Partager via

Comment configurer Exchange Server en local pour utiliser l’authentification moderne hybride

  • Article

Vue d’ensemble

L’authentification moderne hybride (HMA) dans Microsoft Exchange Server est une fonctionnalité qui permet aux utilisateurs d’accéder aux boîtes aux lettres, qui sont hébergées localement, à l’aide de jetons d’autorisation obtenus à partir du cloud.

HMA permet à Outlook d’obtenir des jetons OAuth Access et Actualiser à partir de l’ID Microsoft Entra, soit directement pour la synchronisation de hachage de mot de passe ou Pass-Through identités d’authentification, soit à partir de leur propre service STS (Secure Token Service) pour les identités fédérées. Exchange local accepte ces jetons et fournit l’accès aux boîtes aux lettres. La méthode d’obtention de ces jetons et les informations d’identification requises sont déterminées par les fonctionnalités du fournisseur d’identité (iDP), qui peuvent aller d’un nom d’utilisateur et d’un mot de passe simples à des méthodes plus complexes telles que les certificats, l’authentification par téléphone ou les méthodes biométriques.

Pour que HMA fonctionne, l’identité de l’utilisateur doit être présente dans l’ID Microsoft Entra et une configuration est requise, qui est gérée par l’Assistant Configuration hybride Exchange (HCW).

Par rapport aux méthodes d’authentification héritées telles que NTLM, HMA offre plusieurs avantages. Il fournit une méthode d’authentification plus sécurisée et flexible, tirant parti de la puissance de l’authentification basée sur le cloud. Contrairement à NTLM, qui s’appuie sur un mécanisme de défi-réponse et ne prend pas en charge les protocoles d’authentification modernes, HMA utilise des jetons OAuth, qui sont plus sécurisés et offrent une meilleure interopérabilité.

HMA est une fonctionnalité puissante qui améliore la flexibilité et la sécurité de l’accès aux applications locales, en tirant parti de la puissance de l’authentification basée sur le cloud. Il représente une amélioration significative par rapport aux méthodes d’authentification héritées, offrant une sécurité, une flexibilité et une commodité accrues pour l’utilisateur.

Étapes à suivre pour configurer et activer l’authentification moderne hybride

Pour activer l’authentification moderne hybride (HMA), vous devez vous assurer que votre organisation remplit toutes les conditions préalables nécessaires. En outre, vous devez vérifier que votre client Office est compatible avec l’authentification moderne. Pour plus d’informations, reportez-vous à la documentation sur le fonctionnement de l’authentification moderne pour les applications clientes Office 2013 et Office 2016.

  1. Vérifiez que vous remplissez les conditions préalables avant de commencer.

  2. Ajoutez des URL de service web local à l’ID Microsoft Entra. Les URL doivent être ajoutées en tant que Service Principal Names (SPNs). Dans le cas où votre installation d’Exchange Server est en mode hybride avec plusieurs locataires, ces URL de service web locales doivent être ajoutées en tant que SPN dans l’ID Microsoft Entra de tous les locataires, qui sont en mode hybride avec Exchange Server local.

  3. Vérifiez que tous les répertoires virtuels sont activés pour HMA. Si vous souhaitez configurer l’authentification moderne hybride pour Outlook sur le web (OWA) et le Panneau de configuration Exchange (ECP), il est également important de vérifier les répertoires respectifs.

  4. Recherchez l’objet Serveur d’authentification EvoSTS.

  5. Vérifiez que le certificat OAuth Exchange Server est valide. Le script MonitorExchangeAuthCertificate peut être utilisé pour vérifier la validité du certificat OAuth. En cas d’expiration, le script facilite le processus de renouvellement.

  6. Assurez-vous que toutes les identités des utilisateurs sont synchronisées avec l’ID Microsoft Entra, en particulier tous les comptes, qui sont utilisés pour l’administration. Sinon, la connexion cesse de fonctionner tant qu’elle n’est pas synchronisée. Les comptes, tels que l’administrateur intégré, ne seront jamais synchronisés avec l’ID Microsoft Entra et, par conséquent, ne peuvent pas être utilisés sur une connexion OAuth une fois que HMA a été activé. Ce comportement est dû à l’attribut isCriticalSystemObject , qui est défini sur True pour certains comptes, y compris l’administrateur par défaut.

  7. (Facultatif) Si vous souhaitez utiliser le client Outlook pour iOS et Android, veillez à autoriser le service de détection automatique à se connecter à votre serveur Exchange Server.

  8. Activez HMA dans Exchange en local.

Prérequis pour activer l’authentification moderne hybride

Dans cette section, nous fournissons des informations et des étapes à suivre pour configurer et activer l’authentification moderne hybride dans Microsoft Exchange Server.

Prérequis spécifiques à Exchange Server

Vos serveurs Exchange doivent remplir les conditions suivantes pour que l’authentification moderne hybride puisse être configurée et activée. Si vous avez une configuration hybride, vous devez exécuter la dernière mise à jour cumulative (CU) pour être dans un état pris en charge. Vous trouverez les versions et build d’Exchange Server prises en charge dans la matrice de prise en charge d’Exchange Server.

  • Assurez-vous qu’il n’existe aucun serveur Exchange en fin de vie dans l’organisation.
  • Exchange Server 2016 doit exécuter CU8 ou une version ultérieure.
  • Exchange Server 2019 doit exécuter CU1 ou une version ultérieure.
  • Assurez-vous que tous les serveurs peuvent se connecter à Internet. Si un proxy est requis, configurez Exchange Server pour l’utiliser.
  • Si vous disposez déjà d’une configuration hybride, vérifiez qu’il s’agit d’un déploiement hybride classique, car l’hybride moderne ne prend pas en charge HMA.
  • Assurez-vous que le déchargement SSL n’est pas utilisé (il n’est pas pris en charge). Toutefois, le pontage SSL peut être utilisé et est pris en charge.

Vous trouverez également plus d’informations dans la vue d’ensemble de l’authentification moderne hybride et les conditions préalables à son utilisation avec les serveurs Skype Entreprise et Exchange locaux .

Protocoles qui fonctionnent avec l’authentification moderne hybride

L’authentification moderne hybride fonctionne pour les protocoles Exchange Server suivants :

Protocole Authentification moderne hybride prise en charge
MAPI sur HTTP (MAPI/HTTP) Oui
Outlook Anywhere (RPC/HTTP) Non
Exchange Active Sync (EAS) Oui
Services Web Exchange (EWS) Oui
Outlook sur le web (OWA) Oui
Centre d’administration Exchange (ECP) Oui
Carnet d’adresses en mode hors connexion Oui
IMAP Non
POP Non

Ajouter des URL de service web locales en tant que SPN dans l’ID Microsoft Entra

Exécutez les commandes qui attribuent les URL de votre service web local en tant que SPN Microsoft Entra. Les spN sont utilisés par les ordinateurs et appareils clients lors de l’authentification et de l’autorisation. Toutes les URL qui peuvent être utilisées pour se connecter de l’emplacement local à l’ID Microsoft Entra doivent être inscrites dans l’ID Microsoft Entra (y compris les espaces de noms internes et externes).

  1. Tout d’abord, exécutez les commandes suivantes sur votre serveur Microsoft Exchange Server :

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*

    Vérifiez que les URL à laquelle les clients peuvent se connecter sont répertoriées en tant que noms de principal de service HTTPS dans l’ID Microsoft Entra. Si Exchange local est en mode hybride avec plusieurs locataires, ces SPN HTTPS doivent être ajoutés à l’ID Microsoft Entra de tous les locataires dans l’environnement hybride avec Exchange local.

  2. Installez le module Microsoft Graph PowerShell :

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Ensuite, connectez-vous à l’ID Microsoft Entra en suivant ces instructions. Pour donner votre consentement aux autorisations requises, exécutez la commande suivante :

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Pour vos URL liées à Exchange, tapez la commande suivante :

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Notez la sortie de cette commande, qui doit inclure une https://*autodiscover.yourdomain.com* URL et https://*mail.yourdomain.com* , mais qui se compose principalement de noms de service qui commencent par 00000002-0000-0ff1-ce00-000000000000/. https:// Si des URL de votre site local sont manquantes, ces enregistrements spécifiques doivent être ajoutés à cette liste.

  5. Si vous ne voyez pas vos enregistrements internes et externes MAPI/HTTP, EWS, ActiveSync, OABet AutoDiscover dans cette liste, vous devez les ajouter. Utilisez la commande suivante pour ajouter toutes les URL manquantes. Dans notre exemple, les URL ajoutées sont mail.corp.contoso.com et owa.contoso.com. Assurez-vous qu’elles sont remplacées par les URL configurées dans votre environnement.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
$x.ServicePrincipalNames += "https://owa.contoso.com/"
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames

  6. Vérifiez que vos nouveaux enregistrements ont été ajoutés en exécutant à nouveau la Get-MgServicePrincipal commande de l’étape 4, puis validez la sortie. Comparez la liste précédente à la nouvelle liste de spn. Vous pouvez également noter la nouvelle liste de vos enregistrements. Si vous réussissez, vous devriez voir les deux nouvelles URL dans la liste. Dans notre exemple, la liste des noms de principal du service inclut désormais les URL https://mail.corp.contoso.com spécifiques et https://owa.contoso.com.

