On-premises Exchange Server configureren voor het gebruik van hybride moderne verificatie

Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.

Hybrid Modern Authentication (HMA) is een methode voor identiteitsbeheer die veiligere gebruikersverificatie en autorisatie biedt, en is beschikbaar voor on-premises hybride implementaties van Exchange Server.

Definities

Voordat we beginnen, moet u bekend zijn met enkele definities:

  • HMA voor hybride moderne verificatie >

  • Exchange on-premises > EXCH

  • > Exchange Online EXO

Als een afbeelding in dit artikel een object heeft dat 'grijs' of 'grijs' is, betekent dit dat het element dat in grijs wordt weergegeven, niet is opgenomen in de HMA-specifieke configuratie.

Hybride moderne verificatie inschakelen

Als u HMA inschakelt, moet uw omgeving voldoen aan het volgende:

  1. Zorg ervoor dat u voldoet aan de vereisten voordat u begint.

  2. Aangezien veel vereisten algemeen zijn voor zowel Skype voor Bedrijven als Exchange, raadpleegt u deze in Overzicht van hybride moderne verificatie en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijven en Exchange-servers. Doe dit voordat u begint met een van de stappen in dit artikel. Vereisten voor gekoppelde postvakken die moeten worden ingevoegd.

  3. Voeg url's voor on-premises webservices toe als Service Principal Names (SPN's) in Microsoft Entra ID. Als EXCH hybride is met meerdere tenants, moeten deze on-premises webservice-URL's worden toegevoegd als SPN's in de Microsoft Entra ID van alle tenants, die hybride zijn met EXCH.

  4. Zorg ervoor dat alle virtuele mappen zijn ingeschakeld voor HMA

  5. Controleren op het EvoSTS Auth Server-object

  6. Schakel HMA in EXCH in.

Opmerking

Biedt uw versie van Office ondersteuning voor MA? Zie Hoe moderne verificatie werkt voor Office 2013- en Office 2016-client-apps.

Opmerking

Outlook Web App en Exchange Configuratiescherm werken niet met hybride moderne verificatie. Bovendien wordt het publiceren van Outlook Web App en Exchange Configuratiescherm via Microsoft Entra toepassingsproxy niet ondersteund.

URL's voor on-premises webservices toevoegen als SPN's in Microsoft Entra ID

Voer de opdrachten uit waarmee de URL's van uw on-premises webservice worden toegewezen als Microsoft Entra SPN's. SPN's worden gebruikt door clientcomputers en apparaten tijdens verificatie en autorisatie. Alle URL's die kunnen worden gebruikt om verbinding te maken tussen on-premises en Microsoft Entra ID, moeten worden geregistreerd in Microsoft Entra ID (inclusief zowel interne als externe naamruimten).

  1. Voer eerst de volgende opdrachten uit op uw Microsoft Exchange Server:

    Get-MapiVirtualDirectory | FL server,*url*
    Get-WebServicesVirtualDirectory | FL server,*url*
    Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
    Get-OABVirtualDirectory | FL server,*url*
    Get-AutodiscoverVirtualDirectory | FL server,*url*
    Get-OutlookAnywhere | FL server,*hostname*
    

    Zorg ervoor dat de URL-clients verbinding kunnen maken, worden weergegeven als HTTPS-service-principalnamen in Microsoft Entra ID. Als EXCH hybride is met meerdere tenants, moeten deze HTTPS-SPN's worden toegevoegd in de Microsoft Entra ID van alle tenants in hybride met EXCH.

  2. Maak vervolgens verbinding met Microsoft Entra ID met deze instructies. Voer de volgende opdracht uit om toestemming te geven voor de vereiste machtigingen:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
    
  3. Typ de volgende opdracht voor uw Exchange-gerelateerde URL's:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
    

    Noteer (en schermopname voor latere vergelijking) de uitvoer van deze opdracht, die een https://*autodiscover.yourdomain.com* URL en https://*mail.yourdomain.com* moet bevatten, maar meestal bestaat uit SPN's die beginnen met 00000002-0000-0ff1-ce00-000000000000/. Als er https:// URL's van uw on-premises ontbreken, moeten deze specifieke records aan deze lijst worden toegevoegd.

  4. Als u uw interne en externe MAPI/HTTP-, EWS-, ActiveSync-, OAB- en Autodiscover-records niet in deze lijst ziet, moet u deze toevoegen met behulp van de volgende opdracht (de voorbeeld-URL's zijn mail.corp.contoso.com en owa.contoso.com, maar u moet de voorbeeld-URL's vervangen door uw eigen URL's):

    $x= Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
    $ServicePrincipalUpdate =@(
    "https://mail.corp.contoso.com/","https://owa.contoso.com/"
    )
    Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
    
  5. Controleer of uw nieuwe records zijn toegevoegd door de Get-MsolServicePrincipal opdracht uit stap 2 opnieuw uit te voeren en de uitvoer te bekijken. Vergelijk de lijst/schermopname van eerder met de nieuwe lijst met SPN's. U kunt ook een schermopname maken van de nieuwe lijst voor uw records. Als dit lukt, ziet u de twee nieuwe URL's in de lijst. Volgens ons voorbeeld bevat de lijst met SPN's nu de specifieke URL's https://mail.corp.contoso.com en https://owa.contoso.com.

Controleer of virtuele mappen correct zijn geconfigureerd

Controleer nu of OAuth juist is ingeschakeld in Exchange voor alle virtuele mappen die outlook mogelijk gebruikt door de volgende opdrachten uit te voeren:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Controleer de uitvoer om te controleren of OAuth is ingeschakeld op elk van deze VDirs. Deze ziet er ongeveer als volgt uit (en het belangrijkste om te bekijken is 'OAuth'):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Als OAuth ontbreekt op een server en een van de vier virtuele mappen, moet u deze toevoegen met behulp van de relevante opdrachten (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory en Set-AutodiscoverVirtualDirectory).

Controleer of het EvoSTS-verificatieserverobject aanwezig is

Ga terug naar de on-premises Exchange Management Shell voor deze laatste opdracht. U kunt nu controleren of uw on-premises een vermelding heeft voor de evoSTS-verificatieprovider:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

De uitvoer moet een AuthServer van de Name EvoSts met een GUID weergeven en de status 'Ingeschakeld' moet Waar zijn. Als dat niet het geval is, moet u de meest recente versie van de wizard Hybride configuratie downloaden en uitvoeren.

Opmerking

Als EXCH hybride is met meerdere tenants, moet uw uitvoer één AuthServer van de naam EvoSts - {GUID} voor elke tenant in hybride met EXCH weergeven en moet de status Ingeschakeld waar zijn voor al deze AuthServer-objecten.

Belangrijk

Als u Exchange 2010 uitvoert in uw omgeving, wordt de EvoSTS-verificatieprovider niet gemaakt.

HMA inschakelen

Voer de volgende opdracht uit in de Exchange Management Shell, on-premises, waarbij <u GUID> op de opdrachtregel vervangt door de GUID uit de uitvoer van de laatste opdracht die u hebt uitgevoerd:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Opmerking

In oudere versies van de wizard Hybride configuratie heette de EvoSts AuthServer gewoon EvoSTS zonder dat er een GUID was gekoppeld. U hoeft geen actie uit te voeren, maar wijzig de voorgaande opdrachtregel om dit weer te geven door het GUID-gedeelte van de opdracht te verwijderen:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Als de EXCH-versie Exchange 2016 (CU18 of hoger) of Exchange 2019 (CU7 of hoger) is en hybride is geconfigureerd met HCW dat na september 2020 is gedownload, voert u de volgende opdracht uit in de Exchange Management Shell, on-premises:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Opmerking

Als EXCH hybride is met meerdere tenants, zijn er meerdere AuthServer-objecten aanwezig in EXCH met domeinen die overeenkomen met elke tenant. De vlag IsDefaultAuthorizationEndpoint moet worden ingesteld op true (met behulp van de cmdlet IsDefaultAuthorizationEndpoint ) voor een van deze AuthServer-objecten. Deze vlag kan niet worden ingesteld op true voor alle Authserver-objecten en HMA zou zijn ingeschakeld, zelfs als de vlag IsDefaultAuthorizationEndpoint van een van deze AuthServer-objecten is ingesteld op true.

Opmerking

Gebruik voor de parameter DomainName de waarde van het tenantdomein, die meestal de vorm contoso.onmicrosoft.comheeft.

Controleren

Zodra u HMA hebt ingeschakeld, gebruikt de volgende aanmelding van een client de nieuwe verificatiestroom. Als u HMA inschakelt, wordt er geen herverificatie geactiveerd voor een client. Het kan even duren voordat Exchange de nieuwe instellingen heeft opgehaald.

U moet ook de Ctrl-toets ingedrukt houden terwijl u met de rechtermuisknop op het pictogram voor de Outlook-client klikt (ook in het windows-meldingenvak) en Verbindingsstatus selecteert. Zoek het SMTP-adres van de client op basis vanBearer\*het verificatietype , dat het bearer-token vertegenwoordigt dat wordt gebruikt in OAuth.

Opmerking

Wilt u Skype voor Bedrijven configureren met HMA? U hebt twee artikelen nodig: een met ondersteunde topologieën en één waarin wordt uitgelegd hoe u de configuratie uitvoert.

Hybride moderne verificatie gebruiken met Outlook voor iOS en Android

Als u een on-premises klant bent die gebruikmaakt van De Exchange-server op TCP 443, staat u netwerkverkeer uit de volgende IP-bereiken toe:

52.125.128.0/20
52.127.96.0/23

Deze IP-adresbereiken worden ook beschreven in Aanvullende eindpunten die niet zijn opgenomen in de Office 365 IP-adres en URL-webservice.

Configuratievereisten voor Moderne verificatie voor de overgang van Office 365 dedicated/ITAR naar vNext