كيفية تكوين Exchange Server محليا لاستخدام المصادقة الحديثة المختلطة

2024-12-05

نظرة عامة

المصادقة الحديثة المختلطة (HMA) في Microsoft Exchange Server هي ميزة تسمح للمستخدمين بالوصول إلى علب البريد، التي تتم استضافتها محليا، باستخدام رموز التخويل المميزة التي تم الحصول عليها من السحابة.

تمكن HMA Outlook من الحصول على رموز OAuth المميزة للوصول والتحديث من Microsoft Entra ID، إما مباشرة لمزامنة تجزئة كلمة المرور أو Pass-Through هويات المصادقة، أو من خدمة الرمز المميز الآمن (STS) الخاصة بها للهويات الموحدة. يقبل Exchange المحلي هذه الرموز المميزة ويوفر الوصول إلى علبة البريد. يتم تحديد طريقة الحصول على هذه الرموز المميزة وبيانات الاعتماد المطلوبة من خلال قدرات موفر الهوية (iDP)، والتي يمكن أن تتراوح من اسم مستخدم وكلمة مرور بسيطين إلى أساليب أكثر تعقيدا مثل الشهادات أو المصادقة الهاتفية أو الأساليب البيومترية.

لكي يعمل HMA، يجب أن تكون هوية المستخدم موجودة في Microsoft Entra ID، وبعض التكوين مطلوب، والذي تتم معالجته بواسطة معالج تكوين Exchange المختلط (HCW).

بالمقارنة مع أساليب المصادقة القديمة مثل NTLM، تقدم HMA العديد من المزايا. يوفر أسلوب مصادقة أكثر أمانا ومرونة، والاستفادة من قوة المصادقة المستندة إلى السحابة. على عكس NTLM، الذي يعتمد على آلية الاستجابة للتحدي ولا يدعم بروتوكولات المصادقة الحديثة، يستخدم HMA رموز OAuth المميزة، وهي أكثر أمانا وتوفر إمكانية تشغيل أفضل للتشغيل التفاعلي.

HMA هي ميزة قوية تعزز مرونة وأمان الوصول إلى التطبيقات المحلية، والاستفادة من قوة المصادقة المستندة إلى السحابة. وهو يمثل تحسنا كبيرا على أساليب المصادقة القديمة، مما يوفر أمانا ومرونة وراحة للمستخدم.

الخطوات التي يجب اتباعها لتكوين المصادقة الحديثة المختلطة وتمكينها

لتمكين المصادقة الحديثة المختلطة (HMA)، يجب التأكد من أن مؤسستك تفي بجميع المتطلبات الأساسية الضرورية. بالإضافة إلى ذلك، يجب عليك التأكد من أن عميل Office متوافق مع المصادقة الحديثة. لمزيد من التفاصيل، راجع الوثائق حول كيفية عمل المصادقة الحديثة لتطبيقات عميل Office 2013 وOffice 2016.

تأكد من تلبية المتطلبات الأساسية قبل البدء.
أضف عناوين URL لخدمة الويب المحلية إلى Microsoft Entra ID. يجب إضافة عناوين URL ك Service Principal Names (SPNs). في حالة أن إعداد Exchange Server الخاص بك مختلط مع مستأجرين متعددين، يجب إضافة عناوين URL لخدمة الويب المحلية هذه ك SPNs في Microsoft Entra ID لجميع المستأجرين، والتي تكون مختلطة مع Exchange Server محليا.
تأكد من تمكين جميع الدلائل الظاهرية ل HMA. إذا كنت ترغب في تكوين المصادقة الحديثة المختلطة ل Outlook على الويب (OWA) وExchange لوحة التحكم (ECP)، فمن المهم أيضا التحقق من الدلائل المعنية.
تحقق من كائن EvoSTS Auth Server.
تأكد من صحة شهادة OAuth Exchange Server. يمكن استخدام البرنامج النصي MonitorExchangeAuthCertificate للتحقق من صحة شهادة OAuth. في حالة انتهاء صلاحيته، يساعد البرنامج النصي في عملية التجديد.
تأكد من مزامنة جميع هويات المستخدمين مع Microsoft Entra ID، خاصة جميع الحسابات، التي يتم استخدامها للإدارة. وإلا، يتوقف تسجيل الدخول عن العمل حتى تتم مزامنتها. لن تتم مزامنة الحسابات، مثل المسؤول المضمن، أبدا مع Microsoft Entra ID، وبالتالي، لا يمكن استخدامها على أي تسجيل دخول OAuth بمجرد تمكين HMA. يرجع هذا السلوك إلى السمة isCriticalSystemObject التي تم تعيينها إلى True لبعض الحسابات بما في ذلك المسؤول الافتراضي.
(اختياري) إذا كنت تريد استخدام عميل Outlook for iOS وAndroid، فتأكد من السماح لخدمة الكشف التلقائي بالاتصال Exchange Server.
تمكين HMA في Exchange المحلي.

