Cómo configurar Exchange Server local para usar la autenticación moderna híbrida
Información general
La autenticación moderna híbrida (HMA) en Microsoft Exchange Server es una característica que permite a los usuarios acceder a los buzones, que se hospedan en el entorno local, mediante tokens de autorización obtenidos de la nube.
HMA permite que Outlook obtenga tokens de Access y Refresh OAuth de Microsoft Entra ID, ya sea directamente para la sincronización de hash de contraseñas o Pass-Through identidades de autenticación, o desde su propio servicio de token seguro (STS) para identidades federadas. Exchange local acepta estos tokens y proporciona acceso al buzón. El método de obtención de estos tokens y las credenciales necesarias viene determinado por las funcionalidades del proveedor de identidades (iDP), que pueden ir desde el nombre de usuario y la contraseña simples hasta métodos más complejos, como certificados, autenticación telefónica o métodos biométricos.
Para que HMA funcione, la identidad del usuario debe estar presente en Microsoft Entra ID y se requiere alguna configuración, que controla el Asistente para configuración híbrida de Exchange (HCW).
En comparación con los métodos de autenticación heredados, como NTLM, HMA ofrece varias ventajas. Proporciona un método de autenticación más seguro y flexible, aprovechando la eficacia de la autenticación basada en la nube. A diferencia de NTLM, que se basa en un mecanismo de desafío-respuesta y no admite protocolos de autenticación modernos, HMA usa tokens de OAuth, que son más seguros y ofrecen una mejor interoperabilidad.
HMA es una característica eficaz que mejora la flexibilidad y la seguridad del acceso a aplicaciones locales, aprovechando la eficacia de la autenticación basada en la nube. Representa una mejora significativa con respecto a los métodos de autenticación heredados, lo que ofrece mayor seguridad, flexibilidad y comodidad para el usuario.
Pasos a seguir para configurar y habilitar la autenticación moderna híbrida
Para habilitar la autenticación moderna híbrida (HMA), debe asegurarse de que su organización cumple todos los requisitos previos necesarios. Además, debe confirmar que el cliente de Office es compatible con la autenticación moderna. Para obtener más información, consulte la documentación sobre cómo funciona la autenticación moderna para las aplicaciones cliente de Office 2013 y Office 2016.
Asegúrese de cumplir los requisitos previos antes de empezar.
Agregue direcciones URL de servicio web locales a Microsoft Entra ID. Las direcciones URL deben agregarse como
Service Principal Names (SPNs). En caso de que la configuración de Exchange Server esté en híbrido con varios inquilinos, estas direcciones URL de servicio web local deben agregarse como SPN en el Microsoft Entra ID de todos los inquilinos, que están en híbrido con Exchange Server local.Asegúrese de que todos los directorios virtuales están habilitados para HMA. Si desea configurar la autenticación moderna híbrida para Outlook en la Web (OWA) y Exchange Panel de control (ECP), es importante comprobar también los directorios respectivos.
Compruebe si hay un objeto de servidor de autenticación de EvoSTS.
Asegúrese de que el certificado de OAuth de Exchange Server es válido. El script MonitorExchangeAuthCertificate se puede usar para comprobar la validez del certificado de OAuth. En caso de expiración, el script ayuda en el proceso de renovación.
Asegúrese de que todas las identidades de usuario se sincronizan con Microsoft Entra ID, especialmente todas las cuentas, que se usan para la administración. De lo contrario, el inicio de sesión deja de funcionar hasta que se sincroniza. Las cuentas, como el administrador integrado, nunca se sincronizarán con Microsoft Entra ID y, por lo tanto, no se pueden usar en ningún inicio de sesión de OAuth una vez que HMA se haya habilitado. Este comportamiento se debe al
isCriticalSystemObjectatributo , que se establece enTruepara algunas cuentas, incluido el administrador predeterminado.(Opcional) Si desea usar el cliente de Outlook para iOS y Android, asegúrese de permitir que el servicio Detección automática se conecte a la Exchange Server.
Requisitos previos para habilitar la autenticación moderna híbrida
En esta sección, proporcionamos información y pasos que deben realizarse para configurar y habilitar correctamente la autenticación moderna híbrida en Microsoft Exchange Server.
Exchange Server requisitos previos específicos
Los servidores de Exchange deben cumplir los siguientes requisitos antes de que se pueda configurar y habilitar la autenticación moderna híbrida. En caso de que tenga una configuración híbrida, debe ejecutar la actualización acumulativa (CU) más reciente para que esté en un estado compatible. Puede encontrar las versiones de Exchange Server admitidas y compilar en la matriz de compatibilidad de Exchange Server. La autenticación moderna híbrida debe configurarse uniformemente en todos los servidores de Exchange de la organización. No se admite la implementación parcial, donde HMA está habilitado solo en un subconjunto de servidores.
- Asegúrese de que no haya servidores de Exchange de fin de vida en la organización.
- Exchange Server 2016 debe ejecutar CU8 o posterior.
- Exchange Server 2019 debe ejecutar CU1 o posterior.
- Asegúrese de que todos los servidores pueden conectarse a Internet. Si se requiere un proxy, configure Exchange Server para usarlo.
- Si ya tiene una configuración híbrida, asegúrese de que se trata de una implementación híbrida clásica, ya que el híbrido moderno no admite HMA.
- Asegúrese de que no se usa la descarga ssl (no es compatible). Sin embargo, el puente SSL se puede usar y se admite.
También puede encontrar más información en la introducción a la autenticación moderna híbrida y los requisitos previos para usarlo con la documentación de Skype Empresarial local y servidores de Exchange.
Protocolos que funcionan con autenticación moderna híbrida
La autenticación moderna híbrida funciona para los siguientes protocolos de Exchange Server:
| Protocolo | Autenticación moderna híbrida compatible |
|---|---|
| MAPI a través de HTTP (MAPI/HTTP) | Yes |
| Outlook en cualquier lugar (RPC/HTTP) | No |
| Exchange Active Sync (EAS) | Yes |
| Servicios Web Exchange (EWS) | Yes |
| Outlook en la Web (OWA) | Sí |
| Centro de Administración de Exchange (ECP) | Yes |
| Libreta de direcciones sin conexión (OAB) | Yes |
| IMAP | No |
| POP | No |
Agregar direcciones URL de servicio web locales como SPN en Microsoft Entra ID
Ejecute los comandos que asignan las direcciones URL del servicio web local como Microsoft Entra SPN. Los SPN los usan los dispositivos y máquinas cliente durante la autenticación y autorización. Todas las direcciones URL que se pueden usar para conectarse desde el entorno local a Microsoft Entra ID deben registrarse en Microsoft Entra ID (incluidos los espacios de nombres internos y externos).
En primer lugar, ejecute los siguientes comandos en el Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*Asegúrese de que las direcciones URL a las que pueden conectarse los clientes se enumeran como nombres de entidad de servicio HTTPS en Microsoft Entra ID. En caso de que Exchange local esté en híbrido con varios inquilinos, estos SPN HTTPS deben agregarse en el Microsoft Entra ID de todos los inquilinos híbridos con Exchange local.
Instale el módulo de PowerShell de Microsoft Graph:
Install-Module Microsoft.Graph -Scope AllUsersA continuación, siga estas instrucciones para conectarse a Microsoft Entra ID. Para dar su consentimiento a los permisos necesarios, ejecute el siguiente comando:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.AllPara las direcciones URL relacionadas con Exchange, escriba el siguiente comando:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNamesAnote la salida de este comando, que debe incluir una
https://*autodiscover.yourdomain.com*dirección URL yhttps://*mail.yourdomain.com*, pero principalmente consta de SPN que comienzan por00000002-0000-0ff1-ce00-000000000000/.https://Si faltan direcciones URL del entorno local, esos registros específicos se deben agregar a esta lista.Si no ve los registros internos y externos
MAPI/HTTP,EWS,ActiveSync,OAByAutoDiscoveren esta lista, debe agregarlos. Use el siguiente comando para agregar todas las direcciones URL que faltan. En nuestro ejemplo, las direcciones URL que se agregan sonmail.corp.contoso.comyowa.contoso.com. Asegúrese de que se reemplazan por las direcciones URL configuradas en el entorno.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $x.ServicePrincipalNames += "https://mail.corp.contoso.com/" $x.ServicePrincipalNames += "https://owa.contoso.com/" Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNamesCompruebe que los nuevos registros se agregaron ejecutando de nuevo el
Get-MgServicePrincipalcomando del paso 4 y valide la salida. Compare la lista de antes con la nueva lista de SPN. También puede anotar la nueva lista de los registros. Si se ejecuta correctamente, debería ver las dos direcciones URL nuevas en la lista. En nuestro ejemplo, la lista de SPN ahora incluye las direccioneshttps://mail.corp.contoso.comURL específicas yhttps://owa.contoso.com.
Comprobación de que los directorios virtuales están configurados correctamente
Ahora compruebe que OAuth está habilitado correctamente en Exchange en todos los directorios virtuales que Outlook podría usar mediante la ejecución de los siguientes comandos:
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*
Compruebe la salida para asegurarse de que OAuth está habilitada para cada uno de estos directorios virtuales, que tiene un aspecto similar a este (y que la clave que se debe examinar es la que se OAuth mencionó anteriormente):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Si falta OAuth en cualquier servidor y en cualquiera de los cinco directorios virtuales, debe agregarlo mediante los comandos pertinentes antes de continuar (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) y Set-ActiveSyncVirtualDirectory.
Confirmación de que el objeto del servidor de autenticación de EvoSTS está presente
Ahora, en el Exchange Server Shell de administración local (EMS), ejecute este último comando. Puede validar que el Exchange Server local devuelve una entrada para el proveedor de autenticación evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
La salida debe mostrar un AuthServer del nombre EvoSts - <GUID> y el Enabled estado debe ser True. Si ese no es el caso, debe descargar y ejecutar la versión más reciente del Asistente para configuración híbrida.
En caso de que Exchange Server local ejecute una configuración híbrida con varios inquilinos, la salida muestra un AuthServer con el nombre EvoSts - <GUID> de cada inquilino en híbrido con Exchange Server local y el Enabled estado debe ser True para todos estos objetos AuthServer. Anote el identificador EvoSts - <GUID>, ya que será necesario en el paso siguiente.
Habilitación de HMA
Ejecute los siguientes comandos en el Exchange Server Shell de administración local (EMS) y reemplace en <GUID> la línea de comandos por el GUID de la salida del último comando que ejecutó. En versiones anteriores del Asistente para configuración híbrida, evosts AuthServer se nombró EvoSTS sin un GUID adjunto. No es necesario realizar ninguna acción, solo tiene que modificar la línea de comandos anterior quitando la parte GUID del comando.
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Si la versión local de Exchange Server es Exchange Server 2016 (CU18 o posterior) o Exchange Server 2019 (CU7 o posterior) e híbrida se configuró mediante la ayuda del HCW descargado después de septiembre de 2020, ejecute el siguiente comando en el Shell de administración local (EMS) de Exchange Server. Para el DomainName parámetro , use el valor de dominio de inquilino, que suele tener el formato contoso.onmicrosoft.com:
Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
En caso de que Exchange Server local esté en híbrido con varios inquilinos, hay varios objetos AuthServer presentes en la Exchange Server organizaciones locales con dominios correspondientes a cada inquilino. La IsDefaultAuthorizationEndpoint marca debe establecerse en True para cualquiera de estos objetos AuthServer. La marca no se puede establecer en true para todos los objetos AuthServer y HMA se habilitaría incluso si una de estas marcas de objeto IsDefaultAuthorizationEndpoint AuthServer se establece en true.
Importante
Al trabajar con varios inquilinos , todos deben estar en el mismo entorno de nube, como todos Global en o todos en GCC. No pueden existir en entornos de combinación, como un inquilino en Global y otro en GCC.
Verificar
Una vez que habilite HMA, el siguiente inicio de sesión de un cliente usará el nuevo flujo de autenticación. Al activar HMA no se desencadenará una nueva autenticación para ningún cliente y puede tardar un tiempo en que Exchange Server puedan elegir la nueva configuración. Este proceso no requiere la creación de un nuevo perfil.
También debe mantener presionada la CTRL tecla al mismo tiempo que haga clic con el botón derecho en el icono del cliente de Outlook (también en la bandeja de notificaciones de Windows) y seleccione Connection Status. Busque la dirección SMTP del cliente en un AuthN tipo de Bearer\*, que representa el token de portador usado en OAuth.
Habilitación de la autenticación moderna híbrida para OWA y ECP
La autenticación moderna híbrida ahora también se puede habilitar para OWA y ECP. Asegúrese de que los requisitos previos se cumplen antes de continuar.
Después de habilitar la autenticación moderna híbrida para OWA y ECP, cada usuario final y administrador que intente iniciar sesión en OWA o ECP se le redirigirá primero a la página de autenticación de Microsoft Entra ID. Una vez que la autenticación se realizó correctamente, se redirigirá al usuario a OWA o ECP.
Requisitos previos para habilitar la autenticación moderna híbrida para OWA y ECP
Importante
Todos los servidores deben tener instalada al menos la actualización cu14 de Exchange Server 2019. También deben ejecutar el Exchange Server 2019 CU14 de abril de 2024 o una actualización posterior.
Para habilitar la autenticación moderna híbrida para OWA y ECP, todas las identidades de usuario deben sincronizarse con Microsoft Entra ID.
Además de esto, es importante que se haya establecido la configuración de OAuth entre Exchange Server local y Exchange Online antes de que se puedan realizar más pasos de configuración.
Los clientes que ya han ejecutado el Asistente para configuración híbrida (HCW) para configurar el híbrido tienen una configuración de OAuth en su lugar. Si OAuth no se configuró antes, se puede realizar mediante la ejecución de HCW o siguiendo los pasos descritos en la documentación Configuración de la autenticación de OAuth entre Exchange y Exchange Online organizaciones.
Se recomienda documentar la OwaVirtualDirectory configuración y EcpVirtualDirectory antes de realizar los cambios. Esta documentación le permitirá restaurar la configuración original si surgen problemas después de configurar la característica.
Pasos para habilitar la autenticación moderna híbrida para OWA y ECP
Advertencia
No se admite la publicación de Outlook Web App (OWA) y Exchange Panel de control (ECP) a través de Microsoft Entra proxy de aplicación.
Consulte las
OWAdirecciones URL yECPconfiguradas en el Exchange Server local. Esto es importante porque se deben agregar como dirección URL de respuesta a Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*Instale el módulo de PowerShell de Microsoft Graph si aún no se ha instalado:
Install-Module Microsoft.Graph -Scope AllUsersConéctese a Microsoft Entra ID con estas instrucciones. Para dar su consentimiento a los permisos necesarios, ejecute el siguiente comando:
Connect-Graph -Scopes User.Read, Application.ReadWrite.AllOWAEspecifique las direcciones URL yECPy actualice la aplicación con las direcciones URL de respuesta:$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp" Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrlsCompruebe que las direcciones URL de respuesta se han agregado correctamente:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrlsPara habilitar Exchange Server capacidad local para realizar la autenticación moderna híbrida, siga los pasos descritos en la sección Habilitar HMA.
(Opcional) Solo es necesario si se usan dominios de descarga :
Cree una nueva invalidación de configuración global mediante la ejecución de los siguientes comandos desde un Shell de administración de Exchange (EMS) con privilegios elevados. Ejecute estos comandos en una Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force(Opcional) Solo se requiere en escenarios de topología de bosque de recursos de Exchange :
Agregue las claves siguientes al
<appSettings>nodo del<ExchangeInstallPath>\ClientAccess\Owa\web.configarchivo. Haga esto en cada Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>Cree una nueva invalidación de configuración global mediante la ejecución de los siguientes comandos desde un Shell de administración de Exchange (EMS) con privilegios elevados. Ejecute estos comandos en una Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -ForcePara habilitar la autenticación moderna híbrida para
OWAyECP, primero debe deshabilitar cualquier otro método de autenticación en estos directorios virtuales. Es importante realizar la configuración en el orden especificado. Si no lo hace, puede producirse un mensaje de error durante la ejecución del comando.
Ejecute estos comandos para cadaOWAdirectorio virtual yECPen cada Exchange Server para deshabilitar todos los demás métodos de autenticación:Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $falseImportante
Asegúrese de que todas las cuentas se sincronicen con Microsoft Entra ID, especialmente todas las cuentas, que se usan para la administración. De lo contrario, el inicio de sesión deja de funcionar hasta que se sincroniza. Las cuentas, como el administrador integrado, no se sincronizarán con Microsoft Entra ID y, por lo tanto, no se pueden usar para la administración una vez que HMA para OWA y ECP se haya habilitado. Este comportamiento se debe al
isCriticalSystemObjectatributo , que se establece enTruepara algunas cuentas.Habilite OAuth para el
OWAdirectorio virtual yECP. Es importante realizar la configuración en el orden especificado. Si no lo hace, puede producirse un mensaje de error durante la ejecución del comando. Para cadaOWAdirectorio virtual enECPcada Exchange Server, estos comandos deben ejecutarse:Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Uso de la autenticación moderna híbrida con Outlook para iOS y Android
Si desea usar el cliente de Outlook para iOS y Android junto con la autenticación moderna híbrida, asegúrese de permitir que el servicio AutoDetect se conecte a la Exchange Server en TCP 443 (HTTPS):
<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23
Los intervalos de direcciones IP también se pueden encontrar en los puntos de conexión adicionales no incluidos en la documentación del servicio web dirección IP y dirección IP de Office 365.