Comment configurer Exchange Server en local pour utiliser l’authentification moderne hybride
Cet article est valable pour Microsoft 365 Entreprise et Office 365 Entreprise.
L’authentification moderne hybride (HMA) est une méthode de gestion des identités qui offre une authentification et une autorisation utilisateur plus sécurisées, et est disponible pour les déploiements hybrides exchange server sur site.
Activation de l’authentification moderne hybride
L’activation de HMA nécessite que votre environnement réponde aux exigences suivantes :
Vérifiez que vous remplissez les conditions préalables avant de commencer.
Étant donné que de nombreuses conditions préalables sont courantes pour Skype Entreprise et Exchange, consultez vue d’ensemble de l’authentification moderne hybride et conditions préalables à son utilisation avec des serveurs Skype Entreprise et Exchange locaux. Procédez ainsi avant de commencer l’une des étapes décrites dans cet article. Exigences relatives aux boîtes aux lettres liées à insérer.
Ajoutez des URL de service web locale en tant que noms de principal de service (SPN) dans Microsoft Entra ID. Si Exchange local est en mode hybride avec plusieurs locataires, ces URL de service web locales doivent être ajoutées en tant que SPN dans le Microsoft Entra ID de tous les locataires, qui sont en mode hybride avec Exchange local.
Vérifier que tous les répertoires virtuels sont activés pour HMA
Rechercher l’objet EvoSTS Auth Server
Vérifier que le certificat OAuth Exchange Server est valide
Vérifiez que toutes les identités des utilisateurs sont synchronisées avec Microsoft Entra ID
Activez HMA dans Exchange en local.
Remarque
Votre version d’Office prend-elle en charge MA ? Voir Fonctionnement de l’authentification moderne pour les applications clientes Office 2013 et Office 2016.
Avertissement
La publication d’Outlook Web App et d’Exchange Panneau de configuration via Microsoft Entra proxy d’application n’est pas prise en charge.
Ajouter des URL de service web locales en tant que SPN dans Microsoft Entra ID
Exécutez les commandes qui attribuent les URL de votre service web local en tant que Microsoft Entra SPN. Les spN sont utilisés par les ordinateurs et appareils clients lors de l’authentification et de l’autorisation. Toutes les URL qui peuvent être utilisées pour se connecter à partir d’un emplacement local vers Microsoft Entra ID doivent être inscrites dans Microsoft Entra ID (y compris les espaces de noms internes et externes).
Tout d’abord, exécutez les commandes suivantes sur votre Microsoft Exchange Server :
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*Vérifiez que les URL à laquelle les clients peuvent se connecter sont répertoriées en tant que noms de principal de service HTTPS dans Microsoft Entra ID. Si Exchange local est en mode hybride avec plusieurs locataires, ces SPN HTTPS doivent être ajoutés dans la Microsoft Entra ID de tous les locataires dans un environnement hybride avec Exchange local.
Installez le module Microsoft Graph PowerShell :
Install-Module Microsoft.Graph -Scope AllUsersEnsuite, connectez-vous à Microsoft Entra ID en suivant ces instructions. Pour donner votre consentement aux autorisations requises, exécutez la commande suivante :
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.AllPour vos URL liées à Exchange, tapez la commande suivante :
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNamesNotez (et capture d’écran pour une comparaison ultérieure) la sortie de cette commande, qui doit inclure une
https://*autodiscover.yourdomain.com*URL ethttps://*mail.yourdomain.com*, mais qui se compose principalement de SPN qui commencent par00000002-0000-0ff1-ce00-000000000000/.https://Si des URL de votre site local sont manquantes, ces enregistrements spécifiques doivent être ajoutés à cette liste.Si vous ne voyez pas vos enregistrements internes et externes
MAPI/HTTP,EWS,ActiveSync,OABetAutodiscoverdans cette liste, vous devez les ajouter. Utilisez la commande suivante pour ajouter toutes les URL manquantes :Importante
Dans notre exemple, les URL qui seront ajoutées sont
mail.corp.contoso.cometowa.contoso.com. Assurez-vous qu’elles sont remplacées par les URL configurées dans votre environnement.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdateVérifiez que vos nouveaux enregistrements ont été ajoutés en exécutant à nouveau la
Get-MsolServicePrincipalcommande de l’étape 2 et en examinant la sortie. Comparez la liste/capture d’écran d’avant à la nouvelle liste de SPN. Vous pouvez également prendre une capture d’écran de la nouvelle liste pour vos enregistrements. Si vous réussissez, vous verrez les deux nouvelles URL dans la liste. Dans notre exemple, la liste des noms de principal du service inclut désormais les URLhttps://mail.corp.contoso.comspécifiques ethttps://owa.contoso.com.
Vérifier que les répertoires virtuels sont correctement configurés
Vérifiez maintenant qu’OAuth est correctement activé dans Exchange sur tous les répertoires virtuels qu’Outlook peut utiliser en exécutant les commandes suivantes :
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Vérifiez la sortie pour vous assurer qu’OAuth est activé sur chacun de ces VDirs, qu’il ressemble à ceci (et que la chose clé à examiner est « OAuth ») :
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Si OAuth est absent d’un serveur et de l’un des quatre répertoires virtuels, vous devez l’ajouter à l’aide des commandes appropriées avant de continuer (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory et Set-AutodiscoverVirtualDirectory).
Vérifier que l’objet de serveur d’authentification EvoSTS est présent
Revenez à l’environnement de ligne de commande Exchange Management Shell local pour cette dernière commande. Vous pouvez maintenant vérifier que votre site local dispose d’une entrée pour le fournisseur d’authentification evoSTS :
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Votre sortie doit afficher un AuthServer du nom EvoSts avec un GUID et l’état « Enabled » doit avoir la valeur True. Si ce n’est pas le cas, vous devez télécharger et exécuter la version la plus récente de l’Assistant Configuration hybride.
Remarque
Si Exchange local est en mode hybride avec plusieurs locataires, votre sortie doit afficher un authServer du nom EvoSts - {GUID} pour chaque locataire dans un environnement hybride avec Exchange local et l’état Activé doit avoir la valeur True pour tous ces objets AuthServer.
Importante
Si vous exécutez Exchange 2010 dans votre environnement, le fournisseur d’authentification EvoSTS n’est pas créé.
Activer HMA
Exécutez la commande suivante dans l’environnement de ligne de commande Exchange Management Shell local, en <remplaçant GUID> dans la ligne de commande par le GUID de la sortie de la dernière commande que vous avez exécutée :
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Remarque
Dans les versions antérieures de l’Assistant Configuration hybride, EvoSts AuthServer était simplement nommé EvoSTS sans GUID attaché. Vous n’avez aucune action à effectuer. Modifiez simplement la ligne de commande précédente pour refléter cela en supprimant la partie GUID de la commande :
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Si la version locale d’Exchange est Exchange 2016 (CU18 ou version ultérieure) ou Exchange 2019 (CU7 ou version ultérieure) et que la version hybride a été configurée avec HCW téléchargée après septembre 2020, exécutez la commande suivante dans Exchange Management Shell, localement :
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Remarque
Si Exchange local est hybride avec plusieurs locataires, plusieurs objets AuthServer sont présents dans Exchange local avec des domaines correspondant à chaque locataire. L’indicateur IsDefaultAuthorizationEndpoint doit être défini sur true (à l’aide de l’applet de commande IsDefaultAuthorizationEndpoint ) pour l’un de ces objets AuthServer. Cet indicateur ne peut pas être défini sur true pour tous les objets Authserver et HMA est activé même si l’indicateur IsDefaultAuthorizationEndpoint de l’objet AuthServer est défini sur true.
Remarque
Pour le paramètre DomainName , utilisez la valeur de domaine de locataire, qui se présente généralement sous la forme contoso.onmicrosoft.com.
Vérifier
Une fois que vous avez activé HMA, la prochaine connexion d’un client utilise le nouveau flux d’authentification. Le simple fait d’activer HMA ne déclenche pas de réauthentification pour un client, et exchange peut prendre un certain temps pour récupérer les nouveaux paramètres.
Vous devez également maintenir la touche Ctrl enfoncée en même temps que vous cliquez avec le bouton droit sur l’icône du client Outlook (également dans la barre d’état notifications Windows) et sélectionner État de la connexion. Recherchez l’adresse SMTP du client par rapport à un type AuthN de Bearer\*, qui représente le jeton du porteur utilisé dans OAuth.
Remarque
Vous avez besoin de configurer Skype Entreprise avec HMA ? Vous aurez besoin de deux articles : un qui répertorie les topologies prises en charge et un qui vous montre comment effectuer la configuration.
Activer l’authentification moderne hybride pour OWA et ECP
L’authentification moderne hybride peut désormais également être activée pour OWA et ECP. Assurez-vous que les conditions préalables sont remplies avant de continuer.
Une fois l’authentification moderne hybride activée pour OWA et ECP, chaque utilisateur final et administrateur qui tente de se connecter OWA à ou ECP est redirigé vers la page d’authentification Microsoft Entra ID en premier. Une fois l’authentification réussie, l’utilisateur est redirigé vers OWA ou ECP.
Prérequis pour activer l’authentification moderne hybride pour OWA et ECP
Pour activer l’authentification moderne hybride pour OWA et ECP, toutes les identités utilisateur doivent être synchronisées avec Microsoft Entra ID.
En outre, il est important que la configuration d’OAuth entre Exchange Server local et Exchange Online ait été établie avant que d’autres étapes de configuration puissent être effectuées.
Les clients qui ont déjà exécuté l’Assistant Configuration hybride (HCW) pour configurer hybride disposeront d’une configuration OAuth en place. Si OAuth n’a pas été configuré auparavant, vous pouvez le faire en exécutant hcW ou en suivant les étapes décrites dans la documentation Configurer l’authentification OAuth entre Exchange et Exchange Online organisations.
Il est recommandé de documenter les OwaVirtualDirectory paramètres et EcpVirtualDirectory avant d’apporter des modifications. Cette documentation vous permet de restaurer les paramètres d’origine si des problèmes surviennent après la configuration de la fonctionnalité.
Importante
Tous les serveurs doivent avoir au moins la mise à jour Exchange Server CU14 2019 installée. Ils doivent également exécuter l’Exchange Server 2019 CU14 April 2024 HU ou une mise à jour ultérieure.
Étapes d’activation de l’authentification moderne hybride pour OWA et ECP
Interrogez les
OWAURL etECPconfigurées sur votre Exchange Server localement . Ceci est important, car ils doivent être ajoutés en tant qu’URL de réponse à Microsoft Entra ID :Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*Installez le module Microsoft Graph PowerShell s’il n’a pas encore été installé :
Install-Module Microsoft.Graph -Scope AllUsersConnectez-vous à Microsoft Entra ID en suivant ces instructions. Pour donner votre consentement aux autorisations requises, exécutez la commande suivante :
Connect-Graph -Scopes User.Read, Application.ReadWrite.AllSpécifiez vos
OWAURL etECP:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )Mettez à jour votre application avec les URL de réponse :
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrlsVérifiez que les URL de réponse ont été ajoutées avec succès :
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrlsPour activer Exchange Server capacité locale à effectuer l’authentification moderne hybride, suivez les étapes décrites dans la section Activer HMA.
(Facultatif) Obligatoire uniquement si les domaines de téléchargement sont utilisés :
Create un nouveau remplacement de paramètre global en exécutant les commandes suivantes à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges. Exécutez ces commandes sur une Exchange Server :
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force(Facultatif) Requis uniquement dans les scénarios de topologie de forêt de ressources Exchange :
Ajoutez les clés suivantes au
<appSettings>nœud du<ExchangeInstallPath>\ClientAccess\Owa\web.configfichier. Procédez comme suit sur chaque Exchange Server :<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>Create un nouveau remplacement de paramètre global en exécutant les commandes suivantes à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges. Exécutez ces commandes sur une Exchange Server :
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -ForcePour activer l’authentification moderne hybride pour
OWAetECP, vous devez d’abord désactiver toute autre méthode d’authentification sur ces répertoires virtuels. Exécutez les commandes suivantes pour chaqueOWArépertoire virtuel etECPsur chaque Exchange Server :Importante
Il est important d’exécuter ces commandes dans l’ordre donné. Sinon, un message d’erreur s’affiche lors de l’exécution des commandes. Après avoir exécuté ces commandes, la connexion à et
ECPcesse de fonctionner jusqu’àOWAce que l’authentification OAuth pour ces répertoires virtuels ait été activée.Assurez-vous également que tous les comptes sont synchronisés, en particulier les comptes utilisés pour l’administration à Microsoft Entra ID. Sinon, la connexion cesse de fonctionner tant qu’elle n’est pas synchronisée. Notez que les comptes, tels que l’administrateur intégré, ne sont pas synchronisés avec Microsoft Entra ID et, par conséquent, ne peuvent pas être utilisés pour l’administration une fois que HMA pour OWA et ECP ont été activés. Cela est dû à l’attribut
isCriticalSystemObject, qui est défini surTRUEpour certains comptes.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $falseActivez OAuth pour le
OWArépertoire virtuel etECP. Exécutez les commandes suivantes pour chaqueOWArépertoire virtuel etECPsur chaque Exchange Server :Importante
Il est important d’exécuter ces commandes dans l’ordre donné. Sinon, un message d’erreur s’affiche lors de l’exécution des commandes.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Utilisation de l’authentification moderne hybride avec Outlook pour iOS et Android
Si vous êtes un client local utilisant Exchange Server sur TCP 443, autorisez le trafic réseau à partir des plages d’adresses IP suivantes :
52.125.128.0/20
52.127.96.0/23
Ces plages d’adresses IP sont également documentées dans Points de terminaison supplémentaires non inclus dans le service Web Adresse IP et URL Office 365.
Articles connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour