Como configurar o Exchange Server no local para usar a autenticação moderna híbrida
Visão Geral
A Autenticação Moderna Híbrida (HMA) no Microsoft Exchange Server é uma funcionalidade que permite aos utilizadores aceder a caixas de correio, alojadas no local, através de tokens de autorização obtidos a partir da cloud.
O HMA permite ao Outlook obter tokens OAuth de Acesso e Atualização a partir do Microsoft Entra ID, diretamente para sincronização do hash de palavras-passe ou Pass-Through identidades de Autenticação, ou a partir do seu próprio Serviço de Token Seguro (STS) para identidades federadas. O Exchange no local aceita estes tokens e fornece acesso à caixa de correio. O método de obtenção destes tokens e as credenciais necessárias é determinado pelas capacidades do fornecedor de identidade (iDP), que podem ir desde o nome de utilizador e a palavra-passe simples até métodos mais complexos, como certificados, autenticação telefónica ou métodos biométricos.
Para que o HMA funcione, a identidade do utilizador tem de estar presente no Microsoft Entra ID e é necessária alguma configuração, que é processada pelo Assistente de Configuração Híbrida do Exchange (HCW).
Em comparação com os métodos de autenticação legados, como o NTLM, o HMA oferece várias vantagens. Fornece um método de autenticação mais seguro e flexível, tirando partido do poder da autenticação baseada na cloud. Ao contrário do NTLM, que se baseia num mecanismo de resposta a desafios e não suporta protocolos de autenticação modernos, o HMA utiliza tokens OAuth, que são mais seguros e oferecem uma melhor interoperabilidade.
O HMA é uma funcionalidade avançada que melhora a flexibilidade e a segurança do acesso a aplicações no local, tirando partido do poder da autenticação baseada na cloud. Representa uma melhoria significativa em relação aos métodos de autenticação legados, oferecendo maior segurança, flexibilidade e conveniência do utilizador.
Pré-requisitos para ativar a Autenticação Moderna Híbrida
Nesta secção, fornecemos informações e passos que têm de ser realizados para configurar e ativar com êxito a Autenticação Moderna Híbrida no Microsoft Exchange Server.
Pré-requisitos específicos do Exchange Server
Os servidores do Exchange têm de cumprir os seguintes requisitos antes de a Autenticação Moderna Híbrida poder ser configurada e ativada. Caso tenha uma configuração híbrida, tem de executar a Atualização Cumulativa () mais recente para estar num estado suportado. Pode encontrar as versões suportadas do Exchange Server e criar na matriz de suporte do Exchange Server.
- Certifique-se de que não existem servidores Exchange em fim de vida na organização.
- O Exchange Server 2016 tem de executar CU8 ou posterior.
- O Exchange Server 2019 tem de executar CU1 ou posterior.
- Certifique-se de que todos os servidores se podem ligar à Internet. Se for necessário um proxy, configure o Exchange Server para utilizá-lo.
- Se já tiver uma configuração híbrida, certifique-se de que é uma implementação híbrida clássica, uma vez que o híbrido moderno não suporta HMA.
- Certifique-se de que a Descarga de SSL não é utilizada (não é suportada). O SSL Bridging, no entanto, pode ser utilizado e é suportado.
Pode também encontrar mais informações na descrição geral da Autenticação Moderna Híbrida e nos pré-requisitos para utilizá-la com a documentação do Skype para Empresas e dos servidores Exchange no local.
Protocolos que funcionam com a Autenticação Moderna Híbrida
A Autenticação Moderna Híbrida funciona para os seguintes protocolos do Exchange Server:
| Protocolo | Autenticação Moderna Híbrida Suportada |
|---|---|
| MAPI através de HTTP (MAPI/HTTP) | Sim |
| Outlook Anywhere (RPC/HTTP) | Não |
| Exchange Active Sync (EAS) | Sim |
| Serviços Web do Exchange (EWS) | Sim |
| Outlook na Web (OWA) | Sim |
| Centro de Administração do Exchange (ECP) | Sim |
| Livro de Endereços Offline (OAB) | Sim |
| IMAP | Não |
| POP | Não |
Passos a seguir para configurar e ativar a Autenticação Moderna Híbrida
Para ativar a Autenticação Moderna Híbrida (HMA), tem de garantir que a sua organização cumpre todos os pré-requisitos necessários. Além disso, deve confirmar que o seu cliente do Office é compatível com a Autenticação Moderna. Para obter mais detalhes, consulte a documentação sobre Como funciona a autenticação moderna para as aplicações cliente do Office 2013 e do Office 2016.
