Megosztás a következőn keresztül:

A helyszíni Exchange Server konfigurálása hibrid modern hitelesítés használatára

  • Cikk

Áttekintés

A Microsoft Exchange Server hibrid modern hitelesítés (HMA) szolgáltatása lehetővé teszi a felhasználók számára a helyszínen üzemeltetett postaládák elérését a felhőből beszerzett engedélyezési jogkivonatok használatával.

A HMA lehetővé teszi az Outlook számára az OAuth-jogkivonatok elérését és frissítését a Microsoft Entra ID-ból, közvetlenül a jelszókivonat-szinkronizáláshoz vagy Pass-Through hitelesítési identitásokhoz, vagy saját, összevont identitásokhoz használt biztonságos jogkivonat-szolgáltatásukból (STS). A helyszíni Exchange elfogadja ezeket a jogkivonatokat, és postaláda-hozzáférést biztosít. A jogkivonatok beszerzésének módját és a szükséges hitelesítő adatokat az identitásszolgáltató (iDP) képességei határozzák meg, amelyek az egyszerű felhasználónévtől és jelszótól az összetettebb módszerekig, például tanúsítványokig, telefonos hitelesítésig vagy biometrikus módszerekig terjedhetnek.

A HMA működéséhez a felhasználó identitásának jelen kell lennie a Microsoft Entra-azonosítóban, és szükség van néhány konfigurációra, amelyet az Exchange Hibrid konfigurációs varázsló (HCW) kezel.

Az olyan régi hitelesítési módszerekhez képest, mint az NTLM, a HMA számos előnnyel jár. Biztonságosabb és rugalmasabb hitelesítési módszert biztosít, kihasználva a felhőalapú hitelesítés erejét. Az NTLM-hez hasonlóan, amely egy kihívás-válasz mechanizmusra támaszkodik, és nem támogatja a modern hitelesítési protokollokat, a HMA OAuth-jogkivonatokat használ, amelyek biztonságosabbak, és jobb együttműködési lehetőségeket biztosítanak.

A HMA egy hatékony funkció, amely növeli a helyszíni alkalmazásokhoz való hozzáférés rugalmasságát és biztonságát, kihasználva a felhőalapú hitelesítés erejét. Jelentős javulást jelent az örökölt hitelesítési módszerekhez képest, ami fokozott biztonságot, rugalmasságot és felhasználói kényelmet biztosít.

A hibrid modern hitelesítés engedélyezésének előfeltételei

Ebben a szakaszban olyan információkat és lépéseket adunk meg, amelyeket el kell végezni a Hibrid modern hitelesítés sikeres konfigurálásához és engedélyezéséhez a Microsoft Exchange Serverben.

Az Exchange Serverre vonatkozó előfeltételek

Az Exchange-kiszolgálóknak meg kell felelniük a következő követelményeknek ahhoz, hogy a hibrid modern hitelesítés konfigurálható és engedélyezhető legyen. Ha hibrid konfigurációval rendelkezik, a legújabb összegző frissítést (CU) kell futtatnia, hogy támogatott állapotban legyen. A támogatott Exchange Server-verziókat és -buildeket az Exchange Server támogatási mátrixában találja.

  • Győződjön meg arról, hogy a szervezetben nincsenek élettartamú Exchange-kiszolgálók.
  • Az Exchange Server 2016-nak CU8 vagy újabb verziót kell futtatnia.
  • Az Exchange Server 2019-nek CU1 vagy újabb verziót kell futtatnia.
  • Győződjön meg arról, hogy minden kiszolgáló tud csatlakozni az internethez. Ha proxyra van szükség, konfigurálja az Exchange Servert a használatára.
  • Ha már rendelkezik hibrid konfigurációval, győződjön meg arról, hogy klasszikus hibrid telepítésről van szó, mivel a modern hibrid nem támogatja a HMA-t.
  • Győződjön meg arról, hogy az SSL-kiszervezés nincs használatban (nem támogatott). Az SSL-áthidalás azonban használható és támogatott.

További információt a Hibrid modern hitelesítés áttekintése és a helyszíni Skype Vállalati verzió és Exchange-kiszolgálók használatának előfeltételei című dokumentációban talál.

Hibrid modern hitelesítéssel működő protokollok

A hibrid modern hitelesítés a következő Exchange Server-protokollok esetében működik:

Protocol (Protokoll) Hibrid modern hitelesítés támogatott
MAPI HTTP-n keresztül (MAPI/HTTP) Igen
Outlook Anywhere (RPC/HTTP) Nem
Exchange Active Sync (EAS) Igen
Exchange Web Services (EWS) Igen
Webes Outlook (OWA) Igen
Exchange Felügyeleti központ (ECP) Igen
Offline címjegyzék (OAB) Igen
IMAP Nem
POP Nem

A hibrid modern hitelesítés konfigurálásának és engedélyezésének lépései

A hibrid modern hitelesítés (HMA) engedélyezéséhez meg kell győződnie arról, hogy a szervezet megfelel az összes szükséges előfeltételnek. Emellett ellenőriznie kell, hogy az Office-ügyfél kompatibilis-e a modern hitelesítéssel. További részletekért tekintse meg a Modern hitelesítés működése az Office 2013 és az Office 2016 ügyfélalkalmazások esetében című dokumentációt.

  1. A kezdés előtt győződjön meg arról, hogy megfelel az előfeltételeknek .

  2. Adja hozzá a helyszíni webszolgáltatás URL-címeit a Microsoft Entra-azonosítóhoz. Az URL-címeket a következőként kell hozzáadni: Service Principal Names (SPNs). Ha az Exchange Server beállítása hibrid, több bérlővel rendelkezik, ezeket a helyszíni webszolgáltatás URL-címeit spN-ként kell hozzáadni az összes olyan bérlő Microsoft Entra-azonosítójához, amelyek hibridek a helyszíni Exchange Serverrel.

  3. Győződjön meg arról, hogy az összes virtuális címtár engedélyezve van a HMA-hoz. Ha hibrid modern hitelesítést szeretne konfigurálni a Webes Outlookhoz (OWA) és az Exchange Vezérlőpulthoz (ECP), fontos ellenőrizni a megfelelő könyvtárakat is.

  4. Ellenőrizze az EvoSTS hitelesítési kiszolgáló objektumot.

  5. Győződjön meg arról, hogy az Exchange Server OAuth-tanúsítványa érvényes. A MonitorExchangeAuthCertificate parancsfájl használható az OAuth-tanúsítvány érvényességének ellenőrzésére. Lejárata esetén a szkript segít a megújítási folyamatban.

  6. Győződjön meg arról, hogy az összes felhasználói identitás szinkronizálva van a Microsoft Entra-azonosítóval, különösen a felügyelethez használt összes fiókkal. Ellenkező esetben a bejelentkezés addig nem működik, amíg nem szinkronizálja őket. A fiókok, például a beépített rendszergazda, soha nem szinkronizálódnak a Microsoft Entra-azonosítóval, ezért a HMA engedélyezése után nem használhatók OAuth-bejelentkezéseken. Ezt a viselkedést az isCriticalSystemObject attribútum okozza, amely egyes fiókokhoz, köztük az alapértelmezett rendszergazdához van beállítva True .

  7. (Nem kötelező) Ha az iOS- és Android Outlook-ügyfelet szeretné használni, mindenképpen engedélyezze az Automatikus észlelés szolgáltatás számára az Exchange Serverhez való csatlakozást.

  8. Engedélyezze a HMA-t a helyszíni Exchange-ben.

Helyszíni webszolgáltatás URL-címeinek hozzáadása SPN-ként a Microsoft Entra-azonosítóban

Futtassa a parancsokat, amelyek Microsoft Entra SPN-ként rendelik hozzá a helyszíni webszolgáltatás URL-címeit. Az egyszerű szolgáltatásneveket az ügyfélszámítógépek és az eszközök használják a hitelesítés és engedélyezés során. A helyszíni környezetből a Microsoft Entra ID-hoz való csatlakozáshoz használható összes URL-címet regisztrálni kell a Microsoft Entra-azonosítóban (beleértve a belső és külső névtereket is).

  1. Először futtassa a következő parancsokat a Microsoft Exchange Serveren:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*

    Győződjön meg arról, hogy az URL-címek, amelyekhez az ügyfelek kapcsolódhatnak, HTTPS-szolgáltatásnévként vannak felsorolva a Microsoft Entra-azonosítóban. Ha a helyszíni Exchange több bérlővel hibrid, ezeket a HTTPS SPN-eket a helyszíni Exchange-tel hibrid összes bérlő Microsoft Entra-azonosítójában kell hozzáadni.

  2. Telepítse a Microsoft Graph PowerShell-modult:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Ezután csatlakozzon a Microsoft Entra-azonosítóhoz az alábbi utasításokat követve. A szükséges engedélyekhez való hozzájáruláshoz futtassa a következő parancsot:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Az Exchange-hez kapcsolódó URL-címekhez írja be a következő parancsot:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Jegyezze fel a parancs kimenetét, amelynek tartalmaznia kell egy és https://*mail.yourdomain.com* egy https://*autodiscover.yourdomain.com* URL-címet, de többnyire egyszerű szolgáltatásnevekből áll, amelyek a következővel 00000002-0000-0ff1-ce00-000000000000/kezdődnek: . Ha hiányoznak https:// a helyszíni URL-címek, ezeket a rekordokat hozzá kell adni ehhez a listához.

  5. Ha nem látja a lista belső és külső MAPI/HTTP, EWS, ActiveSync, OABés AutoDiscover rekordjait, fel kell vennie őket. Az alábbi paranccsal adja hozzá az összes hiányzó URL-címet. A példánkban a hozzáadott URL-címek a következők: mail.corp.contoso.com és owa.contoso.com. Győződjön meg arról, hogy a környezetében konfigurált URL-címek váltják fel őket.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Ellenőrizze, hogy az új rekordok hozzá lettek-e adva. Ehhez futtassa újra a parancsot a Get-MgServicePrincipal 4. lépésben, és ellenőrizze a kimenetet. Hasonlítsa össze a korábbiak listáját az egyszerű szolgáltatásnevek új listájával. A rekordok új listáját is jegyezheti fel. Ha sikert aratott, a listában a két új URL-címnek kell megjelennie. A példánk szerint az SPN-ek listája most már tartalmazza az adott URL-címeket https://mail.corp.contoso.com és https://owa.contoso.coma elemet.

Ellenőrizze, hogy a virtuális könyvtárak megfelelően vannak-e konfigurálva

Most az alábbi parancsok futtatásával ellenőrizze, hogy az OAuth megfelelően van-e engedélyezve az Exchange-ben az összes olyan virtuális címtáron, amelyet az Outlook használhat:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Ellenőrizze a kimenetet, és győződjön meg arról, hogy OAuth az egyes virtuális könyvtárak engedélyezve vannak, és így néz ki (és a legfontosabb dolog, amit meg kell nézni, OAuth ahogy korábban említettük):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Ha az OAuth hiányzik valamelyik kiszolgálóról és az öt virtuális könyvtár bármelyikéből, a folytatás előtt hozzá kell adnia a megfelelő parancsokkal (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) és Set-ActiveSyncVirtualDirectory parancsokkal.

Ellenőrizze, hogy az EvoSTS hitelesítési kiszolgálóobjektum jelen van-e

Most futtassa ezt az utolsó parancsot az Exchange Server helyszíni felügyeleti rendszerhéján (EMS). Ellenőrizheti, hogy a helyszíni Exchange Server visszaad-e egy bejegyzést az evoSTS-hitelesítésszolgáltatónak:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

A kimenetben a Név EvoSts - <GUID> AuthServer értéknek kell megjelennie, az Enabled állapotnak pedig a következőnek kell lennie True: . Ha nem ez a helyzet, töltse le és futtassa a Hibrid konfigurációs varázsló legújabb verzióját.

Ha a helyszíni Exchange Server több bérlővel futtat hibrid konfigurációt, a kimenet egy AuthServert jelenít meg a helyszíni Exchange Serverrel hibrid hibrid bérlők neveként EvoSts - <GUID> , és az Enabled állapotnak az összes ilyen AuthServer objektumhoz kell tartoznia True . Jegyezze fel a azonosítót EvoSts - <GUID>, mivel a következő lépésben szükség lesz rá.

A HMA engedélyezése

Futtassa a következő parancsokat az Exchange Server helyszíni felügyeleti rendszerhéjában (EMS), és cserélje le a <GUID> parancsot a parancssorban az utolsó futtatott parancs kimenetének GUID azonosítójára. A Hibrid konfigurációs varázsló régebbi verzióiban az EvoSts AuthServer nevet kapta EvoSTS guid nélkül. Nincs teendője, csak módosítsa az előző parancssort a parancs GUID részének eltávolításával.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Ha a helyszíni Exchange Server verziója Exchange Server 2016 (CU18 vagy újabb) vagy Exchange Server 2019 (CU7 vagy újabb), és a hibridet a 2020 szeptembere után letöltött HCW segítségével konfigurálta, futtassa a következő parancsot az Exchange Server helyszíni felügyeleti rendszerhéjában (EMS). A paraméterhez DomainName használja a bérlő tartományértékét, amely általában a következő formában contoso.onmicrosoft.comtalálható:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Ha a helyszíni Exchange Server több bérlővel hibrid, több AuthServer objektum található a helyszíni Exchange Server-szervezetekben, amelyek tartományai az egyes bérlőknek felelnek meg. A IsDefaultAuthorizationEndpoint jelölőt True ezen AuthServer objektumok bármelyikéhez értékre kell állítani. A jelölő nem állítható true (igaz) értékre az összes AuthServer objektum esetében, és a HMA akkor is engedélyezve lenne, ha az AuthServer objektumjelölő IsDefaultAuthorizationEndpoint egyikének értéke true (igaz).

Fontos

Ha több bérlővel dolgozik, mindegyiknek ugyanabban a felhőkörnyezetben kell lennie, például mindnek vagy mindnek a -ben GlobalGCC. Nem létezhetnek vegyes környezetekben, például egy bérlőben Global és egy másikban a-ben GCC.

Igazol

A HMA engedélyezése után az ügyfél következő bejelentkezése az új hitelesítési folyamatot fogja használni. Ha bekapcsolja a HMA-t, az egyetlen ügyfél esetében sem aktivál újrahitelesítést, és eltarthat egy ideig, amíg az Exchange Server felveszi az új beállításokat. Ez a folyamat nem teszi szükségessé új profil létrehozását.

Tartsa lenyomva a CTRL billentyűt is, amikor a jobb gombbal az Outlook-ügyfél ikonjára kattint (a Windows értesítési tálcáján is), és válassza a lehetőséget Connection Status. Keresse meg az ügyfél SMTP-címét a AuthN típusával Bearer\*, amely az OAuth-ban használt tulajdonosi jogkivonatot jelöli.

Hibrid modern hitelesítés engedélyezése az OWA-hoz és az ECP-hez

A hibrid modern hitelesítés mostantól a és ECPa esetében OWA is engedélyezhető. A folytatás előtt győződjön meg arról, hogy az előfeltételek teljesülnek.

Miután engedélyezte a hibrid modern hitelesítést a OWA és a számára, a rendszer először a Microsoft Entra ID hitelesítési oldalára próbál bejelentkezni vagy átirányítani minden olyan végfelhasználót és rendszergazdát, aki megpróbál bejelentkezni OWAECP.ECP A hitelesítés sikerességét követően a rendszer átirányítja a felhasználót a vagy ECPa OWA helyre.

A hibrid modern hitelesítés engedélyezésének előfeltételei az OWA-hoz és az ECP-hez

Fontos

Minden kiszolgálón telepítve kell lennie legalább az Exchange Server 2019 CU14 frissítésnek. Emellett futtatniuk kell az Exchange Server 2019 CU14 2024. áprilisi HU vagy egy későbbi frissítést is.

A és ECPa OWA hibrid modern hitelesítésének engedélyezéséhez minden felhasználói identitást szinkronizálni kell a Microsoft Entra-azonosítóval. Emellett fontos, hogy A helyszíni Exchange Server és az Exchange Online közötti OAuth-beállítás még a további konfigurációs lépések elvégzése előtt létrejönjön.

Azok az ügyfelek, akik már futtatták a hibrid konfigurációs varázslót (HCW) a hibrid konfiguráláshoz, OAuth-konfigurációval rendelkeznek. Ha az OAuth korábban nem volt konfigurálva, akkor a HCW futtatásával vagy az Exchange és az Exchange Online szervezetek közötti OAuth-hitelesítés konfigurálása dokumentációban ismertetett lépéseket követve teheti meg.

Javasoljuk, hogy a módosítások elvégzése előtt dokumentálja a és EcpVirtualDirectory a OwaVirtualDirectory beállítást. Ez a dokumentáció lehetővé teszi az eredeti beállítások visszaállítását, ha bármilyen probléma merülne fel a funkció konfigurálása után.

A hibrid modern hitelesítés engedélyezésének lépései az OWA-hoz és az ECP-hez

Figyelmeztetés

Az Outlook Web App (OWA) és az Exchange Vezérlőpult (ECP) Közzététele a Microsoft Entra alkalmazásproxyn keresztül nem támogatott.

  1. Kérdezze le a OWA helyszíni Exchange Serveren konfigurált és ECP URL-címeket. Ez azért fontos, mert hozzá kell adni őket válasz URL-címként a Microsoft Entra-azonosítóhoz:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Ha még nincs telepítve, telepítse a Microsoft Graph PowerShell-modult:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Ezekkel az útmutatásokkal csatlakozhat a Microsoft Entra-azonosítóhoz. A szükséges engedélyekhez való hozzájáruláshoz futtassa a következő parancsot:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Adja meg a és ECP az OWA URL-címét:

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Frissítse az alkalmazást a válasz URL-címekkel:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Ellenőrizze, hogy a válasz URL-címek sikeresen hozzáadva lettek-e:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Ha engedélyezni szeretné, hogy a helyszíni Exchange Server hibrid modern hitelesítést hajthasson végre, kövesse a HMA engedélyezése szakaszban ismertetett lépéseket.

  8. (Nem kötelező) Csak letöltési tartományok használata esetén szükséges:

    Hozzon létre egy új globális beállítás felülbírálását az alábbi parancsok emelt szintű Exchange Management Shellből (EMS) való futtatásával. Futtassa az alábbi parancsokat egy Exchange Serveren:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Nem kötelező) Csak exchange-erőforráserdő-topológia forgatókönyvekben szükséges:

    Adja hozzá a következő kulcsokat a <appSettings> fájl csomóponthoz <ExchangeInstallPath>\ClientAccess\Owa\web.config . Végezze el ezt az egyes Exchange-kiszolgálókon:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Hozzon létre egy új globális beállítás felülbírálását az alábbi parancsok emelt szintű Exchange Management Shellből (EMS) való futtatásával. Futtassa az alábbi parancsokat egy Exchange Serveren:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. A és ECPa OWA hibrid modern hitelesítésének engedélyezéséhez először le kell tiltania minden más hitelesítési módszert ezeken a virtuális könyvtárakon. Fontos, hogy a konfigurációt a megadott sorrendben hajtsa végre. Ennek elmulasztása hibaüzenetet eredményezhet a parancs végrehajtása során.

    Az összes többi hitelesítési módszer letiltásához futtassa az alábbi parancsokat az egyes Exchange-kiszolgálókon az egyes OWA virtuális ECP címtárakhoz:

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

    Fontos

    Győződjön meg arról, hogy az összes fiók szinkronizálva van a Microsoft Entra-azonosítóval, különösen az összes, felügyelethez használt fiókkal. Ellenkező esetben a bejelentkezés addig nem működik, amíg nem szinkronizálja őket. A fiókok, például a beépített rendszergazda, nem lesznek szinkronizálva a Microsoft Entra-azonosítóval, ezért nem használhatók felügyeletre, miután engedélyezve lett a HMA az OWA-hoz és az ECP-hez. Ezt a viselkedést az isCriticalSystemObject attribútum okozza, amely egyes fiókok esetében értékre True van állítva.

  11. Engedélyezze az OAuth-t a és ECP a OWA virtuális könyvtárhoz. Fontos, hogy a konfigurációt a megadott sorrendben hajtsa végre. Ennek elmulasztása hibaüzenetet eredményezhet a parancs végrehajtása során. A következő parancsokat minden Exchange Serveren futtatni kell minden egyes OWA és ECP virtuális könyvtár esetében:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Hibrid modern hitelesítés használata az iOS és androidos Outlookkal

Ha az iOS- és Android Outlook-ügyfelet a hibrid modern hitelesítéssel együtt szeretné használni, mindenképpen engedélyezze az Automatikus észlelés szolgáltatás számára az Exchange Serverhez TCP 443 való csatlakozást (HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Az IP-címtartományok az Office 365 IP-cím és URL-webszolgáltatás dokumentációjában nem szereplő további végpontok között is megtalálhatók.

Modern hitelesítési konfigurációs követelmények Office 365 dedikált/ITAR-ról vNextre való áttéréshez