On-premises Exchange Server configureren voor het gebruik van hybride moderne verificatie
Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.
Hybrid Modern Authentication (HMA) is een methode voor identiteitsbeheer die veiligere gebruikersverificatie en autorisatie biedt, en is beschikbaar voor on-premises hybride implementaties van Exchange Server.
Hybride moderne verificatie inschakelen
Als u HMA inschakelt, moet uw omgeving voldoen aan het volgende:
Zorg ervoor dat u voldoet aan de vereisten voordat u begint.
Aangezien veel vereisten algemeen zijn voor zowel Skype voor Bedrijven als Exchange, raadpleegt u deze in Overzicht van hybride moderne verificatie en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijven en Exchange-servers. Doe dit voordat u begint met een van de stappen in dit artikel. Vereisten voor gekoppelde postvakken die moeten worden ingevoegd.
Voeg url's voor on-premises webservices toe als Service Principal Names (SPN's) in Microsoft Entra ID. Als Exchange on-premises hybride is met meerdere tenants, moeten deze on-premises webservice-URL's worden toegevoegd als SPN's in de Microsoft Entra ID van alle tenants, die hybride zijn met Exchange on-premises.
Zorg ervoor dat alle virtuele mappen zijn ingeschakeld voor HMA
Controleren op het EvoSTS Auth Server-object
Zorg ervoor dat het Exchange Server OAuth-certificaat geldig is
Zorg ervoor dat alle gebruikersidentiteiten worden gesynchroniseerd met Microsoft Entra ID
Schakel HMA in exchange on-premises in.
Opmerking
Biedt uw versie van Office ondersteuning voor MA? Zie Hoe moderne verificatie werkt voor Office 2013- en Office 2016-client-apps.
Waarschuwing
Het publiceren van Outlook Web App- en Exchange-Configuratiescherm via Microsoft Entra toepassingsproxy wordt niet ondersteund.
URL's voor on-premises webservices toevoegen als SPN's in Microsoft Entra ID
Voer de opdrachten uit waarmee de URL's van uw on-premises webservice worden toegewezen als Microsoft Entra SPN's. SPN's worden gebruikt door clientcomputers en apparaten tijdens verificatie en autorisatie. Alle URL's die kunnen worden gebruikt om verbinding te maken tussen on-premises en Microsoft Entra ID, moeten worden geregistreerd in Microsoft Entra ID (inclusief zowel interne als externe naamruimten).
Voer eerst de volgende opdrachten uit op uw Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
Zorg ervoor dat de URL-clients verbinding kunnen maken, worden weergegeven als HTTPS-service-principalnamen in Microsoft Entra ID. Als Exchange on-premises hybride is met meerdere tenants, moeten deze HTTPS-SPN's worden toegevoegd in de Microsoft Entra ID van alle tenants in hybride met Exchange on-premises.
Installeer de Microsoft Graph PowerShell-module:
Install-Module Microsoft.Graph -Scope AllUsers
Maak vervolgens verbinding met Microsoft Entra ID met deze instructies. Voer de volgende opdracht uit om toestemming te geven voor de vereiste machtigingen:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Typ de volgende opdracht voor uw Exchange-gerelateerde URL's:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Noteer (en een schermopname voor latere vergelijking) de uitvoer van deze opdracht, die een
https://*autodiscover.yourdomain.com*
url enhttps://*mail.yourdomain.com*
moet bevatten, maar voornamelijk bestaat uit SPN's die beginnen met00000002-0000-0ff1-ce00-000000000000/
. Als erhttps://
URL's van uw on-premises ontbreken, moeten deze specifieke records aan deze lijst worden toegevoegd.Als u uw interne en externe
MAPI/HTTP
records ,EWS
,ActiveSync
OAB
, enAutodiscover
niet in deze lijst ziet, moet u ze toevoegen. Gebruik de volgende opdracht om alle URL's toe te voegen die ontbreken:Belangrijk
In ons voorbeeld zijn
mail.corp.contoso.com
de URL's die worden toegevoegd enowa.contoso.com
. Zorg ervoor dat ze worden vervangen door de URL's die in uw omgeving zijn geconfigureerd.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
Controleer of uw nieuwe records zijn toegevoegd door de
Get-MsolServicePrincipal
opdracht uit stap 2 opnieuw uit te voeren en de uitvoer te bekijken. Vergelijk de lijst/schermopname van eerder met de nieuwe lijst met SPN's. U kunt ook een schermopname maken van de nieuwe lijst voor uw records. Als dit lukt, ziet u de twee nieuwe URL's in de lijst. Volgens ons voorbeeld bevat de lijst met SPN's nu de specifieke URL'shttps://mail.corp.contoso.com
enhttps://owa.contoso.com
.
Controleer of virtuele mappen correct zijn geconfigureerd
Controleer nu of OAuth juist is ingeschakeld in Exchange voor alle virtuele mappen die outlook mogelijk gebruikt door de volgende opdrachten uit te voeren:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Controleer de uitvoer om te controleren of OAuth is ingeschakeld op elk van deze VDirs. Deze ziet er ongeveer als volgt uit (en het belangrijkste om te bekijken is 'OAuth'):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Als OAuth ontbreekt op een server en een van de vier virtuele mappen, moet u deze toevoegen met behulp van de relevante opdrachten (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory en Set-AutodiscoverVirtualDirectory).
Controleer of het EvoSTS-verificatieserverobject aanwezig is
Ga terug naar de on-premises Exchange Management Shell voor deze laatste opdracht. U kunt nu controleren of uw on-premises een vermelding heeft voor de evoSTS-verificatieprovider:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
De uitvoer moet een AuthServer van de Name EvoSts met een GUID weergeven en de status 'Ingeschakeld' moet Waar zijn. Als dat niet het geval is, moet u de meest recente versie van de wizard Hybride configuratie downloaden en uitvoeren.
Opmerking
Als Exchange on-premises hybride is met meerdere tenants, moet uw uitvoer één AuthServer weergeven van de naam EvoSts - {GUID}
voor elke tenant in hybride met Exchange on-premises en moet de status Ingeschakeld waar zijn voor al deze AuthServer-objecten.
Belangrijk
Als u Exchange 2010 uitvoert in uw omgeving, wordt de EvoSTS-verificatieprovider niet gemaakt.
HMA inschakelen
Voer de volgende opdracht uit in de Exchange Management Shell, on-premises, waarbij <u GUID> op de opdrachtregel vervangt door de GUID uit de uitvoer van de laatste opdracht die u hebt uitgevoerd:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Opmerking
In oudere versies van de wizard Hybride configuratie heette de EvoSts AuthServer gewoon EvoSTS zonder dat er een GUID was gekoppeld. U hoeft geen actie uit te voeren, maar wijzig de voorgaande opdrachtregel om dit weer te geven door het GUID-gedeelte van de opdracht te verwijderen:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Als de on-premises Exchange-versie Exchange 2016 (CU18 of hoger) of Exchange 2019 (CU7 of hoger) is en hybride is geconfigureerd met HCW die na september 2020 is gedownload, voert u de volgende opdracht uit in de Exchange Management Shell, on-premises:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Opmerking
Als Exchange on-premises hybride is met meerdere tenants, zijn er meerdere AuthServer-objecten aanwezig in Exchange on-premises met domeinen die overeenkomen met elke tenant. De vlag IsDefaultAuthorizationEndpoint moet worden ingesteld op true (met behulp van de cmdlet IsDefaultAuthorizationEndpoint ) voor een van deze AuthServer-objecten. Deze vlag kan niet worden ingesteld op true voor alle Authserver-objecten en HMA zou zijn ingeschakeld, zelfs als de vlag IsDefaultAuthorizationEndpoint van een van deze AuthServer-objecten is ingesteld op true.
Opmerking
Gebruik voor de parameter DomainName de waarde van het tenantdomein, die meestal de vorm contoso.onmicrosoft.com
heeft.
Controleren
Zodra u HMA hebt ingeschakeld, gebruikt de volgende aanmelding van een client de nieuwe verificatiestroom. Als u HMA inschakelt, wordt er geen herverificatie geactiveerd voor een client. Het kan even duren voordat Exchange de nieuwe instellingen heeft opgehaald.
U moet ook de Ctrl-toets ingedrukt houden terwijl u met de rechtermuisknop op het pictogram voor de Outlook-client klikt (ook in het windows-meldingenvak) en Verbindingsstatus selecteert. Zoek het SMTP-adres van de client op basis van Bearer\*
het AuthN-type , dat het bearer-token vertegenwoordigt dat wordt gebruikt in OAuth.
Opmerking
Wilt u Skype voor Bedrijven configureren met HMA? U hebt twee artikelen nodig: een met ondersteunde topologieën en één waarin wordt uitgelegd hoe u de configuratie uitvoert.
Hybride moderne verificatie inschakelen voor OWA en ECP
Hybride moderne verificatie kan nu ook worden ingeschakeld voor OWA
en ECP
. Zorg ervoor dat aan de vereisten is voldaan voordat u doorgaat.
Nadat hybride moderne verificatie is ingeschakeld voor OWA
en ECP
, wordt elke eindgebruiker en beheerder die zich probeert aan te melden bij OWA
of ECP
eerst omgeleid naar de Microsoft Entra ID verificatiepagina. Nadat de verificatie is geslaagd, wordt de gebruiker omgeleid naar OWA
of ECP
.
Vereisten voor het inschakelen van hybride moderne verificatie voor OWA en ECP
Als u Hybride moderne verificatie wilt inschakelen voor OWA
en ECP
, moeten alle gebruikersidentiteiten worden gesynchroniseerd met Microsoft Entra ID.
