Så här konfigurerar du Exchange Server lokalt för användning av hybrid modernHow to configure Exchange Server on-premises to use Hybrid Modern Authentication

Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.This article applies to both Microsoft 365 Enterprise and Office 365 Enterprise.

Hybrid modern autentisering (HMA) är en metod för identitets hantering som erbjuder säkrare användar verifiering och-auktorisering och är tillgängligt för Exchange Server-lokala hybrid installationer.Hybrid Modern Authentication (HMA) is a method of identity management that offers more secure user authentication and authorization, and is available for Exchange server on-premises hybrid deployments.

ObserveraFYI

Innan vi börjar ringer jag:Before we begin, I call:

  • Hybrid modern, > HMAHybrid Modern Authentication > HMA

  • Exchange > lokalt valutakursExchange on-premises > EXCH

  • Exchange Online- > EXOExchange Online > EXO

Om en bild i den här artikeln har ett objekt som är nedtonat eller nedtonat, innebär det att elementet som visas i grått inte ingår i HMA-specifik konfiguration .Also, if a graphic in this article has an object that's 'grayed-out' or 'dimmed' that means the element shown in gray is not included in HMA-specific configuration .

Aktivera hybrid modernEnabling Hybrid Modern Authentication

Att aktivera HMA på medelvärden:Turning HMA on means:

  1. Det är bara att möta PreReqs innan du börjar.Being sure you meet the prereqs before you begin.

  2. Eftersom många förutsättningar är vanliga för både Skype för företag och Exchange, är hybrid modern verifiering och förutsättningar för att använda den med lokala Skype för företag-och Exchange-servrar.Since many prerequisites are common for both Skype for Business and Exchange, Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. Gör det innan du följer anvisningarna i den här artikeln.Do this before you begin any of the steps in this article.

  3. Lägga till lokala webb tjänst-URL: er som tjänst huvud namn (SPN) i Azure AD.Adding on-premises web service URLs as Service Principal Names (SPNs) in Azure AD.

  4. Kontrol lera att alla virtuella kataloger är aktiverade för HMAEnsuring all Virtual Directories are enabled for HMA

  5. Söker efter serverobjektet för EvoSTSChecking for the EvoSTS Auth Server object

  6. Aktivera HMA i VALUTAKURS.Enabling HMA in EXCH.

Obs! Stöder din version av Office MA?Note Does your version of Office support MA? Se hur modern inloggningsautentisering fungerar för office 2013-och Office 2016-klient program.See How modern authentication works for Office 2013 and Office 2016 client apps.

Kontrol lera att du uppfyller alla kravMake sure you meet all the prerequisites

Eftersom många förutsättningar är vanliga för både Skype för företag och Exchange bör du läsa hybridens översikt över modern och förutsättningar för att använda den med lokala Skype för företag-och Exchange-servrar.Since many prerequisites are common for both Skype for Business and Exchange, review Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. Gör det innan du följer anvisningarna i den här artikeln.Do this before you begin any of the steps in this article.

Lägga till lokala webb tjänst-URL: er som SPN i Azure ADAdd on-premises web service URLs as SPNs in Azure AD

Kör kommandona som tilldelar dina lokala webb tjänst-URL: er som Azure AD-SPN.Run the commands that assign your on-premises web service URLs as Azure AD SPNs. SPN används av klient datorer och enheter vid autentisering och auktorisering.SPNs are used by client machines and devices during authentication and authorization. Alla URL-adresser som kan användas för att ansluta från lokala platser till Azure Active Directory (Azure AD) måste vara registrerade i Azure AD (Detta inkluderar både interna och externa namn områden).All the URLs that might be used to connect from on-premises to Azure Active Directory (Azure AD) must be registered in Azure AD (this includes both internal and external namespaces).

Först samlar du in alla URL-adresser som du måste lägga till i AAD.First, gather all the URLs that you need to add in AAD. Kör dessa kommandon lokalt:Run these commands on-premises:

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*url*

Se till att URL-klienterna kan ansluta till är listade som HTTPS-tjänstens huvud namn i AAD.Ensure the URLs clients may connect to are listed as HTTPS service principal names in AAD.

  1. Först ansluter du till AAD med dessa instruktioner.First, connect to AAD with these instructions.

    Obs! Du måste använda alternativet Connect-MSOLService på den här sidan om du vill kunna använda kommandot nedan.Note You need to use the Connect-MsolService option from this page to be able to use the command below.

  2. För Exchange-relaterade URL-adresser skriver du följande kommando:For your Exchange related URLs, type the following command:

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
    

    Ta del av (och skärmdump för senare jämförelse) utdata för det här kommandot, vilket bör omfatta en https:// Autodiscover.yourdomain.com och https:// mail.yourdomain.com -URL, men i de flesta fall är SPN-namn som börjar med 00000002-0000-0ff1-CE00-000000000000/.Take note of (and screenshot for later comparison) the output of this command, which should include an https:// autodiscover.yourdomain.com and https:// mail.yourdomain.com URL, but mostly consist of SPNs that begin with 00000002-0000-0ff1-ce00-000000000000/. Om det finns https://URL-adresser från dina lokala platser måste vi lägga till dessa specifika poster i den här listan.If there are https:// URLs from your on-premises that are missing we will need to add those specific records to this list.

