Lokale Konfiguration von Exchange Server derart, dass die moderne Hybridauthentifizierung verwendet wird

  • Artikel

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA) ist eine Methode der Identitätsverwaltung, die eine sicherere Benutzerauthentifizierung und Autorisierung bietet und für lokale Hybridbereitstellungen von Exchange Server verfügbar ist.

Definitionen

Bevor wir beginnen, sollten Sie mit einigen Definitionen vertraut sein:

  • Hybrid Modern Authentication > HMA

  • Lokale Exchange-EXCH-Instanz >

  • > Exchange Online EXO

Wenn eine Grafik in diesem Artikel über ein Objekt verfügt, das "abgeblendet" oder "abgeblendet" ist, bedeutet dies, dass das in Grau dargestellte Element nicht in der HMA-spezifischen Konfiguration enthalten ist.

Aktivieren der modernen Hybridauthentifizierung

Zum Aktivieren von HMA muss Ihre Umgebung Folgendes erfüllen:

  1. Stellen Sie sicher, dass sie die Voraussetzungen erfüllen, bevor Sie beginnen.

  2. Da sowohl für Skype for Business als auch für Exchange viele Voraussetzungen gelten, lesen Sie diese unter Übersicht und Voraussetzungen für die Verwendung mit lokalen Skype for Business- und Exchange-Servern. Führen Sie dies aus, bevor Sie mit den Schritten in diesem Artikel beginnen. Anforderungen zu verknüpften Postfächern, die eingefügt werden sollen.

  3. Fügen Sie lokale Webdienst-URLs als Dienstprinzipalnamen (SPNs) in Microsoft Entra ID hinzu. Falls EXCH hybrid mit mehreren Mandanten ist, müssen diese lokalen Webdienst-URLs als SPNs im Microsoft Entra ID aller Mandanten hinzugefügt werden, die sich im Hybridmodus mit EXCH befinden.

  4. Sicherstellen, dass alle virtuellen Verzeichnisse für HMA aktiviert sind

  5. Suchen Sie nach dem EvoSTS-Authentifizierungsserverobjekt.

  6. Aktivieren Sie HMA in EXCH.

Hinweis

Unterstützt Ihre Version von Office MA? Weitere Informationen finden Sie unter Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps.

Hinweis

Outlook Web App und Exchange Systemsteuerung funktionieren nicht mit der modernen Hybridauthentifizierung. Darüber hinaus wird das Veröffentlichen von Outlook Web App und Exchange-Systemsteuerung über Microsoft Entra Anwendungsproxy nicht unterstützt.

Hinzufügen lokaler Webdienst-URLs als SPNs in Microsoft Entra ID

Führen Sie die Befehle aus, die Ihre lokalen Webdienst-URLs als Microsoft Entra SPNs zuweisen. SPNs werden von Clientcomputern und Geräten während der Authentifizierung und Autorisierung verwendet. Alle URLs, die verwendet werden können, um eine Verbindung zwischen der lokalen Umgebung und Microsoft Entra ID herzustellen, müssen in Microsoft Entra ID registriert werden (einschließlich interner und externer Namespaces).

  1. Führen Sie zunächst die folgenden Befehle auf Ihrem Microsoft Exchange Server aus:

    Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*

    Stellen Sie sicher, dass die URLs, mit denen Clients eine Verbindung herstellen können, in Microsoft Entra ID als HTTPS-Dienstprinzipalnamen aufgeführt sind. Falls EXCH hybrid mit mehreren Mandanten ist, sollten diese HTTPS-SPNs im Microsoft Entra ID aller Mandanten in der Hybridbereitstellung mit EXCH hinzugefügt werden.

  2. Stellen Sie als Nächstes mit den folgenden Anweisungen eine Verbindung mit Microsoft Entra ID her. Führen Sie den folgenden Befehl aus, um den erforderlichen Berechtigungen zuzustimmen:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  3. Geben Sie für Ihre Exchange-bezogenen URLs den folgenden Befehl ein:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Notieren Sie sich (und screenshot für einen späteren Vergleich) die Ausgabe dieses Befehls, die eine - und https://*mail.yourdomain.com* -https://*autodiscover.yourdomain.com*URL enthalten sollte, aber größtenteils aus SPNs besteht, die mit 00000002-0000-0ff1-ce00-000000000000/beginnen. https:// Wenn URLs aus Ihrer lokalen Umgebung fehlen, sollten diese spezifischen Datensätze dieser Liste hinzugefügt werden.

  4. Wenn Ihre internen und externen MAPI/HTTP-, EWS-, ActiveSync-, OAB- und AutoErmittlungsdatensätze in dieser Liste nicht angezeigt werden, müssen Sie sie mit dem folgenden Befehl hinzufügen (die Beispiel-URLs sind mail.corp.contoso.com und owa.contoso.com, aber Sie sollten die Beispiel-URLs durch Ihre eigenen ersetzen):

    $x= Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate =@(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  5. Überprüfen Sie, ob Ihre neuen Datensätze hinzugefügt wurden, indem Sie den Get-MsolServicePrincipal Befehl aus Schritt 2 erneut ausführen und die Ausgabe durchsuchen. Vergleichen Sie die Liste bzw. den Screenshot von zuvor mit der neuen Liste der SPNs. Sie können auch einen Screenshot der neuen Liste für Ihre Datensätze erstellen. Wenn Sie erfolgreich sind, werden die beiden neuen URLs in der Liste angezeigt. In unserem Beispiel enthält die Liste der SPNs nun die spezifischen URLs https://mail.corp.contoso.com und https://owa.contoso.com.

Überprüfen, ob virtuelle Verzeichnisse ordnungsgemäß konfiguriert sind

Überprüfen Sie nun, ob OAuth in Exchange für alle virtuellen Verzeichnisse, die Outlook verwenden könnte, ordnungsgemäß aktiviert ist, indem Sie die folgenden Befehle ausführen:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Überprüfen Sie die Ausgabe, um sicherzustellen, dass OAuth für jede dieser VDirs aktiviert ist. Es sieht in etwa wie folgt aus (und das Wichtigste, was Sie sich ansehen sollten, ist "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Wenn OAuth auf einem Server und einem der vier virtuellen Verzeichnisse fehlt, müssen Sie es mithilfe der entsprechenden Befehle hinzufügen, bevor Sie fortfahren (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory und Set-AutodiscoverVirtualDirectory).

Vergewissern Sie sich, dass das EvoSTS-Authentifizierungsserverobjekt vorhanden ist.

Kehren Sie für diesen letzten Befehl zur lokalen Exchange-Verwaltungsshell zurück. Jetzt können Sie überprüfen, ob Ihre lokale Umgebung über einen Eintrag für den evoSTS-Authentifizierungsanbieter verfügt:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Ihre Ausgabe sollte einen AuthServer des Namens EvoSts mit einer GUID anzeigen, und der Status "Enabled" sollte True sein. Andernfalls sollten Sie die neueste Version des Hybridkonfigurations-Assistenten herunterladen und ausführen.

Hinweis

Falls EXCH hybrid mit mehreren Mandanten ist, sollte ihre Ausgabe einen AuthServer des Namens EvoSts - {GUID} für jeden Mandanten in hybrider Verbindung mit EXCH anzeigen, und der Status Aktiviert sollte für alle diese AuthServer-Objekte True sein.

Wichtig

Wenn Sie Exchange 2010 in Ihrer Umgebung ausführen, wird der EvoSTS-Authentifizierungsanbieter nicht erstellt.

Aktivieren von HMA

Führen Sie den folgenden Befehl lokal in der Exchange-Verwaltungsshell aus, und <ersetzen Sie guid> in der Befehlszeile durch die GUID aus der Ausgabe des letzten ausgeführten Befehls:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Hinweis

In älteren Versionen des Hybridkonfigurations-Assistenten wurde der EvoSts AuthServer einfach EvoSTS ohne angefügte GUID genannt. Es ist keine Aktion erforderlich, die Sie ausführen müssen. Ändern Sie einfach die vorangehende Befehlszeile, um dies widerzuspiegeln, indem Sie den GUID-Teil des Befehls entfernen:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Wenn die EXCH-Version Exchange 2016 (CU18 oder höher) oder Exchange 2019 (CU7 oder höher) ist und hybrid mit HCW konfiguriert wurde, die nach September 2020 heruntergeladen wurde, führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell lokal aus:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Hinweis

Falls EXCH hybrid mit mehreren Mandanten ist, gibt es mehrere AuthServer-Objekte in EXCH mit Domänen, die jedem Mandanten entsprechen. Das IsDefaultAuthorizationEndpoint-Flag sollte (mithilfe des Cmdlets IsDefaultAuthorizationEndpoint ) für eines dieser AuthServer-Objekte auf true festgelegt werden. Dieses Flag kann nicht für alle Authserver-Objekte auf true festgelegt werden, und HMA wäre auch dann aktiviert, wenn das IsDefaultAuthorizationEndpoint-Flag eines dieser AuthServer-Objekte auf true festgelegt ist.

Hinweis

Verwenden Sie für den DomainName-Parameter den Mandantendomänenwert, der in der Regel im Format contoso.onmicrosoft.comliegt.

Überprüfen

Nachdem Sie HMA aktiviert haben, verwendet die nächste Anmeldung eines Clients den neuen Authentifizierungsflow. Durch das Aktivieren von HMA wird keine erneute Authentifizierung für einen Client ausgelöst, und es kann eine Weile dauern, bis Exchange die neuen Einstellungen übernimmt.

Sie sollten auch die STRG-TASTE gedrückt halten, während Sie mit der rechten Maustaste auf das Symbol für den Outlook-Client klicken (auch in der Windows-Benachrichtigungsleiste), und wählen Sie Verbindungsstatus aus. Suchen Sie nach der SMTP-Adresse des Clients für den AuthentifizierungstypBearer\*, der das in OAuth verwendete Bearertoken darstellt.

Hinweis

Müssen Sie Skype for Business mit HMA konfigurieren? Sie benötigen zwei Artikel: einen, der die unterstützten Topologien auflistet, und einen, in dem die Konfiguration erläutert wird.

Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android

Wenn Sie ein lokaler Kunde sind, der Exchange-Server unter TCP 443 verwendet, lassen Sie Netzwerkdatenverkehr aus den folgenden IP-Adressbereichen zu:

52.125.128.0/20
52.127.96.0/23

Diese IP-Adressbereiche sind auch unter Zusätzliche Endpunkte dokumentiert, die nicht im Office 365 IP-Adresse und URL-Webdienst enthalten sind.

Konfigurationsanforderungen für die moderne Authentifizierung für den Übergang von Office 365 dedicated/ITAR zu vNext