Cómo configurar Exchange Server local para usar la autenticación moderna híbrida
Este artículo afecta tanto a Office 365 Enterprise como a Microsoft 365 Enterprise
La autenticación moderna híbrida (HMA) es un método de administración de identidades que ofrece autenticación y autorización de usuario más seguras y está disponible para implementaciones híbridas locales de Exchange Server.
Habilitación de la autenticación moderna híbrida
La activación de HMA requiere que el entorno cumpla lo siguiente:
Asegúrese de cumplir los requisitos previos antes de empezar.
Dado que muchos requisitos previos son comunes tanto para Skype Empresarial como para Exchange, revíselos en La introducción a la autenticación moderna híbrida y los requisitos previos para usarlos con servidores de Exchange y Skype Empresarial locales. Haga esto antes de comenzar cualquiera de los pasos de este artículo. Requisitos sobre los buzones vinculados que se van a insertar.
Agregue direcciones URL de servicio web locales como nombres de entidad de seguridad de servicio (SPN) en Microsoft Entra ID. En caso de que Exchange local esté en híbrido con varios inquilinos, estas direcciones URL de servicio web local deben agregarse como SPN en el Microsoft Entra ID de todos los inquilinos, que están en híbrido con Exchange local.
Asegúrese de que todos los directorios virtuales están habilitados para HMA
Comprobación del objeto de servidor de autenticación de EvoSTS
Asegúrese de que el certificado de OAuth de Exchange Server es válido
Asegúrese de que todas las identidades de usuario se sincronizan con Microsoft Entra ID
Habilite HMA en Exchange local.
Nota:
¿La versión de Office es compatible con MA? Consulte Funcionamiento de la autenticación moderna para aplicaciones cliente de Office 2013 y Office 2016.
Advertencia
No se admite la publicación de Outlook Web App y Panel de control de Exchange a través de Microsoft Entra proxy de aplicación.
Agregar direcciones URL de servicio web locales como SPN en Microsoft Entra ID
Ejecute los comandos que asignan las direcciones URL del servicio web local como Microsoft Entra SPN. Los SPN los usan los dispositivos y máquinas cliente durante la autenticación y autorización. Todas las direcciones URL que se pueden usar para conectarse desde el entorno local a Microsoft Entra ID deben registrarse en Microsoft Entra ID (incluidos los espacios de nombres internos y externos).
En primer lugar, ejecute los siguientes comandos en el Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
Asegúrese de que las direcciones URL a las que pueden conectarse los clientes se enumeran como nombres de entidad de servicio HTTPS en Microsoft Entra ID. En caso de que Exchange local esté en híbrido con varios inquilinos, estos SPN HTTPS deben agregarse en el Microsoft Entra ID de todos los inquilinos híbridos con Exchange local.
Instale el módulo de PowerShell de Microsoft Graph:
Install-Module Microsoft.Graph -Scope AllUsers
A continuación, conéctese a Microsoft Entra ID con estas instrucciones. Para dar su consentimiento a los permisos necesarios, ejecute el siguiente comando:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Para las direcciones URL relacionadas con Exchange, escriba el siguiente comando:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Tome nota de (y captura de pantalla para una comparación posterior) de la salida de este comando, que debe incluir una
https://*autodiscover.yourdomain.com*
dirección URL yhttps://*mail.yourdomain.com*
, pero principalmente constan de SPN que comienzan por00000002-0000-0ff1-ce00-000000000000/
.https://
Si faltan direcciones URL del entorno local, esos registros específicos se deben agregar a esta lista.Si no ve los registros internos y externos
MAPI/HTTP
,EWS
,ActiveSync
,OAB
yAutodiscover
en esta lista, debe agregarlos. Use el siguiente comando para agregar todas las direcciones URL que faltan:Importante
En nuestro ejemplo, las direcciones URL que se agregarán son
mail.corp.contoso.com
yowa.contoso.com
. Asegúrese de que se reemplazan por las direcciones URL configuradas en el entorno.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Compruebe que los nuevos registros se agregaron ejecutando el
Get-MsolServicePrincipal
comando del paso 2 de nuevo y examinando la salida. Compare la lista o captura de pantalla de antes con la nueva lista de SPN. También puede realizar una captura de pantalla de la nueva lista de los registros. Si se ejecuta correctamente, verá las dos direcciones URL nuevas en la lista. En nuestro ejemplo, la lista de SPN ahora incluye las direccioneshttps://mail.corp.contoso.com
URL específicas yhttps://owa.contoso.com
.
Comprobar que los directorios virtuales están configurados correctamente
Ahora compruebe que OAuth está habilitado correctamente en Exchange en todos los directorios virtuales que Outlook podría usar ejecutando los siguientes comandos:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Compruebe la salida para asegurarse de que OAuth está habilitado en cada uno de estos VDir, que tiene un aspecto similar al siguiente (y que lo más importante es "OAuth"):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Si falta OAuth en cualquier servidor y en cualquiera de los cuatro directorios virtuales, debe agregarlo mediante los comandos pertinentes antes de continuar (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory y Set-AutodiscoverVirtualDirectory).
Confirmación de que el objeto del servidor de autenticación de EvoSTS está presente
Vuelva al Shell de administración de Exchange local para este último comando. Ahora puede validar que el entorno local tiene una entrada para el proveedor de autenticación evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
La salida debe mostrar un AuthServer del nombre EvoSts con un GUID y el estado "Habilitado" debe ser True. Si no es así, debe descargar y ejecutar la versión más reciente del Asistente para configuración híbrida.
Nota:
En caso de que Exchange local esté en híbrido con varios inquilinos, la salida debe mostrar un AuthServer del nombre EvoSts - {GUID}
de cada inquilino en híbrido con Exchange local y el estado Habilitado debe ser True para todos estos objetos AuthServer.
Importante
Si ejecuta Exchange 2010 en su entorno, no se creará el proveedor de autenticación de EvoSTS.
Habilitación de HMA
Ejecute el siguiente comando en el Shell de administración de Exchange, local, reemplazando <GUID> en la línea de comandos por el GUID de la salida del último comando que ejecutó:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Nota:
En versiones anteriores del Asistente para configuración híbrida, EvoSts AuthServer se llamaba simplemente EvoSTS sin un GUID asociado. No es necesario realizar ninguna acción, solo tiene que modificar la línea de comandos anterior para reflejarlo quitando la parte GUID del comando:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Si la versión local de Exchange es Exchange 2016 (CU18 o posterior) o Exchange 2019 (CU7 o posterior) y el híbrido se configuró con HCW descargado después de septiembre de 2020, ejecute el siguiente comando en el Shell de administración de Exchange, en el entorno local:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Nota:
En caso de que Exchange local esté en híbrido con varios inquilinos, hay varios objetos AuthServer presentes en Exchange local con dominios correspondientes a cada inquilino. La marca IsDefaultAuthorizationEndpoint debe establecerse en true (mediante el cmdlet IsDefaultAuthorizationEndpoint ) para cualquiera de estos objetos AuthServer. Esta marca no se puede establecer en true para todos los objetos Authserver y HMA se habilitaría incluso si una de estas marcas IsDefaultAuthorizationEndpoint del objeto AuthServer está establecida en true.
Nota:
Para el parámetro DomainName , use el valor de dominio de inquilino, que suele tener el formato contoso.onmicrosoft.com
.
Verificar
Una vez que habilite HMA, el siguiente inicio de sesión de un cliente usará el nuevo flujo de autenticación. Al activar HMA, no se desencadenará una nueva autenticación para ningún cliente y Exchange podría tardar un tiempo en seleccionar la nueva configuración.
También debe mantener presionada la tecla CTRL al mismo tiempo que haga clic con el botón derecho en el icono del cliente de Outlook (también en la bandeja de notificaciones de Windows) y seleccione Estado de conexión. Busque la dirección SMTP del cliente en un tipo AuthN de Bearer\*
, que representa el token de portador usado en OAuth.
Nota:
¿Necesita configurar Skype Empresarial con HMA? Necesitará dos artículos: uno que enumera las topologías admitidas y otro que muestra cómo realizar la configuración.
Habilitación de la autenticación moderna híbrida para OWA y ECP
La autenticación moderna híbrida ahora también se puede habilitar para OWA
y ECP
. Asegúrese de que los requisitos previos se cumplen antes de continuar.
Después de habilitar la autenticación moderna híbrida para OWA
y ECP
, cada usuario final y administrador que intente iniciar sesión en OWA
o ECP
se le redirigirá primero a la página de autenticación de Microsoft Entra ID. Una vez que la autenticación se realizó correctamente, se redirigirá al usuario a OWA
o ECP
.
Requisitos previos para habilitar la autenticación moderna híbrida para OWA y ECP
Para habilitar la autenticación moderna híbrida para OWA
y ECP
, todas las identidades de usuario deben sincronizarse con Microsoft Entra ID.
Además de esto, es importante que se haya establecido la configuración de OAuth entre Exchange Server local y Exchange Online antes de que se puedan realizar más pasos de configuración.
Los clientes que ya hayan ejecutado el Asistente para configuración híbrida (HCW) para configurar el híbrido tendrán una configuración de OAuth en su lugar. Si OAuth no se configuró antes, se puede realizar mediante la ejecución de HCW o siguiendo los pasos descritos en la documentación Configurar la autenticación de OAuth entre Exchange y Exchange Online organizaciones.
Se recomienda documentar la OwaVirtualDirectory
configuración y EcpVirtualDirectory
antes de realizar los cambios. Esta documentación le permitirá restaurar la configuración original si surgen problemas después de configurar la característica.
Importante
Todos los servidores deben tener instalada al menos la actualización cu14 de Exchange Server 2019. También deben ejecutar el Exchange Server 2019 CU14 de abril de 2024 o una actualización posterior.
Pasos para habilitar la autenticación moderna híbrida para OWA y ECP
Consulte las
OWA
direcciones URL yECP
configuradas en el Exchange Server local. Esto es importante porque se deben agregar como dirección URL de respuesta a Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Instale el módulo de PowerShell de Microsoft Graph si aún no se ha instalado:
Install-Module Microsoft.Graph -Scope AllUsers
Conéctese a Microsoft Entra ID con estas instrucciones. Para dar su consentimiento a los permisos necesarios, ejecute el siguiente comando:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
OWA
Especifique las direcciones URL yECP
:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
Actualice la aplicación con las direcciones URL de respuesta:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Compruebe que las direcciones URL de respuesta se han agregado correctamente:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Para habilitar Exchange Server capacidad local para realizar la autenticación moderna híbrida, siga los pasos descritos en la sección Habilitar HMA.
(Opcional) Solo es necesario si se usan dominios de descarga :
Create una nueva invalidación de configuración global mediante la ejecución de los siguientes comandos desde un Shell de administración de Exchange (EMS) con privilegios elevados. Ejecute estos comandos en una Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Opcional) Solo se requiere en escenarios de topología de bosque de recursos de Exchange :
Agregue las claves siguientes al
<appSettings>
nodo del<ExchangeInstallPath>\ClientAccess\Owa\web.config
archivo. Haga esto en cada Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Create una nueva invalidación de configuración global mediante la ejecución de los siguientes comandos desde un Shell de administración de Exchange (EMS) con privilegios elevados. Ejecute estos comandos en una Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Para habilitar la autenticación moderna híbrida para
OWA
yECP
, primero debe deshabilitar cualquier otro método de autenticación en estos directorios virtuales. Ejecute estos comandos para cadaOWA
directorio virtual yECP
en cada Exchange Server:Importante
Es importante ejecutar estos comandos en el orden especificado. De lo contrario, verá un mensaje de error al ejecutar los comandos. Después de ejecutar estos comandos, inicie sesión en
OWA
yECP
dejará de funcionar hasta que se haya activado la autenticación de OAuth para esos directorios virtuales.Además, asegúrese de que todas las cuentas están sincronizadas, especialmente las cuentas que se usan para que la administración Microsoft Entra ID. De lo contrario, el inicio de sesión dejará de funcionar hasta que se sincronicen. Tenga en cuenta que las cuentas, como el administrador integrado, no se sincronizarán con Microsoft Entra ID y, por lo tanto, no se pueden usar para la administración una vez que HMA para OWA y ECP se haya habilitado. Esto se debe al
isCriticalSystemObject
atributo , que se establece enTRUE
para algunas cuentas.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Habilite OAuth para el
OWA
directorio virtual yECP
. Ejecute estos comandos para cadaOWA
directorio virtual yECP
en cada Exchange Server:Importante
Es importante ejecutar estos comandos en el orden especificado. De lo contrario, verá un mensaje de error al ejecutar los comandos.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Uso de la autenticación moderna híbrida con Outlook para iOS y Android
Si es un cliente local que usa Exchange Server en TCP 443, permita el tráfico de red desde los siguientes intervalos IP:
52.125.128.0/20
52.127.96.0/23
Estos intervalos de direcciones IP también se documentan en Puntos de conexión adicionales no incluidos en el servicio web de direcciones IP y direcciones IP Office 365.
Artículos relacionados
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de