On-premises Exchange Server configureren voor het gebruik van hybride moderne verificatie

  • Artikel

Dit artikel is van toepassing op Microsoft 365 Enterprise en Office 365 Enterprise.

Hybrid Modern Authentication (HMA) is een methode voor identiteitsbeheer die veiligere gebruikersverificatie en autorisatie biedt, en is beschikbaar voor on-premises hybride implementaties van Exchange Server.

Hybride moderne verificatie inschakelen

Als u HMA inschakelt, moet uw omgeving voldoen aan het volgende:

  1. Zorg ervoor dat u voldoet aan de vereisten voordat u begint.

  2. Aangezien veel vereisten algemeen zijn voor zowel Skype voor Bedrijven als Exchange, raadpleegt u deze in Overzicht van hybride moderne verificatie en vereisten voor het gebruik ervan met on-premises Skype voor Bedrijven en Exchange-servers. Doe dit voordat u begint met een van de stappen in dit artikel. Vereisten voor gekoppelde postvakken die moeten worden ingevoegd.

  3. Voeg url's voor on-premises webservices toe als Service Principal Names (SPN's) in Microsoft Entra ID. Als Exchange on-premises hybride is met meerdere tenants, moeten deze on-premises webservice-URL's worden toegevoegd als SPN's in de Microsoft Entra ID van alle tenants, die hybride zijn met Exchange on-premises.

  4. Zorg ervoor dat alle virtuele mappen zijn ingeschakeld voor HMA

  5. Controleren op het EvoSTS Auth Server-object

  6. Zorg ervoor dat het Exchange Server OAuth-certificaat geldig is

  7. Zorg ervoor dat alle gebruikersidentiteiten worden gesynchroniseerd met Microsoft Entra ID

  8. Schakel HMA in exchange on-premises in.

Opmerking

Biedt uw versie van Office ondersteuning voor MA? Zie Hoe moderne verificatie werkt voor Office 2013- en Office 2016-client-apps.

Waarschuwing

Het publiceren van Outlook Web App- en Exchange-Configuratiescherm via Microsoft Entra toepassingsproxy wordt niet ondersteund.

URL's voor on-premises webservices toevoegen als SPN's in Microsoft Entra ID

Voer de opdrachten uit waarmee de URL's van uw on-premises webservice worden toegewezen als Microsoft Entra SPN's. SPN's worden gebruikt door clientcomputers en apparaten tijdens verificatie en autorisatie. Alle URL's die kunnen worden gebruikt om verbinding te maken tussen on-premises en Microsoft Entra ID, moeten worden geregistreerd in Microsoft Entra ID (inclusief zowel interne als externe naamruimten).

  1. Voer eerst de volgende opdrachten uit op uw Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    Zorg ervoor dat de URL-clients verbinding kunnen maken, worden weergegeven als HTTPS-service-principalnamen in Microsoft Entra ID. Als Exchange on-premises hybride is met meerdere tenants, moeten deze HTTPS-SPN's worden toegevoegd in de Microsoft Entra ID van alle tenants in hybride met Exchange on-premises.

  2. Installeer de Microsoft Graph PowerShell-module:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Maak vervolgens verbinding met Microsoft Entra ID met deze instructies. Voer de volgende opdracht uit om toestemming te geven voor de vereiste machtigingen:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Typ de volgende opdracht voor uw Exchange-gerelateerde URL's:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Noteer (en een schermopname voor latere vergelijking) de uitvoer van deze opdracht, die een https://*autodiscover.yourdomain.com* url en https://*mail.yourdomain.com* moet bevatten, maar voornamelijk bestaat uit SPN's die beginnen met 00000002-0000-0ff1-ce00-000000000000/. Als er https:// URL's van uw on-premises ontbreken, moeten deze specifieke records aan deze lijst worden toegevoegd.

  5. Als u uw interne en externe MAPI/HTTPrecords , EWS, ActiveSyncOAB, en Autodiscover niet in deze lijst ziet, moet u ze toevoegen. Gebruik de volgende opdracht om alle URL's toe te voegen die ontbreken:

    Belangrijk

    In ons voorbeeld zijn mail.corp.contoso.com de URL's die worden toegevoegd en owa.contoso.com. Zorg ervoor dat ze worden vervangen door de URL's die in uw omgeving zijn geconfigureerd.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Controleer of uw nieuwe records zijn toegevoegd door de Get-MsolServicePrincipal opdracht uit stap 2 opnieuw uit te voeren en de uitvoer te bekijken. Vergelijk de lijst/schermopname van eerder met de nieuwe lijst met SPN's. U kunt ook een schermopname maken van de nieuwe lijst voor uw records. Als dit lukt, ziet u de twee nieuwe URL's in de lijst. Volgens ons voorbeeld bevat de lijst met SPN's nu de specifieke URL's https://mail.corp.contoso.com en https://owa.contoso.com.

Controleer of virtuele mappen correct zijn geconfigureerd

Controleer nu of OAuth juist is ingeschakeld in Exchange voor alle virtuele mappen die outlook mogelijk gebruikt door de volgende opdrachten uit te voeren:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Controleer de uitvoer om te controleren of OAuth is ingeschakeld op elk van deze VDirs. Deze ziet er ongeveer als volgt uit (en het belangrijkste om te bekijken is 'OAuth'):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Als OAuth ontbreekt op een server en een van de vier virtuele mappen, moet u deze toevoegen met behulp van de relevante opdrachten (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory en Set-AutodiscoverVirtualDirectory).

Controleer of het EvoSTS-verificatieserverobject aanwezig is

Ga terug naar de on-premises Exchange Management Shell voor deze laatste opdracht. U kunt nu controleren of uw on-premises een vermelding heeft voor de evoSTS-verificatieprovider:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

De uitvoer moet een AuthServer van de Name EvoSts met een GUID weergeven en de status 'Ingeschakeld' moet Waar zijn. Als dat niet het geval is, moet u de meest recente versie van de wizard Hybride configuratie downloaden en uitvoeren.

Opmerking

Als Exchange on-premises hybride is met meerdere tenants, moet uw uitvoer één AuthServer weergeven van de naam EvoSts - {GUID} voor elke tenant in hybride met Exchange on-premises en moet de status Ingeschakeld waar zijn voor al deze AuthServer-objecten.

Belangrijk

Als u Exchange 2010 uitvoert in uw omgeving, wordt de EvoSTS-verificatieprovider niet gemaakt.

HMA inschakelen

Voer de volgende opdracht uit in de Exchange Management Shell, on-premises, waarbij <u GUID> op de opdrachtregel vervangt door de GUID uit de uitvoer van de laatste opdracht die u hebt uitgevoerd:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Opmerking

In oudere versies van de wizard Hybride configuratie heette de EvoSts AuthServer gewoon EvoSTS zonder dat er een GUID was gekoppeld. U hoeft geen actie uit te voeren, maar wijzig de voorgaande opdrachtregel om dit weer te geven door het GUID-gedeelte van de opdracht te verwijderen:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Als de on-premises Exchange-versie Exchange 2016 (CU18 of hoger) of Exchange 2019 (CU7 of hoger) is en hybride is geconfigureerd met HCW die na september 2020 is gedownload, voert u de volgende opdracht uit in de Exchange Management Shell, on-premises:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Opmerking

Als Exchange on-premises hybride is met meerdere tenants, zijn er meerdere AuthServer-objecten aanwezig in Exchange on-premises met domeinen die overeenkomen met elke tenant. De vlag IsDefaultAuthorizationEndpoint moet worden ingesteld op true (met behulp van de cmdlet IsDefaultAuthorizationEndpoint ) voor een van deze AuthServer-objecten. Deze vlag kan niet worden ingesteld op true voor alle Authserver-objecten en HMA zou zijn ingeschakeld, zelfs als de vlag IsDefaultAuthorizationEndpoint van een van deze AuthServer-objecten is ingesteld op true.

Opmerking

Gebruik voor de parameter DomainName de waarde van het tenantdomein, die meestal de vorm contoso.onmicrosoft.comheeft.

Controleren

Zodra u HMA hebt ingeschakeld, gebruikt de volgende aanmelding van een client de nieuwe verificatiestroom. Als u HMA inschakelt, wordt er geen herverificatie geactiveerd voor een client. Het kan even duren voordat Exchange de nieuwe instellingen heeft opgehaald.

U moet ook de Ctrl-toets ingedrukt houden terwijl u met de rechtermuisknop op het pictogram voor de Outlook-client klikt (ook in het windows-meldingenvak) en Verbindingsstatus selecteert. Zoek het SMTP-adres van de client op basis van Bearer\*het AuthN-type , dat het bearer-token vertegenwoordigt dat wordt gebruikt in OAuth.

Opmerking

Wilt u Skype voor Bedrijven configureren met HMA? U hebt twee artikelen nodig: een met ondersteunde topologieën en één waarin wordt uitgelegd hoe u de configuratie uitvoert.

Hybride moderne verificatie inschakelen voor OWA en ECP

Hybride moderne verificatie kan nu ook worden ingeschakeld voor OWA en ECP. Zorg ervoor dat aan de vereisten is voldaan voordat u doorgaat.

Nadat hybride moderne verificatie is ingeschakeld voor OWA en ECP, wordt elke eindgebruiker en beheerder die zich probeert aan te melden bij OWA of ECP eerst omgeleid naar de Microsoft Entra ID verificatiepagina. Nadat de verificatie is geslaagd, wordt de gebruiker omgeleid naar OWA of ECP.

Vereisten voor het inschakelen van hybride moderne verificatie voor OWA en ECP

Als u Hybride moderne verificatie wilt inschakelen voor OWA en ECP, moeten alle gebruikersidentiteiten worden gesynchroniseerd met Microsoft Entra ID. Daarnaast is het belangrijk dat de OAuth-installatie tussen Exchange Server on-premises en Exchange Online tot stand is gebracht voordat verdere configuratiestappen kunnen worden uitgevoerd.