المتطلبات الأساسية لتمكين المصادقة الحديثة المختلطة

في هذا القسم، نقدم معلومات وخطوات يجب القيام بها لتكوين المصادقة الحديثة المختلطة وتمكينها بنجاح في Microsoft Exchange Server.

Exchange Server متطلبات أساسية محددة

يجب أن تفي خوادم Exchange بالمتطلبات التالية قبل تكوين المصادقة الحديثة المختلطة وتمكينها. في حالة وجود تكوين مختلط، يجب تشغيل آخر تحديث تراكمي (CU) ليكون في حالة مدعومة. يمكنك العثور على إصدارات Exchange Server المدعومة والبناء في مصفوفة Exchange Server قابلية الدعم. يجب تكوين المصادقة الحديثة المختلطة بشكل موحد عبر جميع خوادم Exchange داخل مؤسستك. التنفيذ الجزئي، حيث يتم تمكين HMA على مجموعة فرعية فقط من الخوادم، غير مدعوم.

تأكد من عدم وجود خوادم Exchange في نهاية العمر الافتراضي في المؤسسة.
Exchange Server 2016 يجب تشغيل CU8 أو أحدث.
يجب تشغيل Exchange Server 2019 CU1 أو أحدث.
تأكد من أن جميع الخوادم يمكنها الاتصال بالإنترنت. إذا كان الوكيل مطلوبا، فكون Exchange Server لاستخدامه.
إذا كان لديك بالفعل تكوين مختلط، فتأكد من أنه توزيع مختلط كلاسيكي لأن المختلط الحديث لا يدعم HMA.
تأكد من عدم استخدام إلغاء تحميل SSL (غير مدعوم). ومع ذلك، يمكن استخدام سد SSL ودعمه.

يمكن أيضا العثور على مزيد من المعلومات في نظرة عامة على المصادقة الحديثة المختلطة والمتطلبات الأساسية لاستخدامها مع وثائق خوادم Skype for Business وExchange المحلية.

البروتوكولات التي تعمل مع المصادقة الحديثة المختلطة

تعمل المصادقة الحديثة المختلطة لبروتوكولات Exchange Server التالية:

بروتوكول	المصادقة الحديثة المختلطة المدعومة
MAPI عبر HTTP (MAPI/HTTP)	نعم
Outlook في أي مكان (RPC/HTTP)	لا
Exchange Active Sync (EAS)	نعم
Exchange Web Services (EWS)	نعم
Outlook على الويب (OWA)	نعم
Exchange مسؤول Center (ECP)	نعم
دفتر العناوين غير المتصل (OAB)	نعم
IMAP	لا
فقع	لا

إضافة عناوين URL لخدمة الويب المحلية ك SPNs في Microsoft Entra ID

قم بتشغيل الأوامر التي تعين عناوين URL لخدمة الويب المحلية ك Microsoft Entra SPNs. يتم استخدام SPNs بواسطة أجهزة العميل والأجهزة أثناء المصادقة والتخويل. يجب تسجيل جميع عناوين URL التي قد تستخدم للاتصال من أماكن العمل إلى Microsoft Entra ID في Microsoft Entra ID (بما في ذلك مساحات الأسماء الداخلية والخارجية).

