Como configurar o Exchange Server no local para usar a autenticação moderna híbrida
Esse artigo se aplica ao Microsoft 365 Enterprise e ao Office 365 Enterprise.
A HMA (Autenticação Moderna Híbrida) é um método de gerenciamento de identidade que oferece autenticação e autorização de usuário mais seguras e está disponível para implantações híbridas locais do Exchange Server.
Definições
Antes de começar, você deve estar familiarizado com algumas definições:
HMA de Autenticação Moderna > Híbrida
EXCH local do > Exchange
> Exchange Online EXO
Além disso, se um gráfico neste artigo tiver um objeto "esmaecido" ou "esmaecido", isso significa que o elemento mostrado em cinza não está incluído na configuração específica do HMA.
Habilitando a autenticação moderna híbrida
Ativar o HMA significa:
Ter certeza de que atende aos pré-requisitos antes de começar.
Como muitos pré-requisitos são comuns para o Skype for Business e o Exchange, a Visão geral da Autenticação Moderna Híbrida e os pré-requisitos para usá-los com servidores Skype for Business e Exchange locais. Faça isso antes de começar qualquer uma das etapas neste artigo. Requisitos sobre caixas de correio vinculadas a serem inseridas.
Adicionar URLs de serviço Web locais como SPNs (nomes de entidade de serviço) Azure AD. Caso o EXCH esteja híbrido com vários locatários, essas URLs de serviço Web locais devem ser adicionadas como SPNs no Azure AD de todos os locatários que estão híbridos com EXCH.
Garantir que todos os Diretórios Virtuais estejam habilitados para HMA
Verificando o objeto EvoSTS Auth Server
Habilitando o HMA no EXCH.
Observação
Sua versão do Office é compatível com MA? Veja como funciona a autenticação moderna para aplicativos cliente do Office 2013 e do Office 2016.
Certifique-se de atender a todos os pré-requisitos
Como muitos pré-requisitos são comuns para o Skype for Business e o Exchange, examine a visão geral da Autenticação Moderna Híbrida e os pré-requisitos para usá-lo com servidores locais Skype for Business e Exchange. Faça isso antes de começar qualquer uma das etapas neste artigo.
Observação
Outlook Web App e o Exchange Painel de Controle não funcionam com a Autenticação Moderna híbrida. Além disso, não há suporte Outlook Web App publicação Painel de Controle exchange Azure AD Proxy de Aplicativo exchange.
Adicionar URLs de serviço Web locais como SPNs no Azure AD
Execute os comandos que atribuem as URLs do serviço Web local como Azure AD SPNs. Os SPNs são usados por computadores e dispositivos cliente durante a autenticação e a autorização. Todas as URLs que podem ser usadas para se conectar do local ao Azure Active Directory (Azure AD) devem ser registradas no Azure AD (isso inclui namespaces internos e externos).
Primeiro, reúna todas as URLs que você precisa adicionar no AAD. Execute estes comandos no local:
Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*
Verifique se as URLs às que os clientes podem se conectar estão listadas como nomes de entidade de serviço HTTPS no AAD. Caso o EXCH esteja híbrido com vários locatários, esses SPNs HTTPS devem ser adicionados no AAD de todos os locatários híbridos com EXCH.
Primeiro, conecte-se ao AAD com estas instruções.
Observação
Você precisa usar a opção Connect-MsolService desta página para poder usar o comando abaixo.
Para as URLs relacionadas ao Exchange, digite o seguinte comando:
Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNamesAnote (e captura de tela para comparação posterior) a saída desse comando,
https://*autodiscover.yourdomain.com*https://*mail.yourdomain.com*que deve incluir um e uma URL, mas consiste principalmente em SPNs que começam com00000002-0000-0ff1-ce00-000000000000/. Se houverhttps://URLs de seu local ausentes, esses registros específicos deverão ser adicionados a essa lista.Se você não vir seus registros MAPI/HTTP, EWS, ActiveSync, OAB e Descoberta Automática internos e externos nesta lista, deverá adicioná-los usando o comando abaixo (as URLs
mail.corp.contoso.comowa.contoso.comde exemplo são e, mas você substituiria as URLs de exemplo por suas próprias):$x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/") $x.ServicePrincipalnames.Add("https://owa.contoso.com/") Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNamesVerifique se os novos registros foram adicionados executando o
Get-MsolServicePrincipalcomando da etapa 2 novamente e examinando a saída. Compare a lista/captura de tela de antes com a nova lista de SPNs. Você também pode fazer uma captura de tela da nova lista para seus registros. Se você tiver êxito, verá as duas novas URLs na lista. Seguindo nosso exemplo, a lista de SPNs agora incluirá as URLs específicashttps://mail.corp.contoso.comehttps://owa.contoso.com.
