Helyszíni Exchange Server konfigurálása hibrid modern hitelesítés használatára
Ez a cikk Microsoft 365 Nagyvállalati verzió és Office 365 Nagyvállalati verzió egyaránt vonatkozik.
A hibrid modern hitelesítés (HMA) az identitáskezelés egy olyan módszere, amely biztonságosabb felhasználói hitelesítést és engedélyezést biztosít, és elérhető az Exchange Server helyszíni hibrid üzemelő példányaihoz.
Hibrid modern hitelesítés engedélyezése
A HMA bekapcsolásához a környezetnek a következőknek kell megfeleleni:
A kezdés előtt győződjön meg arról, hogy megfelel az előfeltételeknek.
Mivel a Skype Vállalati verzió és az Exchange esetében is számos előfeltétel létezik, tekintse át őket a hibrid modern hitelesítés áttekintésében, valamint a helyszíni Skype Vállalati verzió és Exchange-kiszolgálókon való használatának előfeltételei között. Mielőtt elkezdené a cikk lépéseit, végezze el ezt a műveletet. A beszúrandó csatolt postaládákra vonatkozó követelmények.
Adja hozzá a helyszíni webszolgáltatás URL-címeit egyszerű szolgáltatásnévként (SPN)a Microsoft Entra ID. Ha a helyszíni Exchange több bérlővel hibrid, ezeket a helyszíni webszolgáltatás URL-címeit spN-ként kell hozzáadni az összes olyan bérlő Microsoft Entra ID, amelyek hibridek a helyszíni Exchange-dzsel.
Győződjön meg arról, hogy az összes virtuális címtár engedélyezve van a HMA-hoz
Az EvoSTS hitelesítési kiszolgáló objektumának ellenőrzése
Győződjön meg arról, hogy a Exchange Server OAuth-tanúsítvány érvényes
Győződjön meg arról, hogy az összes felhasználói identitás szinkronizálva van Microsoft Entra ID
Engedélyezze a HMA-t a helyszíni Exchange-ben.
Megjegyzés:
Az Ön Office-verziója támogatja az MA-t? Lásd: A modern hitelesítés működése az Office 2013-hoz és az Office 2016-ügyfélalkalmazásokhoz.
Figyelmeztetés
A Outlook Web App és az Exchange Vezérlőpult Microsoft Entra alkalmazásproxyn keresztüli közzététele nem támogatott.
Helyszíni webszolgáltatás URL-címeinek hozzáadása egyszerű szolgáltatásnévként a Microsoft Entra ID
Futtassa azokat a parancsokat, amelyek a helyszíni webszolgáltatás URL-címeit Microsoft Entra SPN-ként rendelik hozzá. Az egyszerű szolgáltatásneveket az ügyfélszámítógépek és az eszközök használják a hitelesítés és engedélyezés során. A helyszínről a Microsoft Entra ID való csatlakozáshoz használható összes URL-címet regisztrálni kell a Microsoft Entra ID (beleértve a belső és külső névtereket is).
Először futtassa a következő parancsokat a Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
Győződjön meg arról, hogy az URL-címekhez csatlakozó ügyfelek HTTPS-szolgáltatásnévként vannak felsorolva a Microsoft Entra ID. Ha a helyszíni Exchange több bérlővel hibrid, ezeket a HTTPS SPN-eket a helyszíni Exchange-tel hibrid hibrid bérlők Microsoft Entra ID kell hozzáadni.
Telepítse a Microsoft Graph PowerShell-modult:
Install-Module Microsoft.Graph -Scope AllUsers
Ezután kapcsolódjon az Microsoft Entra ID az alábbi utasításokat követve. A szükséges engedélyekhez való hozzájáruláshoz futtassa a következő parancsot:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Az Exchange-hez kapcsolódó URL-címekhez írja be a következő parancsot:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Jegyezze fel a parancs kimenetét (és a későbbi összehasonlításhoz készült képernyőképet), amelynek tartalmaznia kell egy és
https://*mail.yourdomain.com*
egyhttps://*autodiscover.yourdomain.com*
URL-címet, de többnyire spN-ekből áll, amelyek a következővel00000002-0000-0ff1-ce00-000000000000/
kezdődnek: . Ha hiányoznakhttps://
a helyszíni URL-címek, ezeket a rekordokat hozzá kell adni ehhez a listához.Ha nem látja a lista belső és külső
MAPI/HTTP
,EWS
,ActiveSync
,OAB
ésAutodiscover
rekordjait, fel kell vennie őket. Az alábbi paranccsal adja hozzá az összes hiányzó URL-címet:Fontos
A példánkban a hozzáadandó URL-címek a következők:
mail.corp.contoso.com
ésowa.contoso.com
. Győződjön meg arról, hogy a környezetében konfigurált URL-címek váltják fel őket.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Ellenőrizze, hogy az új rekordok hozzá lettek-e adva. Ehhez futtassa újra a parancsot a
Get-MsolServicePrincipal
2. lépésben, és tekintse át a kimenetet. Hasonlítsa össze a korábbi listát/képernyőképet az egyszerű szolgáltatásnevek új listájával. A rekordok új listájáról is készíthet képernyőképet. Ha sikert aratott, a listában megjelenik a két új URL-cím. A példánk szerint az SPN-ek listája most már tartalmazza az adott URL-címekethttps://mail.corp.contoso.com
éshttps://owa.contoso.com
a elemet.
Ellenőrizze, hogy a virtuális könyvtárak megfelelően vannak-e konfigurálva
Most az alábbi parancsok futtatásával ellenőrizze, hogy az OAuth megfelelően van-e engedélyezve az Exchange-ben az összes olyan virtuális címtáron, amelyet az Outlook használhat:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Ellenőrizze a kimenetet, és győződjön meg arról, hogy az OAuth engedélyezve van mindegyik VDiren, a következőképpen néz ki (és a legfontosabb szempont az "OAuth"):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Ha az OAuth hiányzik bármelyik kiszolgálóról és a négy virtuális könyvtár bármelyikéből, a folytatás előtt hozzá kell adnia a megfelelő parancsokkal (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory és Set-AutodiscoverVirtualDirectory).
Ellenőrizze, hogy az EvoSTS hitelesítési kiszolgálóobjektum jelen van-e
Térjen vissza a helyszíni Exchange Management Shellbe az utolsó parancshoz. Most ellenőrizheti, hogy a helyszíni rendszer rendelkezik-e bejegyzéssel az evoSTS-hitelesítésszolgáltatóhoz:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
A kimenetben a Name EvoSts AuthServer értékeként kell megjelennie GUID azonosítóval, az "Engedélyezve" állapotnak pedig True (Igaz) értékűnek kell lennie. Ha nem, töltse le és futtassa a Hibrid konfigurációs varázsló legújabb verzióját.
Megjegyzés:
Abban az esetben, ha a helyszíni Exchange hibrid, több bérlővel rendelkezik, a kimenetben egy AuthServer értéknek kell megjelennie a helyszíni Exchange-tel hibrid hibrid összes bérlő esetében EvoSts - {GUID}
, az Engedélyezett állapotnak pedig True (Igaz ) értékűnek kell lennie az összes ilyen AuthServer objektum esetében.
Fontos
Ha az Exchange 2010-et a környezetében futtatja, az EvoSTS hitelesítési szolgáltató nem jön létre.
A HMA engedélyezése
Futtassa a következő parancsot a helyszíni Exchange Management Shellben, és cserélje le <a parancssor guid azonosítóját> az utolsó futtatott parancs kimenetének GUID-azonosítójára:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Megjegyzés:
A Hibrid konfigurációs varázsló régebbi verzióiban az EvoSts AuthServer nevet egyszerűen EvoSTS-nek nevezték, amelyhez nem volt GUID csatolva. Nincs teendője, csak módosítsa az előző parancssort úgy, hogy az tükrözze a parancs GUID részét:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Ha a helyszíni Exchange verziója Exchange 2016 (CU18 vagy újabb) vagy Exchange 2019 (CU7 vagy újabb), és a hibrid a 2020 szeptembere után letöltött HCW-vel lett konfigurálva, futtassa a következő parancsot a helyszíni Exchange Management Shellben:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Megjegyzés:
Ha a helyszíni Exchange több bérlővel hibrid, több AuthServer objektum található a helyszíni Exchange-ben, és az egyes bérlőknek megfelelő tartományok találhatók. Az IsDefaultAuthorizationEndpoint jelölőt true (az IsDefaultAuthorizationEndpoint parancsmag használatával) értékre kell állítani ezen AuthServer objektumok bármelyikéhez. Ez a jelző nem állítható true (igaz) értékre az összes Authserver objektum esetében, és a HMA akkor is engedélyezve lenne, ha az AuthServer objektum egyik IsDefaultAuthorizationEndpoint jelölője true (igaz) értékre van állítva.
Megjegyzés:
A DomainName paraméterhez használja a bérlő tartományértékét, amely általában a következő formában contoso.onmicrosoft.com
található: .
Ellenőrizze
A HMA engedélyezése után az ügyfél következő bejelentkezése az új hitelesítési folyamatot fogja használni. Ha bekapcsolja a HMA-t, az egyetlen ügyfél esetében sem aktivál újrahitelesítést, és eltarthat egy ideig, amíg az Exchange felveszi az új beállításokat.
Tartsa lenyomva a CTRL billentyűt is, miközben a jobb gombbal az Outlook-ügyfél ikonjára kattint (a Windows értesítési tálcáján is), és válassza a Kapcsolat állapota lehetőséget. Keresse meg az ügyfél SMTP-címét az AuthN-típusonBearer\*
, amely az OAuth-ban használt tulajdonosi jogkivonatot jelöli.
Megjegyzés:
Konfigurálnia kell Skype Vállalati verzió a HMA-val? Két cikkre lesz szüksége: az egyik a támogatott topológiákat sorolja fel, a másik pedig a konfigurálás módját mutatja be.
Hibrid modern hitelesítés engedélyezése az OWA-hoz és az ECP-hez
A hibrid modern hitelesítés mostantól a és ECP
a esetében OWA
is engedélyezhető. A folytatás előtt győződjön meg arról, hogy az előfeltételek teljesülnek.
Miután engedélyezte a hibrid modern hitelesítést a OWA
és ECP
a számára, a rendszer először az Microsoft Entra ID hitelesítési lapjára próbál bejelentkezni OWA
ECP
vagy átirányítani minden végfelhasználót és rendszergazdát. A hitelesítés sikerességét követően a rendszer átirányítja a felhasználót a vagy ECP
a OWA
helyre.
A hibrid modern hitelesítés engedélyezésének előfeltételei az OWA-hoz és az ECP-hez
A és ECP
a OWA
hibrid modern hitelesítésének engedélyezéséhez minden felhasználói identitást szinkronizálni kell Microsoft Entra ID.
Emellett fontos, hogy a helyszíni Exchange Server és a Exchange Online közötti OAuth-beállítás létrejönjön a további konfigurációs lépések elvégzése előtt.
Azok az ügyfelek, akik már futtatták a Hibrid konfigurációs varázslót (HCW) a hibrid konfiguráláshoz, OAuth-konfigurációval fognak rendelkezni. Ha az OAuth korábban még nem volt konfigurálva, ezt a HCW futtatásával vagy az Exchange és Exchange Online szervezetek közötti OAuth-hitelesítés konfigurálása dokumentációban ismertetett lépéseket követve teheti meg.
Javasoljuk, hogy a módosítások elvégzése előtt dokumentálja a és EcpVirtualDirectory
a OwaVirtualDirectory
beállítást. Ez a dokumentáció lehetővé teszi az eredeti beállítások visszaállítását, ha bármilyen probléma merülne fel a funkció konfigurálása után.
Fontos
Minden kiszolgálón telepítve kell lennie legalább a Exchange Server 2019 CU14 frissítésnek. Emellett futtatniuk kell a Exchange Server 2019 CU14 2024. áprilisi hu vagy egy későbbi frissítést.
A hibrid modern hitelesítés engedélyezésének lépései az OWA-hoz és az ECP-hez
Kérdezze le a
OWA
helyszíni Exchange Server konfigurált ésECP
URL-címeket. Ez azért fontos, mert hozzá kell adni őket válasz URL-címként a Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Ha még nincs telepítve, telepítse a Microsoft Graph PowerShell-modult:
Install-Module Microsoft.Graph -Scope AllUsers
Ezekkel az útmutatásokkal csatlakozhat Microsoft Entra ID. A szükséges engedélyekhez való hozzájáruláshoz futtassa a következő parancsot:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Adja meg a és
ECP
azOWA
URL-címét:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
Frissítse az alkalmazást a válasz URL-címekkel:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Ellenőrizze, hogy a válasz URL-címek sikeresen hozzáadva lettek-e:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Ha engedélyezni szeretné Exchange Server helyszíni hibrid modern hitelesítést, kövesse a HMA engedélyezése szakaszban ismertetett lépéseket.
(Nem kötelező) Csak letöltési tartományok használata esetén szükséges:
Létrehozás egy új globális beállítás felülbírálását az alábbi parancsok emelt szintű Exchange Management Shellből (EMS) való futtatásával. Futtassa ezeket a parancsokat egy Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Nem kötelező) Csak exchange-erőforráserdő-topológia forgatókönyvekben szükséges:
Adja hozzá a következő kulcsokat a
<appSettings>
fájl csomóponthoz<ExchangeInstallPath>\ClientAccess\Owa\web.config
. Végezze el ezt az egyes Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Létrehozás egy új globális beállítás felülbírálását az alábbi parancsok emelt szintű Exchange Management Shellből (EMS) való futtatásával. Futtassa ezeket a parancsokat egy Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
A és
ECP
aOWA
hibrid modern hitelesítésének engedélyezéséhez először le kell tiltania minden más hitelesítési módszert ezeken a virtuális könyvtárakon. Futtassa az alábbi parancsokat az egyesOWA
ECP
Exchange Server mindegyik virtuális könyvtárhoz:Fontos
Fontos, hogy ezeket a parancsokat a megadott sorrendben hajtsa végre. Ellenkező esetben hibaüzenet jelenik meg a parancsok futtatásakor. A parancsok futtatása után jelentkezzen be a-be
OWA
, ésECP
leáll, amíg a virtuális könyvtárak OAuth-hitelesítése be nem aktiválódik.Győződjön meg arról is, hogy minden fiók szinkronizálva van, különösen a felügyelethez használt fiókok Microsoft Entra ID. Ellenkező esetben a bejelentkezés nem fog működni, amíg nem szinkronizálja őket. Vegye figyelembe, hogy a fiókok( például a beépített rendszergazda) nem lesznek szinkronizálva Microsoft Entra ID, ezért nem használhatók felügyeletre, ha engedélyezve van az OWA és az ECP HMA szolgáltatása. Ezt az
isCriticalSystemObject
attribútum okozza, amely egyes fiókok esetében a értékreTRUE
van állítva.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Engedélyezze az OAuth-t a és
ECP
aOWA
virtuális könyvtárhoz. Futtassa az alábbi parancsokat az egyesOWA
ECP
Exchange Server mindegyik virtuális könyvtárhoz:Fontos
Fontos, hogy ezeket a parancsokat a megadott sorrendben hajtsa végre. Ellenkező esetben hibaüzenet jelenik meg a parancsok futtatásakor.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Hibrid modern hitelesítés használata az iOS és androidos Outlookkal
Ha Ön helyszíni ügyfél, és Exchange Server használ a TCP 443-on, engedélyezze a hálózati forgalmat a következő IP-tartományokból:
52.125.128.0/20
52.127.96.0/23
Ezeket az IP-címtartományokat a további végpontok is dokumentálják, amelyek nem szerepelnek a Office 365 IP-cím és URL-webszolgáltatásban.
Kapcsolódó cikkek
Modern hitelesítési konfigurációs követelmények Office 365 dedikált/ITAR-ról vNextre való áttéréshez
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: