Бөлісу құралы:

Как настроить локальное развертывание Exchange Server для использования гибридной современной проверки подлинности

  • Мақала

Обзор

Гибридная современная проверка подлинности (HMA) в Microsoft Exchange Server — это функция, которая позволяет пользователям получать доступ к почтовым ящикам, размещенным в локальной среде, с помощью маркеров авторизации, полученных из облака.

HMA позволяет Outlook получать маркеры доступа и обновления OAuth из идентификатора Microsoft Entra ID либо непосредственно для синхронизации хэша паролей или Pass-Through удостоверений проверки подлинности, либо из собственной службы маркеров безопасности (STS) для федеративных удостоверений. Локальная служба Exchange принимает эти маркеры и предоставляет доступ к почтовому ящику. Метод получения этих маркеров и необходимые учетные данные определяются возможностями поставщика удостоверений (iDP), которые могут варьироваться от простого имени пользователя и пароля до более сложных методов, таких как сертификаты, проверка подлинности по телефону или биометрические методы.

Для работы HMA удостоверение пользователя должно присутствовать в идентификаторе Microsoft Entra, а также требуется некоторая конфигурация, которая обрабатывается мастером гибридной конфигурации Exchange (HCW).

По сравнению с устаревшими методами проверки подлинности, такими как NTLM, HMA предлагает ряд преимуществ. Он предоставляет более безопасный и гибкий метод проверки подлинности, используя возможности облачной проверки подлинности. В отличие от NTLM, который использует механизм ответа на запросы и не поддерживает современные протоколы проверки подлинности, HMA использует маркеры OAuth, которые являются более безопасными и обеспечивают лучшее взаимодействие.

HMA — это мощная функция, которая повышает гибкость и безопасность доступа к локальным приложениям, используя возможности облачной проверки подлинности. Он представляет собой значительное улучшение по сравнению с устаревшими методами проверки подлинности, обеспечивая повышенную безопасность, гибкость и удобство для пользователей.

Предварительные требования для включения гибридной современной проверки подлинности

В этом разделе приводятся сведения и действия, которые необходимо выполнить для успешной настройки и включения гибридной современной проверки подлинности в Microsoft Exchange Server.

Протоколы, работающие с гибридной современной проверкой подлинности

Гибридная современная проверка подлинности работает для следующих протоколов Exchange Server:

Протокол Поддерживается гибридная современная проверка подлинности
MAPI через HTTP (MAPI/HTTP) Да
Outlook Anywhere (RPC/HTTP) Нет
Exchange Active Sync (EAS) Да
Веб-службы Exchange (EWS) Да
Outlook в Интернете (OWA) Да
Центр администрирования Exchange (ECP) Да
автономная адресная книга (OAB); Да
IMAP Нет
POP Нет

Действия по настройке и включению гибридной современной проверки подлинности

Чтобы включить гибридную современную проверку подлинности (HMA), необходимо убедиться, что ваша организация соответствует всем необходимым требованиям. Кроме того, необходимо убедиться, что клиент Office совместим с современной проверкой подлинности. Дополнительные сведения см. в документации по принципу работы современной проверки подлинности для клиентских приложений Office 2013 и Office 2016.

  1. Перед началом работы убедитесь, что выполнены предварительные требования. Так как для Skype для бизнеса и Exchange Server часто используются многие предварительные требования, ознакомьтесь с ними в статье Общие сведения о гибридной современной проверке подлинности и предварительные требования для ее использования с локальными серверами Skype для бизнеса и Exchange Server.

  2. Добавьте URL-адреса локальных веб-служб в Microsoft Entra ID. URL-адреса должны быть добавлены как Service Principal Names (SPNs). Если настройка Exchange Server находится в гибридном режиме с несколькими клиентами, эти URL-адреса локальных веб-служб должны быть добавлены в качестве имен субъектов-служб в идентификатор Microsoft Entra для всех клиентов, которые находятся в гибридном режиме с локальным сервером Exchange Server.

