Konfigurera lokala Exchange Server att använda modern hybridautentisering

Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.

Hybrid modern autentisering (HMA) är en metod för identitetshantering som ger säkrare användarautentisering och auktorisering, och är tillgänglig för Exchange lokala hybriddistributioner av Exchange server.

Definitioner

Innan vi börjar bör du känna till några definitioner:

  • HMA (Hybrid Modern > Authentication)

  • Exchange lokalt > EXCH

  • Exchange Online > EXO

Om en bild i den här artikeln har ett objekt som är nedtonat eller nedtonat innebär det att elementet som visas med grått inte ingår i HMA-specifik konfiguration.

Aktivera modern hybridautentisering

Om du slår på HMA innebär det att:

  1. Att vara säker på att du uppfyller kraven innan du börjar.

  2. Eftersom många krav är gemensamma för både Skype för företag och Exchange, översikt över hybrid modern autentisering och förutsättningar för att använda den med lokala Skype för företag och Exchange servrar. Gör detta innan du påbörjar något av stegen i den här artikeln. Krav för länkade postlådor som ska infogas.

  3. Lägga till lokala webbtjänst-URL:er som servicehuvudnamn (SPN) i Azure AD. Om EXCH är i hybrid med flera innehavare måste dessa lokala webbtjänstwebbadresser läggas till som SPN i Azure AD för alla klientorganisationen som finns i hybrid med EXCH.

  4. Kontrollera att alla virtuella kataloger är aktiverade för HMA

  5. Söka efter objektet Enth Auth Server

  6. Aktivera HMA i EXCH.

Se till att du uppfyller alla krav

Eftersom det finns många krav som är gemensamma för både Skype för företag och Exchange bör du läsa Översikt över modern hybridautentisering och förutsättningar för att använda den med Skype för företag och Exchange-servrar. Gör detta innan du påbörjar något av stegen i den här artikeln.

Anteckning

Outlook Web App och Exchange fungerar inte med modern hybridautentisering.

Lägga till lokala webbtjänst-URL:er som SPN i Azure AD

Kör kommandona som tilldelar lokala webbtjänstwebbadresser som Azure AD SPN. SPN används av klientdatorer och enheter under autentisering och auktorisering. Alla URL:er som kan användas för att ansluta från lokala till Azure Active Directory (Azure AD) måste vara registrerade i Azure AD (detta omfattar både interna och externa namnområden).

Samla först in alla URL:er som du behöver lägga till i AAD. Kör följande kommandon lokalt:

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*

Kontrollera att URL-klienterna kanske ansluter till visas som HTTPS-tjänstens huvudnamn i AAD. Om EXCH är i hybrid med flera klientorganisationar, ska dessa HTTPS-SPN läggas till i AAD för alla klientorganisationen i hybrid med EXCH.

  1. Börja med att ansluta AAD med hjälp av de här instruktionerna.

    Anteckning

    Du måste använda Anslut-MsolService från den här sidan för att kunna använda kommandot nedan.

  2. För dina Exchange-relaterade URL:er skriver du följande kommando:

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
    

    Notera (och skärmbilder för senare jämförelser) utdata för det här kommandot, som bör innehålla en och EN URL, men oftast består av https://*autodiscover.yourdomain.com* https://*mail.yourdomain.com* SPN som börjar med 00000002-0000-0ff1-ce00-000000000000/ . Om det https:// finns URL-adresser från din lokala plats som saknas, ska de specifika posterna läggas till i den här listan.

  3. Om du inte ser de interna och externa MAPI/HTTP-, EWS-, ActiveSync-, OAB- och autodiscover-posterna i den här listan måste du lägga till dem med hjälp av kommandot nedan (URL:erna är exemplet är och , men du ersätter exempeladresserna med dina mail.corp.contoso.com owa.contoso.com egna):

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
    $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. Kontrollera att de nya posterna har lagts till genom Get-MsolServicePrincipal att köra kommandot från steg 2 igen och titta igenom utdata. Jämför listan/skärmbilden före med den nya listan med SPN. Du kan också ta en skärmbild av den nya listan för dina poster. Om det lyckades visas de två nya webbadresserna i listan. Om vi går igenom exemplet innehåller listan med SPN nu specifika URL:er https://mail.corp.contoso.com och https://owa.contoso.com .

Kontrollera att virtuella kataloger är korrekt konfigurerade

Kontrollera nu att OAuth är korrekt aktiverat Exchange i alla virtuella kataloger som Outlook kan använda genom att köra följande kommandon:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Kontrollera resultatet för att kontrollera att OAuth är aktiverat för var och en av dessa VDirs, det ser ut ungefär så här (och det viktiga att titta på är "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Om OAuth saknas på en server och någon av de fyra virtuella katalogerna måste du lägga till den med relevanta kommandon innan du fortsätter (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectoryoch Set-AutodiscoverVirtualDirectory).

Bekräfta att The Ents Auth Server-objektet finns

Gå tillbaka till den lokala Exchange Management Shell för det senaste kommandot. Nu kan du verifiera att din lokala tjänst har en post för autentiseringsprovidern.

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Dina utdata bör visa authServer för Name EllerSts med ett GUID och "Enabled" -läget ska vara True. Om du inte ser det bör du ladda ned och köra den senaste versionen av hybridkonfigurationsguiden.

Anteckning

Om EXCH är i hybrid med flera innehavare bör utdata visa en autentiseringsserver för namnet för varje klientorganisation i hybrid med EXCH och aktiverat läge ska vara Sant för alla dessa EvoSts - {GUID} AuthServer-objekt.

Viktigt

Om du kör Exchange 2010 i din miljö skapas inte autentiseringsprovidern För det här företaget.

Aktivera HMA

Kör följande kommando i Exchange Management Shell lokalt och ersätter kommandoraden med strängen <GUID> i din miljö:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Anteckning

I äldre versioner av Hybrid Configuration Wizard hette Förts AuthServer helt enkelt Återsts utan att guiD har bifogats. Det finns ingen åtgärd du behöver vidta, ändra bara kommandoraden ovan för att återspegla detta genom att ta bort GUID-delen av kommandot:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Om EXCH-versionen är Exchange 2016 (CU18 eller senare) eller Exchange 2019 (CU7 eller senare) och hybrid konfigurerades med HCW som laddats ned efter september 2020, kör du följande kommando i Exchange Management Shell lokalt:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Anteckning

Om EXCH är i hybrid med flera innehavare finns det flera AuthServer-objekt i EXCH med domäner som motsvarar varje klientorganisation. Flaggan IsDefaultAuthorizationEndpoint ska vara inställd på true (med hjälp av cmdleten IsDefaultAuthorizationEndpoint) för något av dessa AuthServer-objekt. Den här flaggan kan inte ställas in på sant för alla Authserver-objekt och HMA aktiveras även om ett av authServer-objektets IsDefaultAuthorizationEndpoint-flagga är satt till true.

För parametern DomainName använder du värdet för klientdomänen, som vanligtvis finns i formuläret contoso.onmicrosoft.com .

Verifiera

När du har aktiverat HMA används det nya autentiseringsflödet för klientens nästa inloggning. Observera att när du aktiverar HMA utlöses ingen nyauthentication för någon klient, och det kan ta en stund för Exchange att hämta de nya inställningarna.

Du bör också hålla ned CTRL-tangenten samtidigt som du högerklickar på ikonen för Outlook-klienten (även i meddelandefältet i Windows) och klickar på "Anslutningsstatus". Leta efter klientens SMTP-adress mot en Authn-typ av , som representerar den Bearer\* bearer-token som används i OAuth.

Anteckning

Behöver du konfigurera Skype för företag med HMA? Du behöver två artiklar: en som innehåller topologiersom stöds och en som visar hur du gör konfigurationen.

Använda modern hybridautentisering med Outlook för iOS och Android

Om du är en lokal kund som använder Exchange på TCP 443 tillåter du nätverkstrafik från följande IP-intervall:

52.125.128.0/20
52.127.96.0/23

Dessa IP-adressintervall beskrivs också i Ytterligare slutpunkter som inte ingår Office 365 i IP-adress- och URL-webbtjänsten.

Konfigurationskrav för modern autentisering för övergång Office 365 dedikerad/ITAR till vNext