Daarnaast is het belangrijk dat de OAuth-installatie tussen Exchange Server on-premises en Exchange Online tot stand is gebracht voordat verdere configuratiestappen kunnen worden uitgevoerd.
Klanten die de wizard Hybride configuratie (HCW) al hebben uitgevoerd om hybride te configureren, hebben een OAuth-configuratie. Als OAuth niet eerder is geconfigureerd, kan dit worden gedaan door hcw uit te voeren of door de stappen te volgen zoals beschreven in de documentatie OAuth-verificatie configureren tussen Exchange en Exchange Online organisaties.
Het wordt aanbevolen om de OwaVirtualDirectory
instellingen en EcpVirtualDirectory
te documenteren voordat u wijzigingen aanbrengt. In deze documentatie kunt u de oorspronkelijke instellingen herstellen als er problemen optreden na het configureren van de functie.
Belangrijk
Op alle servers moet ten minste de update Exchange Server 2019 CU14 zijn geïnstalleerd. Ze moeten ook de Exchange Server 2019 CU14, april 2024 HU of een latere update uitvoeren.
Stappen voor het inschakelen van hybride moderne verificatie voor OWA en ECP
Voer een query uit op de
OWA
URL's enECP
die zijn geconfigureerd op uw Exchange Server on-premises . Dit is belangrijk omdat ze als antwoord-URL moeten worden toegevoegd aan Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Installeer de Microsoft Graph PowerShell-module als deze nog niet is geïnstalleerd:
Install-Module Microsoft.Graph -Scope AllUsers
Maak verbinding met Microsoft Entra ID met deze instructies. Voer de volgende opdracht uit om toestemming te geven voor de vereiste machtigingen:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Geef uw
OWA
URL's enECP
op:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
Werk uw toepassing bij met de antwoord-URL's:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Controleer of de antwoord-URL's zijn toegevoegd:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Als u Exchange Server on-premises mogelijkheid wilt inschakelen om hybride moderne verificatie uit te voeren, volgt u de stappen die worden beschreven in de sectie HMA inschakelen.
(Optioneel) Alleen vereist als downloaddomeinen worden gebruikt:
Creatie een nieuwe globale instelling overschrijven door de volgende opdrachten uit te voeren vanuit een Exchange Management Shell (EMS) met verhoogde bevoegdheid. Voer deze opdrachten uit op één Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Optioneel) Alleen vereist in scenario's voor exchange-resourceforesttopologie :
Voeg de volgende sleutels toe aan het
<appSettings>
knooppunt van het<ExchangeInstallPath>\ClientAccess\Owa\web.config
bestand. Doe dit op elke Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Creatie een nieuwe globale instelling overschrijven door de volgende opdrachten uit te voeren vanuit een Exchange Management Shell (EMS) met verhoogde bevoegdheid. Voer deze opdrachten uit op één Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Als u Hybride moderne verificatie wilt inschakelen voor
OWA
enECP
, moet u eerst een andere verificatiemethode voor deze virtuele mappen uitschakelen. Voer deze opdrachten uit voor elkeOWA
ECP
virtuele map op elke Exchange Server:Belangrijk
Het is belangrijk om deze opdrachten in de opgegeven volgorde uit te voeren. Anders ziet u een foutbericht bij het uitvoeren van de opdrachten. Nadat u deze opdrachten hebt uitgevoerd, meldt u zich aan
OWA
bij enECP
werkt u niet meer totdat de OAuth-verificatie voor deze virtuele mappen is geactiveerd.Zorg er ook voor dat alle accounts zijn gesynchroniseerd, met name de accounts die worden gebruikt voor beheer om te Microsoft Entra ID. Anders werkt de aanmelding niet meer totdat ze zijn gesynchroniseerd. Accounts, zoals de ingebouwde beheerder, worden niet gesynchroniseerd met Microsoft Entra ID en kunnen daarom niet worden gebruikt voor beheer zodra HMA voor OWA en ECP is ingeschakeld. Dit komt door het
isCriticalSystemObject
kenmerk, dat is ingesteld opTRUE
voor sommige accounts.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Schakel OAuth in voor de
OWA
virtuele map enECP
. Voer deze opdrachten uit voor elkeOWA
ECP
virtuele map op elke Exchange Server:Belangrijk
Het is belangrijk om deze opdrachten in de opgegeven volgorde uit te voeren. Anders ziet u een foutbericht bij het uitvoeren van de opdrachten.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Hybride moderne verificatie gebruiken met Outlook voor iOS en Android
Als u een on-premises klant bent die gebruikmaakt van Exchange Server op TCP 443, staat u netwerkverkeer uit de volgende IP-bereiken toe:
52.125.128.0/20
52.127.96.0/23
Deze IP-adresbereiken worden ook beschreven in Aanvullende eindpunten die niet zijn opgenomen in de Office 365 IP-adres en URL-webservice.
Verwante artikelen
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor