Cómo configurar Exchange Server local para usar la autenticación moderna híbrida

  • Artículo

Este artículo afecta tanto a Office 365 Enterprise como a Microsoft 365 Enterprise

La autenticación moderna híbrida (HMA) es un método de administración de identidades que ofrece autenticación y autorización de usuario más seguras y está disponible para implementaciones híbridas locales de Exchange Server.

Habilitación de la autenticación moderna híbrida

La activación de HMA requiere que el entorno cumpla lo siguiente:

  1. Asegúrese de cumplir los requisitos previos antes de empezar.

  2. Dado que muchos requisitos previos son comunes tanto para Skype Empresarial como para Exchange, revíselos en La introducción a la autenticación moderna híbrida y los requisitos previos para usarlos con servidores de Exchange y Skype Empresarial locales. Haga esto antes de comenzar cualquiera de los pasos de este artículo. Requisitos sobre los buzones vinculados que se van a insertar.

  3. Agregue direcciones URL de servicio web locales como nombres de entidad de seguridad de servicio (SPN) en Microsoft Entra ID. En caso de que Exchange local esté en híbrido con varios inquilinos, estas direcciones URL de servicio web local deben agregarse como SPN en el Microsoft Entra ID de todos los inquilinos, que están en híbrido con Exchange local.

  4. Asegúrese de que todos los directorios virtuales están habilitados para HMA

  5. Comprobación del objeto de servidor de autenticación de EvoSTS

  6. Asegúrese de que el certificado de OAuth de Exchange Server es válido

  7. Asegúrese de que todas las identidades de usuario se sincronizan con Microsoft Entra ID

  8. Habilite HMA en Exchange local.

Nota:

¿La versión de Office es compatible con MA? Consulte Funcionamiento de la autenticación moderna para aplicaciones cliente de Office 2013 y Office 2016.

Advertencia

No se admite la publicación de Outlook Web App y Panel de control de Exchange a través de Microsoft Entra proxy de aplicación.

Agregar direcciones URL de servicio web locales como SPN en Microsoft Entra ID

Ejecute los comandos que asignan las direcciones URL del servicio web local como Microsoft Entra SPN. Los SPN los usan los dispositivos y máquinas cliente durante la autenticación y autorización. Todas las direcciones URL que se pueden usar para conectarse desde el entorno local a Microsoft Entra ID deben registrarse en Microsoft Entra ID (incluidos los espacios de nombres internos y externos).

  1. En primer lugar, ejecute los siguientes comandos en el Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    Asegúrese de que las direcciones URL a las que pueden conectarse los clientes se enumeran como nombres de entidad de servicio HTTPS en Microsoft Entra ID. En caso de que Exchange local esté en híbrido con varios inquilinos, estos SPN HTTPS deben agregarse en el Microsoft Entra ID de todos los inquilinos híbridos con Exchange local.

  2. Instale el módulo de PowerShell de Microsoft Graph:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. A continuación, conéctese a Microsoft Entra ID con estas instrucciones. Para dar su consentimiento a los permisos necesarios, ejecute el siguiente comando:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Para las direcciones URL relacionadas con Exchange, escriba el siguiente comando:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Tome nota de (y captura de pantalla para una comparación posterior) de la salida de este comando, que debe incluir una https://*autodiscover.yourdomain.com* dirección URL y https://*mail.yourdomain.com* , pero principalmente constan de SPN que comienzan por 00000002-0000-0ff1-ce00-000000000000/. https:// Si faltan direcciones URL del entorno local, esos registros específicos se deben agregar a esta lista.

  5. Si no ve los registros internos y externos MAPI/HTTP, EWS, ActiveSync, OABy Autodiscover en esta lista, debe agregarlos. Use el siguiente comando para agregar todas las direcciones URL que faltan:

    Importante

    En nuestro ejemplo, las direcciones URL que se agregarán son mail.corp.contoso.com y owa.contoso.com. Asegúrese de que se reemplazan por las direcciones URL configuradas en el entorno.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Compruebe que los nuevos registros se agregaron ejecutando el Get-MsolServicePrincipal comando del paso 2 de nuevo y examinando la salida. Compare la lista o captura de pantalla de antes con la nueva lista de SPN. También puede realizar una captura de pantalla de la nueva lista de los registros. Si se ejecuta correctamente, verá las dos direcciones URL nuevas en la lista. En nuestro ejemplo, la lista de SPN ahora incluye las direcciones https://mail.corp.contoso.com URL específicas y https://owa.contoso.com.