Klanten die de wizard Hybride configuratie (HCW) al hebben uitgevoerd om hybride te configureren, hebben een OAuth-configuratie. Als OAuth niet eerder is geconfigureerd, kan dit worden gedaan door hcw uit te voeren of door de stappen te volgen zoals beschreven in de documentatie OAuth-verificatie configureren tussen Exchange en Exchange Online organisaties.

Het wordt aanbevolen om de OwaVirtualDirectory instellingen en EcpVirtualDirectory te documenteren voordat u wijzigingen aanbrengt. In deze documentatie kunt u de oorspronkelijke instellingen herstellen als er problemen optreden na het configureren van de functie.

Belangrijk

Op alle servers moet ten minste de update Exchange Server 2019 CU14 zijn geïnstalleerd. Ze moeten ook de Exchange Server 2019 CU14, april 2024 HU of een latere update uitvoeren.

Stappen voor het inschakelen van hybride moderne verificatie voor OWA en ECP

  1. Voer een query uit op de OWA URL's en ECP die zijn geconfigureerd op uw Exchange Server on-premises . Dit is belangrijk omdat ze als antwoord-URL moeten worden toegevoegd aan Microsoft Entra ID:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Installeer de Microsoft Graph PowerShell-module als deze nog niet is geïnstalleerd:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Maak verbinding met Microsoft Entra ID met deze instructies. Voer de volgende opdracht uit om toestemming te geven voor de vereiste machtigingen:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Geef uw OWA URL's en ECP op:

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Werk uw toepassing bij met de antwoord-URL's:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Controleer of de antwoord-URL's zijn toegevoegd:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Als u Exchange Server on-premises mogelijkheid wilt inschakelen om hybride moderne verificatie uit te voeren, volgt u de stappen die worden beschreven in de sectie HMA inschakelen.

  8. (Optioneel) Alleen vereist als downloaddomeinen worden gebruikt:

    Creatie een nieuwe globale instelling overschrijven door de volgende opdrachten uit te voeren vanuit een Exchange Management Shell (EMS) met verhoogde bevoegdheid. Voer deze opdrachten uit op één Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Optioneel) Alleen vereist in scenario's voor exchange-resourceforesttopologie :

    Voeg de volgende sleutels toe aan het <appSettings> knooppunt van het <ExchangeInstallPath>\ClientAccess\Owa\web.config bestand. Doe dit op elke Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Creatie een nieuwe globale instelling overschrijven door de volgende opdrachten uit te voeren vanuit een Exchange Management Shell (EMS) met verhoogde bevoegdheid. Voer deze opdrachten uit op één Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Als u Hybride moderne verificatie wilt inschakelen voor OWA en ECP, moet u eerst een andere verificatiemethode voor deze virtuele mappen uitschakelen. Voer deze opdrachten uit voor elke OWAECP virtuele map op elke Exchange Server:

    Belangrijk

    Het is belangrijk om deze opdrachten in de opgegeven volgorde uit te voeren. Anders ziet u een foutbericht bij het uitvoeren van de opdrachten. Nadat u deze opdrachten hebt uitgevoerd, meldt u zich aan OWA bij en ECP werkt u niet meer totdat de OAuth-verificatie voor deze virtuele mappen is geactiveerd.

    Zorg er ook voor dat alle accounts zijn gesynchroniseerd, met name de accounts die worden gebruikt voor beheer om te Microsoft Entra ID. Anders werkt de aanmelding niet meer totdat ze zijn gesynchroniseerd. Accounts, zoals de ingebouwde beheerder, worden niet gesynchroniseerd met Microsoft Entra ID en kunnen daarom niet worden gebruikt voor beheer zodra HMA voor OWA en ECP is ingeschakeld. Dit komt door het isCriticalSystemObject kenmerk, dat is ingesteld op TRUE voor sommige accounts.

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Schakel OAuth in voor de OWA virtuele map en ECP . Voer deze opdrachten uit voor elke OWAECP virtuele map op elke Exchange Server:

    Belangrijk

    Het is belangrijk om deze opdrachten in de opgegeven volgorde uit te voeren. Anders ziet u een foutbericht bij het uitvoeren van de opdrachten.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Hybride moderne verificatie gebruiken met Outlook voor iOS en Android

Als u een on-premises klant bent die gebruikmaakt van Exchange Server op TCP 443, staat u netwerkverkeer uit de volgende IP-bereiken toe:

52.125.128.0/20
52.127.96.0/23

Deze IP-adresbereiken worden ook beschreven in Aanvullende eindpunten die niet zijn opgenomen in de Office 365 IP-adres en URL-webservice.

Configuratievereisten voor Moderne verificatie voor de overgang van Office 365 dedicated/ITAR naar vNext