Så här konfigurerar du Exchange Server lokalt för att använda modern hybridautentisering
Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.
Hybrid Modern Authentication (HMA) är en metod för identitetshantering som erbjuder säkrare användarautentisering och auktorisering och är tillgänglig för lokala hybriddistributioner i Exchange Server.
Aktivera modern hybridautentisering
Om du aktiverar HMA måste din miljö uppfylla följande:
Kontrollera att du uppfyller kraven innan du börjar.
Eftersom många krav är gemensamma för både Skype för företag och Exchange kan du läsa dem i översikten över modern hybridautentisering och krav för att använda den med lokala Skype för företag- och Exchange-servrar. Gör detta innan du påbörjar något av stegen i den här artikeln. Krav för länkade postlådor som ska infogas.
Lägg till lokala webbtjänst-URL:er som tjänsthuvudnamn (SPN) i Microsoft Entra ID. Om Exchange on-premises är i hybrid med flera klienter måste dessa lokala webbtjänst-URL:er läggas till som SPN i Microsoft Entra ID för alla klienter, som är i hybrid med Exchange on-premises.
Kontrollera att alla virtuella kataloger är aktiverade för HMA
Sök efter EvoSTS Auth Server-objektet
Kontrollera att Exchange Server OAuth-certifikatet är giltigt
Kontrollera att alla användaridentiteter är synkroniserade med Microsoft Entra ID
Aktivera HMA lokalt i Exchange.
Obs!
Stöder din version av Office MA? Se Hur modern autentisering fungerar för Office 2013- och Office 2016-klientappar.
Varning
Det går inte att publicera Outlook Web App och Exchange Kontrollpanelen via Microsoft Entra programproxy.
Lägg till lokala webbtjänst-URL:er som SPN i Microsoft Entra ID
Kör kommandona som tilldelar dina lokala webbtjänst-URL:er som Microsoft Entra SPN. SPN används av klientdatorer och enheter under autentisering och auktorisering. Alla URL:er som kan användas för att ansluta från lokal plats till Microsoft Entra ID måste registreras i Microsoft Entra ID (inklusive både interna och externa namnområden).
Kör först följande kommandon på din Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
Kontrollera att URL:erna som klienterna kan ansluta till visas som HTTPS-tjänstens huvudnamn i Microsoft Entra ID. Om Exchange on-premises är i hybrid med flera klienter, bör dessa HTTPS-SPN:er läggas till i Microsoft Entra ID för alla klienter i hybrid med Exchange on-premises.
Installera Microsoft Graph PowerShell-modulen:
Install-Module Microsoft.Graph -Scope AllUsers
Anslut sedan till Microsoft Entra ID med de här anvisningarna. Om du vill godkänna de behörigheter som krävs kör du följande kommando:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
För dina Exchange-relaterade URL:er skriver du följande kommando:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Anteckna (och skärmbild för senare jämförelse) utdata för det här kommandot, som ska innehålla en
https://*autodiscover.yourdomain.com*
ochhttps://*mail.yourdomain.com*
URL, men som huvudsakligen består av SPN:er som börjar med00000002-0000-0ff1-ce00-000000000000/
. Om det finnshttps://
URL:er från din lokala plats som saknas, bör dessa specifika poster läggas till i den här listan.Om du inte ser dina interna och externa
MAPI/HTTP
poster ,EWS
,ActiveSync
,OAB
ochAutodiscover
i den här listan måste du lägga till dem. Använd följande kommando för att lägga till alla URL:er som saknas:Viktigt
I vårt exempel är
mail.corp.contoso.com
url:erna som ska läggas till ochowa.contoso.com
. Se till att de ersätts av de URL:er som har konfigurerats i din miljö.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Kontrollera att dina nya poster har lagts till genom att köra
Get-MsolServicePrincipal
kommandot från steg 2 igen och titta igenom utdata. Jämför listan/skärmbilden från tidigare med den nya listan med SPN:er. Du kan också ta en skärmbild av den nya listan för dina poster. Om du lyckas visas de två nya URL:erna i listan. I vårt exempel innehåller listan med SPN:er nu specifika URL:erhttps://mail.corp.contoso.com
ochhttps://owa.contoso.com
.
Kontrollera att virtuella kataloger är korrekt konfigurerade
Kontrollera nu att OAuth är korrekt aktiverat i Exchange på alla virtuella kataloger som Outlook kan använda genom att köra följande kommandon:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Kontrollera utdata för att se till att OAuth är aktiverat på var och en av dessa VDirs. Det ser ut ungefär så här (och det viktigaste att titta på är "OAuth"):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Om OAuth saknas på någon server och någon av de fyra virtuella katalogerna måste du lägga till den med hjälp av relevanta kommandon innan du fortsätter (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory och Set-AutodiscoverVirtualDirectory).
Bekräfta att EvoSTS-autentiseringsserverobjektet finns
Gå tillbaka till det lokala Exchange Management Shell för det här sista kommandot. Nu kan du kontrollera att din lokala leverantör har en post för evoSTS-autentiseringsprovidern:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Dina utdata bör visa en AuthServer med namnet EvoSts med ett GUID och tillståndet "Aktiverad" ska vara Sant. Annars bör du ladda ned och köra den senaste versionen av hybridkonfigurationsguiden.
Obs!
Om Exchange on-premises är i hybrid med flera klienter bör dina utdata visa en AuthServer med namnet EvoSts - {GUID}
för varje klientorganisation i hybrid med Exchange on-premises och tillståndet Aktiverad ska vara Sant för alla dessa AuthServer-objekt.
Viktigt
Om du kör Exchange 2010 i din miljö skapas inte EvoSTS-autentiseringsprovidern.
Aktivera HMA
Kör följande kommando i Exchange Management Shell lokalt och ersätt <GUID> på kommandoraden med GUID från utdata från det senaste kommandot som du körde:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Obs!
I äldre versioner av hybridkonfigurationsguiden hette EvoSts AuthServer helt enkelt EvoSTS utan ett GUID kopplat. Du behöver inte utföra någon åtgärd. Ändra bara föregående kommandorad så att den återspeglar detta genom att ta bort GUID-delen av kommandot:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Om den lokala Exchange-versionen är Exchange 2016 (CU18 eller högre) eller Exchange 2019 (CU7 eller senare) och hybrid har konfigurerats med HCW som laddats ned efter september 2020 kör du följande kommando i Exchange Management Shell lokalt:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Obs!
Om Exchange on-premises är i hybrid med flera klientorganisationer finns det flera AuthServer-objekt i Exchange on-premises med domäner som motsvarar varje klientorganisation. Flaggan IsDefaultAuthorizationEndpoint ska vara inställd på true (med cmdleten IsDefaultAuthorizationEndpoint ) för något av dessa AuthServer-objekt. Den här flaggan kan inte anges till true för alla Authserver-objekt och HMA skulle aktiveras även om ett av AuthServer-objektets IsDefaultAuthorizationEndpoint-flagga är inställd på true.
Obs!
För parametern DomainName använder du klientdomänvärdet, som vanligtvis är i formatet contoso.onmicrosoft.com
.
Kontrollera
När du aktiverar HMA använder en klients nästa inloggning det nya autentiseringsflödet. Att bara aktivera HMA utlöser inte någon omautentisering för någon klient, och det kan ta en stund för Exchange att hämta de nya inställningarna.
Du bör också hålla ned CTRL-tangenten samtidigt som du högerklickar på ikonen för Outlook-klienten (även i meddelandefältet i Windows) och väljer Anslutningsstatus. Leta efter klientens SMTP-adress mot en AuthN-typ av Bearer\*
, som representerar ägartoken som används i OAuth.
Obs!
Behöver du konfigurera Skype för företag med HMA? Du behöver två artiklar: En som visar en lista över topologier som stöds och en som visar hur du utför konfigurationen.
Aktivera modern hybridautentisering för OWA och ECP
Modern hybridautentisering kan nu också aktiveras för OWA
och ECP
. Kontrollera att kraven är uppfyllda innan du fortsätter.
När modern hybridautentisering har aktiverats för OWA
och ECP
omdirigeras varje slutanvändare och administratör som försöker logga in på OWA
eller ECP
till sidan Microsoft Entra ID autentisering först. När autentiseringen har slutförts omdirigeras användaren till OWA
eller ECP
.
Krav för att aktivera modern hybridautentisering för OWA och ECP
Om du vill aktivera modern hybridautentisering för OWA
och ECP
måste alla användaridentiteter synkroniseras med Microsoft Entra ID.
