве имен субъектов-служб в Microsoft Entra ID всех клиентов, которые находятся в гибридной среде с локальной службой Exchange.
Убедитесь, что для HMA включены все виртуальные каталоги.
Проверка объекта EvoSTS Auth Server
Убедитесь, что сертификат OAuth Exchange Server действителен.
Убедитесь, что все удостоверения пользователей синхронизированы с Microsoft Entra ID
Включите HMA в локальной среде Exchange.
Примечание.
Поддерживает ли ваша версия Office MA? См . статью Как работает современная проверка подлинности для клиентских приложений Office 2013 и Office 2016.
Предупреждение
Публикация Outlook Web App и Exchange панель управления через прокси-сервер приложения Microsoft Entra не поддерживается.
Добавление URL-адресов локальных веб-служб в качестве имен субъектов-служб в Microsoft Entra ID
Выполните команды, которые назначают URL-адреса локальной веб-службы как Microsoft Entra именам субъектов-служб. Имена субъектов-служб используются клиентскими компьютерами и устройствами во время проверки подлинности и авторизации. Все URL-адреса, которые могут использоваться для подключения из локальной среды к Microsoft Entra ID, должны быть зарегистрированы в Microsoft Entra ID (включая внутренние и внешние пространства имен).
Сначала выполните следующие команды на Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
Убедитесь, что URL-адреса клиентов, к которому могут подключаться, перечислены в Microsoft Entra ID как имена субъектов-служб HTTPS. Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, эти имена субъектов-служб HTTPS следует добавить в Microsoft Entra ID всех клиентов в гибридной среде с локальным exchange.
Установите модуль Microsoft Graph PowerShell:
Install-Module Microsoft.Graph -Scope AllUsers
Затем подключитесь к Microsoft Entra ID с помощью этих инструкций. Чтобы предоставить согласие на необходимые разрешения, выполните следующую команду:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Для URL-адресов, связанных с Exchange, введите следующую команду:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Запишите (и снимок экрана для последующего сравнения) выходные данные этой команды, которые должны включать
https://*autodiscover.yourdomain.com*
URL-адрес иhttps://*mail.yourdomain.com*
, но в основном состоят из имен субъектов-служб, которые начинаются с00000002-0000-0ff1-ce00-000000000000/
.https://
Если отсутствуют URL-адреса из локальной среды, эти конкретные записи должны быть добавлены в этот список.Если в этом списке не отображаются внутренние и внешние
MAPI/HTTP
записи ,EWS
,ActiveSync
,OAB
иAutodiscover
, необходимо добавить их. Используйте следующую команду, чтобы добавить все отсутствующие URL-адреса:Важно!
В нашем примере будут добавлены
mail.corp.contoso.com
URL-адреса иowa.contoso.com
. Убедитесь, что они заменены URL-адресами, настроенными в вашей среде.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Убедитесь, что новые записи добавлены, снова выполнив
Get-MsolServicePrincipal
команду из шага 2 и просмотрев выходные данные. Сравните список или снимок экрана до с новым списком имен субъектов-служб. Вы также можете сделать снимок экрана с новым списком записей. В случае успеха вы увидите два новых URL-адреса в списке. В нашем примере список имен субъектов-служб теперь включает конкретные URL-адресаhttps://mail.corp.contoso.com
иhttps://owa.contoso.com
.
Проверка правильной настройки виртуальных каталогов
Теперь убедитесь, что OAuth включен правильно в Exchange для всех виртуальных каталогов, которые может использовать Outlook, выполнив следующие команды:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Проверьте выходные данные, чтобы убедиться, что OAuth включен в каждом из этих VDirs. Он выглядит примерно так (и главное, на что следует обратить внимание— OAuth):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Если OAuth отсутствует на любом сервере и любом из четырех виртуальных каталогов, необходимо добавить его с помощью соответствующих команд, прежде чем продолжить (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory и Set-AutodiscoverVirtualDirectory).
