Udostępnij za pośrednictwem

Jak skonfigurować lokalny program Exchange Server do korzystania z nowoczesnego uwierzytelniania hybrydowego

  • Artykuł

Omówienie

Nowoczesne uwierzytelnianie hybrydowe (HMA) w programie Microsoft Exchange Server to funkcja, która umożliwia użytkownikom dostęp do skrzynek pocztowych hostowanych lokalnie przy użyciu tokenów autoryzacji uzyskanych z chmury.

Usługa HMA umożliwia programowi Outlook uzyskiwanie tokenów dostępu i odświeżania uwierzytelniania OAuth z identyfikatora Microsoft Entra, bezpośrednio na potrzeby synchronizacji skrótów haseł lub Pass-Through tożsamości uwierzytelniania, lub z ich własnej usługi bezpiecznego tokenu (STS) dla tożsamości federacyjnych. Lokalna usługa Exchange akceptuje te tokeny i zapewnia dostęp do skrzynki pocztowej. Metoda uzyskiwania tych tokenów i wymaganych poświadczeń zależy od możliwości dostawcy tożsamości (iDP), który może się wahać od prostej nazwy użytkownika i hasła do bardziej złożonych metod, takich jak certyfikaty, uwierzytelnianie telefonu lub metody biometryczne.

Aby usługa HMA działała, tożsamość użytkownika musi być obecna w identyfikatorze Microsoft Entra ID, a wymagana jest pewna konfiguracja, która jest obsługiwana przez Kreatora konfiguracji hybrydowej programu Exchange (HCW).

W porównaniu do starszych metod uwierzytelniania, takich jak NTLM, hma oferuje kilka zalet. Zapewnia ona bezpieczniejszą i elastyczną metodę uwierzytelniania, korzystając z możliwości uwierzytelniania opartego na chmurze. W przeciwieństwie do NTLM, który opiera się na mechanizmie reagowania na wyzwania i nie obsługuje nowoczesnych protokołów uwierzytelniania, hma używa tokenów OAuth, które są bezpieczniejsze i oferują lepszą współdziałanie.

HMA to zaawansowana funkcja, która zwiększa elastyczność i bezpieczeństwo dostępu do aplikacji lokalnych, wykorzystując możliwości uwierzytelniania opartego na chmurze. Stanowi znaczącą poprawę w stosunku do starszych metod uwierzytelniania, oferując większe bezpieczeństwo, elastyczność i wygodę użytkownika.

Wymagania wstępne dotyczące włączania hybrydowej nowoczesnej uwierzytelniania

W tej sekcji przedstawiono informacje i kroki, które należy wykonać w celu pomyślnego skonfigurowania i włączenia nowoczesnego uwierzytelniania hybrydowego w programie Microsoft Exchange Server.

Wymagania wstępne dotyczące programu Exchange Server

Serwery exchange muszą spełniać następujące wymagania, aby można było skonfigurować i włączyć nowoczesne uwierzytelnianie hybrydowe. Jeśli masz konfigurację hybrydową, musisz uruchomić najnowszą aktualizację zbiorczą (CU), aby była w obsługiwanym stanie. Obsługiwane wersje programu Exchange Server i kompilacja można znaleźć w macierzy obsługi programu Exchange Server.

  • Upewnij się, że w organizacji nie ma żadnych serwerów programu Exchange na koniec okresu eksploatacji.
  • Program Exchange Server 2016 musi być uruchomiony w wersji CU8 lub nowszej.
  • Program Exchange Server 2019 musi działać w wersji CU1 lub nowszej.
  • Upewnij się, że wszystkie serwery mogą łączyć się z Internetem. Jeśli serwer proxy jest wymagany, skonfiguruj program Exchange Server, aby go używać.
  • Jeśli masz już konfigurację hybrydową, upewnij się, że jest to klasyczne wdrożenie hybrydowe, ponieważ nowoczesna hybryda nie obsługuje usługi HMA.
  • Upewnij się, że odciążanie protokołu SSL nie jest używane (nie jest obsługiwane). Mostkowanie SSL może być jednak używane i jest obsługiwane.

Więcej informacji można również znaleźć w omówieniu nowoczesnego uwierzytelniania hybrydowego i wymaganiach wstępnych dotyczących używania go z lokalną dokumentacją programu Skype dla firm i serwerów Programu Exchange .