أولا، قم بتشغيل الأوامر التالية على Microsoft Exchange Server:
```
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
```
تأكد من إدراج عملاء عناوين URL التي قد يتصلون بها كأسماء أساسية لخدمة HTTPS في Microsoft Entra ID. في حال كان Exchange المحلي مختلطا مع مستأجرين متعددين، يجب إضافة شبكات HTTPS SPN هذه في Microsoft Entra ID لجميع المستأجرين المختلطين مع Exchange المحلي.
تثبيت الوحدة النمطية Microsoft Graph PowerShell:
```
Install-Module Microsoft.Graph -Scope AllUsers
```
بعد ذلك، اتصل Microsoft Entra ID باتباع هذه الإرشادات. للموافقة على الأذونات المطلوبة، قم بتشغيل الأمر التالي:
```
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
```
بالنسبة لعناوين URL المتعلقة ب Exchange، اكتب الأمر التالي:
```
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
```
لاحظ (ولقطة شاشة للمقارنة اللاحقة) إخراج هذا الأمر، والذي يجب أن يتضمن عنوان URL https://*autodiscover.yourdomain.com* و https://*mail.yourdomain.com* ، ولكن يتكون في الغالب من SPNs التي تبدأ ب 00000002-0000-0ff1-ce00-000000000000/. إذا كانت هناك https:// عناوين URL من مؤسستك Exchange Server المحلية مفقودة، فيجب إضافة هذه السجلات المحددة إلى هذه القائمة.
إذا كنت لا ترى سجلات MAPI/HTTP الداخلية والخارجية وEWS وActiveSync وOAB وAutodiscover في هذه القائمة، فيجب إضافتها باستخدام الأمر أدناه (مثال عناوين URL هي mail.corp.contoso.com و owa.contoso.com، ولكن يمكنك استبدال عناوين URL المثال بعناوين URL الخاصة بك). تأكد من تضمين سجل AutoDiscover العام لمجالك (على سبيل المثال autodiscover.contoso.com) أيضا:
```
$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
$x.ServicePrincipalNames += "https://owa.contoso.com/"
$x.ServicePrincipalNames += "https://autodiscover.contoso.com/"
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
```
تحقق من إضافة سجلاتك الجديدة عن طريق تشغيل Get-MgServicePrincipal الأمر من الخطوة 4 مرة أخرى، والتحقق من صحة الإخراج. قارن القائمة من قبل بالقائمة الجديدة من SPNs. يمكنك أيضا تدوين القائمة الجديدة لسجلاتك. إذا نجحت، يجب أن تشاهد عنواني URL الجديدين في القائمة. من خلال مثالنا، تتضمن قائمة SPNs الآن عناوين URL https://mail.corp.contoso.com المحددة و https://owa.contoso.com.

التحقق من تكوين الدلائل الظاهرية بشكل صحيح

تحقق الآن من تمكين OAuth بشكل صحيح في Exchange على جميع الدلائل الظاهرية التي قد يستخدمها Outlook عن طريق تشغيل الأوامر التالية:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

تحقق من الإخراج للتأكد من OAuth تمكين كل دليل من هذه الدلائل الظاهرية، يبدو شيئا مثل هذا (والشيء الرئيسي الذي يجب النظر إليه هو OAuth كما ذكر من قبل):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

إذا كان OAuth مفقودا من أي خادم وأي من الدلائل الظاهرية الخمسة، فستحتاج إلى إضافته باستخدام الأوامر ذات الصلة قبل المتابعة (Set-MapiVirtualDirectory و Set-WebServicesVirtualDirectory و Set-OABVirtualDirectory و Set-AutodiscoverVirtualDirectory) و Set-ActiveSyncVirtualDirectory.

تأكد من وجود كائن خادم مصادقة EvoSTS

الآن في Exchange Server إدارة Shell المحلية (EMS) قم بتشغيل هذا الأمر الأخير. يمكنك التحقق من أن Exchange Server المحلية ترجع إدخالا لموفر مصادقة evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

يجب أن يظهر الإخراج الخاص بك AuthServer للاسم EvoSts - <GUID>Enabled ويجب أن تكون Trueالحالة . إذا لم يكن الأمر كذلك، يجب تنزيل أحدث إصدار من معالج التكوين المختلط وتشغيله.

في حالة تشغيل Exchange Server المحلي لتكوين مختلط مع مستأجرين متعددين، يظهر الإخراج الخاص بك AuthServer واحدا مع الاسم EvoSts - <GUID> لكل مستأجر في مختلط مع Exchange Server محليا Enabled ويجب أن تكون True الحالة لجميع كائنات AuthServer هذه. يرجى تدوين ملاحظة للمعرف EvoSts - <GUID>، حيث سيكون مطلوبا في الخطوة التالية.

تمكين HMA

قم بتشغيل الأوامر التالية في Exchange Server Management Shell المحلي (EMS) واستبدل <GUID> في سطر الأوامر ب GUID من إخراج الأمر الأخير الذي قمت بتشغيله. في الإصدارات الأقدم من معالج التكوين المختلط، تمت تسمية EvoSTS EvoSts AuthServer دون إرفاق GUID. لا يوجد أي إجراء تحتاج إلى اتخاذه، ما عليك سوى تعديل سطر الأوامر السابق عن طريق إزالة جزء GUID من الأمر.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

إذا كان الإصدار المحلي Exchange Server Exchange Server 2016 (CU18 أو أعلى) أو Exchange Server 2019 (CU7 أو أعلى) وتم تكوين hybrid بمساعدة HCW الذي تم تنزيله بعد سبتمبر 2020، فقم بتشغيل الأمر التالي في Exchange Server Management Shell المحلي (EMS). بالنسبة للمعلمة DomainName ، استخدم قيمة مجال المستأجر، والتي تكون عادة في النموذج contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

في حالة Exchange Server المحلية مختلطة مع مستأجرين متعددين، فهناك كائنات AuthServer متعددة موجودة في Exchange Server المؤسسات المحلية مع المجالات المقابلة لكل مستأجر. IsDefaultAuthorizationEndpoint يجب تعيين العلامة إلى True لأي من كائنات AuthServer هذه. لا يمكن تعيين العلامة إلى true لجميع كائنات AuthServer وسيتم تمكين HMA حتى إذا تم تعيين إحدى علامة عنصر IsDefaultAuthorizationEndpoint AuthServer هذه إلى true.

هام

عند العمل مع مستأجرين متعددين ، يجب أن يكونوا جميعا في نفس بيئة السحابة مثل الكل في Global أو الكل في GCC. لا يمكن أن توجد في بيئات مختلطة مثل مستأجر واحد في Global وآخر في GCC.

تثبت

بمجرد تمكين HMA، سيستخدم تسجيل الدخول التالي للعميل تدفق المصادقة الجديد. لن يؤدي تشغيل HMA فقط إلى إعادة المصادقة لأي عميل، وقد يستغرق Exchange Server بعض الوقت لالتقاط الإعدادات الجديدة. لا تتطلب هذه العملية إنشاء ملف تعريف جديد.

يجب عليك أيضا الضغط باستمرار على CTRL المفتاح في نفس الوقت الذي تنقر فيه بزر الماوس الأيمن فوق أيقونة عميل Outlook (أيضا في علبة إعلامات Windows) وحدد Connection Status. ابحث عن عنوان SMTP الخاص بالعميل مقابل AuthN نوع من Bearer\*، والذي يمثل الرمز المميز للحامل المستخدم في OAuth.

تمكين المصادقة الحديثة المختلطة ل OWA وECP

يمكن الآن أيضا تمكين المصادقة الحديثة المختلطة ل OWA و ECP. تأكد من استيفاء المتطلبات الأساسية قبل المتابعة.

بعد تمكين المصادقة الحديثة المختلطة ل OWA و، ستتم إعادة توجيه كل مستخدم ومسؤول يحاول تسجيل الدخول إلى OWA صفحة المصادقة Microsoft Entra ID أولا ECPECP. بعد نجاح المصادقة، ستتم إعادة توجيه المستخدم إلى OWA أو ECP.

المتطلبات الأساسية لتمكين المصادقة الحديثة المختلطة ل OWA وECP

هام

يجب أن تحتوي جميع الخوادم على تحديث CU14 Exchange Server 2019 على الأقل مثبتا. يجب عليهم أيضا تشغيل Exchange Server 2019 CU14 أبريل 2024 HU أو تحديث لاحق.

لتمكين المصادقة الحديثة المختلطة ل OWA وECP، يجب مزامنة جميع هويات المستخدم مع Microsoft Entra ID. بالإضافة إلى ذلك، من المهم أن يتم إنشاء إعداد OAuth بين Exchange Server المحلية Exchange Online قبل إجراء المزيد من خطوات التكوين.

العملاء الذين قاموا بالفعل بتشغيل معالج التكوين المختلط (HCW) لتكوين المختلطة، لديهم تكوين OAuth في مكانه. إذا لم يتم تكوين OAuth من قبل، يمكن القيام بذلك عن طريق تشغيل HCW أو باتباع الخطوات كما هو موضح في وثائق تكوين مصادقة OAuth بين Exchange ووثائق المؤسسات Exchange Online.

يوصى بتوثيق OwaVirtualDirectory الإعدادات و EcpVirtualDirectory قبل إجراء أي تغييرات. ستمكنك هذه الوثائق من استعادة الإعدادات الأصلية إذا ظهرت أي مشكلات بعد تكوين الميزة.

خطوات لتمكين المصادقة الحديثة المختلطة ل OWA وECP

تحذير

نشر Outlook Web App (OWA) وExchange لوحة التحكم (ECP) من خلال وكيل تطبيق Microsoft Entra غير مدعوم.

الاستعلام عن OWA عناوين URL و ECP التي تم تكوينها على Exchange Server المحلية. هذا مهم لأنه يجب إضافتها كعنون url للرد على Microsoft Entra ID:
```
Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
```
قم بتثبيت وحدة Microsoft Graph PowerShell إذا لم يتم تثبيتها بعد:
```
Install-Module Microsoft.Graph -Scope AllUsers
```
اتصل ب Microsoft Entra ID باستخدام هذه الإرشادات. للموافقة على الأذونات المطلوبة، قم بتشغيل الأمر التالي:
```
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
```

حدد عناوين URL الخاصة بك OWA وحدث ECP تطبيقك باستخدام عناوين URL للرد:

$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
$servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

تحقق من إضافة عناوين URL للرد بنجاح:

(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

لتمكين Exchange Server القدرة المحلية على إجراء المصادقة الحديثة المختلطة، اتبع الخطوات الموضحة في قسم تمكين HMA.

(اختياري) مطلوب فقط إذا تم استخدام مجالات التنزيل :

قم بإنشاء تجاوز إعداد عمومي جديد عن طريق تشغيل الأوامر التالية من Exchange Management Shell (EMS) غير مقيد. قم بتشغيل هذه الأوامر على Exchange Server واحد:

New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

(اختياري) مطلوب فقط في سيناريوهات مخطط غابة موارد Exchange :

أضف المفاتيح التالية إلى <appSettings> عقدة <ExchangeInstallPath>\ClientAccess\Owa\web.config الملف. قم بذلك على كل Exchange Server:
```
<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
```
قم بإنشاء تجاوز إعداد عمومي جديد عن طريق تشغيل الأوامر التالية من Exchange Management Shell (EMS) غير مقيد. قم بتشغيل هذه الأوامر على Exchange Server واحد:
```
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force
```
لتمكين المصادقة الحديثة المختلطة ل OWA و ECP، يجب أولا تعطيل أي أسلوب مصادقة آخر على هذه الدلائل الظاهرية. من المهم إجراء التكوين بالترتيب المحدد. قد يؤدي الفشل في القيام بذلك إلى ظهور رسالة خطأ أثناء تنفيذ الأمر.

قم بتشغيل هذه الأوامر لكل OWA دليل ظاهري و ECP على كل Exchange Server لتعطيل جميع أساليب المصادقة الأخرى:
```
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
```
هام

تأكد من مزامنة جميع الحسابات مع Microsoft Entra ID، خاصة جميع الحسابات، التي تستخدم للإدارة. وإلا، يتوقف تسجيل الدخول عن العمل حتى تتم مزامنتها. لن تتم مزامنة الحسابات، مثل المسؤول المضمن، مع Microsoft Entra ID، وبالتالي، لا يمكن استخدامها للإدارة بمجرد تمكين HMA ل OWA وECP. يرجع هذا السلوك إلى السمة isCriticalSystemObject التي تم تعيينها إلى True لبعض الحسابات.
تمكين OAuth للدليل OWA الظاهري و ECP . من المهم إجراء التكوين بالترتيب المحدد. قد يؤدي الفشل في القيام بذلك إلى ظهور رسالة خطأ أثناء تنفيذ الأمر. OWA لكل دليل ظاهري ECP على كل Exchange Server، يجب تشغيل هذه الأوامر:
```
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
```

استخدام المصادقة الحديثة المختلطة مع Outlook لنظامي التشغيل iOS وAndroid

إذا كنت تريد استخدام عميل Outlook for iOS وAndroid مع المصادقة الحديثة المختلطة، فتأكد من السماح لخدمة الكشف التلقائي بالاتصال Exchange Server على TCP 443 (HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

يمكن أيضا العثور على نطاقات عناوين IP في نقاط النهاية الإضافية غير المضمنة في عنوان IP Office 365 ووثائق خدمة ويب URL.

متطلبات تكوين المصادقة الحديثة للانتقال من Office 365 مخصص/ITAR إلى vNext