Condividi tramite

Abilitazione dell'autenticazione moderna in Exchange locale

  • Articolo

Panoramica

Con il rilascio di Exchange Server 2019 CU13, Exchange Server supporta OAuth 2.0 (noto anche come autenticazione moderna) per ambienti locali puri usando ADFS come servizio token di sicurezza. Questo documento fornisce i prerequisiti e i passaggi per abilitare questa funzionalità.

L'autenticazione moderna in Exchange Server 2019 non deve essere confusa con l'autenticazione moderna ibrida, che usa Microsoft Entra ID per l'autenticazione moderna. In effetti, HMA è ancora l'unico metodo consigliato per abilitare l'autenticazione moderna per tutti gli utenti locali e cloud in una configurazione ibrida di Exchange. Questa nuova funzionalità consente l'uso dell'autenticazione moderna da parte di clienti che non hanno Microsoft Entra ID o non sono in una configurazione ibrida di Exchange.

Come funzionerà l'autenticazione moderna e questa funzionalità è applicabile a me?

Con l'autenticazione moderna, gli utenti possono eseguire l'autenticazione in Exchange usando ADFS. Quando l'autenticazione moderna è abilitata per un utente, il client di Outlook viene reindirizzato ad ADFS. Gli utenti possono quindi eseguire l'autenticazione fornendo credenziali o eseguendo l'autenticazione a più fattori. Dopo aver autenticato un utente, ADFS genera token di accesso. Questi token di accesso vengono convalidati da Exchange Server per fornire l'accesso client alla cassetta postale dell'utente.

Il diagramma seguente illustra il coordinamento tra Exchange Server, ADFS e Outlook per autenticare un utente usando l'autenticazione moderna.

Diagramma che mostra il flusso di lavoro handshake di autenticazione moderna Exchange Server 2019. Nel grafico precedente i passaggi 3a, 4a, 5a e 6a vengono eseguiti quando l'autenticazione moderna è abilitata per l'utente finale. I passaggi 3b e 4b si verificano quando l'autenticazione moderna è disabilitata per un utente.

Fare riferimento alla tabella seguente per valutare se questa funzionalità è applicabile all'utente.

Configurazione di Exchange Questa funzionalità è applicabile? Osservazioni
Organizzazione di Exchange locale con solo Exchange Server 2019 N/D
Organizzazione di Exchange locale con combinazione di Exchange Server 2019, Exchange Server 2016 e Exchange Server 2013 No Exchange Server 2013 non è disponibile.
Organizzazione di Exchange locale con combinazione di Exchange Server 2019 e Exchange Server 2016 Solo i server Exchange 2019 possono essere usati come server Front-End (Accesso client).
Organizzazione ibrida di Exchange con HMA No HMA che usa Microsoft Entra ID è la soluzione preferita. Fare riferimento alle indicazioni sull'uso di nuovi criteri di autenticazione.
Organizzazione ibrida di Exchange senza HMA No Usare HMA con Microsoft Entra ID.

Prerequisiti per abilitare l'autenticazione moderna in Exchange

Exchange Server 2019 CU13 o versione successiva

Per usare l'autenticazione moderna, tutti i server usati per le connessioni client devono avere installato Exchange Server CU13 2019.

ADFS 2019 o versione successiva

Per abilitare l'autenticazione moderna in un ambiente Exchange locale, è necessario Active Directory Federation Services (ADFS) in Windows Server 2019 o versioni successive.

Potrebbe essere necessario anche il server Application Proxy Web (in Windows Server 2019 o versione successiva) per abilitare l'accesso client dall'esterno della rete aziendale.

Nota

Il ruolo ADFS non può essere configurato in un Exchange Server. Per altre informazioni, vedere Pianificare la topologia di distribuzione di AD FS

Prerequisiti client

Per usare l'autenticazione moderna, gli utenti richiedono applicazioni client, ad esempio Outlook o altri client del sistema operativo nativo, compatibili con l'autenticazione moderna tramite ADFS. All'inizio, questa funzionalità è disponibile per Outlook in Windows. Tuttavia, la compatibilità con ADFS Modern Auth verrà estesa ad altri client Outlook in futuro.

Outlook per Windows

Il supporto per l'autenticazione moderna tramite ADFS è disponibile nelle versioni seguenti di Microsoft Outlook:

Outlook in Microsoft 365 Apps:

Canale Supportato Versione Compilazione (o versione successiva)
Canale Insider 2304 16327.20200
Canale corrente 2304 16327.20214
Canale Enterprise mensile 2304 16327.20324
Canale Enterprise semestrale (Anteprima) 2402 17328.20184
Canale Enterprise semestrale 2402 17328.20452

Outlook per Windows (volume license & retail):

Versione Supportato Versione Compilazione (o versione successiva)
Outlook 2016 (qualsiasi versione) No N/D N/D
Outlook 2019 (qualsiasi versione) No N/D N/D
Outlook 2021 (vendita al dettaglio) 2304 16327.20214
Outlook 2021 (contratto multiplo) No N/D N/D

È possibile controllare il numero di build di Office seguendo i passaggi indicati qui.

Screenshot che mostra il numero di build dell'edizione di Outlook Microsoft 365 Apps.

Sistema operativo Windows

Il client Windows deve essere Windows 11 22H2 or later e deve avere installato l'aggiornamento del 14 marzo 2023 .

È possibile esaminare Windows Update cronologia per verificare che KB5023706 sia installato.

Screenshot che mostra la cronologia degli aggiornamenti di un computer in esecuzione Windows 11 22H2.

Protocolli che funzionano con l'autenticazione moderna di ADFS

La tabella seguente descrive i protocolli a cui è possibile accedere usando i token di autenticazione moderna di ADFS. Stiamo lavorando continuamente per aggiungere il supporto dell'autenticazione moderna di ADFS a protocolli più Exchange Server.

Protocollo Autenticazione moderna di ADFS supportata
MAPI su HTTP (MAPI/HTTP)
Outlook Via Internet (RPC/HTTP) No
Exchange Active Sync (EAS) No (lavoro in corso)
Servizi Web Exchange (EWS)
Outlook sul Web (OWA) (autenticazione basata sulle attestazioni)
Exchange Amministrazione Center (ECP) (autenticazione basata sulle attestazioni)
Rubrica offline (Rubrica offline)
IMAP No
POP No

Procedura per configurare l'autenticazione moderna in Exchange Server usando ADFS come servizio token di sicurezza

Questa sezione fornisce informazioni dettagliate su come implementare l'autenticazione moderna in Exchange Server 2019 CU13.

Installare Exchange 2019 CU13 in tutti i server FE (almeno)

Tutti i server usati per le connessioni client devono essere aggiornati a Exchange 2019 CU13. In questo modo, le connessioni client iniziali a Exchange 2019 usano OAuth e le connessioni proxy a Exchange Server 2016 useranno Kerberos.

Exchange 2019 CU13 aggiunge il supporto per i nuovi criteri di autenticazione per consentire o bloccare l'autenticazione moderna a livello di utente. Il blocco dell'autenticazione moderna viene usato per garantire che i client che non supportano l'autenticazione moderna possano ancora connettersi.

L'esecuzione /PrepareAD con il programma di installazione è necessaria per aggiungere diversi nuovi parametri dei criteri di autenticazione a Exchange Server.

  1. BlockModernAuthActiveSync
  2. BlockModernAuthAutodiscover
  3. BlockModernAuthImap
  4. BlockModernAuthMapi
  5. BlockModernAuthOfflineAddressBook
  6. BlockModernAuthPop
  7. BlockModernAuthRpc
  8. BlockModernAuthWebServices

Dopo l'installazione di CU13, tutti i criteri di autenticazione preesistenti (inclusi i criteri di autenticazione predefiniti) avranno i parametri precedenti disabilitati. Ciò significa che i clienti che usano HMA non devono modificare i criteri di autenticazione preesistenti.

Non sono necessari nuovi criteri di autenticazione per i clienti ibridi di Exchange

I clienti esistenti di Exchange Hybrid devono usare l'autenticazione moderna ibrida. I clienti ibridi che usano HMA possono lasciare i valori dei BlockModernAuth* parametri a per continuare a 0 usare HMA. I passaggi descritti per configurare l'autenticazione moderna con ADFS sono rilevanti solo per i clienti che non usano Exchange Hybrid e sono puramente locali.

Configurare Active Directory Federation Services (ADFS)

I clienti devono installare e configurare ADFS nell'ambiente per consentire ai client exchange di usare l'autenticazione Forms (OAuth) per connettersi a Exchange Server.

Requisiti dei certificati per la configurazione di ADFS nell'organizzazione Exchange Server

ADFS richiede due tipi di certificati di base (vedere questo articolo per informazioni dettagliate):

  1. Certificato SSL (Secure Sockets Layer) di comunicazione del servizio per il traffico crittografato dei servizi Web tra il server ADFS, i client, i server Exchange e il server Application Proxy Web facoltativo. È consigliabile utilizzare un certificato rilasciato da un'autorità di certificazione interna o commerciale poiché tutti i client devono considerare attendibile tale certificato.
  2. Certificato di firma del token per la comunicazione e l'autenticazione crittografate tra il server ADFS, i controller di dominio di Active Directory e i server Exchange. È possibile ottenere un certificato di firma del token richiedendone uno da una CA o creando un certificato autofirmante.

Per ulteriori informazioni sulla creazione e importazione dei certificati SSL in Windows, vedere Certificati server.

Ecco un riepilogo dei certificati in uso in questo scenario:

Nome comune (CN) nel certificato (in Soggetto, nel Nome alternativo soggetto o in una corrispondenza con caratteri jolly nel certificato) Tipo Obbligatorio nei server Commenti
adfs.contoso.com
enterpriseregistration.contoso.com		 Rilasciato da un'autorità di certificazione Server ADFS,
Server Application Proxy Web (facoltativo)		 I server federativi usano un certificato SSL per proteggere il traffico dei servizi Web per le comunicazioni SSL con i client e con i proxy del server federativo.

Poiché il certificato SSL deve essere considerato attendibile dai computer client, è consigliabile usare un certificato firmato da una CA attendibile. Tutti i certificati selezionati devono avere una chiave privata corrispondente.
Firma del token ADFS - adfs.contoso.com Autofirma o problema da parte di un'autorità di certificazione Server ADFS,
Server Application Proxy Web (facoltativo)		 Un certificato di firma del token è un certificato X509. I server federativi usano coppie di chiavi pubbliche/private associate per firmare digitalmente tutti i token di sicurezza che producono. Ciò include la firma dei metadati federativi pubblicati e le richieste di risoluzione degli artefatti.

È possibile avere più certificati di firma dei token configurati nello snap-in Gestione ADFS per consentire il rollover del certificato quando un certificato è vicino alla scadenza. Per impostazione predefinita, tutti i certificati nell'elenco vengono pubblicati, ma solo il certificato di firma del token primario viene usato da ADFS per firmare effettivamente i token. Tutti i certificati selezionati devono avere una chiave privata corrispondente.

È possibile ottenere un certificato di firma del token richiedendone uno a una CA aziendale o a una CA pubblica o creando un certificato autofirmante.
mail.contoso.com
autodiscover.contoso.com		 Rilasciato da un'autorità di certificazione Server Exchange,
Server Application Proxy Web (facoltativo)		 Si tratta del certificato tipico usato per crittografare le connessioni client esterne a Outlook sul web (e ad altri servizi di Exchange). Per ulteriori informazioni, vedere Requisiti dei certificati per i servizi Exchange.

Distribuire e configurare il server ADFS

Usare Windows Server 2019 o versioni successive per distribuire un server ADFS. Seguire la procedura: Distribuire un server ADFS e configurare e testare il server ADFS. Verificare che sia possibile aprire l'URL dei metadati di federazione in un Web browser dal server Exchange e da almeno un computer client.

L'URL usa la sintassi seguente:

https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml

Ad esempio,

https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Scegliere la durata dell'accesso SSO appropriata

Scegliere una durata SSO appropriata in modo che gli utenti finali non siano tenuti a ripetere l'autenticazione di frequente. Per configurare una durata dell'accesso Single Sign-On, aprire Gestione ADFS nel server ADFS e scegliere Edit Federation Service Properties Azioni (presente sul lato destro della finestra di gestione di ADFS).

