Slik konfigurerer du Exchange Server lokalt til å bruke hybrid moderne godkjenning
Oversikt
Hybrid moderne godkjenning (HMA) i Microsoft Exchange Server er en funksjon som gir brukere tilgang til postbokser, som driftes lokalt, ved hjelp av godkjenningstokener hentet fra skyen.
HMA gjør det mulig for Outlook å hente Access- og Oppdater OAuth-tokener fra Microsoft Entra ID, enten direkte for hash-kodesynkronisering for passord eller Pass-Through godkjenningsidentiteter, eller fra deres egen Secure Token Service (STS) for organisasjonsrelaterte identiteter. Exchange lokalt godtar disse tokenene og gir postbokstilgang. Metoden for å hente disse tokenene og legitimasjonen som kreves, bestemmes av egenskapene til identitetsleverandøren (iDP), som kan variere fra enkelt brukernavn og passord til mer komplekse metoder som sertifikater, telefongodkjenning eller biometriske metoder.
For at HMA skal fungere, må brukerens identitet finnes i Microsoft Entra ID, og det kreves en del konfigurasjon, som håndteres av exchange hybridkonfigurasjonsveiviseren (HCW).
Sammenlignet med eldre godkjenningsmetoder som NTLM, gir HMA flere fordeler. Den gir en sikrere og mer fleksibel godkjenningsmetode som utnytter kraften i skybasert godkjenning. I motsetning til NTLM, som er avhengig av en mekanisme for utfordringsrespons og ikke støtter moderne godkjenningsprotokoller, bruker HMA OAuth-tokener, som er sikrere og gir bedre interoperabilitet.
HMA er en kraftig funksjon som forbedrer fleksibiliteten og sikkerheten ved tilgang til lokale programmer, og utnytter kraften i skybasert godkjenning. Det representerer en betydelig forbedring i forhold til eldre godkjenningsmetoder, noe som gir forbedret sikkerhet, fleksibilitet og brukervennlighet.
Fremgangsmåte for å konfigurere og aktivere hybrid moderne godkjenning
Hvis du vil aktivere hybrid moderne godkjenning (HMA), må du sørge for at organisasjonen oppfyller alle nødvendige forutsetninger. I tillegg bør du bekrefte at Office-klienten er kompatibel med moderne godkjenning. Hvis du vil ha mer informasjon, kan du se dokumentasjonen om hvordan moderne godkjenning fungerer for Office 2013- og Office 2016-klientapper.
Kontroller at du oppfyller forutsetningene før du begynner.
Legg til nettadresser for lokale nettjenester i Microsoft Entra ID. URL-adressene må legges til som
Service Principal Names (SPNs). I tilfelle Exchange Server-oppsettet er i hybrid med flere leiere, må disse lokale nettadressene for nettjenesten legges til som SPN-er i Microsoft Entra ID for alle tenantene, som er hybrid med Exchange Server lokalt.Kontroller at alle virtuelle kataloger er aktivert for HMA. Hvis du vil konfigurere hybrid moderne godkjenning for Outlook på nettet (OWA) og Exchange Kontrollpanel (ECP),er det viktig å også bekrefte de respektive katalogene.
Kontroller at Exchange Server OAuth-sertifikatet er gyldig. Skriptskriptet MonitorExchangeAuthCertificate kan brukes til å bekrefte gyldigheten av OAuth-sertifikatet. Hvis utløpsdatoen utløper, hjelper skriptet i fornyelsesprosessen.
Sørg for at alle brukeridentiteter synkroniseres med Microsoft Entra ID, spesielt alle kontoer, som brukes til administrasjon. Ellers slutter påloggingen å fungere til de er synkronisert. Kontoer, for eksempel den innebygde administratoren, synkroniseres aldri med Microsoft Entra ID og kan derfor ikke brukes på noen OAuth-pålogging når HMA er aktivert. Denne virkemåten skyldes attributtet
isCriticalSystemObject, som er satt tilTruefor enkelte kontoer, inkludert standardadministratoren.(Valgfritt) Hvis du vil bruke Outlook for iOS- og Android-klienten, må du sørge for at tjenesten for automatisk gjenkjenning kan koble til Exchange Server.
Forutsetninger for å aktivere hybrid moderne godkjenning
I denne delen oppgir vi informasjon og trinn som må gjøres for å kunne konfigurere og aktivere hybrid moderne godkjenning i Microsoft Exchange Server.
Exchange Server bestemte forutsetninger
Exchange-serverne må oppfylle følgende krav før hybrid moderne godkjenning kan konfigureres og aktiveres. Hvis du har en hybridkonfigurasjon, må du kjøre den nyeste kumulative oppdateringen (CU) for å være i en støttet tilstand. Du kan finne støttede Exchange Server versjoner og bygge i Exchange Server støttematrise. Hybrid moderne godkjenning må konfigureres jevnt på tvers av alle Exchange-servere i organisasjonen. Delvis implementering, der HMA bare er aktivert på et delsett av servere, støttes ikke.
- Kontroller at det ikke finnes noen Exchange-servere for slutten av levetiden i organisasjonen.
- Exchange Server 2016 må kjøre CU8 eller nyere.
- Exchange Server 2019 må kjøre CU1 eller nyere.
- Kontroller at alle servere kan koble til Internett. Hvis en proxy kreves, konfigurerer du Exchange Server til å bruke den.
- Hvis du allerede har en hybridkonfigurasjon, må du kontrollere at det er en klassisk hybriddistribusjon, ettersom moderne hybrid ikke støtter HMA.
- Kontroller at SSL-avlasting ikke brukes (støttes ikke). SSL Bridging kan imidlertid brukes og støttes.
Du finner også mer informasjon i oversikten over hybrid moderne godkjenning og forutsetninger for å bruke den med lokal Skype for Business- og Exchange-serverdokumentasjon.
Protokoller som fungerer med hybrid moderne godkjenning
Hybrid moderne godkjenning fungerer for følgende Exchange Server protokoller:
| Protokoll | Hybrid moderne godkjenning støttes |
|---|---|
| MAPI over HTTP (MAPI/HTTP) | Ja |
| Outlook Anywhere (RPC/HTTP) | Nei |
| Exchange Active Sync (EAS) | Ja |
| Exchange Web Services (EWS) | Ja |
| Outlook på nettet (OWA) | Ja |
| Exchange Admin Center (ECP) | Ja |
| Frakoblet adressebok (OAB) | Ja |
| IMAP | Nei |
| POP | Nei |
Legg til nettadresser for lokale nettjenester som SPN-er i Microsoft Entra ID
Kjør kommandoene som tilordner dine lokale nettadresser for nettjenesten som Microsoft Entra SPN-er. SPN-er brukes av klientmaskiner og enheter under godkjenning og autorisasjon. Alle URL-adresser som kan brukes til å koble fra lokale til Microsoft Entra ID, må være registrert i Microsoft Entra ID (inkludert både interne og eksterne navneområder).
Kjør først følgende kommandoer på Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*Kontroller at URL-adressene klientene kan koble til, er oppført som HTTPS-tjenestehovednavn i Microsoft Entra ID. I tilfelle Exchange lokalt er i hybrid med flere leiere, bør disse HTTPS SPN-ene legges til i Microsoft Entra ID av alle tenantene i hybrid med Exchange lokalt.
Installer Microsoft Graph PowerShell-modulen:
Install-Module Microsoft.Graph -Scope AllUsersDeretter kobler du til Microsoft Entra ID ved å følge disse instruksjonene. Hvis du vil samtykke til de nødvendige tillatelsene, kjører du følgende kommando:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.AllSkriv inn følgende kommando for Exchange-relaterte URL-adresser:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNamesLegg merke til utdataene for denne kommandoen, som skal inneholde en
https://*autodiscover.yourdomain.com*URL-adressehttps://*mail.yourdomain.com*, men som for det meste består av SPN-er som begynner med00000002-0000-0ff1-ce00-000000000000/. Hvis det finneshttps://URL-adresser fra de lokale adressene som mangler, bør disse bestemte postene legges til i denne listen.Hvis du ikke ser interne og eksterne
MAPI/HTTP,EWS,ActiveSync,OABogAutoDiscoverposter i denne listen, må du legge dem til. Bruk følgende kommando til å legge til alle URL-adresser som mangler. I vårt eksempel ermail.corp.contoso.comurl-adressene som er lagt til, ogowa.contoso.com. Kontroller at de er erstattet av nettadressene som er konfigurert i miljøet ditt.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $x.ServicePrincipalNames += "https://mail.corp.contoso.com/" $x.ServicePrincipalNames += "https://owa.contoso.com/" Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNamesKontroller at de nye postene ble lagt til ved å kjøre
Get-MgServicePrincipalkommandoen fra trinn 4 på nytt, og valider utdataene. Sammenlign listen fra før med den nye listen over SPN-er. Du kan også notere ned den nye listen for postene dine. Hvis du lykkes, skal du kunne se de to nye nettadressene i listen. Listen over SPN-er inneholder nå de spesifikke nettadressenehttps://mail.corp.contoso.comoghttps://owa.contoso.com.
Kontroller at virtuelle mapper er riktig konfigurert
Kontroller nå at OAuth er riktig aktivert i Exchange på alle de virtuelle katalogene Outlook kan bruke ved å kjøre følgende kommandoer:
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*
Kontroller utdataene for å være sikker på at OAuth de er aktivert for hver av disse virtuelle katalogene, det ser omtrent slik ut (og det viktigste å se på er OAuth som nevnt før):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Hvis OAuth mangler på en server og noen av de fem virtuelle katalogene, må du legge den til ved hjelp av de relevante kommandoene før du fortsetter (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) og Set-ActiveSyncVirtualDirectory.
Bekreft at EvoSTS Auth Server-objektet finnes
Nå kjører Exchange Server lokale Management Shell (EMS) denne siste kommandoen. Du kan validere at Exchange Server lokalt returnerer en oppføring for evoSTS-godkjenningsleverandøren:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Utdataene skal vise en godkjenningsserver for navnet EvoSts - <GUID> , og Enabled tilstanden skal være True. Hvis dette ikke er tilfelle, bør du laste ned og kjøre den nyeste versjonen av veiviseren for hybridkonfigurasjon.
I tilfelle Exchange Server lokalt kjører en hybridkonfigurasjon med flere leiere, viser utdataene én AuthServer med navnet EvoSts - <GUID> for hver leier i hybrid med Exchange Server lokalt, og Enabled tilstanden skal være True for alle disse AuthServer-objektene. Noter identifikatoren EvoSts - <GUID>, da det kreves i det påfølgende trinnet.
Aktiver HMA
Kjør følgende kommandoer i Exchange Server lokalt administrasjonsskall (EMS), og erstatt <GUID> i kommandolinjen med GUID-en fra utdataene fra den siste kommandoen du kjørte. I eldre versjoner av veiviseren for hybridkonfigurasjon ble EvoSts AuthServer navngitt EvoSTS uten en GUID tilknyttet. Det er ingen handling du trenger å utføre, bare endre den foregående kommandolinjen ved å fjerne GUID-delen av kommandoen.
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Hvis den Exchange Server lokale versjonen er Exchange Server 2016 (CU18 eller nyere) eller Exchange Server 2019 (CU7 eller høyere) og hybrid ble konfigurert ved hjelp av HCW lastet ned etter september 2020, kjører du følgende kommando i Exchange Server lokale Management Shell (EMS). Bruk leierdomeneverdien for parameteren DomainName , som vanligvis er i skjemaet contoso.onmicrosoft.com:
Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
I tilfelle Exchange Server lokalt er i hybrid med flere leiere, finnes det flere AuthServer-objekter i Exchange Server lokale organisasjoner med domener som tilsvarer hver leier. Flagget IsDefaultAuthorizationEndpoint må settes til True for ett av disse AuthServer-objektene. Flagget kan ikke settes til sann for alle AuthServer-objekter, og HMA aktiveres selv om ett av disse AuthServer-objektflaggene IsDefaultAuthorizationEndpoint er satt til sann.
Viktig
Når du arbeider med flere leiere , må de alle være i samme skymiljø, for eksempel alt i eller alle i GlobalGCC. De kan ikke finnes i blandede miljøer, for eksempel én leier i Global og en annen i GCC.
Verifisere
Når du aktiverer HMA, bruker klientens neste pålogging den nye godkjenningsflyten. Hvis du slår på HMA, utløses ikke en nygodkjenning for noen klient, og det kan ta litt tid før Exchange Server plukker opp de nye innstillingene. Denne prosessen krever ikke opprettelse av en ny profil.
Du bør også holde nede CTRL nøkkelen samtidig som du høyreklikker ikonet for Outlook-klienten (også i systemstatusfeltet i Windows) og velger Connection Status. Se etter klientens SMTP-adresse mot en AuthN type Bearer\*, som representerer bærertokenet som brukes i OAuth.
Aktiver hybrid moderne godkjenning for OWA og ECP
Hybrid moderne godkjenning kan nå også aktiveres for OWA og ECP. Kontroller at forutsetningene er oppfylt før du fortsetter.
Etter at hybrid moderne godkjenning er aktivert for OWA og ECP, omdirigeres hver sluttbruker og administrator som prøver å logge påOWA, ECP til Microsoft Entra ID godkjenningssiden først. Etter at godkjenningen var vellykket, blir brukeren omdirigert til OWA eller ECP.
Forutsetninger for å aktivere hybrid moderne godkjenning for OWA og ECP
Viktig
Alle servere må ha minst den Exchange Server 2019 CU14-oppdateringen installert. De må også kjøre Exchange Server 2019 CU14 April 2024 HU eller en senere oppdatering.
Hvis du vil aktivere hybrid moderne godkjenning for OWA og ECP, må alle brukeridentiteter synkroniseres med Microsoft Entra ID.
I tillegg til dette er det viktig at OAuth-oppsettet mellom Exchange Server lokalt og Exchange Online er opprettet før ytterligere konfigurasjonstrinn kan utføres.
Kunder som allerede har kjørt veiviseren for hybridkonfigurasjon (HCW) for å konfigurere hybrid, har en OAuth-konfigurasjon på plass. Hvis OAuth ikke ble konfigurert før, kan det gjøres ved å kjøre HCW eller ved å følge trinnene som beskrevet i konfigurer OAuth-godkjenningen mellom Exchange og Exchange Online organisasjonsdokumentasjon.
Det anbefales å dokumentere OwaVirtualDirectory og EcpVirtualDirectory innstillinger før du gjør endringer. Denne dokumentasjonen gjør det mulig å gjenopprette de opprinnelige innstillingene hvis det oppstår problemer etter konfigurering av funksjonen.
Fremgangsmåte for å aktivere hybrid moderne godkjenning for OWA og ECP
Advarsel
Publisering Outlook Web App (OWA) og Exchange Kontrollpanel (ECP) gjennom Microsoft Entra programproxy støttes ikke.
OWASpør ogECPurl-adresser som er konfigurert på Exchange Server lokalt. Dette er viktig fordi de må legges til som url-adresse for svar for å Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*Installer Microsoft Graph PowerShell-modulen hvis den ennå ikke er installert:
Install-Module Microsoft.Graph -Scope AllUsersKoble til Microsoft Entra ID med disse instruksjonene. Hvis du vil samtykke til de nødvendige tillatelsene, kjører du følgende kommando:
Connect-Graph -Scopes User.Read, Application.ReadWrite.AllAngi nettadresser
OWAogECPnettadresser, og oppdater programmet med nettadressene for svar:$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp" Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrlsKontroller at url-adressene for svar er lagt til:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrlsHvis du vil aktivere Exchange Server lokale muligheten til å utføre hybrid moderne godkjenning, følger du trinnene som er beskrevet i delen Aktiver HMA.
(Valgfritt) Bare nødvendig hvis Nedlastingsdomener brukes:
Opprett en ny global innstillingsoverstyring ved å kjøre følgende kommandoer fra et hevet Exchange Management Shell (EMS). Kjør disse kommandoene på ett Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force(Valgfritt) Bare påkrevd i scenarioer for Exchange-ressursskogtopologi :
Legg til følgende nøkler i
<appSettings>noden til<ExchangeInstallPath>\ClientAccess\Owa\web.configfilen. Gjør dette på hver Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>Opprett en ny global innstillingsoverstyring ved å kjøre følgende kommandoer fra et hevet Exchange Management Shell (EMS). Kjør disse kommandoene på ett Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -ForceHvis du vil aktivere hybrid moderne godkjenning for
OWAogECP, må du først deaktivere en annen godkjenningsmetode på disse virtuelle katalogene. Det er viktig å utføre konfigurasjonen i den angitte rekkefølgen. Hvis du ikke gjør dette, kan det føre til en feilmelding under kjøringen av kommandoen.
Kjør disse kommandoene for hverOWAogECPvirtuelle katalog på hver Exchange Server for å deaktivere alle andre godkjenningsmetoder:Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $falseViktig
Sørg for at alle kontoer synkroniseres til Microsoft Entra ID, spesielt alle kontoer, som brukes til administrasjon. Ellers slutter påloggingen å fungere til de er synkronisert. Kontoer, for eksempel den innebygde administratoren, synkroniseres ikke med Microsoft Entra ID, og kan derfor ikke brukes til administrasjon når HMA for OWA og ECP er aktivert. Denne virkemåten skyldes attributtet
isCriticalSystemObject, som er satt tilTruefor enkelte kontoer.Aktiver OAuth for og
ECPvirtuellOWAkatalog. Det er viktig å utføre konfigurasjonen i den angitte rekkefølgen. Hvis du ikke gjør dette, kan det føre til en feilmelding under kjøringen av kommandoen. Disse kommandoene må kjøres for hverOWAExchange Server ogECPhver Exchange Server:Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Bruke hybrid moderne godkjenning med Outlook for iOS og Android
Hvis du vil bruke Outlook for iOS- og Android-klienten sammen med hybrid moderne godkjenning, må du sørge for at tjenesten for automatisk gjenkjenning kan koble til Exchange Server på TCP 443 (HTTPS):
<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23
Du finner også IP-adresseområder i tilleggsendepunktene som ikke er inkludert i dokumentasjonen for Office 365 IP-adresse og nettadressewebtjenesten.
Relaterte artikler
Moderne godkjenningskonfigurasjonskrav for overgang fra Office 365-dedikert/ITAR til vNext