Protokoły współpracujące z nowoczesnym uwierzytelnianiem hybrydowym

Nowoczesne uwierzytelnianie hybrydowe działa w przypadku następujących protokołów programu Exchange Server:

Protocol (Protokół) Obsługiwana nowoczesna uwierzytelnianie hybrydowe
MAPI za pośrednictwem protokołu HTTP (MAPI/HTTP) Tak
Outlook Anywhere (RPC/HTTP) Nie
Exchange Active Sync (EAS) Tak
Exchange Web Services (EWS) Tak
Outlook on the Web (OWA) Tak
Centrum administracyjne programu Exchange (ECP) Tak
Książka adresowa trybu offline (OAB) Tak
IMAP Nie
POP Nie

Kroki, które należy wykonać, aby skonfigurować i włączyć hybrydowy nowoczesny uwierzytelnianie

Aby włączyć nowoczesne uwierzytelnianie hybrydowe (HMA), musisz upewnić się, że twoja organizacja spełnia wszystkie niezbędne wymagania wstępne. Ponadto należy potwierdzić, że klient pakietu Office jest zgodny z nowoczesnym uwierzytelnianiem. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dotyczącą sposobu działania nowoczesnego uwierzytelniania dla aplikacji klienckich pakietu Office 2013 i Office 2016.

  1. Przed rozpoczęciem upewnij się, że spełniasz wymagania wstępne .

  2. Dodaj lokalne adresy URL usługi internetowej do identyfikatora Microsoft Entra. Adresy URL muszą zostać dodane jako Service Principal Names (SPNs). Jeśli konfiguracja programu Exchange Server jest hybrydowa z wieloma dzierżawami, te adresy URL lokalnej usługi internetowej muszą zostać dodane jako nazwy SPN we wszystkich dzierżawach, które są w środowisku hybrydowym z lokalnym programem Exchange Server.

  3. Upewnij się, że wszystkie katalogi wirtualne są włączone dla usługi HMA. Jeśli chcesz skonfigurować nowoczesne uwierzytelnianie hybrydowe dla programu Outlook w sieci Web (OWA) i Panelu sterowania programu Exchange (ECP), ważne jest również zweryfikowanie odpowiednich katalogów.

  4. Sprawdź obiekt EvoSTS Auth Server.

  5. Upewnij się, że certyfikat OAuth programu Exchange Server jest prawidłowy. Skrypt MonitorExchangeAuthCertificate może służyć do weryfikowania ważności certyfikatu OAuth. W przypadku jego wygaśnięcia skrypt pomaga w procesie odnawiania.

  6. Upewnij się, że wszystkie tożsamości użytkowników są zsynchronizowane z identyfikatorem Microsoft Entra, zwłaszcza ze wszystkimi kontami, które są używane do administrowania. W przeciwnym razie logowanie przestaje działać, dopóki nie zostaną zsynchronizowane. Konta, takie jak wbudowany administrator, nigdy nie zostaną zsynchronizowane z identyfikatorem Microsoft Entra i w związku z tym nie mogą być używane podczas logowania OAuth po włączeniu umowy HMA. To zachowanie jest spowodowane atrybutem isCriticalSystemObject , który jest ustawiony na True dla niektórych kont, w tym administratora domyślnego.

  7. (Opcjonalnie) Jeśli chcesz użyć klienta programu Outlook dla systemów iOS i Android, upewnij się, że zezwalasz usłudze AutoDetect na nawiązywanie połączenia z serwerem Exchange.

  8. Włącz usługę HMA w lokalnym programie Exchange.

Dodawanie lokalnych adresów URL usługi internetowej jako nazw SPN w identyfikatorze Microsoft Entra

Uruchom polecenia, które przypisują adresy URL lokalnej usługi internetowej jako nazwy SPN usługi Microsoft Entra. Nazwy SPN są używane przez maszyny klienckie i urządzenia podczas uwierzytelniania i autoryzacji. Wszystkie adresy URL, które mogą służyć do nawiązywania połączenia ze środowiska lokalnego do identyfikatora Entra firmy Microsoft, muszą być zarejestrowane w identyfikatorze Microsoft Entra (łącznie z wewnętrznymi i zewnętrznymi przestrzeniami nazw).

  1. Najpierw uruchom następujące polecenia na serwerze Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*

    Upewnij się, że adresy URL, z którymi klienci mogą się łączyć, są wymienione jako nazwy główne usługi HTTPS w identyfikatorze Microsoft Entra. Jeśli lokalna usługa Exchange jest w środowisku hybrydowym z wieloma dzierżawami, te nazwy SPN https powinny zostać dodane w identyfikatorze Microsoft Entra wszystkich dzierżaw w środowisku hybrydowym z lokalnym programem Exchange.

  2. Zainstaluj moduł Programu PowerShell programu Microsoft Graph:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Następnie połącz się z identyfikatorem Microsoft Entra, postępjąc zgodnie z tymi instrukcjami. Aby wyrazić zgodę na wymagane uprawnienia, uruchom następujące polecenie:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. W przypadku adresów URL związanych z programem Exchange wpisz następujące polecenie:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Zanotuj dane wyjściowe tego polecenia, które powinny zawierać adres https://*autodiscover.yourdomain.com* URL i https://*mail.yourdomain.com* , ale w większości składają się z 00000002-0000-0ff1-ce00-000000000000/nazw SPN rozpoczynających się od . https:// Jeśli brakuje adresów URL lokalnych, te konkretne rekordy powinny zostać dodane do tej listy.

  5. Jeśli rekordy wewnętrzne i zewnętrzne MAPI/HTTP, EWS, , ActiveSync, OABi AutoDiscover nie są widoczne na tej liście, należy je dodać. Użyj następującego polecenia, aby dodać wszystkie brakujące adresy URL. W naszym przykładzie dodawane adresy URL to mail.corp.contoso.com i owa.contoso.com. Upewnij się, że zostały one zastąpione przez adresy URL skonfigurowane w środowisku.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Sprawdź, czy nowe rekordy zostały dodane, uruchamiając Get-MgServicePrincipal ponownie polecenie z kroku 4 i weryfikuj dane wyjściowe. Porównaj listę z poprzedniej listy z nową listą numerów SPN. Możesz również zanotować nową listę rekordów. Jeśli to się powiedzie, na liście powinny zostać wyświetlone dwa nowe adresy URL. W naszym przykładzie lista nazw SPN zawiera teraz określone adresy URL https://mail.corp.contoso.com i https://owa.contoso.com.

Sprawdzanie, czy katalogi wirtualne są prawidłowo skonfigurowane

Teraz sprawdź, czy uwierzytelnianie OAuth jest prawidłowo włączone w programie Exchange we wszystkich katalogach wirtualnych, których program Outlook może używać, uruchamiając następujące polecenia:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Sprawdź dane wyjściowe, aby upewnić się, że OAuth jest włączona dla każdego z tych katalogów wirtualnych, wygląda to mniej więcej tak (a kluczową kwestią, którą należy przyjrzeć się, jest OAuth jak wspomniano wcześniej):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Jeśli brakuje protokołu OAuth na dowolnym serwerze i w dowolnym z pięciu katalogów wirtualnych, należy dodać go przy użyciu odpowiednich poleceń przed kontynuowaniem (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) i Set-ActiveSyncVirtualDirectory.

Potwierdzanie obecności obiektu serwera uwierzytelniania EvoSTS

Teraz w lokalnej powłoki zarządzania programu Exchange Server (EMS) uruchom to ostatnie polecenie. Możesz sprawdzić, czy lokalny program Exchange Server zwraca wpis dla dostawcy uwierzytelniania evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Dane wyjściowe powinny zawierać wartość AuthServer o nazwie EvoSts - <GUID> , a Enabled stan powinien mieć Truewartość . Jeśli tak nie jest, należy pobrać i uruchomić najnowszą wersję Kreatora konfiguracji hybrydowej.

Jeśli lokalnie program Exchange Server uruchamia konfigurację hybrydową z wieloma dzierżawami, dane wyjściowe pokazują jeden serwer AuthServer z nazwą EvoSts - <GUID> dla każdej dzierżawy w środowisku hybrydowym z lokalnym programem Exchange Server, a Enabled stan powinien być True dla wszystkich tych obiektów AuthServer. Zanotuj identyfikator EvoSts - <GUID>, ponieważ będzie on wymagany w kolejnym kroku.

Włączanie usługi HMA

Uruchom następujące polecenia w lokalnej powłoki zarządzania programu Exchange Server (EMS) i zastąp <GUID> ciąg w wierszu polecenia identyfikatorem GUID z danych wyjściowych ostatniego uruchomionego polecenia. W starszych wersjach Kreatora konfiguracji hybrydowej nazwa EvoSts AuthServer została nazwana EvoSTS bez dołączonego identyfikatora GUID. Nie ma żadnej akcji, którą należy wykonać, wystarczy zmodyfikować poprzedni wiersz polecenia, usuwając część identyfikatora GUID polecenia.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Jeśli lokalna wersja programu Exchange Server to Exchange Server 2016 (CU18 lub nowszy) lub Exchange Server 2019 (CU7 lub nowsza) i została skonfigurowana hybrydowo za pomocą modułu HCW pobranego po wrześniu 2020 r., uruchom następujące polecenie w lokalnej powłoki zarządzania programu Exchange Server (EMS). Dla parametru DomainName użyj wartości domeny dzierżawy, która jest zwykle w postaci contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Jeśli lokalny program Exchange Server jest w środowisku hybrydowym z wieloma dzierżawami, w lokalnych organizacjach programu Exchange Server znajduje się wiele obiektów AuthServer z domenami odpowiadającymi każdej dzierżawie. Flaga powinna być ustawiona IsDefaultAuthorizationEndpoint na True dowolny z tych obiektów AuthServer. Nie można ustawić flagi na wartość true dla wszystkich obiektów AuthServer, a właściwość HMA zostanie włączona, nawet jeśli jedna z tych flag obiektu IsDefaultAuthorizationEndpoint AuthServer ma wartość true.

Ważna

W przypadku pracy z wieloma dzierżawami wszystkie muszą znajdować się w tym samym środowisku chmury, takim jak wszystkie w Global programie lub wszystkie w GCCprogramie . Nie mogą istnieć w środowiskach mieszanych, takich jak jedna dzierżawa w Global programie, a druga w programie GCC.

Zweryfikować

Po włączeniu usługi HMA następne logowanie klienta użyje nowego przepływu uwierzytelniania. Samo włączenie usługi HMA nie spowoduje wyzwolenia ponownego uwierzytelniania dla żadnego klienta i może upłynąć trochę czasu, gdy program Exchange Server odbierze nowe ustawienia. Ten proces nie wymaga utworzenia nowego profilu.

Należy również przytrzymać CTRL klucz w tym samym czasie, klikając prawym przyciskiem myszy ikonę klienta programu Outlook (również w zasobniku Powiadomienia systemu Windows) i wybierz pozycję Connection Status. Wyszukaj adres AuthN SMTP klienta względem typu Bearer\*, który reprezentuje token elementu nośnego używany w usłudze OAuth.

Włączanie nowoczesnego uwierzytelniania hybrydowego dla systemów OWA i ECP

Nowoczesne uwierzytelnianie hybrydowe można teraz również włączyć dla elementów OWA i ECP. Przed kontynuowaniem upewnij się, że wymagania wstępne zostały spełnione.

Po włączeniu nowoczesnego uwierzytelniania hybrydowego dla OWA i ECPkażdy użytkownik końcowy i administrator, który próbuje się zalogować OWA lub ECP zostanie przekierowany do strony uwierzytelniania identyfikatora Entra firmy Microsoft, zostanie najpierw przekierowany do strony uwierzytelniania. Po pomyślnym uwierzytelnieniu użytkownik zostanie przekierowany do OWA lub ECP.

Wymagania wstępne dotyczące włączania nowoczesnego uwierzytelniania hybrydowego dla systemów OWA i ECP

Ważna

Wszystkie serwery muszą mieć zainstalowaną aktualizację CU14 programu Exchange Server 2019 . Muszą również uruchomić program Exchange Server 2019 CU14 z kwietnia 2024 r. LUB nowszą aktualizację.

Aby włączyć nowoczesne uwierzytelnianie hybrydowe dla OWA i ECP, wszystkie tożsamości użytkowników muszą być zsynchronizowane z identyfikatorem Microsoft Entra. Ponadto przed wykonaniem dalszych kroków konfiguracji należy ustanowić konfigurację protokołu OAuth między lokalnym programem Exchange Server i usługą Exchange Online.

Klienci, którzy już uruchomili Kreatora konfiguracji hybrydowej (HCW) w celu skonfigurowania hybrydowego, mają wdrożoną konfigurację OAuth. Jeśli protokół OAuth nie został wcześniej skonfigurowany, można to zrobić, uruchamiając narzędzie HCW lub wykonując kroki opisane w dokumentacji konfigurowania uwierzytelniania OAuth między organizacjami programu Exchange i usługi Exchange Online .

Zaleca się udokumentowanie OwaVirtualDirectory ustawień i EcpVirtualDirectory przed wprowadzeniem jakichkolwiek zmian. Ta dokumentacja umożliwi przywrócenie oryginalnych ustawień, jeśli wystąpią problemy po skonfigurowaniu funkcji.

Kroki włączania nowoczesnego uwierzytelniania hybrydowego dla systemów OWA i ECP

Ostrzeżenie

Publikowanie aplikacji Outlook Web App (OWA) i Panelu sterowania programu Exchange (ECP) za pośrednictwem serwera proxy aplikacji Microsoft Entra nie jest obsługiwane.

  1. Wykonaj zapytanie dotyczące OWA adresów URL i ECP skonfigurowanych w lokalnym programie Exchange Server. Jest to ważne, ponieważ muszą zostać dodane jako adres URL odpowiedzi do identyfikatora Microsoft Entra:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Zainstaluj moduł Programu PowerShell programu Microsoft Graph, jeśli nie został jeszcze zainstalowany:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Połącz się z identyfikatorem Usługi Microsoft Entra, korzystając z tych instrukcji. Aby wyrazić zgodę na wymagane uprawnienia, uruchom następujące polecenie:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Określ adresy OWA URL i ECP :

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Zaktualizuj aplikację przy użyciu adresów URL odpowiedzi:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Sprawdź, czy adresy URL odpowiedzi zostały pomyślnie dodane:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Aby umożliwić lokalnemu programowi Exchange Server wykonywanie nowoczesnego uwierzytelniania hybrydowego, wykonaj kroki opisane w sekcji Włączanie usługi HMA .

  8. (Opcjonalnie) Wymagane tylko wtedy, gdy są używane domeny pobierania :

    Utwórz nowe zastąpienie ustawienia globalnego, uruchamiając następujące polecenia z poziomu powłoki zarządzania programu Exchange z podwyższonym poziomem poziomu (EMS). Uruchom następujące polecenia na jednym serwerze Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Opcjonalnie) Wymagane tylko w scenariuszach topologii lasu zasobów programu Exchange :

    Dodaj następujące klucze do <appSettings> węzła <ExchangeInstallPath>\ClientAccess\Owa\web.config pliku. Wykonaj to na każdym serwerze Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Utwórz nowe zastąpienie ustawienia globalnego, uruchamiając następujące polecenia z poziomu powłoki zarządzania programu Exchange z podwyższonym poziomem poziomu (EMS). Uruchom następujące polecenia na jednym serwerze Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Aby włączyć nowoczesne uwierzytelnianie hybrydowe dla OWA i ECP, należy najpierw wyłączyć dowolną inną metodę uwierzytelniania w tych katalogach wirtualnych. Ważne jest, aby wykonać konfigurację w danej kolejności. Niewykonanie tego problemu może spowodować wyświetlenie komunikatu o błędzie podczas wykonywania polecenia.

    Uruchom następujące polecenia dla każdego OWAECP katalogu wirtualnego na każdym serwerze Exchange Server, aby wyłączyć wszystkie inne metody uwierzytelniania:

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

    Ważna

    Upewnij się, że wszystkie konta są zsynchronizowane z identyfikatorem Entra firmy Microsoft, zwłaszcza ze wszystkimi kontami, które są używane do administrowania. W przeciwnym razie logowanie przestaje działać, dopóki nie zostaną zsynchronizowane. Konta, takie jak wbudowany administrator, nie będą synchronizowane z identyfikatorem Microsoft Entra i dlatego nie mogą być używane do administrowania po włączeniu umowy HMA dla OWA i ECP. To zachowanie jest spowodowane atrybutem ustawionym isCriticalSystemObjectTrue dla niektórych kont.

  11. Włącz usługę OWA OAuth dla katalogu i ECP katalogu wirtualnego. Ważne jest, aby wykonać konfigurację w danej kolejności. Niewykonanie tego problemu może spowodować wyświetlenie komunikatu o błędzie podczas wykonywania polecenia. Dla każdego OWA katalogu wirtualnego na ECP każdym serwerze Exchange Należy uruchomić następujące polecenia:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Korzystanie z nowoczesnego uwierzytelniania hybrydowego w programie Outlook dla systemów iOS i Android

Jeśli chcesz używać klienta programu Outlook dla systemów iOS i Android wraz z nowoczesnym uwierzytelnianiem hybrydowym, pamiętaj, aby zezwolić usłudze AutoDetect na nawiązywanie połączenia z serwerem Exchange na TCP 443 (HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Zakresy adresów IP można również znaleźć w dokumentacji dodatkowych punktów końcowych, które nie są zawarte w dokumentacji usługi sieci Web adresów IP i adresów URL usługi Office 365 .

Wymagania dotyczące konfiguracji nowoczesnego uwierzytelniania na potrzeby przejścia z usługi Office 365 dedykowanej dla regulacji ITAR do wersji vNext