Comprobar que los directorios virtuales están configurados correctamente

Ahora compruebe que OAuth está habilitado correctamente en Exchange en todos los directorios virtuales que Outlook podría usar ejecutando los siguientes comandos:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Compruebe la salida para asegurarse de que OAuth está habilitado en cada uno de estos VDir, que tiene un aspecto similar al siguiente (y que lo más importante es "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Si falta OAuth en cualquier servidor y en cualquiera de los cuatro directorios virtuales, debe agregarlo mediante los comandos pertinentes antes de continuar (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory y Set-AutodiscoverVirtualDirectory).

Confirmación de que el objeto del servidor de autenticación de EvoSTS está presente

Vuelva al Shell de administración de Exchange local para este último comando. Ahora puede validar que el entorno local tiene una entrada para el proveedor de autenticación evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

La salida debe mostrar un AuthServer del nombre EvoSts con un GUID y el estado "Habilitado" debe ser True. Si no es así, debe descargar y ejecutar la versión más reciente del Asistente para configuración híbrida.

Nota:

En caso de que Exchange local esté en híbrido con varios inquilinos, la salida debe mostrar un AuthServer del nombre EvoSts - {GUID} de cada inquilino en híbrido con Exchange local y el estado Habilitado debe ser True para todos estos objetos AuthServer.

Importante

Si ejecuta Exchange 2010 en su entorno, no se creará el proveedor de autenticación de EvoSTS.

Habilitación de HMA

Ejecute el siguiente comando en el Shell de administración de Exchange, local, reemplazando <GUID> en la línea de comandos por el GUID de la salida del último comando que ejecutó:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Nota:

En versiones anteriores del Asistente para configuración híbrida, EvoSts AuthServer se llamaba simplemente EvoSTS sin un GUID asociado. No es necesario realizar ninguna acción, solo tiene que modificar la línea de comandos anterior para reflejarlo quitando la parte GUID del comando:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Si la versión local de Exchange es Exchange 2016 (CU18 o posterior) o Exchange 2019 (CU7 o posterior) y el híbrido se configuró con HCW descargado después de septiembre de 2020, ejecute el siguiente comando en el Shell de administración de Exchange, en el entorno local:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Nota:

En caso de que Exchange local esté en híbrido con varios inquilinos, hay varios objetos AuthServer presentes en Exchange local con dominios correspondientes a cada inquilino. La marca IsDefaultAuthorizationEndpoint debe establecerse en true (mediante el cmdlet IsDefaultAuthorizationEndpoint ) para cualquiera de estos objetos AuthServer. Esta marca no se puede establecer en true para todos los objetos Authserver y HMA se habilitaría incluso si una de estas marcas IsDefaultAuthorizationEndpoint del objeto AuthServer está establecida en true.

Nota:

Para el parámetro DomainName , use el valor de dominio de inquilino, que suele tener el formato contoso.onmicrosoft.com.

Verificar

Una vez que habilite HMA, el siguiente inicio de sesión de un cliente usará el nuevo flujo de autenticación. Al activar HMA, no se desencadenará una nueva autenticación para ningún cliente y Exchange podría tardar un tiempo en seleccionar la nueva configuración.

También debe mantener presionada la tecla CTRL al mismo tiempo que haga clic con el botón derecho en el icono del cliente de Outlook (también en la bandeja de notificaciones de Windows) y seleccione Estado de conexión. Busque la dirección SMTP del cliente en un tipo AuthN de Bearer\*, que representa el token de portador usado en OAuth.

Nota:

¿Necesita configurar Skype Empresarial con HMA? Necesitará dos artículos: uno que enumera las topologías admitidas y otro que muestra cómo realizar la configuración.

Habilitación de la autenticación moderna híbrida para OWA y ECP

La autenticación moderna híbrida ahora también se puede habilitar para OWA y ECP. Asegúrese de que los requisitos previos se cumplen antes de continuar.

Después de habilitar la autenticación moderna híbrida para OWA y ECP, cada usuario final y administrador que intente iniciar sesión en OWA o ECP se le redirigirá primero a la página de autenticación de Microsoft Entra ID. Una vez que la autenticación se realizó correctamente, se redirigirá al usuario a OWA o ECP.