Убедитесь, что объект сервера проверки подлинности EvoSTS присутствует
Вернитесь в локальную командную консоль Exchange для последней команды. Теперь вы можете проверить, есть ли в локальной среде запись для поставщика проверки подлинности evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
В выходных данных должен отображаться authServer с именем EvoSts с идентификатором GUID, а состояние "Включено" должно иметь значение True. В противном случае следует скачать и запустить последнюю версию мастера гибридной конфигурации.
Примечание.
Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, в выходных данных должен отображаться один authServer с именем EvoSts - {GUID}
для каждого клиента в гибридном режиме с локальным exchange, а состояние Включено должно иметь значение True для всех этих объектов AuthServer.
Важно!
Если вы используете Exchange 2010 в своей среде, поставщик проверки подлинности EvoSTS не будет создан.
Включение HMA
Выполните следующую команду в локальной командной консоли Exchange, заменив <GUID> в командной строке идентификатором GUID из выходных данных последней выполненной команды:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Примечание.
В более старых версиях мастера гибридной конфигурации EvoSts AuthServer просто назывался EvoSTS без присоединенного GUID. Вам не нужно выполнять никаких действий. Просто измените предыдущую командную строку, чтобы отразить это, удалив часть команды GUID:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Если локальная версия Exchange — Exchange 2016 (CU18 или более поздняя) или Exchange 2019 (CU7 или более поздняя) и гибридная среда была настроена с HCW, скачанным после сентября 2020 г., выполните следующую команду в локальной командной консоли Exchange:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Примечание.
Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, в локальной среде Exchange присутствует несколько объектов AuthServer с доменами, соответствующими каждому клиенту. Флаг IsDefaultAuthorizationEndpoint должен иметь значение true (с помощью командлета IsDefaultAuthorizationEndpoint ) для любого из этих объектов AuthServer. Этот флаг не может иметь значение true для всех объектов Authserver, и HMA будет включена, даже если для флага IsDefaultAuthorizationEndpoint одного из этих объектов AuthServer задано значение true.
Примечание.
Для параметра DomainName используйте значение домена клиента, которое обычно имеет вид contoso.onmicrosoft.com
.
Проверяем подлинность
После включения HMA следующий вход клиента будет использовать новый поток проверки подлинности. Простое включение HMA не вызовет повторную проверку подлинности для любого клиента, и exchange может занять некоторое время, чтобы получить новые параметры.
Кроме того, удерживая нажатой клавишу CTRL, щелкните правой кнопкой мыши значок клиента Outlook (также на панели уведомлений Windows) и выберите Состояние подключения. Найдите SMTP-адрес клиента для типа Bearer\*
AuthN , который представляет маркер носителя, используемый в OAuth.
Примечание.
Требуется настроить Skype для бизнеса с помощью HMA? Вам потребуется две статьи: одна со списком поддерживаемых топологий, а вторая — сведения о настройке.
Включение гибридной современной проверки подлинности для OWA и ECP
Гибридная современная проверка подлинности теперь также может быть включена для OWA
и ECP
. Прежде чем продолжить, убедитесь, что выполнены необходимые условия .
После включения гибридной современной проверки подлинности для OWA
и ECP
каждый конечный пользователь и администратор, который пытается войти в OWA
систему или ECP
будет перенаправлен на страницу проверки подлинности Microsoft Entra ID. После успешной проверки подлинности пользователь будет перенаправлен на OWA
или ECP
.
Предварительные требования для включения гибридной современной проверки подлинности для OWA и ECP
Чтобы включить гибридную современную проверку подлинности для OWA
и ECP
, все удостоверения пользователей должны быть синхронизированы с Microsoft Entra ID.
Кроме того, важно установить настройку OAuth между Exchange Server локальной и Exchange Online, прежде чем можно будет выполнить дальнейшие действия по настройке.
Клиенты, которые уже запускали мастер гибридной конфигурации (HCW) для настройки гибридной среды, будут иметь конфигурацию OAuth. Если OAuth не был настроен ранее, это можно сделать, запустив HCW или выполнив действия, описанные в документации по настройке проверки подлинности OAuth между Exchange и Exchange Online организациями.
Перед внесением OwaVirtualDirectory
изменений рекомендуется документировать параметры и EcpVirtualDirectory
. Эта документация позволяет восстановить исходные параметры при возникновении каких-либо проблем после настройки функции.
Важно!
На всех серверах должно быть установлено по крайней мере обновление Exchange Server 2019 CU14. Они также должны запускать Exchange Server 2019 CU14 за апрель 2024 г. или более поздней версии.
Действия по включению гибридной современной проверки подлинности для OWA и ECP
Запросите
OWA
URL-адреса иECP
, настроенные в локальной среде Exchange Server . Это важно, так как они должны быть добавлены в качестве URL-адреса ответа в Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Установите модуль Microsoft Graph PowerShell, если он еще не установлен:
Install-Module Microsoft.Graph -Scope AllUsers
Подключитесь к Microsoft Entra ID с помощью этих инструкций. Чтобы предоставить согласие на необходимые разрешения, выполните следующую команду:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Укажите URL-адреса
OWA
иECP
:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
Обновите приложение с помощью URL-адресов ответа:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Убедитесь, что URL-адреса ответа успешно добавлены:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Чтобы включить Exchange Server локальную возможность выполнять гибридную современную проверку подлинности, выполните действия, описанные в разделе Включение HMA.
(Необязательно) Требуется только в том случае, если используются домены загрузки :
Create переопределить новый глобальный параметр, выполнив следующие команды из командной консоли Exchange с повышенными привилегиями (EMS). Выполните следующие команды на одном Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Необязательно) Требуется только в сценариях топологии леса ресурсов Exchange :
Добавьте следующие ключи в
<appSettings>
узел<ExchangeInstallPath>\ClientAccess\Owa\web.config
файла. Выполните это на каждой Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Create переопределить новый глобальный параметр, выполнив следующие команды из командной консоли Exchange с повышенными привилегиями (EMS). Выполните следующие команды на одном Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Чтобы включить гибридную современную проверку подлинности для
OWA
иECP
, необходимо сначала отключить любой другой метод проверки подлинности в этих виртуальных каталогах. Выполните следующие команды для каждогоOWA
иECP
виртуального каталога на каждом Exchange Server:Важно!
Эти команды важно выполнять в заданном порядке. В противном случае при выполнении команд отобразится сообщение об ошибке. После выполнения этих команд вход
OWA
в систему иECP
будет останавливаться до активации проверки подлинности OAuth для этих виртуальных каталогов.Кроме того, убедитесь, что все учетные записи синхронизированы, особенно учетные записи, используемые для администрирования для Microsoft Entra ID. В противном случае имя входа перестанет работать, пока не будет синхронизировано. Обратите внимание, что учетные записи, такие как встроенный администратор, не будут синхронизированы с Microsoft Entra ID и, следовательно, не могут использоваться для администрирования после включения HMA для OWA и ECP. Это связано с атрибутом
isCriticalSystemObject
, который имеет значениеTRUE
для некоторых учетных записей.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Включите OAuth для виртуального
OWA
каталога иECP
. Выполните следующие команды для каждогоOWA
иECP
виртуального каталога на каждом Exchange Server:Важно!
Эти команды важно выполнять в заданном порядке. В противном случае при выполнении команд отобразится сообщение об ошибке.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Использование гибридной современной проверки подлинности с Outlook для iOS и Android
Если вы являетесь локальным клиентом, использующим Exchange Server на TCP 443, разрешите сетевой трафик из следующих диапазонов IP-адресов:
52.125.128.0/20
52.127.96.0/23
Эти диапазоны IP-адресов также описаны в разделе Дополнительные конечные точки, не включенные в веб-службу Office 365 IP-адреса и URL-адреса.
Статьи по теме
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по