Jak nakonfigurovat místní Exchange Server tak, aby používal hybridní moderní ověřování
Přehled
Hybridní moderní ověřování (HMA) na Microsoft Exchange Serveru je funkce, která uživatelům umožňuje přístup k poštovním schránkám hostovaným místně pomocí autorizačních tokenů získaných z cloudu.
HMA umožňuje Outlooku získat tokeny Accessu a aktualizovat tokeny OAuth z Microsoft Entra ID, a to buď přímo pro synchronizaci hodnot hash hesel nebo identity Pass-Through ověřování, nebo z vlastní služby zabezpečených tokenů (STS) pro federované identity. Místní Exchange přijímá tyto tokeny a poskytuje přístup k poštovní schránce. Metoda získání těchto tokenů a požadovaných přihlašovacích údajů je určená možnostmi zprostředkovatele identity (iDP), které můžou být v rozsahu od jednoduchého uživatelského jména a hesla až po složitější metody, jako jsou certifikáty, telefonní ověřování nebo biometrické metody.
Aby HMA fungoval, musí se identita uživatele nacházet v Microsoft Entra ID a vyžaduje se určitá konfigurace, kterou zpracovává Průvodce hybridní konfigurací Exchange (HCW).
Ve srovnání se staršími metodami ověřování, jako je NTLM, nabízí HMA několik výhod. Poskytuje bezpečnější a flexibilnější metodu ověřování s využitím výkonu cloudového ověřování. Na rozdíl od protokolu NTLM, který spoléhá na mechanismus výzvy a odpovědi a nepodporuje moderní ověřovací protokoly, používá HMA tokeny OAuth, které jsou bezpečnější a nabízejí lepší interoperabilitu.
HMA je výkonná funkce, která zvyšuje flexibilitu a zabezpečení přístupu k místním aplikacím a využívá možnosti cloudového ověřování. Představuje významné vylepšení oproti starším metodám ověřování a nabízí rozšířené zabezpečení, flexibilitu a uživatelské pohodlí.
Postup konfigurace a povolení hybridního moderního ověřování
Pokud chcete povolit hybridní moderní ověřování (HMA), musíte zajistit, aby vaše organizace splňovala všechny nezbytné požadavky. Kromě toho byste měli ověřit, jestli je váš klient Office kompatibilní s moderním ověřováním. Další podrobnosti najdete v dokumentaci k tomu , jak funguje moderní ověřování v klientských aplikacích Office 2013 a Office 2016.
Než začnete, ujistěte se , že splňujete požadavky .
Přidejte adresy URL místní webové služby do ID Microsoft Entra. Adresy URL musí být přidány jako
Service Principal Names (SPNs). V případě, že je vaše instalace Exchange Serveru hybridní s více tenanty, musí být tyto adresy URL místních webových služeb přidány jako hlavní názvy služeb (SPN) do MICROSOFT Entra ID všech tenantů, kteří jsou hybridní s místním Exchange Serverem.Ujistěte se, že jsou pro HMA povolené všechny virtuální adresáře. Pokud chcete nakonfigurovat hybridní moderní ověřování pro Outlook na webu (OWA) a Ovládací panely Exchange (ECP), je důležité také ověřit příslušné adresáře.
Ujistěte se, že je certifikát OAuth serveru Exchange Server platný. Skript skriptu MonitorExchangeAuthCertificate lze použít k ověření platnosti certifikátu OAuth. V případě vypršení platnosti skript pomůže s procesem obnovení.
Ujistěte se, že se všechny identity uživatelů synchronizují s ID Microsoft Entra, zejména se všemi účty, které se používají pro správu. Jinak přihlášení přestane fungovat, dokud se nesynchronní. Účty, například předdefinovaný správce, se nikdy nebudou synchronizovat s Microsoft Entra ID, a proto je po povolení HMA nebude možné použít při žádném přihlášení OAuth. Toto chování je způsobeno atributem
isCriticalSystemObject, který je u některých účtů, včetně výchozího správce, nastavený naTruehodnotu .(Volitelné) Pokud chcete používat klienta Outlooku pro iOS a Android, nezapomeňte službě Automatické rozpoznávání povolit připojení k vašemu Exchange Serveru.
Požadavky na povolení hybridního moderního ověřování
V této části poskytujeme informace a kroky, které je potřeba provést, aby bylo možné úspěšně nakonfigurovat a povolit hybridní moderní ověřování na Serveru Microsoft Exchange Server.
Požadavky specifické pro Exchange Server
Servery Exchange musí před konfigurací a povolením hybridního moderního ověřování splňovat následující požadavky. Pokud máte hybridní konfiguraci, musíte spustit nejnovější kumulativní aktualizaci, aby byla v podporovaném stavu. Podporované verze a sestavení Exchange Serveru najdete v matici možností podpory Exchange Serveru.