Screenshot che mostra le proprietà di durata dell'accesso Single Sign-On di ADFS.

Immettere , Web SSO lifetime (minutes)ovvero il tempo massimo dopo il quale gli utenti devono ripetere l'autenticazione.

Screenshot che mostra l'impostazione durata dell'accesso Single Sign-On di ADFS in minuti.

Configurare il metodo di autenticazione in ADFS

Per usare l'autenticazione moderna in Outlook in Windows, è necessario configurare i metodi di autenticazione primaria. È consigliabile scegliere l'autenticazione Forms sia per Extranet che per Intranet, come illustrato di seguito.

Screenshot che mostra i metodi di autenticazione ADFS.

Abilitare la registrazione del dispositivo in ADFS

Verificare che la registrazione del dispositivo sia configurata e che l'autenticazione del dispositivo sia abilitata controllando la panoramica della registrazione del dispositivo. Questo passaggio è consigliato per ridurre il numero di richieste di autenticazione per gli utenti e può essere utile per applicare criteri di Controllo di accesso in ADFS.

Screenshot che mostra la pagina di panoramica della registrazione del dispositivo ADFS.

Completare tutti i passaggi per configurare l'individuazione del servizio registrazione dispositivi e il certificato SSL del server di individuazione registrazione dispositivi, come descritto in dettaglio qui.

Creare un gruppo di applicazioni ADFS per Outlook

  1. Fare clic con il pulsante destro del mouse su Application Groups e scegliere Add Application Group.

    Screenshot che mostra le impostazioni di ADFS. Viene visualizzato come prompt del menu di scelta rapida. L'impostazione Aggiungi gruppo di applicazioni è selezionata.

  2. Selezionare Native Application accessing a web API.

  3. Digitare un nome, ad Outlook esempio e fare clic su Avanti.

    Screenshot che mostra l'assistente Aggiungi gruppo di applicazioni ADFS.

  4. Native application pageIn aggiungere gli elementi seguenti client identifier e redirect Uri per Outlook e fare clic su Avanti.

    • Identificatore client: d3590ed6-52b3-4102-aeff-aad2292ab01c

    • URI di reindirizzamento (aggiungere i due URI seguenti):

      urn:ietf:wg:oauth:2.0:oob

      ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed6-52b3-4102-aeff-aad2292ab01c

      Screenshot che mostra le impostazioni dell'applicazione nativa di un'applicazione con il nome Outlook.

  5. Configure Web API Nella scheda aggiungere tutti gli FQDN usati dall'ambiente Exchange, tra cui individuazione automatica, FQDN di bilanciamento del carico, FQDN del server e così via. Per esempio:

    • https://autodiscover.contoso.com/
    • https://mail.contoso.com/

    Importante

    È importante assicurarsi che tutti gli URL rivolti al client siano coperti o che non funzionino. Includere gli /'s finali e assicurarsi che gli URL inizino con https://.

    Screenshot che mostra l'assistente Aggiungi gruppo di applicazioni ad ADFS. Viene visualizzata la pagina per configurare l'API Web.

  6. Apply Access Control Policy Nella scheda Consentire a tutti di iniziare e quindi modificare in un secondo momento, se necessario. Non selezionare la casella di controllo nella parte inferiore della pagina.

  7. In Configure Application Permissionsscegliere Native Application appe in Controllo Permitted Scopesuser_impersonation oltre a openid, che viene selezionato per impostazione predefinita.

    Screenshot che mostra l'assistente Aggiungi gruppo di applicazioni ad ADFS. Viene visualizzata la pagina per configurare le autorizzazioni dell'applicazione.

  8. Completare il assistente.

Aggiungere regole di trasformazione rilascio nel gruppo di applicazioni di Outlook

Per il gruppo Outlookdi applicazioni creato in precedenza, aggiungere regole di trasformazione rilascio. Fare clic con il pulsante destro del mouse sul gruppo di applicazioni outlook e selezionare proprietà.

Modificare e Web API settingsin Issuance Transform Rules aggiungere le regole personalizzate seguenti:

Screenshot che mostra le impostazioni dell'applicazione ADFS di un'applicazione con il nome Outlook. Il pulsante Modifica è selezionato.

