Lokale Konfiguration von Exchange Server derart, dass die moderne Hybridauthentifizierung verwendet wird

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Die hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA) ist eine Identitätsverwaltungsmethode, die eine sicherere Benutzerauthentifizierung und -autorisierung bietet und für lokale Hybridbereitstellungen von Exchange Server verfügbar ist.

Definitionen

Bevor wir beginnen, sollten Sie mit einigen Definitionen vertraut sein:

  • Hybrid Modern Authentication > HMA

  • Lokale Exchange-EXCH-Instanz >

  • > Exchange Online EXO

Wenn eine Grafik in diesem Artikel über ein Objekt verfügt, das "ausgegraut" oder "abgeblendet" ist, bedeutet dies, dass das in Grau dargestellte Element nicht in der HMA-spezifischen Konfiguration enthalten ist.

Aktivieren der modernen Hybridauthentifizierung

Das Aktivieren von HMA bedeutet Folgendes:

  1. Stellen Sie sicher, dass Sie die Voraussetzungen erfüllen, bevor Sie beginnen.

  2. Da viele Voraussetzungen sowohl für Skype for Business als auch für Exchange gelten, gibt es eine Übersicht über die moderne Hybridauthentifizierung und die Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern. Führen Sie dies aus, bevor Sie mit den Schritten in diesem Artikel beginnen. Anforderungen zu verknüpften Postfächern, die eingefügt werden sollen.

  3. Hinzufügen von lokalen Webdienst-URLs als Dienstprinzipalnamen (Service Principal Names, SPNs) in Azure AD. Falls EXCH hybrid mit mehreren Mandanten ist, müssen diese lokalen Webdienst-URLs als SPNs in Azure AD aller Mandanten hinzugefügt werden, die hybrid mit EXCH sind.

  4. Sicherstellen, dass alle virtuellen Verzeichnisse für HMA aktiviert sind

  5. Überprüfen des EvoSTS-Authentifizierungsserverobjekts

  6. Aktivieren von HMA in EXCH.

Hinweis

Unterstützt Ihre Version von Office MA? Weitere Informationen finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps.

Stellen Sie sicher, dass Sie alle Voraussetzungen erfüllen.

Da sowohl für Skype for Business als auch für Exchange viele Voraussetzungen gelten, lesen Sie die Übersicht über die moderne Hybridauthentifizierung und die Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern. Führen Sie dies aus, bevor Sie mit den Schritten in diesem Artikel beginnen.

Hinweis

Outlook Web App und Exchange Systemsteuerung funktionieren nicht mit der modernen Hybridauthentifizierung. Darüber hinaus wird das Veröffentlichen von Outlook Web App und Exchange-Systemsteuerung über Azure AD Anwendungsproxy nicht unterstützt.

Hinzufügen lokaler Webdienst-URLs als SPNs in Azure AD

Führen Sie die Befehle aus, die Ihre lokalen Webdienst-URLs als Azure AD-SPNs zuweisen. SPNs werden von Clientcomputern und Geräten während der Authentifizierung und Autorisierung verwendet. Alle URLs, die verwendet werden können, um eine Verbindung von einer lokalen Umgebung mit Azure Active Directory (Azure AD) herzustellen, müssen in Azure AD registriert werden (dies umfasst sowohl interne als auch externe Namespaces).

Sammeln Sie zunächst alle URLs, die Sie in AAD hinzufügen müssen. Führen Sie die folgenden Befehle lokal aus:

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*

Stellen Sie sicher, dass die URLs, mit denen Clients eine Verbindung herstellen können, in AAD als HTTPS-Dienstprinzipalnamen aufgeführt sind. Falls EXCH hybrid mit mehreren Mandanten ist, sollten diese HTTPS-SPNs im AAD aller Mandanten in der Hybridbereitstellung mit EXCH hinzugefügt werden.

  1. Stellen Sie zunächst mit diesen Anweisungen eine Verbindung mit AAD her.

    Hinweis

    Sie müssen die Option Connect-MsolService auf dieser Seite verwenden, um den folgenden Befehl verwenden zu können.

  2. Geben Sie für Ihre Exchange-bezogenen URLs den folgenden Befehl ein:

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
    

    Notieren Sie sich (und screenshot für einen späteren Vergleich) die Ausgabe dieses Befehls, die eine - und https://*mail.yourdomain.com* -https://*autodiscover.yourdomain.com*URL enthalten sollte, aber größtenteils aus SPNs besteht, die mit 00000002-0000-0ff1-ce00-000000000000/beginnen. https:// Wenn URLs aus Ihrer lokalen Umgebung fehlen, sollten diese spezifischen Datensätze dieser Liste hinzugefügt werden.

  3. Wenn Ihre internen und externen MAPI/HTTP-, EWS-, ActiveSync-, OAB- und AutoErmittlungsdatensätze in dieser Liste nicht angezeigt werden, müssen Sie sie mit dem folgenden Befehl hinzufügen (die Beispiel-URLs sind mail.corp.contoso.com und owa.contoso.com, aber Sie ersetzen die Beispiel-URLs durch Ihre eigenen):

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
    $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. Überprüfen Sie, ob Ihre neuen Datensätze hinzugefügt wurden, indem Sie den Get-MsolServicePrincipal Befehl aus Schritt 2 erneut ausführen und die Ausgabe durchsuchen. Vergleichen Sie die Liste bzw. den Screenshot von zuvor mit der neuen Liste der SPNs. Sie können auch einen Screenshot der neuen Liste für Ihre Datensätze erstellen. Wenn Sie erfolgreich waren, werden die beiden neuen URLs in der Liste angezeigt. In unserem Beispiel enthält die Liste der SPNs nun die spezifischen URLs https://mail.corp.contoso.com und https://owa.contoso.com.

Überprüfen, ob virtuelle Verzeichnisse ordnungsgemäß konfiguriert sind

Überprüfen Sie nun, ob OAuth in Exchange für alle virtuellen Verzeichnisse, die Outlook verwenden könnte, ordnungsgemäß aktiviert ist, indem Sie die folgenden Befehle ausführen:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Überprüfen Sie die Ausgabe, um sicherzustellen, dass OAuth für jede dieser VDirs aktiviert ist. Es sieht in etwa wie folgt aus (und das Wichtigste, was Sie sich ansehen sollten, ist "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Wenn OAuth auf einem Server und einem der vier virtuellen Verzeichnisse fehlt, müssen Sie es mithilfe der entsprechenden Befehle hinzufügen, bevor Sie fortfahren (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory und Set-AutodiscoverVirtualDirectory).

Vergewissern Sie sich, dass das EvoSTS-Authentifizierungsserverobjekt vorhanden ist.

Kehren Sie für diesen letzten Befehl zur lokalen Exchange-Verwaltungsshell zurück. Jetzt können Sie überprüfen, ob Ihre lokale Umgebung über einen Eintrag für den evoSTS-Authentifizierungsanbieter verfügt:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Ihre Ausgabe sollte einen AuthServer des Namens EvoSts mit einer GUID anzeigen, und der Status "Enabled" sollte True sein. Wenn dies nicht angezeigt wird, sollten Sie die neueste Version des Hybridkonfigurations-Assistenten herunterladen und ausführen.

Hinweis

Falls EXCH hybrid mit mehreren Mandanten ist, sollte ihre Ausgabe einen AuthServer des Namens EvoSts - {GUID} für jeden Mandanten in hybrider Verbindung mit EXCH anzeigen, und der Status Aktiviert sollte für alle diese AuthServer-Objekte True sein.

Wichtig

Wenn Sie Exchange 2010 in Ihrer Umgebung ausführen, wird der EvoSTS-Authentifizierungsanbieter nicht erstellt.

Aktivieren von HMA

Führen Sie den folgenden Befehl lokal in der Exchange-Verwaltungsshell aus, und <ersetzen Sie GUID> in der Befehlszeile durch die Zeichenfolge in Ihrer Umgebung:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Hinweis

In älteren Versionen des Hybridkonfigurations-Assistenten wurde der EvoSts AuthServer einfach EvoSTS ohne angefügte GUID genannt. Es ist keine Aktion erforderlich, die Sie ausführen müssen. Ändern Sie einfach die obige Befehlszeile, um dies widerzuspiegeln, indem Sie den GUID-Teil des Befehls entfernen:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Wenn die EXCH-Version Exchange 2016 (CU18 oder höher) oder Exchange 2019 (CU7 oder höher) ist und hybrid mit HCW konfiguriert wurde, die nach September 2020 heruntergeladen wurde, führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell lokal aus:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Hinweis

Falls EXCH hybrid mit mehreren Mandanten ist, gibt es mehrere AuthServer-Objekte in EXCH mit Domänen, die jedem Mandanten entsprechen. Das IsDefaultAuthorizationEndpoint-Flag sollte (mithilfe des Cmdlets IsDefaultAuthorizationEndpoint ) für eines dieser AuthServer-Objekte auf true festgelegt werden. Dieses Flag kann nicht für alle Authserver-Objekte auf true festgelegt werden, und HMA wäre auch dann aktiviert, wenn das IsDefaultAuthorizationEndpoint-Flag eines dieser AuthServer-Objekte auf true festgelegt ist.

Verwenden Sie für den DomainName-Parameter den Mandantendomänenwert, der in der Regel im Format contoso.onmicrosoft.comliegt.

Überprüfen

Nachdem Sie HMA aktiviert haben, verwendet die nächste Anmeldung eines Clients den neuen Authentifizierungsflow. Beachten Sie, dass durch das Aktivieren von HMA keine erneute Authentifizierung für einen Client ausgelöst wird, und es kann eine Weile dauern, bis Exchange die neuen Einstellungen übernimmt.

Sie sollten auch die STRG-TASTE gedrückt halten, während Sie mit der rechten Maustaste auf das Symbol für den Outlook-Client klicken (auch in der Windows-Benachrichtigungsleiste), und klicken Sie auf "Verbindungsstatus". Suchen Sie nach der SMTP-Adresse des Clients für den AuthentifizierungstypBearer\*, der das in OAuth verwendete Bearertoken darstellt.

Hinweis

Müssen Sie Skype for Business mit HMA konfigurieren? Sie benötigen zwei Artikel: einen, der die unterstützten Topologien auflistet, und einen, in dem die Konfiguration erläutert wird.

Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android

Wenn Sie ein lokaler Kunde sind, der Exchange-Server unter TCP 443 verwendet, lassen Sie Netzwerkdatenverkehr aus den folgenden IP-Adressbereichen zu:

52.125.128.0/20
52.127.96.0/23

Diese IP-Adressbereiche sind auch unter Zusätzliche Endpunkte dokumentiert, die nicht im Office 365 IP-Adresse und URL-Webdienst enthalten sind.

Konfigurationsanforderungen für die moderne Authentifizierung für den Übergang von Office 365 dedicated/ITAR zu vNext