Vérifier que les répertoires virtuels sont correctement configurés

Vérifiez maintenant qu’OAuth est correctement activé dans Exchange sur tous les répertoires virtuels qu’Outlook peut utiliser en exécutant les commandes suivantes :

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Vérifiez la sortie pour vous assurer que OAuth est activé pour chacun de ces répertoires virtuels, qu’il ressemble à ceci (et la chose clé à examiner est OAuth comme mentionné précédemment) :

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Si OAuth est absent d’un serveur et d’un des cinq répertoires virtuels, vous devez l’ajouter à l’aide des commandes appropriées avant de continuer (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) et Set-ActiveSyncVirtualDirectory.

Vérifier que l’objet de serveur d’authentification EvoSTS est présent

À présent, dans Exchange Server on-premises Management Shell (EMS), exécutez cette dernière commande. Vous pouvez vérifier que votre serveur Exchange Server local retourne une entrée pour le fournisseur d’authentification evoSTS :

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Votre sortie doit afficher authServer le nom EvoSts - <GUID> et l’état Enabled doit être True. Si ce n’est pas le cas, vous devez télécharger et exécuter la version la plus récente de l’Assistant Configuration hybride.

Si Exchange Server local exécute une configuration hybride avec plusieurs locataires, votre sortie affiche un serveur AuthServer avec le nom EvoSts - <GUID> de chaque locataire dans hybride avec Exchange Server local et l’état Enabled doit être True pour tous ces objets AuthServer. Notez l’identificateur EvoSts - <GUID>, car il sera nécessaire à l’étape suivante.

Activer HMA

Exécutez les commandes suivantes dans l’environnement de ligne de commande Exchange Server local Management Shell (EMS) et remplacez dans <GUID> la ligne de commande par le GUID de la sortie de la dernière commande que vous avez exécutée. Dans les versions antérieures de l’Assistant Configuration hybride, le serveur d’authentification EvoSts a été nommé EvoSTS sans GUID attaché. Vous n’avez pas besoin d’effectuer d’action, il vous suffit de modifier la ligne de commande précédente en supprimant la partie GUID de la commande.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Si la version locale d’Exchange Server est Exchange Server 2016 (CU18 ou version ultérieure) ou Exchange Server 2019 (CU7 ou version ultérieure) et que la version hybride a été configurée à l’aide du hcW téléchargé après septembre 2020, exécutez la commande suivante dans l’environnement de ligne de commande Exchange Server sur site (EMS). Pour le DomainName paramètre , utilisez la valeur de domaine de locataire, qui se présente généralement sous la forme contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Dans le cas où Exchange Server local est hybride avec plusieurs locataires, plusieurs objets AuthServer sont présents dans les organisations Locales Exchange Server avec des domaines correspondant à chaque locataire. L’indicateur IsDefaultAuthorizationEndpoint doit être défini sur True pour l’un de ces objets AuthServer. L’indicateur ne peut pas être défini sur true pour tous les objets AuthServer et HMA est activé même si l’un de ces indicateurs d’objet IsDefaultAuthorizationEndpoint AuthServer a la valeur true.

Importante

Lorsque vous travaillez avec plusieurs locataires , ils doivent tous se trouver dans le même environnement cloud, par exemple tout dans Global ou tout dans GCC. Ils ne peuvent pas exister dans des environnements mixtes tels qu’un locataire dans Global et un autre dans GCC.

Vérifier

Une fois que vous avez activé HMA, la prochaine connexion d’un client utilise le nouveau flux d’authentification. Le simple fait d’activer HMA ne déclenche pas de réauthentification pour n’importe quel client, et exchange Server peut prendre un certain temps pour récupérer les nouveaux paramètres. Ce processus ne nécessite pas la création d’un nouveau profil.

Vous devez également maintenir la CTRL touche enfoncée en même temps que vous cliquez avec le bouton droit sur l’icône du client Outlook (également dans la barre d’état Notifications Windows), puis sélectionnez Connection Status. Recherchez l’adresse SMTP du client par rapport à un AuthN type de Bearer\*, qui représente le jeton du porteur utilisé dans OAuth.

Activer l’authentification moderne hybride pour OWA et ECP

L’authentification moderne hybride peut désormais également être activée pour OWA et ECP. Assurez-vous que les conditions préalables sont remplies avant de continuer.

Une fois l’authentification moderne hybride activée pour OWA et ECP, chaque utilisateur final et administrateur qui tente de se connecter OWA à ou ECP est d’abord redirigé vers la page d’authentification de l’ID Microsoft Entra. Une fois l’authentification réussie, l’utilisateur est redirigé vers OWA ou ECP.

Prérequis pour activer l’authentification moderne hybride pour OWA et ECP

Importante

Tous les serveurs doivent avoir au moins la mise à jour Exchange Server 2019 CU14 installée. Ils doivent également exécuter la hu d’avril 2024 d’Exchange Server 2019 CU14 ou une mise à jour ultérieure.

