Condividi tramite

Come configurare Exchange Server locale per utilizzare l'autenticazione moderna ibrida

  • Articolo

Panoramica

L'autenticazione moderna ibrida (HMA) in Microsoft Exchange Server è una funzionalità che consente agli utenti di accedere alle cassette postali, ospitate in locale, usando i token di autorizzazione ottenuti dal cloud.

HMA consente a Outlook di ottenere i token OAuth di accesso e aggiornamento da Microsoft Entra ID, direttamente per la sincronizzazione dell'hash delle password o Pass-Through identità di autenticazione o dal proprio servizio token di sicurezza (STS) per le identità federate. Exchange locale accetta questi token e fornisce l'accesso alle cassette postali. Il metodo per ottenere questi token e le credenziali necessarie è determinato dalle funzionalità del provider di identità (iDP), che possono variare da semplici nomi utente e password a metodi più complessi, ad esempio certificati, autenticazione del telefono o metodi biometrici.

Per il funzionamento di HMA, l'identità dell'utente deve essere presente in Microsoft Entra ID ed è necessaria una configurazione gestita dalla Configurazione guidata ibrida di Exchange.For HMA to work, the user's identity must be present in Microsoft Entra ID, and some configuration is required, which is handled by the Exchange Hybrid Configuration Wizard (HCW).

Rispetto ai metodi di autenticazione legacy, ad esempio NTLM, HMA offre diversi vantaggi. Offre un metodo di autenticazione più sicuro e flessibile, sfruttando la potenza dell'autenticazione basata sul cloud. A differenza di NTLM, che si basa su un meccanismo di risposta alle richieste e non supporta i protocolli di autenticazione moderni, HMA usa token OAuth, che sono più sicuri e offrono una migliore interoperabilità.

HMA è una potente funzionalità che migliora la flessibilità e la sicurezza dell'accesso alle applicazioni locali, sfruttando la potenza dell'autenticazione basata sul cloud. Rappresenta un miglioramento significativo rispetto ai metodi di autenticazione legacy, offrendo maggiore sicurezza, flessibilità e praticità dell'utente.

Prerequisiti per abilitare l'autenticazione moderna ibrida

In questa sezione vengono fornite informazioni e passaggi da eseguire per configurare e abilitare correttamente l'autenticazione moderna ibrida in Microsoft Exchange Server.

Prerequisiti specifici di Exchange Server

I server Exchange devono soddisfare i requisiti seguenti prima di poter configurare e abilitare l'autenticazione moderna ibrida. Se si dispone di una configurazione ibrida, è necessario eseguire l'aggiornamento cumulativo (CU) più recente per essere in uno stato supportato. È possibile trovare le versioni e la compilazione di Exchange Server supportate nella matrice di supporto di Exchange Server.

  • Assicurarsi che non siano presenti server Exchange end-of-life nell'organizzazione.
  • Exchange Server 2016 deve eseguire CU8 o versione successiva.
  • Exchange Server 2019 deve eseguire CU1 o versione successiva.
  • Assicurarsi che tutti i server possano connettersi a Internet. Se è necessario un proxy, configurare Exchange Server per usarlo.
  • Se si dispone già di una configurazione ibrida, assicurarsi che si tratti di una distribuzione ibrida classica in quanto l'ambiente ibrido moderno non supporta HMA.
  • Assicurarsi che l'offload SSL non venga usato (non supportato). Il bridging SSL, tuttavia, può essere usato ed è supportato.

Altre informazioni sono disponibili anche nella panoramica dell'autenticazione moderna ibrida e nei prerequisiti per usarla con la documentazione dei server Skype for Business ed Exchange locali .

Protocolli che funzionano con l'autenticazione moderna ibrida

L'autenticazione moderna ibrida funziona per i protocolli di Exchange Server seguenti:

Protocollo Autenticazione moderna ibrida supportata
MAPI su HTTP (MAPI/HTTP)
Outlook Via Internet (RPC/HTTP) No
Exchange Active Sync (EAS)
Servizi Web Exchange (EWS)
Outlook sul Web (OWA)
Interfaccia di amministrazione di Exchange (ECP)
Rubrica offline (Rubrica offline)
IMAP No
POP No

Procedura da seguire per configurare e abilitare l'autenticazione moderna ibrida

Per abilitare l'autenticazione moderna ibrida (HMA), è necessario assicurarsi che l'organizzazione soddisfi tutti i prerequisiti necessari. È inoltre necessario verificare che il client di Office sia compatibile con l'autenticazione moderna. Per altre informazioni, vedere la documentazione relativa al funzionamento dell'autenticazione moderna per le app client di Office 2013 e Office 2016.

  1. Assicurarsi di soddisfare i prerequisiti prima di iniziare.

  2. Aggiungere GLI URL del servizio Web locale all'ID Microsoft Entra. Gli URL devono essere aggiunti come Service Principal Names (SPNs). Nel caso in cui l'installazione di Exchange Server sia ibrida con più tenant, questi URL del servizio Web locale devono essere aggiunti come NOMI SPN nell'ID Microsoft Entra di tutti i tenant, che sono ibridi con Exchange Server locale.

  3. Assicurarsi che tutte le directory virtuali siano abilitate per HMA. Se si vuole configurare l'autenticazione moderna ibrida per Outlook sul Web (OWA) e il Pannello di controllo di Exchange, è importante verificare anche le rispettive directory.

  4. Verificare la presenza dell'oggetto EvoSTS Auth Server.

  5. Assicurarsi che il certificato OAuth di Exchange Server sia valido. Lo script di script MonitorExchangeAuthCertificate può essere utilizzato per verificare la validità del certificato OAuth. In caso di scadenza, lo script facilita il processo di rinnovo.

  6. Assicurarsi che tutte le identità utente siano sincronizzate con l'ID Microsoft Entra, in particolare con tutti gli account usati per l'amministrazione. In caso contrario, l'account di accesso smette di funzionare finché non viene sincronizzato. Gli account, ad esempio l'amministratore predefinito, non verranno mai sincronizzati con l'ID Microsoft Entra e, pertanto, non possono essere usati in alcun account di accesso OAuth dopo l'abilitazione di HMA. Questo comportamento è dovuto all'attributo isCriticalSystemObject , impostato su True per alcuni account, tra cui l'amministratore predefinito.

  7. (Facoltativo) Se si vuole usare il client Outlook per iOS e Android, assicurarsi di consentire al servizio Rilevamento automatico di connettersi a Exchange Server.

  8. Abilitare HMA in Exchange locale.

Aggiungere URL del servizio Web locale come NOMI SPN nell'ID Microsoft Entra

Eseguire i comandi che assegnano gli URL del servizio Web locale come NOMI SPN Di Microsoft Entra. I nomi SPN vengono usati dai computer client e dai dispositivi durante l'autenticazione e l'autorizzazione. Tutti gli URL che possono essere usati per connettersi dall'ambiente locale a Microsoft Entra ID devono essere registrati in Microsoft Entra ID (inclusi gli spazi dei nomi interni ed esterni).

  1. Eseguire prima di tutto i comandi seguenti in Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*

    Assicurarsi che gli URL a cui i client possono connettersi siano elencati come nomi di entità servizio HTTPS in Microsoft Entra ID. Nel caso in cui Exchange locale sia ibrido con più tenant, questi NOMI SPN HTTPS devono essere aggiunti nell'ID Microsoft Entra di tutti i tenant in ambiente ibrido con Exchange locale.

  2. Installare il modulo PowerShell di Microsoft Graph:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Connettersi quindi a Microsoft Entra ID seguendo queste istruzioni. Per concedere il consenso alle autorizzazioni necessarie, eseguire il comando seguente:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Per gli URL correlati a Exchange, digitare il comando seguente:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Prendere nota dell'output di questo comando, che deve includere un https://*autodiscover.yourdomain.com* URL e https://*mail.yourdomain.com* , ma principalmente costituito da nomi SPN che iniziano con 00000002-0000-0ff1-ce00-000000000000/. Se sono https:// presenti URL dell'ambiente locale mancanti, questi record specifici devono essere aggiunti a questo elenco.

  5. Se non vengono visualizzati i record interni ed esterni MAPI/HTTP, , EWSActiveSync, OABe AutoDiscover in questo elenco, è necessario aggiungerli. Usare il comando seguente per aggiungere tutti gli URL mancanti. Nell'esempio gli URL aggiunti sono mail.corp.contoso.com e owa.contoso.com. Assicurarsi che siano sostituiti dagli URL configurati nell'ambiente.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Verificare che i nuovi record siano stati aggiunti eseguendo di nuovo il Get-MgServicePrincipal comando dal passaggio 4 e convalidare l'output. Confrontare l'elenco precedente con il nuovo elenco di nomi SPN. È anche possibile annotare il nuovo elenco per i record. In caso di esito positivo, verranno visualizzati i due nuovi URL nell'elenco. In base all'esempio, l'elenco di nomi SPN include ora gli URL https://mail.corp.contoso.com specifici e https://owa.contoso.com.

Verificare che le directory virtuali siano configurate correttamente

Verificare ora che OAuth sia abilitato correttamente in Exchange in tutte le directory virtuali che Outlook potrebbe usare eseguendo i comandi seguenti:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Controllare l'output per assicurarsi che OAuth sia abilitato per ognuna di queste directory virtuali, l'aspetto è simile al seguente (e l'aspetto chiave da esaminare è OAuth come indicato in precedenza):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Se OAuth non è presente in un server e in una qualsiasi delle cinque directory virtuali, è necessario aggiungerlo usando i comandi pertinenti prima di procedere (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) e Set-ActiveSyncVirtualDirectory.

Verificare che l'oggetto server di autenticazione EvoSTS sia presente

A questo punto, in Exchange Server Management Shell (EMS) eseguire questo ultimo comando. È possibile verificare che Exchange Server in locale restituisca una voce per il provider di autenticazione evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

L'output deve mostrare un AuthServer del nome EvoSts - <GUID> e lo Enabled stato deve essere True. In caso contrario, è necessario scaricare ed eseguire la versione più recente della Configurazione guidata ibrida.

Se Exchange Server locale esegue una configurazione ibrida con più tenant, l'output mostra un AuthServer con il nome EvoSts - <GUID> per ogni tenant ibrido con Exchange Server locale e lo Enabled stato deve essere True per tutti questi oggetti AuthServer. Prendere nota dell'identificatore EvoSts - <GUID>, perché sarà necessario nel passaggio successivo.

Abilitare HMA

Eseguire i comandi seguenti in Exchange Server On-Premises Management Shell (EMS) e sostituire nella <GUID> riga di comando con il GUID dell'output dell'ultimo comando eseguito. Nelle versioni precedenti della Configurazione guidata ibrida il nome EvoSTS di EvoSts AuthServer era senza un GUID collegato. Non è necessario eseguire alcuna azione, è sufficiente modificare la riga di comando precedente rimuovendo la parte GUID del comando.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Se la versione locale di Exchange Server è Exchange Server 2016 (CU18 o versione successiva) o Exchange Server 2019 (CU7 o versione successiva) e l'ambiente ibrido è stato configurato con l'aiuto di HCW scaricato dopo settembre 2020, eseguire il comando seguente in Exchange Server On-Premises Management Shell (EMS). Per il DomainName parametro , usare il valore del dominio tenant, che in genere è nel formato contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Nel caso in cui Exchange Server locale sia ibrido con più tenant, sono presenti più oggetti AuthServer nelle organizzazioni locali di Exchange Server con domini corrispondenti a ogni tenant. Il IsDefaultAuthorizationEndpoint flag deve essere impostato su True per uno qualsiasi di questi oggetti AuthServer. Il flag non può essere impostato su true per tutti gli oggetti AuthServer e HMA verrebbe abilitato anche se uno di questi flag di oggetto IsDefaultAuthorizationEndpoint AuthServer è impostato su true.

Importante

Quando si usano più tenant , devono trovarsi tutti nello stesso ambiente cloud, ad esempio tutti in Global o tutti in GCC. Non possono esistere in ambienti di combinazione, ad esempio un tenant in Global e un altro in GCC.

Verificare

Dopo aver abilitato HMA, l'accesso successivo di un client userà il nuovo flusso di autenticazione. L'attivazione di HMA non attiverà una riautenticazione per nessun client e potrebbe essere necessario del tempo prima che Exchange Server selezioni le nuove impostazioni. Questo processo non richiede la creazione di un nuovo profilo.

È anche necessario tenere premuto il CTRL tasto nello stesso momento in cui si fa clic con il pulsante destro del mouse sull'icona per il client Outlook (anche nella barra delle notifiche di Windows) e selezionare Connection Status. Cercare l'indirizzo SMTP del client rispetto a un AuthN tipo di Bearer\*, che rappresenta il token di connessione usato in OAuth.

Abilitare l'autenticazione moderna ibrida per OWA ed ECP

L'autenticazione moderna ibrida può ora essere abilitata anche per OWA e ECP. Assicurarsi che i prerequisiti siano soddisfatti prima di continuare.

Dopo aver abilitato l'autenticazione moderna ibrida per OWA e ECP, ogni utente finale e amministratore che tenta di accedere OWA o ECP verrà reindirizzato prima alla pagina di autenticazione dell'ID Entra Microsoft. Una volta completata l'autenticazione, l'utente verrà reindirizzato a OWA o ECP.

Prerequisiti per abilitare l'autenticazione moderna ibrida per OWA ed ECP

Importante

Per tutti i server deve essere installato almeno l'aggiornamento CU14 di Exchange Server 2019 . Devono anche eseguire l'interfaccia utente di Exchange Server 2019 CU14 aprile 2024 o un aggiornamento successivo.

Per abilitare l'autenticazione moderna ibrida per OWA e ECP, tutte le identità utente devono essere sincronizzate con l'ID Microsoft Entra. Oltre a questo, è importante che sia stata stabilita la configurazione OAuth tra Exchange Server locale ed Exchange Online prima di poter eseguire ulteriori passaggi di configurazione.

I clienti che hanno già eseguito la Configurazione guidata ibrida (HCW) per configurare l'ambiente ibrido dispongono di una configurazione OAuth. Se OAuth non è stato configurato in precedenza, è possibile eseguirlo eseguendo HCW o seguendo i passaggi descritti nella documentazione Configurare l'autenticazione OAuth tra exchange ed organizzazioni di Exchange Online .

È consigliabile documentare le OwaVirtualDirectory impostazioni e EcpVirtualDirectory prima di apportare modifiche. Questa documentazione consente di ripristinare le impostazioni originali se si verificano problemi dopo la configurazione della funzionalità.

Passaggi per abilitare l'autenticazione moderna ibrida per OWA ed ECP

Avviso

La pubblicazione di Outlook Web App (OWA) e del Pannello di controllo di Exchange (ECP) tramite il proxy dell'applicazione Microsoft Entra non è supportata.

  1. Eseguire query sugli OWA URL e ECP configurati in Exchange Server in locale. Questo è importante perché devono essere aggiunti come URL di risposta all'ID Microsoft Entra:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Installare il modulo PowerShell di Microsoft Graph se non è ancora stato installato:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Connettersi a Microsoft Entra ID con queste istruzioni. Per concedere il consenso alle autorizzazioni necessarie, eseguire il comando seguente:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Specificare gli OWA URL e ECP :

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Aggiornare l'applicazione con gli URL di risposta:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Verificare che gli URL di risposta siano stati aggiunti correttamente:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Per consentire a Exchange Server locale di eseguire l'autenticazione moderna ibrida, seguire i passaggi descritti nella sezione Abilita HMA .

  8. (Facoltativo) Obbligatorio solo se vengono usati i domini di download :

    Creare una nuova sostituzione dell'impostazione globale eseguendo i comandi seguenti da Exchange Management Shell (EMS) con privilegi elevati. Eseguire questi comandi in un exchange server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Facoltativo) Obbligatorio solo negli scenari di topologia della foresta di risorse di Exchange :

    Aggiungere le chiavi seguenti al <appSettings> nodo del <ExchangeInstallPath>\ClientAccess\Owa\web.config file. Eseguire questa operazione in ogni Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Creare una nuova sostituzione dell'impostazione globale eseguendo i comandi seguenti da Exchange Management Shell (EMS) con privilegi elevati. Eseguire questi comandi in un exchange server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Per abilitare l'autenticazione moderna ibrida per OWA e ECP, è innanzitutto necessario disabilitare qualsiasi altro metodo di autenticazione in queste directory virtuali. È importante eseguire la configurazione nell'ordine specificato. Se non si esegue questa operazione, potrebbe verificarsi un messaggio di errore durante l'esecuzione del comando.

    Eseguire questi comandi per ogni OWA directory virtuale e ECP in ogni exchange server per disabilitare tutti gli altri metodi di autenticazione:

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

    Importante

    Assicurarsi che tutti gli account siano sincronizzati con l'ID Microsoft Entra, in particolare tutti gli account usati per l'amministrazione. In caso contrario, l'account di accesso smette di funzionare finché non viene sincronizzato. Gli account, ad esempio l'amministratore predefinito, non verranno sincronizzati con l'ID Microsoft Entra e pertanto non potranno essere usati per l'amministrazione dopo l'abilitazione di HMA per OWA ed ECP. Questo comportamento è dovuto all'attributo isCriticalSystemObject , impostato su True per alcuni account.

  11. Abilitare OAuth per la OWA directory virtuale e ECP . È importante eseguire la configurazione nell'ordine specificato. Se non si esegue questa operazione, potrebbe verificarsi un messaggio di errore durante l'esecuzione del comando. Per ogni OWA directory virtuale e ECP in ogni Exchange Server, è necessario eseguire questi comandi:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Uso dell'autenticazione moderna ibrida con Outlook per iOS e Android

Se si vuole usare il client Outlook per iOS e Android insieme all'autenticazione moderna ibrida, assicurarsi di consentire al servizio AutoDetect di connettersi a Exchange Server in TCP 443 (HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Gli intervalli di indirizzi IP sono disponibili anche nella documentazione relativa agli endpoint aggiuntivi non inclusi nella documentazione relativa all'indirizzo IP di Office 365 e al servizio Web URL .

Requisiti di configurazione dell'autenticazione moderna per la transizione da Office 365 dedicato/ITAR a vNext