Sådan konfigurerer du Exchange Server i det lokale miljø til at bruge hybrid moderne godkendelse

  • Artikel

Denne artikel gælder både for Microsoft 365 Enterprise og Office 365 Enterprise.

HMA (Hybrid Modern Authentication) er en metode til identitetsstyring, der tilbyder mere sikker brugergodkendelse og -godkendelse og er tilgængelig for hybridinstallationer af Exchange Server i det lokale miljø.

Aktivering af hybrid moderne godkendelse

Hvis du aktiverer HMA, kræver det, at dit miljø opfylder følgende:

  1. Sørg for, at du opfylder forudsætningerne, før du begynder.

  2. Da mange forudsætninger er almindelige for både Skype for Business og Exchange, kan du gennemse dem i oversigt over hybrid moderne godkendelse og forudsætninger for at bruge den med Skype for Business- og Exchange-servere i det lokale miljø. Gør dette, før du begynder på nogen af trinnene i denne artikel. Krav til sammenkædede postkasser, der skal indsættes.

  3. Tilføj URL-adresser til webtjenesten i det lokale miljø som SPN'er (Service Principal Names) i Microsoft Entra ID. Hvis Exchange i det lokale miljø er i hybrid med flere lejere, skal disse URL-adresser til webtjenesten i det lokale miljø tilføjes som SPN'er i Microsoft Entra ID for alle lejere, som er i hybrid med Exchange i det lokale miljø.

  4. Sørg for, at alle virtuelle mapper er aktiveret for HMA

  5. Kontrollér, om objektet EvoSTS Auth Server er

  6. Kontrollér, at det Exchange Server OAuth-certifikat er gyldigt

  7. Sørg for, at alle brugeridentiteter synkroniseres med Microsoft Entra ID

  8. Aktivér HMA i Exchange i det lokale miljø.

Bemærk!

Understøtter din version af Office MA? Se Sådan fungerer moderne godkendelse for Office 2013- og Office 2016-klientapps.

Advarsel

Publicering af Outlook Web App og Exchange-Kontrolpanel via Microsoft Entra programproxy understøttes ikke.

Tilføj URL-adresser til webtjenesten i det lokale miljø som SPN'er i Microsoft Entra ID

Kør de kommandoer, der tildeler URL-adresserne til webtjenesten i det lokale miljø som Microsoft Entra SPN'er. SPN'er bruges af klientcomputere og enheder under godkendelse og godkendelse. Alle de URL-adresser, der kan bruges til at oprette forbindelse fra det lokale miljø til Microsoft Entra ID, skal registreres i Microsoft Entra ID (herunder både interne og eksterne navneområder).

  1. Kør først følgende kommandoer på Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    Sørg for, at URL-adresserne, som klienter kan oprette forbindelse til, er angivet som HTTPS-tjenesteprincipalnavne i Microsoft Entra ID. Hvis Exchange i det lokale miljø er i hybrid med flere lejere, skal disse HTTPS-SPN'er tilføjes i Microsoft Entra ID for alle lejere i hybrid med Exchange i det lokale miljø.

  2. Installér Microsoft Graph PowerShell-modulet:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Opret derefter forbindelse til Microsoft Entra ID med disse instruktioner. Kør følgende kommando for at give samtykke til de påkrævede tilladelser:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Skriv følgende kommando for dine Exchange-relaterede URL-adresser:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Tag et notat om (og skærmbillede til senere sammenligning) outputtet af denne kommando, som skal indeholde en https://*autodiscover.yourdomain.com* og https://*mail.yourdomain.com* URL-adresse, men for det meste består af SPN'er, der starter med 00000002-0000-0ff1-ce00-000000000000/. Hvis der mangler https:// URL-adresser fra dit lokale miljø, skal disse specifikke poster føjes til listen.

  5. Hvis du ikke kan se dine interne og eksterne MAPI/HTTP, EWS, ActiveSync, OABog Autodiscover poster på denne liste, skal du tilføje dem. Brug følgende kommando til at tilføje alle manglende URL-adresser:

    Vigtigt!

    I vores eksempel er mail.corp.contoso.com de URL-adresser, der tilføjes, og owa.contoso.com. Sørg for, at de erstattes af de URL-adresser, der er konfigureret i dit miljø.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Kontrollér, at de nye poster blev tilføjet ved at køre Get-MsolServicePrincipal kommandoen fra trin 2 igen og gennemse outputtet. Sammenlign listen/skærmbilledet fra før med den nye liste over SPN'er. Du kan også tage et skærmbillede af den nye liste for dine poster. Hvis du lykkes, kan du se de to nye URL-adresser på listen. I eksemplet indeholder listen over SPN'er nu de specifikke URL-adresser https://mail.corp.contoso.com og https://owa.contoso.com.