  3. Om du inte ser dina interna och externa MAPI/HTTP-, EWS-, ActiveSync-, OAB-och Autodiscover-poster i den här listan måste du lägga till dem med hjälp av kommandot nedan (exempel-URL: erna är " mail.corp.contoso.com " och " owa.contoso.com ", men du ersätter exempel URL-adresserna med din egen ):If you don't see your internal and external MAPI/HTTP, EWS, ActiveSync, OAB and Autodiscover records in this list, you must add them using the command below (the example URLs are 'mail.corp.contoso.com' and 'owa.contoso.com', but you'd replace the example URLs with your own ):

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
    $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. Verifiera att de nya posterna har lagts till genom att köra kommandot Get-MsolServicePrincipal från steg 2 igen och titta igenom resultatet.Verify your new records were added by running the Get-MsolServicePrincipal command from step 2 again, and looking through the output. Jämför listan/skärm bilden från den nya listan med SPN-namn (du kan också skriva in den nya listan för posterna).Compare the list / screenshot from before to the new list of SPNs (you may also screenshot the new list for your records). Om du lyckades ser du de två nya URL-adresserna i listan.If you were successful, you will see the two new URLs in the list. I vårt exempel kommer listan med SPN att inkludera specifika URL: er https://mail.corp.contoso.com och https://owa.contoso.com .Going by our example, the list of SPNs will now include the specific URLs https://mail.corp.contoso.com and https://owa.contoso.com.

Verifiera att virtuella kataloger är korrekt konfigureradeVerify Virtual Directories are Properly Configured

Verifiera att OAuth är korrekt aktive rad i Exchange på alla virtuella kataloger som Outlook kan använda genom att köra följande kommandon:Now verify OAuth is properly enabled in Exchange on all of the Virtual Directories Outlook might use by running the following commands:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Kontrol lera att OAuth är aktiverat på var och en av de här VDirs kommer det att se ut ungefär så här (och de viktigaste att titta på är ' OAuth '):Check the output to make sure OAuth is enabled on each of these VDirs, it will look something like this (and the key thing to look at is 'OAuth'):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Om OAuth saknas från någon server och någon av de fyra virtuella katalogerna måste du lägga till den med relevanta kommandon innan du fortsätter (set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, set-OABVirtualDirectoryoch set-AutodiscoverVirtualDirectory).If OAuth is missing from any server and any of the four virtual directories then you need to add it using the relevant commands before proceeding (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, and Set-AutodiscoverVirtualDirectory).

Bekräfta att EvoSTS-auth-objektet finnsConfirm the EvoSTS Auth Server Object is Present

Återvänd till det lokala Exchange Management Shell för det här senaste kommandot.Return to the on-premises Exchange Management Shell for this last command. Nu kan du kontrol lera att din lokala tjänst har en post för evoSTS-autentiseringsprovidern:Now you can validate that your on-premises has an entry for the evoSTS authentication provider:

Get-AuthServer | where {$_.Name -eq "EvoSts"}

Utdata ska visa en AuthServer av namnet EvoSts och läget ' Enabled ' ska vara sant.Your output should show an AuthServer of the Name EvoSts and the 'Enabled' state should be True. Om du inte ser det här ska du ladda ned och köra den senaste versionen av hybrid konfigurations guiden.If you don't see this, you should download and run the most recent version of the Hybrid Configuration Wizard.

Viktigt Om du kör Exchange 2010 i din miljö skapas inte EvoSTS.Important If you're running Exchange 2010 in your environment, the EvoSTS authentication provider won't be created.

Aktivera HMAEnable HMA

Kör följande kommando i Exchange Management Shell, lokalt:Run the following command in the Exchange Management Shell, on-premises:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

KontrollVerify

När du har aktiverat HMA använder klientens nästa inloggning det nya trafikflödet.Once you enable HMA, a client's next login will use the new auth flow. Observera att när du aktiverar HMA utlöses ingen omauktorisering för någon klient.Note that just turning on HMA won't trigger a re-authentication for any client. Klienterna autentiseras på nytt baserat på hur många autentiseringstoken och/eller vilka certifikat de har.The clients re-authenticate based on the lifetime of the auth tokens and/or certs they have.

Du bör även hålla ned CTRL-tangenten samtidigt som du högerklickar på ikonen för Outlook-klienten (även i Windows Notifications) och klickar på "anslutnings status".You should also hold down the CTRL key at the same time you right click the icon for the Outlook client (also in the Windows Notifications tray) and click 'Connection Status'. Leta efter klientens SMTP-adress mot "authn" * -typen, som representerar Bearer-token som används i OAuth.Look for the client's SMTP address against an 'Authn' type of 'Bearer*', which represents the bearer token used in OAuth.

Obs! Behöver du konfigurera Skype för företag med HMA?Note Need to configure Skype for Business with HMA? Du behöver två artiklar: en som visar en lista med topologier som stödsoch en som visar hurdu konfigurerar.You'll need two articles: One that lists supported topologies, and one that shows you how to do the configuration.

Använda hybrid modern inloggningsautentisering med Outlook för iOS och AndroidUsing hybrid Modern Authentication with Outlook for iOS and Android

Om du är lokal kund med Exchange Server på TCP 443 ska du Lägg följande IP-adressintervall:If you are an on-premises customer using Exchange server on TCP 443, please whitelist the following IP ranges:

52.125.128.0/20
52.127.96.0/23

Moderna konfigurations krav för inloggningsautentisering för över gång från Office 365 dedikerade/ITAR till vNextModern Authentication configuration requirements for transition from Office 365 dedicated/ITAR to vNext