Lokale Konfiguration von Exchange Server derart, dass die moderne Hybridauthentifizierung verwendet wird

Übersicht

Die hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA) in Microsoft Exchange Server ist ein Feature, mit dem Benutzer mithilfe von Autorisierungstoken, die aus der Cloud abgerufen werden, auf lokal gehostete Postfächer zugreifen können.

HMA ermöglicht Outlook das Abrufen von Zugriffs- und Aktualisierungs-OAuth-Token von Microsoft Entra ID, entweder direkt für die Kennworthashsynchronisierung oder Pass-Through Authentifizierungsidentitäten oder von einem eigenen Secure Token Service (STS) für Verbundidentitäten. Exchange lokal akzeptiert diese Token und bietet Postfachzugriff. Die Methode zum Abrufen dieser Token und der erforderlichen Anmeldeinformationen wird durch die Funktionen des Identitätsanbieters (iDP) bestimmt, die vom einfachen Benutzernamen und Kennwort bis hin zu komplexeren Methoden wie Zertifikaten, Telefonauthentifizierung oder biometrischen Methoden reichen können.

Damit HMA funktioniert, muss die Identität des Benutzers in der Microsoft Entra-ID vorhanden sein, und es ist eine konfiguration erforderlich, die vom Exchange Hybrid Configuration Wizard (HCW) verarbeitet wird.

Im Vergleich zu älteren Authentifizierungsmethoden wie NTLM bietet HMA mehrere Vorteile. Es bietet eine sicherere und flexiblere Authentifizierungsmethode, die die Leistungsfähigkeit der cloudbasierten Authentifizierung nutzt. Im Gegensatz zu NTLM, das auf einem Challenge-Response-Mechanismus basiert und keine modernen Authentifizierungsprotokolle unterstützt, verwendet HMA OAuth-Token, die sicherer sind und eine bessere Interoperabilität bieten.

HMA ist ein leistungsstarkes Feature, das die Flexibilität und Sicherheit des Zugriffs auf lokale Anwendungen erhöht und die Leistungsfähigkeit der cloudbasierten Authentifizierung nutzt. Es stellt eine erhebliche Verbesserung gegenüber legacy-Authentifizierungsmethoden dar und bietet mehr Sicherheit, Flexibilität und Benutzerfreundlichkeit.

Voraussetzungen für die Aktivierung der modernen Hybridauthentifizierung

In diesem Abschnitt stellen wir Informationen und Schritte bereit, die ausgeführt werden müssen, um die moderne Hybridauthentifizierung in Microsoft Exchange Server erfolgreich zu konfigurieren und zu aktivieren.

Exchange Server-spezifische Voraussetzungen

Ihre Exchange-Server müssen die folgenden Anforderungen erfüllen, bevor die moderne Hybridauthentifizierung konfiguriert und aktiviert werden kann. Wenn Sie über eine Hybridkonfiguration verfügen, müssen Sie das neueste kumulative Update (CU) ausführen, um sich in einem unterstützten Zustand zu befinden. Die unterstützten Exchange Server-Versionen und -Builds finden Sie in der Exchange Server-Unterstützungsmatrix.

• Stellen Sie sicher, dass es in der Organisation keine Exchange-Server mit Ende der Lebensdauer gibt.
• Exchange Server 2016 muss CU8 oder höher ausführen.
• Exchange Server 2019 muss CU1 oder höher ausführen.
• Stellen Sie sicher, dass alle Server eine Verbindung mit dem Internet herstellen können. Wenn ein Proxy erforderlich ist, konfigurieren Sie Exchange Server für die Verwendung.
• Wenn Sie bereits über eine Hybridkonfiguration verfügen, stellen Sie sicher, dass es sich um eine klassische Hybridbereitstellung handelt, da die moderne Hybridbereitstellung HMA nicht unterstützt.
• Stellen Sie sicher, dass ssl offloading nicht verwendet wird (es wird nicht unterstützt). SSL Bridging kann jedoch verwendet werden und wird unterstützt.

Weitere Informationen finden Sie auch in der Übersicht über die moderne Hybridauthentifizierung und den Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern .

Protokolle, die mit moderner Hybridauthentifizierung funktionieren

Die moderne Hybridauthentifizierung funktioniert für die folgenden Exchange Server-Protokolle:

Protokoll	Moderne Hybridauthentifizierung unterstützt
MAPI über HTTP (MAPI/HTTP)	Ja
Outlook Anywhere (RPC/HTTP)	Nein
Exchange Active Sync (EAS)	Ja
Exchange-Webdienste (Exchange Web Services, EWS)	Ja
Outlook im Web (OWA)	Ja
Exchange Admin Center (ECP)	Ja
Offline Address Book (OAB)	Ja
IMAP	Nein
POP	Nein

Schritte zum Konfigurieren und Aktivieren der modernen Hybridauthentifizierung

Zum Aktivieren der modernen Hybridauthentifizierung (Hybrid Modern Authentication, HMA) müssen Sie sicherstellen, dass Ihre Organisation alle erforderlichen Voraussetzungen erfüllt. Darüber hinaus sollten Sie sich vergewissern, dass Ihr Office-Client mit der modernen Authentifizierung kompatibel ist. Weitere Informationen finden Sie in der Dokumentation zur Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps.

1. Stellen Sie sicher, dass sie die Voraussetzungen erfüllen, bevor Sie beginnen.

2. Fügen Sie der Microsoft Entra-ID lokale Webdienst-URLs hinzu. Die URLs müssen als Service Principal Names (SPNs)hinzugefügt werden. Für den Fall, dass Ihr Exchange Server-Setup hybrid mit mehreren Mandanten ist, müssen diese lokalen Webdienst-URLs als SPNs in der Microsoft Entra-ID aller Mandanten hinzugefügt werden, die hybrid mit Exchange Server lokal sind.

3. Stellen Sie sicher, dass alle virtuellen Verzeichnisse für HMA aktiviert sind. Wenn Sie die moderne Hybridauthentifizierung für Outlook im Web (OWA) und die Exchange-Systemsteuerung (ECP) konfigurieren möchten, ist es wichtig, auch die entsprechenden Verzeichnisse zu überprüfen.

4. Suchen Sie nach dem EvoSTS-Authentifizierungsserverobjekt.

5. Stellen Sie sicher, dass das Exchange Server OAuth-Zertifikat gültig ist. Das Skript MonitorExchangeAuthCertificate kann verwendet werden, um die Gültigkeit des OAuth-Zertifikats zu überprüfen. Im Falle des Ablaufs unterstützt das Skript den Erneuerungsprozess.

6. Stellen Sie sicher, dass alle Benutzeridentitäten mit der Microsoft Entra-ID synchronisiert werden, insbesondere mit allen Konten, die für die Verwaltung verwendet werden. Andernfalls funktioniert die Anmeldung nicht mehr, bis sie synchronisiert sind. Konten, z. B. der integrierte Administrator, werden nie mit der Microsoft Entra-ID synchronisiert und können daher nicht für OAuth-Anmeldungen verwendet werden, nachdem HMA aktiviert wurde. Dieses Verhalten ist auf das isCriticalSystemObject -Attribut zurückzuführen, das für einige Konten, einschließlich des Standardadministrators, auf True festgelegt ist.

7. (Optional) Wenn Sie den Outlook für iOS- und Android-Client verwenden möchten, stellen Sie sicher, dass der AutoDetect-Dienst eine Verbindung mit Ihrem Exchange Server herstellen kann.

8. Aktivieren Sie HMA in Exchange lokal.

Hinzufügen lokaler Webdienst-URLs als SPNs in Microsoft Entra ID

Führen Sie die Befehle aus, die Ihre lokalen Webdienst-URLs als Microsoft Entra SPNs zuweisen. SPNs werden von Clientcomputern und Geräten während der Authentifizierung und Autorisierung verwendet. Alle URLs, die verwendet werden können, um eine Verbindung zwischen einer lokalen Umgebung und microsoft Entra ID herzustellen, müssen in der Microsoft Entra-ID registriert sein (einschließlich interner und externer Namespaces).

1. Führen Sie zunächst die folgenden Befehle auf Ihrem Microsoft Exchange Server aus:

   Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
   Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
   

   Stellen Sie sicher, dass die URLs, mit denen Clients eine Verbindung herstellen können, als HTTPS-Dienstprinzipalnamen in Microsoft Entra ID aufgeführt sind. Falls Exchange lokal hybrid mit mehreren Mandanten ist, sollten diese HTTPS-SPNs in der Microsoft Entra-ID aller Mandanten in hybrider Verbindung mit Exchange lokal hinzugefügt werden.

2. Installieren Sie das Microsoft Graph PowerShell-Modul:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Stellen Sie als Nächstes eine Verbindung mit der Microsoft Entra-ID her, indem Sie diese Anweisungen befolgen. Führen Sie den folgenden Befehl aus, um den erforderlichen Berechtigungen zuzustimmen:

   Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
   

4. Geben Sie für Ihre Exchange-bezogenen URLs den folgenden Befehl ein:

   Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
   

   Notieren Sie sich die Ausgabe dieses Befehls, die eine - und https://*mail.yourdomain.com* -https://*autodiscover.yourdomain.com*URL enthalten sollte, aber größtenteils aus SPNs besteht, die mit 00000002-0000-0ff1-ce00-000000000000/beginnen. https:// Wenn URLs aus Ihrer lokalen Umgebung fehlen, sollten diese spezifischen Datensätze dieser Liste hinzugefügt werden.

5. Wenn Die internen und externen MAPI/HTTPDatensätze , , OABEWSActiveSyncund AutoDiscover in dieser Liste nicht angezeigt werden, müssen Sie sie hinzufügen. Verwenden Sie den folgenden Befehl, um alle urLs hinzuzufügen, die fehlen. In unserem Beispiel werden mail.corp.contoso.com die URLs und owa.contoso.comhinzugefügt. Stellen Sie sicher, dass sie durch die URLs ersetzt werden, die in Ihrer Umgebung konfiguriert sind.

   $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $ServicePrincipalUpdate = @(
   "https://mail.corp.contoso.com/","https://owa.contoso.com/"
   )
   Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
   

6. Überprüfen Sie, ob Ihre neuen Datensätze hinzugefügt wurden, indem Sie den Get-MgServicePrincipal Befehl aus Schritt 4 erneut ausführen und die Ausgabe überprüfen. Vergleichen Sie die Liste von zuvor mit der neuen Liste der SPNs. Sie können sich auch die neue Liste für Ihre Datensätze notieren. Wenn Sie erfolgreich sind, sollten die beiden neuen URLs in der Liste angezeigt werden. In unserem Beispiel enthält die Liste der SPNs nun die spezifischen URLs https://mail.corp.contoso.com und https://owa.contoso.com.

Überprüfen, ob virtuelle Verzeichnisse ordnungsgemäß konfiguriert sind

Vergewissern Sie sich nun, dass OAuth in Exchange in allen virtuellen Verzeichnissen, die Outlook möglicherweise verwendet, ordnungsgemäß aktiviert ist, indem Sie die folgenden Befehle ausführen:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Überprüfen Sie die Ausgabe, um sicherzustellen, dass OAuth für jedes dieser virtuellen Verzeichnisse aktiviert ist. Sie sieht in etwa wie folgt aus (und das Wichtigste, was Sie sehen sollten, ist OAuth wie zuvor erwähnt):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Wenn OAuth auf einem Server und einem der fünf virtuellen Verzeichnisse fehlt, müssen Sie es mithilfe der entsprechenden Befehle hinzufügen, bevor Sie fortfahren (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) und Set-ActiveSyncVirtualDirectory.

Vergewissern Sie sich, dass das EvoSTS-Authentifizierungsserverobjekt vorhanden ist.

Führen Sie nun auf der lokalen Exchange Server-Verwaltungsshell (EMS) diesen letzten Befehl aus. Sie können überprüfen, ob Ihr lokaler Exchange Server einen Eintrag für den evoSTS-Authentifizierungsanbieter zurückgibt:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Ihre Ausgabe sollte einen AuthServer mit dem Namen EvoSts - <GUID> und der Enabled Status angezeigt werden True. Wenn dies nicht der Fall ist, sollten Sie die neueste Version des Hybridkonfigurations-Assistenten herunterladen und ausführen.

Für den Fall, dass Exchange Server lokal eine Hybridkonfiguration mit mehreren Mandanten ausführt, zeigt Die Ausgabe einen AuthServer mit dem Namen EvoSts - <GUID> für jeden Mandanten in hybrider Verbindung mit Exchange Server lokal an, und der Enabled Zustand sollte für alle diese AuthServer-Objekte sein True . Notieren Sie sich den Bezeichner EvoSts - <GUID>, da er im nachfolgenden Schritt erforderlich ist.

Aktivieren von HMA

Führen Sie die folgenden Befehle in der lokalen Exchange Server-Verwaltungsshell (EMS) aus, und ersetzen Sie in <GUID> der Befehlszeile durch die GUID aus der Ausgabe des letzten Ausgeführten Befehls. In älteren Versionen des Hybridkonfigurations-Assistenten wurde der EvoSts AuthServer ohne angefügte GUID benannt EvoSTS . Es gibt keine Aktion, die Sie ausführen müssen. Ändern Sie einfach die vorangehende Befehlszeile, indem Sie den GUID-Teil des Befehls entfernen.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Wenn die lokale Exchange Server-Version Exchange Server 2016 (CU18 oder höher) oder Exchange Server 2019 (CU7 oder höher) ist und hybrid mit Hilfe des nach September 2020 heruntergeladenen HCW konfiguriert wurde, führen Sie den folgenden Befehl in der lokalen Exchange Server-Verwaltungsshell (EMS) aus. Verwenden Sie für den DomainName -Parameter den Wert der Mandantendomäne, der in der Regel im Format lautet contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Falls Exchange Server lokal hybrid mit mehreren Mandanten ist, gibt es mehrere AuthServer-Objekte in den lokalen Exchange Server-Organisationen mit Domänen, die den einzelnen Mandanten entsprechen. Das IsDefaultAuthorizationEndpoint Flag sollte für eines dieser AuthServer-Objekte auf True festgelegt werden. Das Flag kann nicht für alle AuthServer-Objekte auf TRUE festgelegt werden, und HMA wäre auch dann aktiviert, wenn eines dieser AuthServer-Objektflags IsDefaultAuthorizationEndpoint auf true festgelegt ist.

Wichtig

Wenn Sie mit mehreren Mandanten arbeiten, müssen sie sich alle in derselben Cloudumgebung befinden, z. B. alle in Global oder alle in GCC. Sie können nicht in gemischten Umgebungen wie einem Mandanten in Global und einem anderen in GCCvorhanden sein.

Überprüfen

Nachdem Sie HMA aktiviert haben, verwendet die nächste Anmeldung eines Clients den neuen Authentifizierungsflow. Das Aktivieren von HMA löst keine erneute Authentifizierung für einen Client aus, und es kann eine Weile dauern, bis Exchange Server die neuen Einstellungen übernimmt. Dieser Prozess erfordert nicht die Erstellung eines neuen Profils.

Sie sollten auch die CTRL Taste gedrückt halten, während Sie mit der rechten Maustaste auf das Symbol für den Outlook-Client klicken (auch in der Windows-Benachrichtigungsleiste), und wählen Sie aus Connection Status. Suchen Sie nach der SMTP-Adresse des Clients für einen AuthN Typ von Bearer\*, der das in OAuth verwendete Bearertoken darstellt.

Aktivieren der modernen Hybridauthentifizierung für OWA und ECP

Die moderne Hybridauthentifizierung kann jetzt auch für OWA und ECPaktiviert werden. Stellen Sie sicher, dass die Voraussetzungen erfüllt sind, bevor Sie fortfahren.

Nachdem die moderne Hybridauthentifizierung für OWA und ECPaktiviert wurde, werden alle Endbenutzer und Administratoren, die versuchen, sich bei oder ECP anzumeldenOWA, zuerst zur Microsoft Entra ID-Authentifizierungsseite umgeleitet. Nachdem die Authentifizierung erfolgreich war, wird der Benutzer an OWA oder ECPumgeleitet.

Voraussetzungen zum Aktivieren der modernen Hybridauthentifizierung für OWA und ECP

Wichtig

Auf allen Servern muss mindestens das Exchange Server 2019 CU14-Update installiert sein. Sie müssen auch die Exchange Server 2019 CU14 April 2024 HU oder ein späteres Update ausführen.

Zum Aktivieren der modernen Hybridauthentifizierung für OWA und ECPmüssen alle Benutzeridentitäten mit Microsoft Entra ID synchronisiert werden. Darüber hinaus ist es wichtig, dass das OAuth-Setup zwischen Exchange Server lokal und Exchange Online eingerichtet wurde, bevor weitere Konfigurationsschritte ausgeführt werden können.

Kunden, die bereits den Hybridkonfigurations-Assistenten (HCW) zum Konfigurieren der Hybridkonfiguration ausgeführt haben, verfügen über eine OAuth-Konfiguration. Wenn OAuth noch nicht konfiguriert wurde, kann dies durch Ausführen des HCW oder durch Ausführen der Schritte erfolgen, die in der Dokumentation Konfigurieren der OAuth-Authentifizierung zwischen Exchange und Exchange Online-Organisationen beschrieben sind.

Es wird empfohlen, die OwaVirtualDirectory Einstellungen und EcpVirtualDirectory zu dokumentieren, bevor Sie Änderungen vornehmen. In dieser Dokumentation können Sie die ursprünglichen Einstellungen wiederherstellen, wenn nach der Konfiguration des Features Probleme auftreten.

Schritte zum Aktivieren der modernen Hybridauthentifizierung für OWA und ECP

Warnung

Das Veröffentlichen von Outlook Web App (OWA) und Exchange Control Panel (ECP) über den Microsoft Entra-Anwendungsproxy wird nicht unterstützt.

1. Fragen Sie die OWA URLs und ECP ab, die lokal auf Ihrem Exchange Server konfiguriert sind. Dies ist wichtig, da sie als Antwort-URL zur Microsoft Entra-ID hinzugefügt werden müssen:

   Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
   Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
   

2. Installieren Sie das Microsoft Graph PowerShell-Modul, falls es noch nicht installiert wurde:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Stellen Sie mit diesen Anweisungen eine Verbindung mit der Microsoft Entra-ID her. Führen Sie den folgenden Befehl aus, um den erforderlichen Berechtigungen zuzustimmen:

   Connect-Graph -Scopes User.Read, Application.ReadWrite.All
   

4. Geben Sie Ihre OWA URLs und ECP an:

   $replyUrlsToBeAdded = @(
   "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
   )
   

5. Aktualisieren Sie Ihre Anwendung mit den Antwort-URLs:

   $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
   

6. Vergewissern Sie sich, dass die Antwort-URLs erfolgreich hinzugefügt wurden:

   (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
   

7. Führen Sie die schritte aus, die im Abschnitt Aktivieren von HMA beschrieben sind, um die lokale Exchange Server-Möglichkeit für die Durchführung der modernen Hybridauthentifizierung zu aktivieren.

8. (Optional) Nur erforderlich, wenn Downloaddomänen verwendet werden:

   Erstellen Sie eine neue globale Einstellungsüberschreibung, indem Sie die folgenden Befehle in einer Exchange Management Shell (EMS) mit erhöhten Rechten ausführen. Führen Sie die folgenden Befehle auf einem Exchange Server aus:

   New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

9. (Optional) Nur in Szenarien mit Exchange-Ressourcengesamtstruktur erforderlich :

   Fügen Sie dem Knoten der <ExchangeInstallPath>\ClientAccess\Owa\web.config Datei die <appSettings> folgenden Schlüssel hinzu. Führen Sie dies auf jedem Exchange Server aus:

   <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
   <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
   

   Erstellen Sie eine neue globale Einstellungsüberschreibung, indem Sie die folgenden Befehle in einer Exchange Management Shell (EMS) mit erhöhten Rechten ausführen. Führen Sie die folgenden Befehle auf einem Exchange Server aus:

   New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

10. Um die moderne Hybridauthentifizierung für OWA und ECPzu aktivieren, müssen Sie zunächst jede andere Authentifizierungsmethode für diese virtuellen Verzeichnisse deaktivieren. Es ist wichtig, die Konfiguration in der angegebenen Reihenfolge auszuführen. Andernfalls kann es während der Befehlsausführung zu einer Fehlermeldung führen.
    
    Führen Sie die folgenden Befehle für jedes OWA virtuelle Verzeichnis und ECP jedes virtuelle Verzeichnis auf jedem Exchange Server aus, um alle anderen Authentifizierungsmethoden zu deaktivieren:

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
    

    Wichtig

    Stellen Sie sicher, dass alle Konten mit der Microsoft Entra-ID synchronisiert werden, insbesondere mit allen Konten, die für die Verwaltung verwendet werden. Andernfalls funktioniert die Anmeldung nicht mehr, bis sie synchronisiert sind. Konten, z. B. der integrierte Administrator, werden nicht mit der Microsoft Entra-ID synchronisiert und können daher nicht für die Verwaltung verwendet werden, nachdem HMA für OWA und ECP aktiviert wurden. Dieses Verhalten ist auf das isCriticalSystemObject -Attribut zurückzuführen, das für einige Konten auf True festgelegt ist.

11. Aktivieren Sie OAuth für das OWA virtuelle Verzeichnis und ECP . Es ist wichtig, die Konfiguration in der angegebenen Reihenfolge auszuführen. Andernfalls kann es während der Befehlsausführung zu einer Fehlermeldung führen. Für jedes OWA virtuelle Verzeichnis und ECP jedes virtuelle Verzeichnis auf jedem Exchange Server müssen die folgenden Befehle ausgeführt werden:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
    

Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android

Wenn Sie den Outlook für iOS- und Android-Client zusammen mit der modernen Hybridauthentifizierung verwenden möchten, stellen Sie sicher, dass der AutoDetect-Dienst eine Verbindung mit Ihrem Exchange Server unter TCP 443 (HTTPS) herstellen kann:

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Die IP-Adressbereiche finden Sie auch in den Zusätzlichen Endpunkten, die nicht in der Dokumentation zu Office 365-IP-Adressen und -URL-Webdiensten enthalten sind .

Verwandte Artikel

Konfigurationsanforderungen für die moderne Authentifizierung für den Übergang von Office 365 dedicated/ITAR zu vNext