Kontrollér, at virtuelle mapper er konfigureret korrekt

Kontrollér nu, at OAuth er korrekt aktiveret i Exchange på alle de virtuelle mapper, som Outlook muligvis bruger, ved at køre følgende kommandoer:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Kontrollér outputtet for at sikre, at OAuth er aktiveret for hver af disse VDirs, det ser nogenlunde sådan ud (og det vigtigste at se på er 'OAuth'):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Hvis OAuth mangler fra en server og en af de fire virtuelle mapper, skal du tilføje den ved hjælp af de relevante kommandoer, før du fortsætter (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory og Set-AutodiscoverVirtualDirectory).

Bekræft, at EvoSTS-godkendelsesserverobjektet er til stede

Vend tilbage til Exchange Management Shell i det lokale miljø for denne sidste kommando. Nu kan du validere, at dit lokale miljø har en post for evoSTS-godkendelsesprovideren:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Dit output skal vise en AuthServer med navnet EvoSts med et GUID, og tilstanden 'Aktiveret' skal være Sand. Hvis ikke, skal du hente og køre den nyeste version af guiden Hybridkonfiguration.

Bemærk!

Hvis Exchange i det lokale miljø er i hybrid med flere lejere, skal outputtet vise én AuthServer for hver EvoSts - {GUID} lejer i hybrid med Exchange i det lokale miljø, og tilstanden Aktiveret skal være Sand for alle disse AuthServer-objekter.

Vigtigt!

Hvis du kører Exchange 2010 i dit miljø, oprettes EvoSTS-godkendelsesprovideren ikke.

Aktivér HMA

Kør følgende kommando i Exchange Management Shell i det lokale miljø, hvor GUID> på kommandolinjen erstattes <med GUID fra outputtet fra den sidste kommando, du kørte:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Bemærk!

I ældre versioner af guiden Hybridkonfiguration blev EvoSts AuthServer blot navngivet EvoSTS uden et tilknyttet GUID. Der er ingen handling, du skal udføre. Du skal blot ændre den foregående kommandolinje for at afspejle dette ved at fjerne GUID-delen af kommandoen:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Hvis Exchange-versionen i det lokale miljø er Exchange 2016 (CU18 eller nyere) eller Exchange 2019 (CU7 eller nyere), og hybrid blev konfigureret med HCW downloadet efter september 2020, skal du køre følgende kommando i Exchange Management Shell i det lokale miljø:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Bemærk!

Hvis Exchange i det lokale miljø er i hybrid med flere lejere, er der flere AuthServer-objekter i Det lokale Exchange-miljø med domæner, der svarer til hver lejer. Flaget IsDefaultAuthorizationEndpoint skal angives til sand (ved hjælp af IsDefaultAuthorizationEndpoint-cmdlet'en ) for et af disse AuthServer-objekter. Dette flag kan ikke angives til sand for alle Authserver-objekter, og HMA vil være aktiveret, selvom et af disse AuthServer-objekters IsDefaultAuthorizationEndpoint-flag er angivet til sand.

Bemærk!

Til parameteren DomainName skal du bruge værdien for lejerdomænet, som normalt er i formatet contoso.onmicrosoft.com.

Kontrollere

Når du aktiverer HMA, bruger en klients næste logon det nye godkendelsesflow. Hvis du bare aktiverer HMA, udløses der ikke en godkendelse for nogen klient, og det kan tage et stykke tid, før Exchange henter de nye indstillinger.

Du skal også holde Ctrl nede, samtidig med at du højreklikker på ikonet for Outlook-klienten (også på proceslinjen i Windows) og vælger Forbindelsesstatus. Søg efter klientens SMTP-adresse i forhold til authN-typenBearer\*, som repræsenterer det ihændehavertoken, der bruges i OAuth.

Bemærk!

Har du brug for at konfigurere Skype for Business med HMA? Du skal bruge to artikler: Én, der viser understøttede topologier, og en, der viser dig , hvordan du udfører konfigurationen.

Aktivér hybrid moderne godkendelse for OWA og ECP

Hybrid moderne godkendelse kan nu også aktiveres for OWA og ECP. Sørg for, at forudsætningerne er opfyldt, før du fortsætter.

Når hybrid moderne godkendelse er aktiveret for OWA og ECP, omdirigeres hver slutbruger og administrator, der forsøger at logge på OWA ellerECP, først til siden til Microsoft Entra ID godkendelse. Når godkendelsen er fuldført, omdirigeres brugeren til OWA eller ECP.

