On-premises Exchange Server configureren voor het gebruik van hybride moderne verificatie
Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.
Hybrid Modern Authentication (HMA) is een methode voor identiteitsbeheer die veiligere gebruikersverificatie en autorisatie biedt, en is beschikbaar voor on-premises hybride implementaties van Exchange Server.
Definities
Voordat we beginnen, moet u bekend zijn met enkele definities:
HMA voor hybride moderne verificatie >
Exchange on-premises > EXCH
> Exchange Online EXO
Als een afbeelding in dit artikel een object heeft dat 'grijs' of 'grijs' is, betekent dit dat het element dat in grijs wordt weergegeven, niet is opgenomen in de HMA-specifieke configuratie.
Hybride moderne verificatie inschakelen
Als u HMA inschakelt, moet uw omgeving voldoen aan het volgende:
Zorg ervoor dat u voldoet aan de vereisten voordat u begint.
Aangezien veel vereisten algemeen zijn voor zowel Skype voor Bedrijven als Exchange, raadpleegt u deze in Overzicht van hybride moderne verificatie en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijven en Exchange-servers. Doe dit voordat u begint met een van de stappen in dit artikel. Vereisten voor gekoppelde postvakken die moeten worden ingevoegd.
Voeg url's voor on-premises webservices toe als Service Principal Names (SPN's) in Microsoft Entra ID. Als EXCH hybride is met meerdere tenants, moeten deze on-premises webservice-URL's worden toegevoegd als SPN's in de Microsoft Entra ID van alle tenants, die hybride zijn met EXCH.
Zorg ervoor dat alle virtuele mappen zijn ingeschakeld voor HMA
Controleren op het EvoSTS Auth Server-object
Schakel HMA in EXCH in.
Opmerking
Biedt uw versie van Office ondersteuning voor MA? Zie Hoe moderne verificatie werkt voor Office 2013- en Office 2016-client-apps.
Opmerking
Outlook Web App en Exchange Configuratiescherm werken niet met hybride moderne verificatie. Bovendien wordt het publiceren van Outlook Web App en Exchange Configuratiescherm via Microsoft Entra toepassingsproxy niet ondersteund.
URL's voor on-premises webservices toevoegen als SPN's in Microsoft Entra ID
Voer de opdrachten uit waarmee de URL's van uw on-premises webservice worden toegewezen als Microsoft Entra SPN's. SPN's worden gebruikt door clientcomputers en apparaten tijdens verificatie en autorisatie. Alle URL's die kunnen worden gebruikt om verbinding te maken tussen on-premises en Microsoft Entra ID, moeten worden geregistreerd in Microsoft Entra ID (inclusief zowel interne als externe naamruimten).
Voer eerst de volgende opdrachten uit op uw Microsoft Exchange Server:
Get-MapiVirtualDirectory | FL server,*url* Get-WebServicesVirtualDirectory | FL server,*url* Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory | FL server,*url* Get-AutodiscoverVirtualDirectory | FL server,*url* Get-OutlookAnywhere | FL server,*hostname*
Zorg ervoor dat de URL-clients verbinding kunnen maken, worden weergegeven als HTTPS-service-principalnamen in Microsoft Entra ID. Als EXCH hybride is met meerdere tenants, moeten deze HTTPS-SPN's worden toegevoegd in de Microsoft Entra ID van alle tenants in hybride met EXCH.
Maak vervolgens verbinding met Microsoft Entra ID met deze instructies. Voer de volgende opdracht uit om toestemming te geven voor de vereiste machtigingen:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Typ de volgende opdracht voor uw Exchange-gerelateerde URL's:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Noteer (en schermopname voor latere vergelijking) de uitvoer van deze opdracht, die een
https://*autodiscover.yourdomain.com*
URL enhttps://*mail.yourdomain.com*
moet bevatten, maar meestal bestaat uit SPN's die beginnen met00000002-0000-0ff1-ce00-000000000000/
. Als erhttps://
URL's van uw on-premises ontbreken, moeten deze specifieke records aan deze lijst worden toegevoegd.Als u uw interne en externe MAPI/HTTP-, EWS-, ActiveSync-, OAB- en Autodiscover-records niet in deze lijst ziet, moet u deze toevoegen met behulp van de volgende opdracht (de voorbeeld-URL's zijn
mail.corp.contoso.com
enowa.contoso.com
, maar u moet de voorbeeld-URL's vervangen door uw eigen URL's):$x= Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate =@( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Controleer of uw nieuwe records zijn toegevoegd door de
Get-MsolServicePrincipal
opdracht uit stap 2 opnieuw uit te voeren en de uitvoer te bekijken. Vergelijk de lijst/schermopname van eerder met de nieuwe lijst met SPN's. U kunt ook een schermopname maken van de nieuwe lijst voor uw records. Als dit lukt, ziet u de twee nieuwe URL's in de lijst. Volgens ons voorbeeld bevat de lijst met SPN's nu de specifieke URL'shttps://mail.corp.contoso.com
enhttps://owa.contoso.com
.
Controleer of virtuele mappen correct zijn geconfigureerd
Controleer nu of OAuth juist is ingeschakeld in Exchange voor alle virtuele mappen die outlook mogelijk gebruikt door de volgende opdrachten uit te voeren:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Controleer de uitvoer om te controleren of OAuth is ingeschakeld op elk van deze VDirs. Deze ziet er ongeveer als volgt uit (en het belangrijkste om te bekijken is 'OAuth'):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Als OAuth ontbreekt op een server en een van de vier virtuele mappen, moet u deze toevoegen met behulp van de relevante opdrachten (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory en Set-AutodiscoverVirtualDirectory).
Controleer of het EvoSTS-verificatieserverobject aanwezig is
Ga terug naar de on-premises Exchange Management Shell voor deze laatste opdracht. U kunt nu controleren of uw on-premises een vermelding heeft voor de evoSTS-verificatieprovider:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
De uitvoer moet een AuthServer van de Name EvoSts met een GUID weergeven en de status 'Ingeschakeld' moet Waar zijn. Als dat niet het geval is, moet u de meest recente versie van de wizard Hybride configuratie downloaden en uitvoeren.
Opmerking
Als EXCH hybride is met meerdere tenants, moet uw uitvoer één AuthServer van de naam EvoSts - {GUID}
voor elke tenant in hybride met EXCH weergeven en moet de status Ingeschakeld waar zijn voor al deze AuthServer-objecten.
Belangrijk
Als u Exchange 2010 uitvoert in uw omgeving, wordt de EvoSTS-verificatieprovider niet gemaakt.
HMA inschakelen
Voer de volgende opdracht uit in de Exchange Management Shell, on-premises, waarbij <u GUID> op de opdrachtregel vervangt door de GUID uit de uitvoer van de laatste opdracht die u hebt uitgevoerd:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Opmerking
In oudere versies van de wizard Hybride configuratie heette de EvoSts AuthServer gewoon EvoSTS zonder dat er een GUID was gekoppeld. U hoeft geen actie uit te voeren, maar wijzig de voorgaande opdrachtregel om dit weer te geven door het GUID-gedeelte van de opdracht te verwijderen:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Als de EXCH-versie Exchange 2016 (CU18 of hoger) of Exchange 2019 (CU7 of hoger) is en hybride is geconfigureerd met HCW dat na september 2020 is gedownload, voert u de volgende opdracht uit in de Exchange Management Shell, on-premises:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Opmerking
Als EXCH hybride is met meerdere tenants, zijn er meerdere AuthServer-objecten aanwezig in EXCH met domeinen die overeenkomen met elke tenant. De vlag IsDefaultAuthorizationEndpoint moet worden ingesteld op true (met behulp van de cmdlet IsDefaultAuthorizationEndpoint ) voor een van deze AuthServer-objecten. Deze vlag kan niet worden ingesteld op true voor alle Authserver-objecten en HMA zou zijn ingeschakeld, zelfs als de vlag IsDefaultAuthorizationEndpoint van een van deze AuthServer-objecten is ingesteld op true.
Opmerking
Gebruik voor de parameter DomainName de waarde van het tenantdomein, die meestal de vorm contoso.onmicrosoft.com
heeft.
Controleren
Zodra u HMA hebt ingeschakeld, gebruikt de volgende aanmelding van een client de nieuwe verificatiestroom. Als u HMA inschakelt, wordt er geen herverificatie geactiveerd voor een client. Het kan even duren voordat Exchange de nieuwe instellingen heeft opgehaald.
U moet ook de Ctrl-toets ingedrukt houden terwijl u met de rechtermuisknop op het pictogram voor de Outlook-client klikt (ook in het windows-meldingenvak) en Verbindingsstatus selecteert. Zoek het SMTP-adres van de client op basis vanBearer\*
het verificatietype , dat het bearer-token vertegenwoordigt dat wordt gebruikt in OAuth.
Opmerking
Wilt u Skype voor Bedrijven configureren met HMA? U hebt twee artikelen nodig: een met ondersteunde topologieën en één waarin wordt uitgelegd hoe u de configuratie uitvoert.
Hybride moderne verificatie gebruiken met Outlook voor iOS en Android
Als u een on-premises klant bent die gebruikmaakt van De Exchange-server op TCP 443, staat u netwerkverkeer uit de volgende IP-bereiken toe:
52.125.128.0/20
52.127.96.0/23
Deze IP-adresbereiken worden ook beschreven in Aanvullende eindpunten die niet zijn opgenomen in de Office 365 IP-adres en URL-webservice.
Verwante artikelen
Feedback
https://aka.ms/ContentUserFeedback voor meer informatie.
Binnenkort beschikbaar: in de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. ZieFeedback verzenden en weergeven voor