Requisitos previos para habilitar la autenticación moderna híbrida para OWA y ECP

Para habilitar la autenticación moderna híbrida para OWA y ECP, todas las identidades de usuario deben sincronizarse con Microsoft Entra ID. Además de esto, es importante que se haya establecido la configuración de OAuth entre Exchange Server local y Exchange Online antes de que se puedan realizar más pasos de configuración.

Los clientes que ya hayan ejecutado el Asistente para configuración híbrida (HCW) para configurar el híbrido tendrán una configuración de OAuth en su lugar. Si OAuth no se configuró antes, se puede realizar mediante la ejecución de HCW o siguiendo los pasos descritos en la documentación Configurar la autenticación de OAuth entre Exchange y Exchange Online organizaciones.

Se recomienda documentar la OwaVirtualDirectory configuración y EcpVirtualDirectory antes de realizar los cambios. Esta documentación le permitirá restaurar la configuración original si surgen problemas después de configurar la característica.

Importante

Todos los servidores deben tener instalada al menos la actualización cu14 de Exchange Server 2019. También deben ejecutar el Exchange Server 2019 CU14 de abril de 2024 o una actualización posterior.

Pasos para habilitar la autenticación moderna híbrida para OWA y ECP

  1. Consulte las OWA direcciones URL y ECP configuradas en el Exchange Server local. Esto es importante porque se deben agregar como dirección URL de respuesta a Microsoft Entra ID:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Instale el módulo de PowerShell de Microsoft Graph si aún no se ha instalado:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Conéctese a Microsoft Entra ID con estas instrucciones. Para dar su consentimiento a los permisos necesarios, ejecute el siguiente comando:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. OWA Especifique las direcciones URL y ECP :

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Actualice la aplicación con las direcciones URL de respuesta:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Compruebe que las direcciones URL de respuesta se han agregado correctamente:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Para habilitar Exchange Server capacidad local para realizar la autenticación moderna híbrida, siga los pasos descritos en la sección Habilitar HMA.

  8. (Opcional) Solo es necesario si se usan dominios de descarga :

    Create una nueva invalidación de configuración global mediante la ejecución de los siguientes comandos desde un Shell de administración de Exchange (EMS) con privilegios elevados. Ejecute estos comandos en una Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Opcional) Solo se requiere en escenarios de topología de bosque de recursos de Exchange :

    Agregue las claves siguientes al <appSettings> nodo del <ExchangeInstallPath>\ClientAccess\Owa\web.config archivo. Haga esto en cada Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Create una nueva invalidación de configuración global mediante la ejecución de los siguientes comandos desde un Shell de administración de Exchange (EMS) con privilegios elevados. Ejecute estos comandos en una Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Para habilitar la autenticación moderna híbrida para OWA y ECP, primero debe deshabilitar cualquier otro método de autenticación en estos directorios virtuales. Ejecute estos comandos para cada OWA directorio virtual y ECP en cada Exchange Server:

    Importante

    Es importante ejecutar estos comandos en el orden especificado. De lo contrario, verá un mensaje de error al ejecutar los comandos. Después de ejecutar estos comandos, inicie sesión en OWA y ECP dejará de funcionar hasta que se haya activado la autenticación de OAuth para esos directorios virtuales.

    Además, asegúrese de que todas las cuentas están sincronizadas, especialmente las cuentas que se usan para que la administración Microsoft Entra ID. De lo contrario, el inicio de sesión dejará de funcionar hasta que se sincronicen. Tenga en cuenta que las cuentas, como el administrador integrado, no se sincronizarán con Microsoft Entra ID y, por lo tanto, no se pueden usar para la administración una vez que HMA para OWA y ECP se haya habilitado. Esto se debe al isCriticalSystemObject atributo , que se establece en TRUE para algunas cuentas.

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Habilite OAuth para el OWA directorio virtual y ECP . Ejecute estos comandos para cada OWA directorio virtual y ECP en cada Exchange Server:

    Importante

    Es importante ejecutar estos comandos en el orden especificado. De lo contrario, verá un mensaje de error al ejecutar los comandos.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Uso de la autenticación moderna híbrida con Outlook para iOS y Android

Si es un cliente local que usa Exchange Server en TCP 443, permita el tráfico de red desde los siguientes intervalos IP:

52.125.128.0/20
52.127.96.0/23

Estos intervalos de direcciones IP también se documentan en Puntos de conexión adicionales no incluidos en el servicio web de direcciones IP y direcciones IP Office 365.

Requisitos de configuración de autenticación moderna para la transición de Office 365 dedicado/ITAR a vNext