Nome regola attestazione Regola personalizzata
ActiveDirectoryUserSID c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"] => issue(claim = c);
ActiveDirectoryUPN c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(claim = c);
AppIDACR => issue(Type = "appidacr", Value = "2");
SCP => issue(Type = "http://schemas.microsoft.com/identity/claims/scope", Value ="user_impersonation");

Dopo aver aggiunto le regole, dovrebbe essere simile al Outlook - Web API Properties seguente:

Screenshot che mostra le impostazioni dell'applicazione ADFS di un'applicazione con il nome Outlook. È selezionata la scheda Regole trasformazione rilascio.

Facoltativamente, è possibile configurare Application Proxy Web per l'accesso Extranet

Web Application Proxy fa parte del ruolo del server di Accesso remoto in Windows Server. Fornisce funzionalità proxy inverso per consentire agli utenti di accedere alle applicazioni Web dall'esterno della rete aziendale. Web Application Proxy preautentica l'accesso alle applicazioni Web tramite ADFS e funziona come proxy ADFS.

Se si prevede di usare il proxy dell'applicazione Web, seguire la procedura descritta in Installare e configurare il server Application Proxy Web per configurarlo. Una volta configurate, è possibile pubblicare regole per Autodiscover.contoso.com o/e mail.contoso.com seguendo i passaggi indicati in Pubblicare un'applicazione che usa OAuth2.

Facoltativamente, l'autenticazione a più fattori può essere configurata anche per l'accesso client

  1. Fare riferimento ai collegamenti seguenti per configurare ADFS con un provider MFA di propria scelta.

  2. Configurare i criteri di Controllo di accesso che richiedono l'autenticazione a più fattori.

Client-Side configurazione dell'autenticazione moderna

È consigliabile testare l'autenticazione moderna con pochi utenti prima di distribuirla a tutti gli utenti. Quando un gruppo pilota di utenti può usare l'autenticazione moderna, è possibile distribuire più utenti.

  1. Aggiornamento client e aggiornamento del sistema operativo:

    Come descritto nella sezione Prerequisiti client , l'autenticazione moderna è supportata solo per Outlook in Windows. Per usare l'autenticazione moderna, il canale Insider del client Outlook deve essere installato in Windows 11 sistema operativo 22H2 con l'aggiornamento del 14 marzo 2023 o versione successiva.

  2. Modifiche del Registro di sistema nei computer client:

    Gli amministratori devono configurare i valori del Registro di sistema per gli utenti.

    Abilitare l'autenticazione moderna e aggiungere il dominio ADFS come dominio attendibile in Outlook:

    1. Aggiungere le chiavi seguenti per aggiungere il dominio ADFS come dominio attendibile:

      • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AAD\AuthTrustedDomains\https://ADFS domain/
      • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AAD\AuthTrustedDomains\https://ADFS domain

      Nota

      Aggiungere due chiavi con e senza "/" alla fine del dominio ADFS.

      Screenshot che mostra la chiave del Registro di sistema AuthTrustedDomains.

    2. Per abilitare l'autenticazione moderna tramite ADFS in Outlook in Windows, aggiungere il valore seguente REG_DWORD in HKCU\SOFTWARE\Microsoft\Office\16.0\Common\Identity\:

      Name Valore
      EnableExchangeOnPremModernAuth 1

      Screenshot che mostra la chiave del Registro di sistema Identity che si trova in HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common.

      Per semplificare la distribuzione, queste modifiche del Registro di sistema possono essere configurate usando Criteri di gruppo. Se Criteri di gruppo non viene usato dall'organizzazione, gli utenti devono configurare il registro manualmente (o con uno script fornito).

Creare criteri di autenticazione per gli utenti finali

È possibile che tutti gli utenti dell'organizzazione non dispongano di client di posta elettronica che supportano l'autenticazione moderna tramite ADFS. In questo scenario è consigliabile abilitare l'autenticazione moderna per gli utenti che hanno supportato i client e bloccare gli utenti di Autenticazione moderna che non lo fanno.

Per abilitare l'autenticazione moderna per un set di utenti e bloccare l'autenticazione moderna per gli utenti rimanenti, è necessario creare almeno due criteri di autenticazione:

  • Criteri a livello di organizzazione per bloccare l'autenticazione moderna per impostazione predefinita.
  • Secondo criterio per consentire in modo selettivo l'autenticazione moderna per alcuni utenti.

Creare criteri a livello di organizzazione per bloccare l'autenticazione moderna per impostazione predefinita

Dopo l'abilitazione dell'autenticazione moderna, tutti i client di Outlook proveranno a usare i token OAuth, ma alcuni client ,ad esempio Outlook per Mac, possono recuperare i token OAuth solo da Microsoft Entra ID. Pertanto, se l'autenticazione moderna è abilitata, questi client non saranno in grado di connettersi.

Per evitare questo scenario, è possibile impostare criteri a livello di organizzazione per disabilitare l'autenticazione moderna. Nell'esempio seguente viene creato un nuovo criterio di autenticazione denominato Block Modern Auth.

New-AuthenticationPolicy "Block Modern Auth" -BlockModernAuthWebServices -BlockModernAuthActiveSync -BlockModernAuthAutodiscover -BlockModernAuthImap -BlockModernAuthMapi -BlockModernAuthOfflineAddressBook -BlockModernAuthPop -BlockModernAuthRpc

Questo criterio può essere impostato a livello di organizzazione usando il comando seguente.

Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Modern Auth"

Creare criteri di autenticazione a livello di utente per abilitare l'autenticazione moderna

Creare quindi un secondo criterio di autenticazione che abilita l'autenticazione moderna. A tutti gli utenti con un client Outlook supportato vengono assegnati questi criteri di autenticazione per consentire al client di usare l'autenticazione moderna.

Nell'esempio seguente viene creata una nuova autenticazione denominata Allow Modern Auth usando il comando seguente:

New-AuthenticationPolicy "Allow Modern Auth"

Configurare Exchange Server per l'uso dei token OAuth di ADFS

  1. Verificare se OAuth è abilitato nelle directory virtuali seguenti. Se non è abilitato, abilitare OAuth in tutte queste directory virtuali:

    Get-MapiVirtualDirectory -Server <ExchangeServerName> | Format-List *auth*
Get-WebServicesVirtualDirectory -Server <ExchangeServerName> | Format-List *auth*
Get-OabVirtualDirectory -Server <ExchangeServerName> | Format-List *auth*
Get-AutodiscoverVirtualDirectory -Server <ExchangeServerName> | Format-List *auth*
Get-ActiveSyncVirtualDirectory -Server <ExchangeServerName> | Format-List *auth*

  2. Eseguire il comando qui riportato:

    New-AuthServer -Type ADFS -Name MyADFSServer -AuthMetadataUrl https://<adfs server FQDN>/FederationMetadata/2007-06/FederationMetadata.xml

    Questo comando è necessario per creare un nuovo oggetto server di autenticazione in Exchange Server per ADFS. Gli oggetti server di autenticazione sono un elenco di autorità emittenti attendibili. Vengono accettati solo i token OAuth di questi emittenti.

  3. Eseguire il comando qui riportato:

    Set-AuthServer -Identity MyADFSServer -IsDefaultAuthorizationEndpoint $true

    Impostare il server di autenticazione appena aggiunto come DefaultAuthorizationEndpoint. Quando si annuncia l'intestazione Modern Auth, Exchange Server annuncia l'URL di autenticazione di DefaultAuthorizationEndpoint. Questo è il modo in cui i client sanno quale endpoint usare per l'autenticazione.

  4. È necessario eseguire questo comando per abilitare l'autenticazione moderna a livello di organizzazione:

    Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

  5. Abilitare l'autenticazione moderna per gli utenti con client supportati assegnando i Allow Modern Auth criteri di autenticazione:

    Set-User -Identity User -AuthenticationPolicy "Allow Modern Auth"

Verificare il flusso di autenticazione moderna

Una volta configurata correttamente, gli utenti riscontrano la richiesta di accesso ADFS quando si connettono a un server Exchange.

Effetto su altri client quando l'autenticazione moderna è abilitata per un utente

Gli utenti abilitati per l'autenticazione moderna con più client (ad esempio, Outlook per Windows e Outlook Mobile) avranno esperienze diverse per ogni client. Ecco un riepilogo del comportamento dei client quando è abilitata l'autenticazione moderna. Nella tabella seguente si presuppone che Block Modern Auth venga applicato come DefaultAuthenticationPolicy a livello di organizzazione.

Client Comportamento
Outlook per Windows (nuove versioni) Usa l'autenticazione moderna per impostazione predefinita.
Outlook per Windows (versioni precedenti) Tenterà di usare l'autenticazione moderna, ma avrà esito negativo.
Outlook Mac Tenterà di usare l'autenticazione moderna, ma avrà esito negativo; supporto in arrivo in un secondo momento.
Outlook iOS Tornerà all'autenticazione Basic.
Outlook Android Tornerà all'autenticazione Basic.
App di posta elettronica iOS Tornerà all'autenticazione Basic.
App Gmail Tornerà all'autenticazione Basic.
OWA/ECP Non usa i criteri di autenticazione.
A seconda di come è configurato, userà l'autenticazione moderna o l'autenticazione di base.
App Windows Mail Non rientra nell'autenticazione di base.
Client Thunderbird Non rientra nell'autenticazione di base.
PowerShell Userà l'autenticazione di base.

Effetto su OWA/ECP quando l'autenticazione moderna è abilitata per altri client

I clienti possono usare o meno l'autenticazione basata sulle attestazioni ADFS per Outlook sul web. I passaggi indicati in precedenza sono necessari per abilitare OAuth per altri client e non influiscono sulla configurazione di OWA/ECP.

Uso dell'autenticazione basata sulle attestazioni AD FS con Outlook sul web

Tempo di attesa dopo la modifica dei criteri di autenticazione

Dopo aver modificato i criteri di autenticazione per consentire l'autenticazione moderna o bloccare l'autenticazione legacy:

  • Attendere 30 minuti per la lettura dei nuovi criteri da parte dei server front-end

    or

  • Eseguire una reimpostazione IIS in tutti i server front-end.

Migrazione all'autenticazione moderna ibrida dopo l'abilitazione dell'autenticazione moderna per Exchange Server

I clienti che usano l'autenticazione moderna con ADFS che in seguito decide di configurare Exchange Hybrid devono passare all'autenticazione moderna ibrida. I passaggi dettagliati per la migrazione verranno aggiunti a una versione futura di questo documento.

Rinnovo dei certificati

Valutare la configurazione del certificato corrente

Quando si tratta di connessioni client a Exchange Server, il certificato che deve essere valutato è quello associato al sito IIS front-end. Per un server ADFS, è ideale assicurarsi che tutti i certificati restituiti in Get-AdfsCertificate siano correnti.

  1. Per identificare il certificato pertinente in un Exchange Server, eseguire le operazioni seguenti in Exchange Management Shell:

    Import-Module WebAdministration
(Get-ChildItem IIS:SSLBindings | Where-Object {($_.Sites -ne $null) -and ($_.Port -eq "443")}).Thumbprint | ForEach-Object {Get-ExchangeCertificate $_ | Where-Object {$_.Services -Match "IIS"} | Format-Table Thumbprint, Services, RootCAType, Status, NotAfter, Issuer -AutoSize -Wrap}

  2. Per esaminare i certificati attivi in un server ADFS, eseguire le operazioni seguenti in PowerShell:

    Get-AdfsCertificate | Format-Table CertificateType, Thumbprint, Certificate -AutoSize -Wrap

Aggiornare i certificati in Exchange Server

Se è stato rilevato che il certificato di Exchange deve essere aggiornato per la connettività client, è necessario emettere e importare un nuovo certificato nei server Exchange. Successivamente, il certificato deve essere abilitato almeno per IIS. Valutare se è necessario abilitare altri servizi per il nuovo certificato in base alla configurazione.

Di seguito è riportato un esempio sulla creazione, il completamento, l'abilitazione e l'importazione di un nuovo certificato in tutti i server in base al certificato esistente all'interno di Exchange Management Shell:

  1. Generare una nuova richiesta di certificato all'interno di Exchange Management Shell in base al certificato esistente:

    $txtrequest = Get-ExchangeCertificate <Thumbprint> | New-ExchangeCertificate -GenerateRequest -PrivateKeyExportable $true

  2. Creare una variabile contenente il percorso di output desiderato della nuova richiesta di certificato:

    $requestFile = "C:\temp\CertRequest.req"

  3. Creare il file della richiesta di certificato:

    [System.IO.File]::WriteAllBytes($requestFile, [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

    Nota

    Il percorso della cartella per la richiesta di certificato deve già esistere.

  4. Condividere il file di richiesta con l'autorità di certificazione (CA). I passaggi necessari per ottenere un certificato completato variano in base alla CA.

    Nota

    .p7b è il formato preferito per la richiesta completata.

  5. Creare una variabile contenente il percorso completo della richiesta completata:

    $certFile = "C:\temp\ExchangeCert.p7b"

  6. Importare la richiesta nel server che ha generato la richiesta in origine:

    Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes($certFile)) -PrivateKeyExportable $true

  7. Variabile di fase per la password per proteggere il certificato completato:

    $pw = Read-Host "Enter password" -AsSecureString

  8. Esportare il file binario del certificato in una variabile:

    $binCert = Export-ExchangeCertificate <Thumbprint> -BinaryEncoded

  9. Variabile di fase per il percorso di output desiderato del certificato completato:

    $certificate = "\\$env:computername\c$\temp\CompletedExchangeCert.pfx"

  10. Esportare la richiesta completata da importare in altri server:

    [System.IO.File]::WriteAllBytes($certificate, $binCert.FileData)

  11. Abilitare i servizi che devono essere associati al certificato:

    Enable-ExchangeCertificate <Thumbprint> -Services IIS

    Nota

    Potrebbe essere necessario aggiungere altri servizi all'esempio precedente in base alla configurazione precedente dei certificati.

  12. Verificare che il certificato funzioni come previsto indirizzando un client al server per tutti gli spazi dei nomi client con un file host.

  13. Importare il certificato di Exchange in tutti gli altri server Exchange:

    Import-ExchangeCertificate -PrivateKeyExportable $true -FileData ([System.IO.File]::ReadAllBytes($certificate)) -Password $pw -Server <Server-Name>

    Nota

    L'inclusione del -PrivateKeyExportable parametro è facoltativa durante l'importazione in altri server Exchange.

  14. Abilitare il certificato di Exchange per i servizi Exchange necessari in tutti gli altri server Exchange:

    Enable-ExchangeCertificate <Thumbprint> -Services IIS -Server <Server-Name>

    Nota

    Potrebbe essere necessario aggiungere altri servizi all'esempio precedente in base alla configurazione precedente dei certificati.

Aggiornare il certificato in ADFS

A seconda del tipo di certificato che richiede l'aggiornamento in ADFS, determina se è necessario seguire la procedura descritta di seguito.

certificato Service-Communications

Questo esempio fornisce PowerShell necessario per importare un certificato in .pfx formato, ad esempio quello generato seguendo i passaggi del certificato Exchange Server. Assicurarsi di aver eseguito l'accesso al server ADFS primario.

  1. Creare una variabile contenente la password per il certificato:

    $pw = Read-Host "Enter password" -AsSecureString

  2. Creare una variabile contenente il percorso completo per il certificato:

    $certificate = "\\E2k19-1\c$\temp\CompletedExchangeCert.pfx"

  3. Importare il certificato nell'archivio personale di LocalMachine:

    Import-PfxCertificate -FilePath $certificate -CertStoreLocation Cert:\LocalMachine\my -Password $pw

  4. Aggiornare il certificato Service-Communications:

    Set-AdfsSslCertificate -Thumbprint <Thumbprint>

certificati Token-Signing e Token-Decryption

Seguire i passaggi descritti nella documentazione Ottenere e configurare certificati TS e TD per AD FS .

Nota

L'uso del certificato autofirmato predefinito per Token-Signing nell'autenticazione basata sulle attestazioni ADFS per Outlook sul web richiede l'installazione del certificato nei server Exchange.