Pour activer l’authentification moderne hybride pour OWA et ECP, toutes les identités utilisateur doivent être synchronisées avec l’ID Microsoft Entra. En outre, il est important que la configuration d’OAuth entre Exchange Server local et Exchange Online ait été établie avant que d’autres étapes de configuration puissent être effectuées.

Les clients qui ont déjà exécuté l’Assistant Configuration hybride (HCW) pour configurer hybride disposent d’une configuration OAuth en place. Si OAuth n’a pas été configuré auparavant, vous pouvez le faire en exécutant hcW ou en suivant les étapes décrites dans la documentation Configurer l’authentification OAuth entre les organisations Exchange et Exchange Online .

Il est recommandé de documenter les OwaVirtualDirectory paramètres et EcpVirtualDirectory avant d’apporter des modifications. Cette documentation vous permet de restaurer les paramètres d’origine si des problèmes surviennent après la configuration de la fonctionnalité.

Étapes d’activation de l’authentification moderne hybride pour OWA et ECP

Avertissement

La publication d’Outlook Web App (OWA) et du Panneau de configuration Exchange (ECP) via le proxy d’application Microsoft Entra n’est pas prise en charge.

  1. Interrogez les OWA URL et ECP configurées sur votre serveur Exchange Server local. Ceci est important, car ils doivent être ajoutés en tant qu’URL de réponse à l’ID Microsoft Entra :

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Installez le module Microsoft Graph PowerShell s’il n’a pas encore été installé :

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Connectez-vous à l’ID Microsoft Entra en suivant ces instructions. Pour donner votre consentement aux autorisations requises, exécutez la commande suivante :

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Spécifiez vos OWA URL et et ECP mettez à jour votre application avec les URL de réponse :

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
$servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  5. Vérifiez que les URL de réponse ont été ajoutées avec succès :

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  6. Pour permettre à Exchange Server local d’effectuer l’authentification moderne hybride, suivez les étapes décrites dans la section Activer HMA .

  7. (Facultatif) Obligatoire uniquement si les domaines de téléchargement sont utilisés :

    Créez un remplacement de paramètre global en exécutant les commandes suivantes à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges. Exécutez ces commandes sur un serveur Exchange Server :

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  8. (Facultatif) Requis uniquement dans les scénarios de topologie de forêt de ressources Exchange :

    Ajoutez les clés suivantes au <appSettings> nœud du <ExchangeInstallPath>\ClientAccess\Owa\web.config fichier. Procédez comme suit sur chaque serveur Exchange Server :

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Créez un remplacement de paramètre global en exécutant les commandes suivantes à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges. Exécutez ces commandes sur un serveur Exchange Server :

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. Pour activer l’authentification moderne hybride pour OWA et ECP, vous devez d’abord désactiver toute autre méthode d’authentification sur ces répertoires virtuels. Il est important d’effectuer la configuration dans l’ordre donné. Si vous ne le faites pas, un message d’erreur peut s’afficher pendant l’exécution de la commande.

    Exécutez ces commandes pour chaque OWA répertoire virtuel sur ECP chaque serveur Exchange Server afin de désactiver toutes les autres méthodes d’authentification :

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

    Importante

    Vérifiez que tous les comptes sont synchronisés avec l’ID Microsoft Entra, en particulier tous les comptes, qui sont utilisés pour l’administration. Sinon, la connexion cesse de fonctionner tant qu’elle n’est pas synchronisée. Les comptes, tels que l’administrateur intégré, ne sont pas synchronisés avec l’ID Microsoft Entra et, par conséquent, ne peuvent pas être utilisés pour l’administration une fois HMA pour OWA et ECP activés. Ce comportement est dû à l’attribut isCriticalSystemObject , qui est défini sur True pour certains comptes.

  10. Activez OAuth pour le OWA répertoire virtuel et ECP . Il est important d’effectuer la configuration dans l’ordre donné. Si vous ne le faites pas, un message d’erreur peut s’afficher pendant l’exécution de la commande. Pour chaque OWA répertoire virtuel et ECP sur chaque serveur Exchange Server, ces commandes doivent être exécutées :

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Utilisation de l’authentification moderne hybride avec Outlook pour iOS et Android

Si vous souhaitez utiliser le client Outlook pour iOS et Android avec l’authentification moderne hybride, veillez à autoriser le service de détection automatique à se connecter à votre serveur Exchange Server sur TCP 443 (HTTPS) :

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Les plages d’adresses IP sont également disponibles dans la documentation des points de terminaison supplémentaires non inclus dans la documentation du service Web Adresse IP et URL Office 365 .

Exigences de configuration de l’authentification moderne pour la transition d’Office 365 dédié/ITAR vers vNext