Forudsætninger for aktivering af hybrid moderne godkendelse for OWA og ECP

Hvis du vil aktivere hybrid moderne godkendelse for OWA og ECP, skal alle brugeridentiteter synkroniseres med Microsoft Entra ID. Derudover er det vigtigt, at OAuth-konfiguration mellem Exchange Server i det lokale miljø og Exchange Online er etableret, før der kan udføres yderligere konfigurationstrin.

Kunder, der allerede har kørt guiden Hybrid configuration (HCW) for at konfigurere hybrid, har en OAuth-konfiguration på plads. Hvis OAuth ikke var konfigureret før, kan det gøres ved at køre HCW eller ved at følge trinnene som beskrevet i dokumentationen Konfigurer OAuth-godkendelse mellem Exchange og Exchange Online organisationer.

Det anbefales at dokumentere OwaVirtualDirectory indstillingerne og EcpVirtualDirectory , før du foretager ændringer. Denne dokumentation giver dig mulighed for at gendanne de oprindelige indstillinger, hvis der opstår problemer efter konfigurationen af funktionen.

Vigtigt!

Alle servere skal have mindst Exchange Server 2019 CU14-opdateringen installeret. De skal også køre Exchange Server 2019 CU14 april 2024 HU eller en nyere opdatering.

Trin til aktivering af hybrid moderne godkendelse for OWA og ECP

  1. Forespørg om url-adresserne OWA og ECP , der er konfigureret på din Exchange Server i det lokale miljø . Dette er vigtigt, fordi de skal føjes som svar-URL-adresse til Microsoft Entra ID:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Installér Microsoft Graph PowerShell-modulet, hvis det endnu ikke er installeret:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Opret forbindelse til Microsoft Entra ID med denne vejledning. Kør følgende kommando for at give samtykke til de påkrævede tilladelser:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Angiv URL-adresserne OWA og ECP :

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Opdater programmet med SVAR-URL-adresserne:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Kontrollér, at URL-adresserne til svaret er blevet tilføjet:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Hvis du vil aktivere Exchange Server mulighed for at udføre hybrid moderne godkendelse i det lokale miljø, skal du følge de trin, der er beskrevet i afsnittet Aktivér HMA.

  8. (Valgfrit) Kræves kun, hvis downloaddomæner bruges:

    Create en ny global indstilling tilsidesættes ved at køre følgende kommandoer fra en Udvidet Exchange Management Shell (EMS). Kør disse kommandoer på én Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Valgfrit) Kun påkrævet i scenarier med exchange-ressourceskovtopologi :

    Føj følgende nøgler til noden <appSettings> i <ExchangeInstallPath>\ClientAccess\Owa\web.config filen. Gør dette på hver Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Create en ny global indstilling tilsidesættes ved at køre følgende kommandoer fra en Udvidet Exchange Management Shell (EMS). Kør disse kommandoer på én Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Hvis du vil aktivere hybrid moderne godkendelse for OWA og ECP, skal du først deaktivere alle andre godkendelsesmetoder i disse virtuelle mapper. Kør disse kommandoer for hver OWA virtuel ECP mappe på hver Exchange Server:

    Vigtigt!

    Det er vigtigt at udføre disse kommandoer i den angivne rækkefølge. Ellers får du vist en fejlmeddelelse, når du kører kommandoerne. Når du har kørt disse kommandoer, skal du logge på og ECP stoppe med at OWA fungere, indtil OAuth-godkendelse for disse virtuelle mapper er blevet aktiveret.

    Sørg også for, at alle konti er synkroniseret, især de konti, der bruges til administration for at Microsoft Entra ID. Ellers holder logon op med at fungere, indtil de synkroniseres. Bemærk, at konti, f.eks. den indbyggede administrator, ikke synkroniseres med Microsoft Entra ID og derfor ikke kan bruges til administration, når HMA for OWA og ECP er blevet aktiveret. Dette skyldes attributten isCriticalSystemObject , der er angivet til TRUE for nogle konti.

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Aktivér OAuth for den OWA virtuelle mappe og ECP . Kør disse kommandoer for hver OWA virtuel ECP mappe på hver Exchange Server:

    Vigtigt!

    Det er vigtigt at udføre disse kommandoer i den angivne rækkefølge. Ellers får du vist en fejlmeddelelse, når du kører kommandoerne.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Brug af moderne hybridgodkendelse med Outlook til iOS og Android

Hvis du er kunde i det lokale miljø, der bruger Exchange Server på TCP 443, skal du tillade netværkstrafik fra følgende IP-områder:

52.125.128.0/20
52.127.96.0/23

Disse IP-adresseområder er også dokumenteret i Yderligere slutpunkter, der ikke er inkluderet i Office 365 IP-adresse og URL-webtjeneste.

Krav til moderne godkendelseskonfiguration for overgang fra Office 365 dedikeret/ITAR til vNext