Utöver detta är det viktigt att OAuth-konfigurationen mellan Exchange Server lokalt och Exchange Online har upprättats innan ytterligare konfigurationssteg kan utföras.
Kunder som redan har kört hybridkonfigurationsguiden (HCW) för att konfigurera hybriden har en OAuth-konfiguration på plats. Om OAuth inte har konfigurerats tidigare kan det göras genom att köra HCW eller genom att följa stegen som beskrivs i dokumentationen Konfigurera OAuth-autentisering mellan Exchange och Exchange Online organisationer.
Vi rekommenderar att du dokumenterar OwaVirtualDirectory
inställningarna och EcpVirtualDirectory
innan du gör några ändringar. Med den här dokumentationen kan du återställa de ursprungliga inställningarna om det uppstår problem när du har konfigurerat funktionen.
Viktigt
Alla servrar måste ha minst den Exchange Server 2019 CU14-uppdateringen installerad. De måste också köra Exchange Server 2019 CU14 April 2024 HU eller en senare uppdatering.
Steg för att aktivera modern hybridautentisering för OWA och ECP
Fråga url:erna
OWA
ochECP
som har konfigurerats på din Exchange Server lokalt . Detta är viktigt eftersom de måste läggas till som svars-URL till Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Installera Microsoft Graph PowerShell-modulen om den ännu inte har installerats:
Install-Module Microsoft.Graph -Scope AllUsers
Anslut till Microsoft Entra ID med de här anvisningarna. Om du vill godkänna de behörigheter som krävs kör du följande kommando:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Ange url
OWA
:er ochECP
:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
Uppdatera ditt program med svars-URL:erna:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Kontrollera att svars-URL:erna har lagts till:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Om du vill aktivera Exchange Server lokal möjlighet att utföra modern hybridautentisering följer du stegen som beskrivs i avsnittet Aktivera HMA.
(Valfritt) Krävs endast om nedladdningsdomäner används:
Skapa en ny global inställning åsidosätter genom att köra följande kommandon från ett upphöjt Exchange Management Shell (EMS). Kör följande kommandon på en Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Valfritt) Krävs endast i scenarier med Exchange-resursskogstopologi :
Lägg till följande nycklar till
<appSettings>
noden i<ExchangeInstallPath>\ClientAccess\Owa\web.config
filen. Gör detta på varje Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Skapa en ny global inställning åsidosätter genom att köra följande kommandon från ett upphöjt Exchange Management Shell (EMS). Kör följande kommandon på en Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Om du vill aktivera modern hybridautentisering för
OWA
ochECP
måste du först inaktivera andra autentiseringsmetoder på dessa virtuella kataloger. Kör följande kommandon för varjeOWA
virtuellECP
katalog på varje Exchange Server:Viktigt
Det är viktigt att köra dessa kommandon i den angivna ordningen. Annars visas ett felmeddelande när du kör kommandona. När du har kört dessa kommandon kommer inloggningen till
OWA
ochECP
sluta fungera tills OAuth-autentiseringen för dessa virtuella kataloger har aktiverats.Kontrollera också att alla konton är synkroniserade, särskilt de konton som används för administration för att Microsoft Entra ID. Annars slutar inloggningen att fungera tills de har synkroniserats. Observera att konton, till exempel den inbyggda administratören, inte synkroniseras med Microsoft Entra ID och därför inte kan användas för administration när HMA för OWA och ECP har aktiverats. Detta beror på
isCriticalSystemObject
attributet som är inställt påTRUE
för vissa konton.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Aktivera OAuth för den
OWA
virtuella katalogen ochECP
. Kör följande kommandon för varjeOWA
virtuellECP
katalog på varje Exchange Server:Viktigt
Det är viktigt att köra dessa kommandon i den angivna ordningen. Annars visas ett felmeddelande när du kör kommandona.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Använda modern hybridautentisering med Outlook för iOS och Android
Om du är en lokal kund som använder Exchange Server på TCP 443 tillåter du nätverkstrafik från följande IP-intervall:
52.125.128.0/20
52.127.96.0/23
Dessa IP-adressintervall dokumenteras också i Ytterligare slutpunkter som inte ingår i Office 365 IP-adress och URL-webbtjänst.
Relaterade artiklar
Konfigurationskrav för modern autentisering för övergång från Office 365 dedikerad/ITAR till vNext
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för