Helyszíni Exchange Server konfigurálása hibrid modern hitelesítés használatára

  • Cikk

Ez a cikk Microsoft 365 Nagyvállalati verzió és Office 365 Nagyvállalati verzió egyaránt vonatkozik.

A hibrid modern hitelesítés (HMA) az identitáskezelés egy olyan módszere, amely biztonságosabb felhasználói hitelesítést és engedélyezést biztosít, és elérhető az Exchange Server helyszíni hibrid üzemelő példányaihoz.

Hibrid modern hitelesítés engedélyezése

A HMA bekapcsolásához a környezetnek a következőknek kell megfeleleni:

  1. A kezdés előtt győződjön meg arról, hogy megfelel az előfeltételeknek.

  2. Mivel a Skype Vállalati verzió és az Exchange esetében is számos előfeltétel létezik, tekintse át őket a hibrid modern hitelesítés áttekintésében, valamint a helyszíni Skype Vállalati verzió és Exchange-kiszolgálókon való használatának előfeltételei között. Mielőtt elkezdené a cikk lépéseit, végezze el ezt a műveletet. A beszúrandó csatolt postaládákra vonatkozó követelmények.

  3. Adja hozzá a helyszíni webszolgáltatás URL-címeit egyszerű szolgáltatásnévként (SPN)a Microsoft Entra ID. Ha a helyszíni Exchange több bérlővel hibrid, ezeket a helyszíni webszolgáltatás URL-címeit spN-ként kell hozzáadni az összes olyan bérlő Microsoft Entra ID, amelyek hibridek a helyszíni Exchange-dzsel.

  4. Győződjön meg arról, hogy az összes virtuális címtár engedélyezve van a HMA-hoz

  5. Az EvoSTS hitelesítési kiszolgáló objektumának ellenőrzése

  6. Győződjön meg arról, hogy a Exchange Server OAuth-tanúsítvány érvényes

  7. Győződjön meg arról, hogy az összes felhasználói identitás szinkronizálva van Microsoft Entra ID

  8. Engedélyezze a HMA-t a helyszíni Exchange-ben.

Megjegyzés:

Az Ön Office-verziója támogatja az MA-t? Lásd: A modern hitelesítés működése az Office 2013-hoz és az Office 2016-ügyfélalkalmazásokhoz.

Figyelmeztetés

A Outlook Web App és az Exchange Vezérlőpult Microsoft Entra alkalmazásproxyn keresztüli közzététele nem támogatott.

Helyszíni webszolgáltatás URL-címeinek hozzáadása egyszerű szolgáltatásnévként a Microsoft Entra ID

Futtassa azokat a parancsokat, amelyek a helyszíni webszolgáltatás URL-címeit Microsoft Entra SPN-ként rendelik hozzá. Az egyszerű szolgáltatásneveket az ügyfélszámítógépek és az eszközök használják a hitelesítés és engedélyezés során. A helyszínről a Microsoft Entra ID való csatlakozáshoz használható összes URL-címet regisztrálni kell a Microsoft Entra ID (beleértve a belső és külső névtereket is).

  1. Először futtassa a következő parancsokat a Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    Győződjön meg arról, hogy az URL-címekhez csatlakozó ügyfelek HTTPS-szolgáltatásnévként vannak felsorolva a Microsoft Entra ID. Ha a helyszíni Exchange több bérlővel hibrid, ezeket a HTTPS SPN-eket a helyszíni Exchange-tel hibrid hibrid bérlők Microsoft Entra ID kell hozzáadni.

  2. Telepítse a Microsoft Graph PowerShell-modult:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Ezután kapcsolódjon az Microsoft Entra ID az alábbi utasításokat követve. A szükséges engedélyekhez való hozzájáruláshoz futtassa a következő parancsot:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Az Exchange-hez kapcsolódó URL-címekhez írja be a következő parancsot:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Jegyezze fel a parancs kimenetét (és a későbbi összehasonlításhoz készült képernyőképet), amelynek tartalmaznia kell egy és https://*mail.yourdomain.com* egy https://*autodiscover.yourdomain.com* URL-címet, de többnyire spN-ekből áll, amelyek a következővel 00000002-0000-0ff1-ce00-000000000000/kezdődnek: . Ha hiányoznak https:// a helyszíni URL-címek, ezeket a rekordokat hozzá kell adni ehhez a listához.

  5. Ha nem látja a lista belső és külső MAPI/HTTP, EWS, ActiveSync, OABés Autodiscover rekordjait, fel kell vennie őket. Az alábbi paranccsal adja hozzá az összes hiányzó URL-címet:

    Fontos

    A példánkban a hozzáadandó URL-címek a következők: mail.corp.contoso.com és owa.contoso.com. Győződjön meg arról, hogy a környezetében konfigurált URL-címek váltják fel őket.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Ellenőrizze, hogy az új rekordok hozzá lettek-e adva. Ehhez futtassa újra a parancsot a Get-MsolServicePrincipal 2. lépésben, és tekintse át a kimenetet. Hasonlítsa össze a korábbi listát/képernyőképet az egyszerű szolgáltatásnevek új listájával. A rekordok új listájáról is készíthet képernyőképet. Ha sikert aratott, a listában megjelenik a két új URL-cím. A példánk szerint az SPN-ek listája most már tartalmazza az adott URL-címeket https://mail.corp.contoso.com és https://owa.contoso.coma elemet.

Ellenőrizze, hogy a virtuális könyvtárak megfelelően vannak-e konfigurálva

Most az alábbi parancsok futtatásával ellenőrizze, hogy az OAuth megfelelően van-e engedélyezve az Exchange-ben az összes olyan virtuális címtáron, amelyet az Outlook használhat:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Ellenőrizze a kimenetet, és győződjön meg arról, hogy az OAuth engedélyezve van mindegyik VDiren, a következőképpen néz ki (és a legfontosabb szempont az "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Ha az OAuth hiányzik bármelyik kiszolgálóról és a négy virtuális könyvtár bármelyikéből, a folytatás előtt hozzá kell adnia a megfelelő parancsokkal (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory és Set-AutodiscoverVirtualDirectory).

Ellenőrizze, hogy az EvoSTS hitelesítési kiszolgálóobjektum jelen van-e

Térjen vissza a helyszíni Exchange Management Shellbe az utolsó parancshoz. Most ellenőrizheti, hogy a helyszíni rendszer rendelkezik-e bejegyzéssel az evoSTS-hitelesítésszolgáltatóhoz:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

A kimenetben a Name EvoSts AuthServer értékeként kell megjelennie GUID azonosítóval, az "Engedélyezve" állapotnak pedig True (Igaz) értékűnek kell lennie. Ha nem, töltse le és futtassa a Hibrid konfigurációs varázsló legújabb verzióját.

Megjegyzés:

Abban az esetben, ha a helyszíni Exchange hibrid, több bérlővel rendelkezik, a kimenetben egy AuthServer értéknek kell megjelennie a helyszíni Exchange-tel hibrid hibrid összes bérlő esetében EvoSts - {GUID} , az Engedélyezett állapotnak pedig True (Igaz ) értékűnek kell lennie az összes ilyen AuthServer objektum esetében.

Fontos

Ha az Exchange 2010-et a környezetében futtatja, az EvoSTS hitelesítési szolgáltató nem jön létre.

A HMA engedélyezése

Futtassa a következő parancsot a helyszíni Exchange Management Shellben, és cserélje le <a parancssor guid azonosítóját> az utolsó futtatott parancs kimenetének GUID-azonosítójára:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Megjegyzés:

A Hibrid konfigurációs varázsló régebbi verzióiban az EvoSts AuthServer nevet egyszerűen EvoSTS-nek nevezték, amelyhez nem volt GUID csatolva. Nincs teendője, csak módosítsa az előző parancssort úgy, hogy az tükrözze a parancs GUID részét:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Ha a helyszíni Exchange verziója Exchange 2016 (CU18 vagy újabb) vagy Exchange 2019 (CU7 vagy újabb), és a hibrid a 2020 szeptembere után letöltött HCW-vel lett konfigurálva, futtassa a következő parancsot a helyszíni Exchange Management Shellben:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Megjegyzés:

Ha a helyszíni Exchange több bérlővel hibrid, több AuthServer objektum található a helyszíni Exchange-ben, és az egyes bérlőknek megfelelő tartományok találhatók. Az IsDefaultAuthorizationEndpoint jelölőt true (az IsDefaultAuthorizationEndpoint parancsmag használatával) értékre kell állítani ezen AuthServer objektumok bármelyikéhez. Ez a jelző nem állítható true (igaz) értékre az összes Authserver objektum esetében, és a HMA akkor is engedélyezve lenne, ha az AuthServer objektum egyik IsDefaultAuthorizationEndpoint jelölője true (igaz) értékre van állítva.

Megjegyzés:

A DomainName paraméterhez használja a bérlő tartományértékét, amely általában a következő formában contoso.onmicrosoft.comtalálható: .

Ellenőrizze

A HMA engedélyezése után az ügyfél következő bejelentkezése az új hitelesítési folyamatot fogja használni. Ha bekapcsolja a HMA-t, az egyetlen ügyfél esetében sem aktivál újrahitelesítést, és eltarthat egy ideig, amíg az Exchange felveszi az új beállításokat.

Tartsa lenyomva a CTRL billentyűt is, miközben a jobb gombbal az Outlook-ügyfél ikonjára kattint (a Windows értesítési tálcáján is), és válassza a Kapcsolat állapota lehetőséget. Keresse meg az ügyfél SMTP-címét az AuthN-típusonBearer\*, amely az OAuth-ban használt tulajdonosi jogkivonatot jelöli.

Megjegyzés:

Konfigurálnia kell Skype Vállalati verzió a HMA-val? Két cikkre lesz szüksége: az egyik a támogatott topológiákat sorolja fel, a másik pedig a konfigurálás módját mutatja be.

Hibrid modern hitelesítés engedélyezése az OWA-hoz és az ECP-hez

A hibrid modern hitelesítés mostantól a és ECPa esetében OWA is engedélyezhető. A folytatás előtt győződjön meg arról, hogy az előfeltételek teljesülnek.

Miután engedélyezte a hibrid modern hitelesítést a OWA és ECPa számára, a rendszer először az Microsoft Entra ID hitelesítési lapjára próbál bejelentkezni OWAECP vagy átirányítani minden végfelhasználót és rendszergazdát. A hitelesítés sikerességét követően a rendszer átirányítja a felhasználót a vagy ECPa OWA helyre.

A hibrid modern hitelesítés engedélyezésének előfeltételei az OWA-hoz és az ECP-hez

A és ECPa OWA hibrid modern hitelesítésének engedélyezéséhez minden felhasználói identitást szinkronizálni kell Microsoft Entra ID. Emellett fontos, hogy a helyszíni Exchange Server és a Exchange Online közötti OAuth-beállítás létrejönjön a további konfigurációs lépések elvégzése előtt.

Azok az ügyfelek, akik már futtatták a Hibrid konfigurációs varázslót (HCW) a hibrid konfiguráláshoz, OAuth-konfigurációval fognak rendelkezni. Ha az OAuth korábban még nem volt konfigurálva, ezt a HCW futtatásával vagy az Exchange és Exchange Online szervezetek közötti OAuth-hitelesítés konfigurálása dokumentációban ismertetett lépéseket követve teheti meg.

Javasoljuk, hogy a módosítások elvégzése előtt dokumentálja a és EcpVirtualDirectory a OwaVirtualDirectory beállítást. Ez a dokumentáció lehetővé teszi az eredeti beállítások visszaállítását, ha bármilyen probléma merülne fel a funkció konfigurálása után.

Fontos

Minden kiszolgálón telepítve kell lennie legalább a Exchange Server 2019 CU14 frissítésnek. Emellett futtatniuk kell a Exchange Server 2019 CU14 2024. áprilisi hu vagy egy későbbi frissítést.

A hibrid modern hitelesítés engedélyezésének lépései az OWA-hoz és az ECP-hez

  1. Kérdezze le a OWA helyszíni Exchange Server konfigurált és ECP URL-címeket. Ez azért fontos, mert hozzá kell adni őket válasz URL-címként a Microsoft Entra ID:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Ha még nincs telepítve, telepítse a Microsoft Graph PowerShell-modult:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Ezekkel az útmutatásokkal csatlakozhat Microsoft Entra ID. A szükséges engedélyekhez való hozzájáruláshoz futtassa a következő parancsot:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Adja meg a és ECP az OWA URL-címét:

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Frissítse az alkalmazást a válasz URL-címekkel:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Ellenőrizze, hogy a válasz URL-címek sikeresen hozzáadva lettek-e:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Ha engedélyezni szeretné Exchange Server helyszíni hibrid modern hitelesítést, kövesse a HMA engedélyezése szakaszban ismertetett lépéseket.

  8. (Nem kötelező) Csak letöltési tartományok használata esetén szükséges:

    Létrehozás egy új globális beállítás felülbírálását az alábbi parancsok emelt szintű Exchange Management Shellből (EMS) való futtatásával. Futtassa ezeket a parancsokat egy Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Nem kötelező) Csak exchange-erőforráserdő-topológia forgatókönyvekben szükséges:

    Adja hozzá a következő kulcsokat a <appSettings> fájl csomóponthoz <ExchangeInstallPath>\ClientAccess\Owa\web.config . Végezze el ezt az egyes Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Létrehozás egy új globális beállítás felülbírálását az alábbi parancsok emelt szintű Exchange Management Shellből (EMS) való futtatásával. Futtassa ezeket a parancsokat egy Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. A és ECPa OWA hibrid modern hitelesítésének engedélyezéséhez először le kell tiltania minden más hitelesítési módszert ezeken a virtuális könyvtárakon. Futtassa az alábbi parancsokat az egyes OWAECP Exchange Server mindegyik virtuális könyvtárhoz:

    Fontos

    Fontos, hogy ezeket a parancsokat a megadott sorrendben hajtsa végre. Ellenkező esetben hibaüzenet jelenik meg a parancsok futtatásakor. A parancsok futtatása után jelentkezzen be a-be OWA , és ECP leáll, amíg a virtuális könyvtárak OAuth-hitelesítése be nem aktiválódik.

    Győződjön meg arról is, hogy minden fiók szinkronizálva van, különösen a felügyelethez használt fiókok Microsoft Entra ID. Ellenkező esetben a bejelentkezés nem fog működni, amíg nem szinkronizálja őket. Vegye figyelembe, hogy a fiókok( például a beépített rendszergazda) nem lesznek szinkronizálva Microsoft Entra ID, ezért nem használhatók felügyeletre, ha engedélyezve van az OWA és az ECP HMA szolgáltatása. Ezt az isCriticalSystemObject attribútum okozza, amely egyes fiókok esetében a értékre TRUE van állítva.

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Engedélyezze az OAuth-t a és ECP a OWA virtuális könyvtárhoz. Futtassa az alábbi parancsokat az egyes OWAECP Exchange Server mindegyik virtuális könyvtárhoz:

    Fontos

    Fontos, hogy ezeket a parancsokat a megadott sorrendben hajtsa végre. Ellenkező esetben hibaüzenet jelenik meg a parancsok futtatásakor.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Hibrid modern hitelesítés használata az iOS és androidos Outlookkal

Ha Ön helyszíni ügyfél, és Exchange Server használ a TCP 443-on, engedélyezze a hálózati forgalmat a következő IP-tartományokból:

52.125.128.0/20
52.127.96.0/23

Ezeket az IP-címtartományokat a további végpontok is dokumentálják, amelyek nem szerepelnek a Office 365 IP-cím és URL-webszolgáltatásban.

Modern hitelesítési konfigurációs követelmények Office 365 dedikált/ITAR-ról vNextre való áttéréshez