Konfigurera lokala Exchange Server att använda modern hybridautentisering
Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.
Hybrid modern autentisering (HMA) är en metod för identitetshantering som ger säkrare användarautentisering och auktorisering, och är tillgänglig för Exchange lokala hybriddistributioner av Exchange server.
Definitioner
Innan vi börjar bör du känna till några definitioner:
HMA (Hybrid Modern > Authentication)
Exchange lokalt > EXCH
Exchange Online > EXO
Om en bild i den här artikeln har ett objekt som är nedtonat eller nedtonat innebär det att elementet som visas med grått inte ingår i HMA-specifik konfiguration.
Aktivera modern hybridautentisering
Om du slår på HMA innebär det att:
Att vara säker på att du uppfyller kraven innan du börjar.
Eftersom många krav är gemensamma för både Skype för företag och Exchange, översikt över hybrid modern autentisering och förutsättningar för att använda den med lokala Skype för företag och Exchange servrar. Gör detta innan du påbörjar något av stegen i den här artikeln. Krav för länkade postlådor som ska infogas.
Lägga till lokala webbtjänst-URL:er som servicehuvudnamn (SPN) i Azure AD. Om EXCH är i hybrid med flera innehavare måste dessa lokala webbtjänstwebbadresser läggas till som SPN i Azure AD för alla klientorganisationen som finns i hybrid med EXCH.
Kontrollera att alla virtuella kataloger är aktiverade för HMA
Söka efter objektet Enth Auth Server
Aktivera HMA i EXCH.
Anteckning
Stöder din version av Office MA? Se Hur modern autentisering fungerar för Office 2013 och Office 2016-klientappar.
Se till att du uppfyller alla krav
Eftersom det finns många krav som är gemensamma för både Skype för företag och Exchange bör du läsa Översikt över modern hybridautentisering och förutsättningar för att använda den med Skype för företag och Exchange-servrar. Gör detta innan du påbörjar något av stegen i den här artikeln.
Anteckning
Outlook Web App och Exchange fungerar inte med modern hybridautentisering.
Lägga till lokala webbtjänst-URL:er som SPN i Azure AD
Kör kommandona som tilldelar lokala webbtjänstwebbadresser som Azure AD SPN. SPN används av klientdatorer och enheter under autentisering och auktorisering. Alla URL:er som kan användas för att ansluta från lokala till Azure Active Directory (Azure AD) måste vara registrerade i Azure AD (detta omfattar både interna och externa namnområden).
Samla först in alla URL:er som du behöver lägga till i AAD. Kör följande kommandon lokalt:
Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*
Kontrollera att URL-klienterna kanske ansluter till visas som HTTPS-tjänstens huvudnamn i AAD. Om EXCH är i hybrid med flera klientorganisationar, ska dessa HTTPS-SPN läggas till i AAD för alla klientorganisationen i hybrid med EXCH.
Börja med att ansluta AAD med hjälp av de här instruktionerna.
Anteckning
Du måste använda Anslut-MsolService från den här sidan för att kunna använda kommandot nedan.
För dina Exchange-relaterade URL:er skriver du följande kommando:
Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNamesNotera (och skärmbilder för senare jämförelser) utdata för det här kommandot, som bör innehålla en och EN URL, men oftast består av
https://*autodiscover.yourdomain.com*https://*mail.yourdomain.com*SPN som börjar med00000002-0000-0ff1-ce00-000000000000/. Om dethttps://finns URL-adresser från din lokala plats som saknas, ska de specifika posterna läggas till i den här listan.Om du inte ser de interna och externa MAPI/HTTP-, EWS-, ActiveSync-, OAB- och autodiscover-posterna i den här listan måste du lägga till dem med hjälp av kommandot nedan (URL:erna är exemplet är och , men du ersätter exempeladresserna med dina
mail.corp.contoso.comowa.contoso.comegna):$x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/") $x.ServicePrincipalnames.Add("https://owa.contoso.com/") Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNamesKontrollera att de nya posterna har lagts till genom
Get-MsolServicePrincipalatt köra kommandot från steg 2 igen och titta igenom utdata. Jämför listan/skärmbilden före med den nya listan med SPN. Du kan också ta en skärmbild av den nya listan för dina poster. Om det lyckades visas de två nya webbadresserna i listan. Om vi går igenom exemplet innehåller listan med SPN nu specifika URL:erhttps://mail.corp.contoso.comochhttps://owa.contoso.com.
Kontrollera att virtuella kataloger är korrekt konfigurerade
Kontrollera nu att OAuth är korrekt aktiverat Exchange i alla virtuella kataloger som Outlook kan använda genom att köra följande kommandon:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Kontrollera resultatet för att kontrollera att OAuth är aktiverat för var och en av dessa VDirs, det ser ut ungefär så här (och det viktiga att titta på är "OAuth"):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Om OAuth saknas på en server och någon av de fyra virtuella katalogerna måste du lägga till den med relevanta kommandon innan du fortsätter (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectoryoch Set-AutodiscoverVirtualDirectory).
Bekräfta att The Ents Auth Server-objektet finns
Gå tillbaka till den lokala Exchange Management Shell för det senaste kommandot. Nu kan du verifiera att din lokala tjänst har en post för autentiseringsprovidern.
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Dina utdata bör visa authServer för Name EllerSts med ett GUID och "Enabled" -läget ska vara True. Om du inte ser det bör du ladda ned och köra den senaste versionen av hybridkonfigurationsguiden.
Anteckning
Om EXCH är i hybrid med flera innehavare bör utdata visa en autentiseringsserver för namnet för varje klientorganisation i hybrid med EXCH och aktiverat läge ska vara Sant för alla dessa EvoSts - {GUID} AuthServer-objekt.
Viktigt
Om du kör Exchange 2010 i din miljö skapas inte autentiseringsprovidern För det här företaget.
Aktivera HMA
Kör följande kommando i Exchange Management Shell lokalt och ersätter kommandoraden med strängen <GUID> i din miljö:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Anteckning
I äldre versioner av Hybrid Configuration Wizard hette Förts AuthServer helt enkelt Återsts utan att guiD har bifogats. Det finns ingen åtgärd du behöver vidta, ändra bara kommandoraden ovan för att återspegla detta genom att ta bort GUID-delen av kommandot:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Om EXCH-versionen är Exchange 2016 (CU18 eller senare) eller Exchange 2019 (CU7 eller senare) och hybrid konfigurerades med HCW som laddats ned efter september 2020, kör du följande kommando i Exchange Management Shell lokalt:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Anteckning
Om EXCH är i hybrid med flera innehavare finns det flera AuthServer-objekt i EXCH med domäner som motsvarar varje klientorganisation. Flaggan IsDefaultAuthorizationEndpoint ska vara inställd på true (med hjälp av cmdleten IsDefaultAuthorizationEndpoint) för något av dessa AuthServer-objekt. Den här flaggan kan inte ställas in på sant för alla Authserver-objekt och HMA aktiveras även om ett av authServer-objektets IsDefaultAuthorizationEndpoint-flagga är satt till true.
För parametern DomainName använder du värdet för klientdomänen, som vanligtvis finns i formuläret contoso.onmicrosoft.com .
Verifiera
När du har aktiverat HMA används det nya autentiseringsflödet för klientens nästa inloggning. Observera att när du aktiverar HMA utlöses ingen nyauthentication för någon klient, och det kan ta en stund för Exchange att hämta de nya inställningarna.
Du bör också hålla ned CTRL-tangenten samtidigt som du högerklickar på ikonen för Outlook-klienten (även i meddelandefältet i Windows) och klickar på "Anslutningsstatus". Leta efter klientens SMTP-adress mot en Authn-typ av , som representerar den Bearer\* bearer-token som används i OAuth.
Anteckning
Behöver du konfigurera Skype för företag med HMA? Du behöver två artiklar: en som innehåller topologiersom stöds och en som visar hur du gör konfigurationen.
Använda modern hybridautentisering med Outlook för iOS och Android
Om du är en lokal kund som använder Exchange på TCP 443 tillåter du nätverkstrafik från följande IP-intervall:
52.125.128.0/20
52.127.96.0/23
Dessa IP-adressintervall beskrivs också i Ytterligare slutpunkter som inte ingår Office 365 i IP-adress- och URL-webbtjänsten.
Relaterade ämnen
Konfigurationskrav för modern autentisering för övergång Office 365 dedikerad/ITAR till vNext