Certifique-se de que cumpre os pré-requisitos antes de começar.
Adicione URLs do serviço Web no local ao ID do Microsoft Entra. Os URLs têm de ser adicionados como
Service Principal Names (SPNs). Caso a sua configuração do Exchange Server esteja híbrida com vários inquilinos, estes URLs do serviço Web no local têm de ser adicionados como SPNs no ID do Microsoft Entra de todos os inquilinos, que estão híbridos com o Exchange Server no local.Certifique-se de que todos os diretórios virtuais estão ativados para HMA. Se quiser configurar a Autenticação Moderna Híbrida para o Outlook na Web (OWA) e o Painel de Controlo do Exchange (ECP), é importante verificar também os respetivos diretórios.
Certifique-se de que o certificado OAuth do Exchange Server é válido. O script MonitorExchangeAuthCertificate pode ser utilizado para verificar a validade do certificado OAuth. Em caso de expiração, o script ajuda no processo de renovação.
Certifique-se de que todas as identidades de utilizador são sincronizadas com o ID do Microsoft Entra, especialmente todas as contas, que são utilizadas para administração. Caso contrário, o início de sessão deixa de funcionar até ser sincronizado. As contas, como o Administrador incorporado, nunca serão sincronizadas com o Microsoft Entra ID e, por conseguinte, não podem ser utilizadas em qualquer início de sessão OAuth depois de o HMA ter sido ativado. Este comportamento deve-se ao
isCriticalSystemObjectatributo , que está definidoTruecomo para algumas contas, incluindo o administrador predefinido.(Opcional) Se quiser utilizar o cliente Outlook para iOS e Android, certifique-se de que permite que o serviço de Deteção Automática se ligue ao seu Exchange Server.
Adicionar URLs do serviço Web no local como SPNs no Microsoft Entra ID
Execute os comandos que atribuem os URLs do serviço Web no local como SPNs do Microsoft Entra. Os SPNs são utilizados por computadores cliente e dispositivos durante a autenticação e autorização. Todos os URLs que podem ser utilizados para ligar do local ao Microsoft Entra ID têm de estar registados no Microsoft Entra ID (incluindo espaços de nomes internos e externos).
Primeiro, execute os seguintes comandos no Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*Certifique-se de que os clientes de URLs aos quais os clientes se podem ligar estão listados como nomes principais do serviço HTTPS no ID do Microsoft Entra. Caso o Exchange no local esteja híbrido com vários inquilinos, estes SPNs HTTPS devem ser adicionados no ID do Microsoft Entra de todos os inquilinos em híbrido com o Exchange no local.
Instale o módulo do PowerShell do Microsoft Graph:
Install-Module Microsoft.Graph -Scope AllUsersEm seguida, ligue-se ao Microsoft Entra ID ao seguir estas instruções. Para consentir as permissões necessárias, execute o seguinte comando:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.AllPara os URLs relacionados com o Exchange, escreva o seguinte comando:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNamesAnote a saída deste comando, que deve incluir um
https://*autodiscover.yourdomain.com*URL ehttps://*mail.yourdomain.com*, mas consiste principalmente em SPNs que começam por00000002-0000-0ff1-ce00-000000000000/. Se existiremhttps://URLs no local em falta, esses registos específicos devem ser adicionados a esta lista.Se não vir os registos internos e externos
MAPI/HTTP,EWS,ActiveSync,OABeAutoDiscovernesta lista, tem de os adicionar. Utilize o seguinte comando para adicionar todos os URLs em falta. No nosso exemplo, os URLs adicionados sãomail.corp.contoso.comeowa.contoso.com. Certifique-se de que são substituídos pelos URLs configurados no seu ambiente.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdateVerifique se os novos registos foram adicionados ao executar novamente o comando a
Get-MgServicePrincipalpartir do passo 4 e valide o resultado. Compare a lista de antes com a nova lista de SPNs. Também pode anotar a nova lista para os seus registos. Se tiver êxito, deverá ver os dois novos URLs na lista. Ao seguir o nosso exemplo, a lista de SPNs inclui agora os URLs específicoshttps://mail.corp.contoso.comehttps://owa.contoso.com.
Verificar se os diretórios virtuais estão configurados corretamente
Agora, verifique se o OAuth está corretamente ativado no Exchange em todos os diretórios virtuais que o Outlook pode utilizar ao executar os seguintes comandos:
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*
Verifique o resultado para se certificar de que OAuth está ativado para cada um destes diretórios virtuais. Tem um aspeto semelhante a este (e o aspeto principal a ter em conta é OAuth o mencionado anteriormente):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Se o OAuth estiver em falta em qualquer servidor e em qualquer um dos cinco diretórios virtuais, tem de adicioná-lo através dos comandos relevantes antes de continuar (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) e Set-ActiveSyncVirtualDirectory.
Confirme que o Objeto de Servidor de Autenticação EvoSTS está Presente
Agora, no Shell de Gestão no local (EMS) do Exchange Server, execute este último comando. Pode validar que o Exchange Server no local devolve uma entrada para o fornecedor de autenticação evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
O resultado deve mostrar um AuthServer do Nome EvoSts - <GUID> e o Enabled estado deve ser True. Se não for esse o caso, deve transferir e executar a versão mais recente do Assistente de Configuração Híbrida.
Caso o Exchange Server no local execute uma configuração híbrida com vários inquilinos, a saída mostra um AuthServer com o Nome EvoSts - <GUID> para cada inquilino em híbrido com o Exchange Server no local e o Enabled estado deve ser True para todos estes objetos AuthServer. Anote o identificador EvoSts - <GUID>, uma vez que será necessário no passo seguinte.
Ativar o HMA
Execute os seguintes comandos na Shell de Gestão no local (EMS) do Exchange Server e substitua o <GUID> na linha de comandos pelo GUID da saída do último comando que executou. Em versões mais antigas do Assistente de Configuração Híbrida, o EvoSts AuthServer foi nomeado EvoSTS sem um GUID anexado. Não precisa de efetuar nenhuma ação, basta modificar a linha de comandos anterior ao remover a parte GUID do comando.
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Se a versão do Exchange Server no local for o Exchange Server 2016 (CU18 ou superior) ou o Exchange Server 2019 (CU7 ou superior) e o híbrido tiver sido configurado pela ajuda do HCW transferido após setembro de 2020, execute o seguinte comando na Shell de Gestão no local (EMS) do Exchange Server. Para o DomainName parâmetro , utilize o valor de domínio do inquilino, que normalmente se encontra no formato contoso.onmicrosoft.com:
Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Caso o Exchange Server no local esteja híbrido com vários inquilinos, existem vários objetos AuthServer presentes nas organizações no local do Exchange Server com domínios correspondentes a cada inquilino. O IsDefaultAuthorizationEndpoint sinalizador deve ser definido True como para qualquer um destes objetos AuthServer. O sinalizador não pode ser definido como verdadeiro para todos os objetos AuthServer e HMA seria ativado mesmo que um destes sinalizadores de objeto IsDefaultAuthorizationEndpoint AuthServer esteja definido como verdadeiro.
Importante
Ao trabalhar com vários inquilinos , todos têm de estar no mesmo ambiente na cloud, como todos no Global ou todos no GCC. Não podem existir em ambientes mistos, como um inquilino no Global e outro no GCC.
Verify
Depois de ativar o HMA, o próximo início de sessão de um cliente utilizará o novo fluxo de autenticação. Ativar o HMA não irá acionar uma reautenticação para qualquer cliente e poderá demorar algum tempo até que o Exchange Server recolha as novas definições. Este processo não requer a criação de um novo perfil.
Também deve manter premida a CTRL tecla ao mesmo tempo que clica com o botão direito do rato no ícone do cliente do Outlook (também no tabuleiro notificações do Windows) e selecione Connection Status. Procure o endereço SMTP do cliente relativamente a um AuthN tipo de Bearer\*, que representa o token de portador utilizado no OAuth.
Ativar a Autenticação Moderna Híbrida para OWA e ECP
A Autenticação Moderna Híbrida também pode agora ser ativada para OWA e ECP. Certifique-se de que os Pré-requisitos são cumpridos antes de continuar.
Após a Autenticação Moderna Híbrida ter sido ativada para OWA e ECP, cada utilizador final e administrador que tente iniciar sessão ou ECPOWA será redirecionado primeiro para a página de autenticação do Microsoft Entra ID. Depois de a autenticação ter sido efetuada com êxito, o utilizador será redirecionado para OWA ou ECP.
Pré-requisitos para ativar a Autenticação Moderna Híbrida para OWA e ECP
Importante
Todos os servidores têm de ter, pelo menos, a atualização do Exchange Server 2019 CU14 instalada. Também têm de executar o HU de abril de 2024 ou uma atualização posterior do Exchange Server 2019 CU14 .
Para ativar a Autenticação Moderna Híbrida para OWA e ECP, todas as identidades de utilizador têm de ser sincronizadas com o Microsoft Entra ID.
Além disso, é importante que a configuração do OAuth entre o Exchange Server no local e o Exchange Online tenha sido estabelecida antes de serem efetuados mais passos de configuração.
Os clientes que já executaram o Assistente de Configuração Híbrida (HCW) para configurar o híbrido têm uma configuração OAuth implementada. Se o OAuth não tiver sido configurado anteriormente, pode fazê-lo ao executar o HCW ou ao seguir os passos descritos na documentação Configurar a autenticação OAuth entre organizações do Exchange e do Exchange Online .
Recomenda-se que documente as OwaVirtualDirectory definições e EcpVirtualDirectory antes de efetuar alterações. Esta documentação irá permitir-lhe restaurar as definições originais se surgirem problemas após a configuração da funcionalidade.
Passos para ativar a Autenticação Moderna Híbrida para OWA e ECP
Aviso
A publicação do Outlook Web App (OWA) e do Painel de Controlo do Exchange (ECP) através do proxy de aplicações do Microsoft Entra não é suportada.
Consulte os
OWAURLs eECPque estão configurados no seu Exchange Server no local. Isto é importante porque têm de ser adicionados como URL de resposta ao ID do Microsoft Entra:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*Instale o módulo do PowerShell do Microsoft Graph se ainda não tiver sido instalado:
Install-Module Microsoft.Graph -Scope AllUsersLigue-se ao Microsoft Entra ID com estas instruções. Para consentir as permissões necessárias, execute o seguinte comando:
Connect-Graph -Scopes User.Read, Application.ReadWrite.AllEspecifique os seus
OWAURLs eECP:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )Atualize a aplicação com os URLs de resposta:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrlsVerifique se os URLs de resposta foram adicionados com êxito:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrlsPara ativar a capacidade do Exchange Server no local de efetuar a Autenticação Moderna Híbrida, siga os passos descritos na secção Ativar HMA .
(Opcional) Só é necessário se forem utilizados Domínios de Transferência :
Crie uma nova substituição de definição global ao executar os seguintes comandos a partir de uma Shell de Gestão do Exchange (EMS) elevada. Execute estes comandos num Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force(Opcional) Apenas necessário em cenários de topologia de floresta de recursos do Exchange :
Adicione as seguintes chaves ao
<appSettings>nó do<ExchangeInstallPath>\ClientAccess\Owa\web.configficheiro. Efetue este procedimento em cada Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>Crie uma nova substituição de definição global ao executar os seguintes comandos a partir de uma Shell de Gestão do Exchange (EMS) elevada. Execute estes comandos num Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -ForcePara ativar a Autenticação Moderna Híbrida para
OWAeECP, primeiro tem de desativar qualquer outro método de autenticação nestes diretórios virtuais. É importante efetuar a configuração pela ordem indicada. Se não o fizer, poderá ocorrer uma mensagem de erro durante a execução do comando.
Execute estes comandos para cadaOWAdiretório virtual eECPem cada Exchange Server para desativar todos os outros métodos de autenticação:Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $falseImportante
Certifique-se de que todas as contas são sincronizadas com o ID do Microsoft Entra, especialmente todas as contas, que são utilizadas para administração. Caso contrário, o início de sessão deixa de funcionar até ser sincronizado. As contas, como o Administrador incorporado, não serão sincronizadas com o Microsoft Entra ID e, por conseguinte, não podem ser utilizadas para administração depois de o HMA para OWA e ECP ter sido ativado. Este comportamento deve-se ao
isCriticalSystemObjectatributo , que está definidoTruecomo para algumas contas.Ative o OAuth para o
OWAdiretório virtual eECP. É importante efetuar a configuração pela ordem indicada. Se não o fizer, poderá ocorrer uma mensagem de erro durante a execução do comando. Para cadaOWAdiretório virtual eECPem cada Exchange Server, estes comandos têm de ser executados:Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Utilizar a Autenticação Moderna Híbrida com o Outlook para iOS e Android
Se quiser utilizar o cliente Outlook para iOS e Android juntamente com a Autenticação Moderna Híbrida, certifique-se de que permite que o serviço de Deteção Automática se ligue ao seu Exchange Server em TCP 443 (HTTPS):
<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23
Os intervalos de endereços IP também podem ser encontrados na documentação Pontos finais adicionais não incluídos no Endereço IP do Office 365 e no serviço Web de URL .
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de