  3. Убедитесь, что все виртуальные каталоги включены для HMA. Если вы хотите настроить гибридную современную проверку подлинности для Outlook в Интернете (OWA) и панели управления Exchange (ECP), важно также проверить соответствующие каталоги.

  4. Проверьте наличие объекта EvoSTS Auth Server.

  5. Убедитесь, что сертификат OAuth Exchange Server действителен.

  6. Убедитесь, что все удостоверения пользователей синхронизированы с Идентификатором Microsoft Entra.

  7. (Необязательно) Если вы хотите использовать клиент Outlook для iOS и Android, обязательно разрешите службе автоопределить подключение к серверу Exchange Server.

  8. Включите HMA в локальной среде Exchange.

Добавление URL-адресов локальной веб-службы в качестве имен субъектов-служб в Microsoft Entra ID

Выполните команды, которые назначают URL-адреса локальной веб-службы в качестве имен субъектов-служб Microsoft Entra. Имена субъектов-служб используются клиентскими компьютерами и устройствами во время проверки подлинности и авторизации. Все URL-адреса, которые могут использоваться для подключения из локальной среды к Идентификатору Microsoft Entra, должны быть зарегистрированы в идентификаторе Microsoft Entra (включая внутреннее и внешнее пространства имен).

  1. Сначала выполните следующие команды на сервере Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*

    Убедитесь, что URL-адреса клиентов, к которому могут подключаться, перечислены в качестве имен субъектов-служб HTTPS в идентификаторе Microsoft Entra. Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, эти имена субъектов-служб HTTPS должны быть добавлены в идентификатор Microsoft Entra для всех клиентов в гибридном режиме с локальным exchange.

  2. Установите модуль Microsoft Graph PowerShell:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Затем подключитесь к Microsoft Entra ID, следуя этим инструкциям. Чтобы предоставить согласие на необходимые разрешения, выполните следующую команду:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Для URL-адресов, связанных с Exchange, введите следующую команду:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Запишите выходные данные этой команды, которые должны включать https://*autodiscover.yourdomain.com* URL-адрес и https://*mail.yourdomain.com* , но в основном состоят из имен субъектов-служб, которые начинаются с 00000002-0000-0ff1-ce00-000000000000/. https:// Если отсутствуют URL-адреса из локальной среды, эти конкретные записи должны быть добавлены в этот список.

  5. Если в этом списке не отображаются внутренние и внешние MAPI/HTTPзаписи , EWS, ActiveSync, OABи AutoDiscover , необходимо добавить их. Используйте следующую команду, чтобы добавить все отсутствующие URL-адреса. В нашем примере добавляемые URL-адреса: mail.corp.contoso.com и owa.contoso.com. Убедитесь, что они заменены URL-адресами, настроенными в вашей среде.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Убедитесь, что новые записи добавлены, снова выполнив Get-MsolServicePrincipal команду из шага 2, и проверьте выходные данные. Сравните список с до с новым списком имен субъектов-служб. Вы также можете записать новый список для записей. В случае успеха в списке должны появиться два новых URL-адреса. В нашем примере список имен субъектов-служб теперь включает конкретные URL-адреса https://mail.corp.contoso.com и https://owa.contoso.com.

Проверка правильной настройки виртуальных каталогов

Теперь проверьте правильность включения OAuth в Exchange во всех виртуальных каталогах, которые может использовать Outlook, выполнив следующие команды:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Проверьте выходные данные, чтобы убедиться, что OAuth он включен для каждого из этих виртуальных каталогов. Он выглядит примерно так (и главное, на что следует обратить внимание, как OAuth упоминалось ранее):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Если OAuth отсутствует на любом сервере и любом из четырех виртуальных каталогов, необходимо добавить его с помощью соответствующих команд, прежде чем продолжить (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory и Set-AutodiscoverVirtualDirectory).

Убедитесь, что объект сервера проверки подлинности EvoSTS присутствует

Теперь в локальной командной консоли Exchange Server (EMS) выполните последнюю команду. Вы можете проверить, возвращает ли локальный сервер Exchange Server запись для поставщика проверки подлинности evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

В выходных данных должен отображаться authServer с именем EvoSts - <GUID> , а Enabled состояние должно быть True. Если это не так, скачайте и запустите последнюю версию мастера гибридной конфигурации.

Если в локальной среде Exchange Server выполняется гибридная конфигурация с несколькими клиентами, в выходных данных отображается один AuthServer с именем EvoSts - <GUID> для каждого клиента в гибридном режиме с локальным сервером Exchange Server и Enabled состояние должно быть True для всех этих объектов AuthServer.

Включение HMA

Выполните следующие команды в локальной командной консоли Exchange Server (EMS) и замените в командной <GUID> строке идентификаторОМ GUID из выходных данных последней выполненной команды. В более ранних версиях мастера гибридной конфигурации EvoSts AuthServer именовался EvoSTS без присоединенного GUID. Вам не нужно выполнять никаких действий, просто измените предыдущую командную строку, удалив часть команды GUID.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Если локальная версия Exchange Server — Exchange Server 2016 (CU18 или более поздняя) или Exchange Server 2019 (CU7 или более поздняя) и гибридная среда была настроена с помощью HCW, скачанная после сентября 2020 г., выполните следующую команду в локальной командной консоли Exchange Server (EMS). DomainName Для параметра используйте значение домена клиента, которое обычно имеет вид contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Если локальный сервер Exchange Server находится в гибридной среде с несколькими клиентами, в локальных организациях Exchange Server присутствует несколько объектов AuthServer с доменами, соответствующими каждому клиенту. Флаг IsDefaultAuthorizationEndpoint должен иметь значение True для любого из этих объектов AuthServer. Флагу не может быть присвоено значение true для всех объектов AuthServer, и HMA будет включена, даже если для одного из этих флагов объектов IsDefaultAuthorizationEndpoint AuthServer задано значение true.

Проверять

После включения HMA следующий вход клиента будет использовать новый поток проверки подлинности. Простое включение HMA не вызовет повторную проверку подлинности для любого клиента, и exchange может занять некоторое время, чтобы получить новые параметры.

Кроме того, удерживайте CTRL клавишу, одновременно щелкните правой кнопкой мыши значок клиента Outlook (также в области уведомлений Windows) и выберите .Connection Status Найдите SMTP-адрес клиента по типу AuthNBearer\*, который представляет маркер носителя, используемый в OAuth.

Включение гибридной современной проверки подлинности для OWA и ECP

Гибридная современная проверка подлинности теперь также может быть включена для OWA и ECP. Прежде чем продолжить, убедитесь, что выполнены необходимые условия .

После включения гибридной современной проверки подлинности для OWA и ECPкаждый пользователь и администратор, который пытается войти в OWA систему или ECP будет перенаправлен на страницу проверки подлинности Microsoft Entra ID. После успешной проверки подлинности пользователь будет перенаправлен на OWA или ECP.

Предварительные требования для включения гибридной современной проверки подлинности для OWA и ECP

Важно!

На всех серверах должно быть установлено по крайней мере обновление Exchange Server 2019 CU14 . Они также должны запускать Exchange Server 2019 CU14 за апрель 2024 г. или более поздней версии.

Чтобы включить гибридную современную проверку подлинности для OWA и ECP, все удостоверения пользователей должны быть синхронизированы с идентификатором Microsoft Entra. Кроме того, важно установить настройку OAuth между локальной средой Exchange Server и Exchange Online, прежде чем можно будет выполнить дальнейшие действия по настройке.

Клиенты, которые уже запускали мастер гибридной конфигурации (HCW) для настройки гибридной среды, имеют конфигурацию OAuth. Если OAuth не был настроен ранее, это можно сделать, запустив HCW или выполнив действия, описанные в документации по настройке проверки подлинности OAuth между организациями Exchange и Exchange Online .

Перед внесением OwaVirtualDirectory изменений рекомендуется документировать параметры и EcpVirtualDirectory . Эта документация позволяет восстановить исходные параметры при возникновении каких-либо проблем после настройки функции.

Действия по включению гибридной современной проверки подлинности для OWA и ECP

Предупреждение

Публикация Outlook Web App (OWA) и панели управления Exchange (ECP) через прокси приложения Microsoft Entra не поддерживается.

  1. Запросите OWA URL-адреса и ECP , настроенные в локальной среде Exchange Server. Это важно, так как они должны быть добавлены в качестве URL-адреса ответа в идентификатор Microsoft Entra:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Установите модуль PowerShell Microsoft Graph, если он еще не установлен:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Подключитесь к Идентификатору Microsoft Entra с помощью этих инструкций. Чтобы предоставить согласие на необходимые разрешения, выполните следующую команду:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Укажите URL-адреса OWA и ECP :

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Обновите приложение с помощью URL-адресов ответа:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Убедитесь, что URL-адреса ответа успешно добавлены:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Чтобы включить локальную возможность exchange Server выполнять гибридную современную проверку подлинности, выполните действия, описанные в разделе Включение HMA .

  8. (Необязательно) Требуется только в том случае, если используются домены загрузки :

    Создайте переопределение глобального параметра, выполнив следующие команды из командной консоли Exchange с повышенными привилегиями (EMS). Выполните следующие команды на одном сервере Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Необязательно) Требуется только в сценариях топологии леса ресурсов Exchange :

    Добавьте следующие ключи в <appSettings> узел <ExchangeInstallPath>\ClientAccess\Owa\web.config файла. Выполните это на каждом сервере Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Создайте переопределение глобального параметра, выполнив следующие команды из командной консоли Exchange с повышенными привилегиями (EMS). Выполните следующие команды на одном сервере Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Чтобы включить гибридную современную проверку подлинности для OWA и ECP, необходимо сначала отключить любой другой метод проверки подлинности в этих виртуальных каталогах. Важно выполнить настройку в заданном порядке. В противном случае во время выполнения команды может появиться сообщение об ошибке.

    После выполнения этих команд вход OWA в систему и ECP будет останавливаться до активации проверки подлинности OAuth для этих виртуальных каталогов. Убедитесь, что все учетные записи синхронизированы с идентификатором Microsoft Entra, особенно все учетные записи, которые используются для администрирования. В противном случае имя входа перестает работать до синхронизации.
    Учетные записи, такие как встроенный администратор, не будут синхронизироваться с идентификатором Microsoft Entra и, следовательно, не могут использоваться для администрирования после включения HMA для OWA и ECP. Это связано с атрибутом isCriticalSystemObject , который для некоторых учетных записей имеет значение True .

    Выполните следующие команды для каждого OWA и ECP виртуального каталога на каждом сервере Exchange Server:

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Включите OAuth для виртуального OWA каталога и ECP . Важно выполнить настройку в заданном порядке. В противном случае во время выполнения команды может появиться сообщение об ошибке. Для каждого OWA виртуального каталога и ECP на каждом сервере Exchange Server необходимо выполнить следующие команды:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Использование гибридной современной проверки подлинности с Outlook для iOS и Android

Если вы хотите использовать клиент Outlook для iOS и Android вместе с гибридной современной проверкой подлинности, убедитесь, что служба автоопределить подключение к серверу Exchange Server ( TCP 443 HTTPS):

52.125.128.0/20
52.127.96.0/23

Диапазоны IP-адресов также можно найти в разделе Дополнительные конечные точки, не включенные в веб-службу IP-адресов и URL-адресов Office 365 .

Требования к конфигурации современной проверки подлинности для перехода с Office 365 Dedicated/ITAR на vNext