- Ujistěte se, že v organizaci neexistují žádné servery Exchange s ukončenou životností.
- Exchange Server 2016 musí používat CU8 nebo novější.
- Exchange Server 2019 musí používat CU1 nebo novější.
- Ujistěte se, že se všechny servery můžou připojit k internetu. Pokud se vyžaduje proxy server, nakonfigurujte exchange server tak, aby ho používal.
- Pokud už máte hybridní konfiguraci, ujistěte se, že se jedná o klasické hybridní nasazení, protože moderní hybrid nepodporuje HMA.
- Ujistěte se, že se nepoužívá přesměrování zpracování SSL (nepodporuje se). Je však možné použít přemostění SSL a je podporováno.
Další informace najdete také v tématu Přehled hybridního moderního ověřování a požadavky na jeho použití s místním Skypem pro firmy a servery Exchange .
Protokoly, které pracují s hybridním moderním ověřováním
Hybridní moderní ověřování funguje pro následující protokoly Exchange Serveru:
| Protocol (Protokol) | Podporované hybridní moderní ověřování |
|---|---|
| MAPI přes HTTP (MAPI/HTTP) | Ano |
| Outlook Anywhere (RPC/HTTP) | Ne |
| Exchange Active Sync (EAS) | Ano |
| Webové služby Exchange (EWS) | Ano |
| Outlook na webu (OWA) | Ano |
| Centrum pro správu Exchange (ECP) | Ano |
| Offline adresář (OAB) | Ano |
| IMAP | Ne |
| BOUCHNOUT | Ne |
Přidání adres URL místní webové služby jako hlavní názvy služeb (SPN) v MICROSOFT Entra ID
Spusťte příkazy, které přiřazují adresy URL místní webové služby jako hlavní názvy služeb (SPN) Microsoft Entra. Hlavní názvy služeb používají klientské počítače a zařízení během ověřování a autorizace. Všechny adresy URL, které se dají použít k připojení z místního prostředí k Microsoft Entra ID, musí být zaregistrované v Microsoft Entra ID (včetně interních i externích oborů názvů).
Nejprve na serveru Microsoft Exchange Server spusťte následující příkazy:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*Ujistěte se, že adresy URL, ke které se klienti můžou připojit, jsou v ID Microsoft Entra uvedené jako hlavní názvy služeb HTTPS. V případě, že je místní Exchange v hybridním prostředí s více tenanty, měly by se tyto hlavní názvy služeb HTTPS přidat do ID Microsoft Entra všech tenantů v hybridním prostředí s místním Exchangem.
Nainstalujte modul Microsoft Graph PowerShellu:
Install-Module Microsoft.Graph -Scope AllUsersDále se podle těchto pokynů připojte k Id Microsoft Entra. Pokud chcete vyjádřit souhlas s požadovanými oprávněními, spusťte následující příkaz:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.AllPro adresy URL související s Exchangem zadejte následující příkaz:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNamesPoznamenejte si výstup tohoto příkazu, který by měl obsahovat
https://*autodiscover.yourdomain.com*adresu URL ahttps://*mail.yourdomain.com*, ale většinou se skládat z hlavních názvů služeb začínajících00000002-0000-0ff1-ce00-000000000000/na .https://Pokud chybí adresy URL z místního prostředí, měly by se tyto konkrétní záznamy přidat do tohoto seznamu.Pokud v tomto seznamu nevidíte interní a externí
MAPI/HTTPzáznamy ,EWS,ActiveSync,OABaAutoDiscover, musíte je přidat. Pomocí následujícího příkazu přidejte všechny adresy URL, které chybí. V našem příkladu jsoumail.corp.contoso.compřidané adresy URL aowa.contoso.com. Ujistěte se, že jsou nahrazené adresami URL nakonfigurovanými ve vašem prostředí.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $x.ServicePrincipalNames += "https://mail.corp.contoso.com/" $x.ServicePrincipalNames += "https://owa.contoso.com/" Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNamesOvěřte, že se nové záznamy přidaly, opětovným spuštěním
Get-MgServicePrincipalpříkazu z kroku 4 a ověřením výstupu. Porovnejte seznam z předchozí verze s novým seznamem hlavních názvů služby. Můžete si také poznamenat nový seznam záznamů. Pokud jste úspěšní, měly by se v seznamu zobrazit dvě nové adresy URL. V našem příkladu teď seznam hlavních názvů služeb (SPN) obsahuje konkrétní adresy URLhttps://mail.corp.contoso.comahttps://owa.contoso.com.
Ověření správné konfigurace virtuálních adresářů
Teď spuštěním následujících příkazů ověřte, že je na Serveru správně povolený protokol OAuth ve všech virtuálních adresářích, které Outlook může používat:
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*
Zkontrolujte výstup a ujistěte se, že OAuth je pro každý z těchto virtuálních adresářů povolený, vypadá nějak takto (a klíčové, co je potřeba se podívat, je, jak bylo OAuth zmíněno výše):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Pokud na libovolném serveru a některém z pěti virtuálních adresářů chybí OAuth, musíte ho přidat pomocí příslušných příkazů, než budete pokračovat (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) a Set-ActiveSyncVirtualDirectory.
Ověřte, že je k dispozici objekt serveru ověřování EvoSTS.
Teď v místním prostředí Management Shell (EMS) Exchange Serveru spusťte tento poslední příkaz. Můžete ověřit, že místní Exchange Server vrací položku pro zprostředkovatele ověřování evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Ve výstupu by se měl zobrazit AuthServer s názvem EvoSts - <GUID> a Enabled stav by měl být True. Pokud tomu tak není, měli byste si stáhnout a spustit nejnovější verzi Průvodce hybridní konfigurací.
V případě, že Exchange Server spouští místně hybridní konfiguraci s více tenanty, zobrazí se ve výstupu jeden AuthServer s názvem EvoSts - <GUID> pro každého tenanta v hybridním prostředí s místním Exchange Serverem a Enabled stav by měl být True pro všechny tyto objekty AuthServer. Poznamenejte si identifikátor EvoSts - <GUID>, protože bude vyžadován v dalším kroku.
Povolit HMA
V místním prostředí Management Shell (EMS) exchange serveru spusťte následující příkazy a nahraďte <GUID> hodnotu v příkazovém řádku identifikátorem GUID z výstupu posledního příkazu, který jste spustili. Ve starších verzích Průvodce hybridní konfigurací byl EvoSts AuthServer pojmenován EvoSTS bez připojeného identifikátoru GUID. Není potřeba provést žádnou akci, stačí změnit předchozí příkazový řádek odebráním části příkazu GUID.
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Pokud je místní verze Exchange Serveru Exchange Server 2016 (CU18 nebo vyšší) nebo Exchange Server 2019 (CU7 nebo vyšší) a hybridní verze byla nakonfigurována pomocí hcw staženého po září 2020, spusťte následující příkaz v místním prostředí Management Shell (EMS) Exchange Serveru.
DomainName Jako parametr použijte hodnotu domény tenanta, která je obvykle ve tvaru contoso.onmicrosoft.com:
Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
V případě, že je místní Exchange Server hybridní s více tenanty, existuje v místních organizacích Exchange Serveru několik objektů AuthServer s doménami odpovídajícími každému tenantovi. Příznak IsDefaultAuthorizationEndpoint by měl být nastavený na True pro některý z těchto objektů AuthServer. Příznak nelze nastavit na true pro všechny objekty AuthServer a HMA by byl povolen i v případě, že je jeden z těchto příznaků objektu IsDefaultAuthorizationEndpoint AuthServer nastavený na true.
Důležité
Když pracujete s více tenanty , musí být všichni ve stejném cloudovém prostředí, například ve všech Global nebo v GCC. Nemůžou existovat v různých prostředích, jako je jeden tenant v Global systému a jiný v GCCprostředí .
Ověřit
Po povolení HMA se při dalším přihlášení klienta použije nový tok ověřování. Zapnutí HMA neaktivuje opětovné ověření pro žádného klienta a může chvíli trvat, než Exchange Server převezme nové nastavení. Tento proces nevyžaduje vytvoření nového profilu.
Měli byste také podržet stisknutou klávesu CTRL současně, když kliknete pravým tlačítkem myši na ikonu klienta Outlooku (také na hlavním panelu oznámení Windows) a vyberete Connection Status. Vyhledejte adresu SMTP klienta proti AuthN typu Bearer\*, který představuje nosný token použitý v OAuth.
Povolení hybridního moderního ověřování pro OWA a ECP
Hybridní moderní ověřování je teď možné povolit také pro OWA a ECP. Než budete pokračovat, ujistěte se, že jsou splněné požadavky .
Po povolení hybridního moderního ověřování pro OWA a ECPbudou všichni koncoví uživatelé a správci, kteří se pokusí přihlásit OWA k nebo ECP budou nejprve přesměrováni na stránku ověřování Microsoft Entra ID. Po úspěšném ověření bude uživatel přesměrován na OWA adresu nebo ECP.
Požadavky na povolení hybridního moderního ověřování pro OWA a ECP
Důležité
Všechny servery musí mít nainstalovanou alespoň aktualizaci Exchange Server 2019 CU14 . Musí také používat kumulativní aktualizaci Exchange Serveru 2019 CU14 z dubna 2024 nebo novější.
Pokud chcete povolit hybridní moderní ověřování pro OWA a ECP, musí být všechny identity uživatelů synchronizovány s MICROSOFT Entra ID.
Kromě toho je důležité, aby se před provedením dalších kroků konfigurace vytvořilo nastavení OAuth mezi místním Exchange Serverem a Exchangem Online.
Zákazníci, kteří již spustili Průvodce hybridní konfigurací (HCW) ke konfiguraci hybridního využití, mají zavedenou konfiguraci OAuth. Pokud jste OAuth ještě nenakonfigurovali, můžete to provést spuštěním hcw nebo postupujte podle kroků uvedených v dokumentaci Konfigurace ověřování OAuth mezi organizacemi Exchange a Exchange Online .
Před provedením jakýchkoli změn doporučujeme zdokumentovat OwaVirtualDirectory nastavení a EcpVirtualDirectory . Tato dokumentace vám umožní obnovit původní nastavení v případě jakýchkoli problémů po konfiguraci funkce.
Postup povolení hybridního moderního ověřování pro OWA a ECP
Upozornění
Publikování Outlook Web Appu (OWA) a ovládacího panelu Exchange (ECP) prostřednictvím proxy aplikací Microsoft Entra není podporováno.
Zadejte dotaz na
OWAadresy URL aECPnakonfigurované v místním Exchange Serveru. To je důležité, protože musí být přidány jako adresa URL odpovědi na Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*Pokud ještě není nainstalovaný modul Microsoft Graph PowerShell, nainstalujte ho:
Install-Module Microsoft.Graph -Scope AllUsersPřipojte se k Microsoft Entra ID pomocí těchto pokynů. Pokud chcete vyjádřit souhlas s požadovanými oprávněními, spusťte následující příkaz:
Connect-Graph -Scopes User.Read, Application.ReadWrite.AllZadejte adresy URL a
OWAECPa aktualizujte aplikaci pomocí adres URL odpovědí:$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp" Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrlsOvěřte, že adresy URL odpovědí byly úspěšně přidány:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrlsPokud chcete povolit místní možnost exchange serveru provádět hybridní moderní ověřování, postupujte podle kroků uvedených v části Povolení HMA .
(Volitelné) Vyžaduje se pouze v případě, že se používají domény pro stahování :
Vytvořte nové přepsání globálního nastavení spuštěním následujících příkazů z prostředí Exchange Management Shell (EMS) se zvýšenými oprávněními. Na jednom Exchange Serveru spusťte tyto příkazy:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force(Volitelné) Vyžaduje se pouze ve scénářích topologie doménové struktury prostředků Exchange :
Do uzlu
<ExchangeInstallPath>\ClientAccess\Owa\web.configsouboru přidejte následující klíče<appSettings>. Udělejte to na každém Exchange Serveru:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>Vytvořte nové přepsání globálního nastavení spuštěním následujících příkazů z prostředí Exchange Management Shell (EMS) se zvýšenými oprávněními. Na jednom Exchange Serveru spusťte tyto příkazy:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -ForcePokud chcete povolit hybridní moderní ověřování pro
OWAaECP, musíte v těchto virtuálních adresářích nejprve zakázat jakoukoli jinou metodu ověřování. Je důležité provést konfiguraci v daném pořadí. Pokud to neuděláte, může se během provádění příkazu zobrazit chybová zpráva.
Spuštěním těchto příkazů pro každýOWAaECPvirtuální adresář na každém Exchange Serveru zakažte všechny ostatní metody ověřování:Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $falseDůležité
Ujistěte se, že jsou všechny účty synchronizované s Microsoft Entra ID, zejména se všemi účty, které se používají pro správu. Jinak přihlášení přestane fungovat, dokud se nesynchronní. Účty, například předdefinovaný správce, se nebudou synchronizovat s ID Microsoft Entra, a proto je nebude možné použít ke správě, jakmile se povolí HMA pro OWA a ECP. Toto chování je způsobeno atributem
isCriticalSystemObject, který je u některých účtů nastavený naTruehodnotu .Pro virtuální adresář a
ECPpovolte OAuthOWA. Je důležité provést konfiguraci v daném pořadí. Pokud to neuděláte, může se během provádění příkazu zobrazit chybová zpráva. Pro každýOWAaECPvirtuální adresář na každém Exchange Serveru musí být spuštěny tyto příkazy:Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Použití hybridního moderního ověřování v Outlooku pro iOS a Android
Pokud chcete používat klienta Outlooku pro iOS a Android společně s hybridním moderním ověřováním, nezapomeňte službě Automatické rozpoznávání povolit připojení k vašemu Exchange Serveru na TCP 443 (HTTPS):
<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23
Rozsahy IP adres najdete také v části Další koncové body, které nejsou součástí dokumentace k webovým službám Ip adresy a adresy URL Office 365 .
Související články
Požadavky na konfiguraci moderního ověřování pro přechod z Office 365 dedicated/ITAR na vNext