Verificar se os diretórios virtuais estão configurados corretamente
Agora, verifique se o OAuth está habilitado corretamente no Exchange em todos os Diretórios Virtuais que o Outlook pode usar executando os seguintes comandos:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Verifique a saída para verificar se o OAuth está habilitado em cada um desses VDirs, ele terá uma aparência semelhante a esta (e a chave a ser verificada é 'OAuth'):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Se o OAuth estiver ausente de qualquer servidor e de qualquer um dos quatro diretórios virtuais, você precisará adicioná-lo usando os comandos relevantes antes de continuar (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory e Set-AutodiscoverVirtualDirectory).
Confirmar se o objeto de servidor de autenticação EvoSTS está presente
Retorne ao Shell de Gerenciamento do Exchange local para este último comando. Agora você pode validar se o local tem uma entrada para o provedor de autenticação evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
A saída deve mostrar um AuthServer do Nome EvoSts com um GUID e o estado "Habilitado" deve ser True. Se você não vir isso, baixe e execute a versão mais recente do Assistente de Configuração Híbrida.
Observação
Caso o EXCH esteja híbrido com vários locatários, sua saída deverá mostrar um AuthServer EvoSts - {GUID} do Nome para cada locatário híbrido com EXCH e o estado Habilitado deverá ser True para todos esses objetos AuthServer.
Importante
Se você estiver executando o Exchange 2010 em seu ambiente, o provedor de autenticação EvoSTS não será criado.
Habilitar HMA
Execute o seguinte comando no Shell de Gerenciamento do Exchange, localmente, <substituindo o GUID> na linha de comando pela cadeia de caracteres em seu ambiente:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Observação
Em versões mais antigas do Assistente de Configuração Híbrida, o EvoSts AuthServer era simplesmente chamado de EvoSTS sem um GUID anexado. Não há nenhuma ação que você precise executar, basta modificar a linha de comando acima para refletir isso removendo a parte GUID do comando:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Se a versão exCH for o Exchange 2016 (CU18 ou superior) ou o Exchange 2019 (CU7 ou superior) e o híbrido tiver sido configurado com HCW baixado após setembro de 2020, execute o seguinte comando no Shell de Gerenciamento do Exchange, local:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Observação
Caso o EXCH esteja híbrido com vários locatários, há vários objetos AuthServer presentes no EXCH com domínios correspondentes a cada locatário. O sinalizador IsDefaultAuthorizationEndpoint deve ser definido como true (usando o cmdlet IsDefaultAuthorizationEndpoint ) para qualquer um desses objetos AuthServer. Esse sinalizador não pode ser definido como true para todos os objetos Authserver e o HMA seria habilitado mesmo que um desses sinalizadores isDefaultAuthorizationEndpoint do objeto AuthServer fosse definido como true.
Para o parâmetro DomainName , use o valor de domínio do locatário, que geralmente está no formato contoso.onmicrosoft.com.
Verify
Depois de habilitar o HMA, o próximo logon de um cliente usará o novo fluxo de autenticação. Observe que apenas ativar o HMA não disparará uma reautenticação para nenhum cliente e pode levar algum tempo para o Exchange selecionar as novas configurações.
Você também deve manter pressionada a tecla CTRL ao mesmo tempo em que clica com o botão direito do mouse no ícone do cliente do Outlook (também na bandeja notificações do Windows) e clica em 'Status da Conexão'. Procure o endereço SMTP do cliente em relação a um tipo de AuthnBearer\*, que representa o token de portador usado no OAuth.
Observação
Precisa configurar o Skype for Business com o HMA? Você precisará de dois artigos: um que lista topologias com suporte e outro que mostra como fazer a configuração.
Usar autenticação moderna híbrida com o Outlook para iOS e Android
Se você for um cliente local usando o Exchange Server no TCP 443, permita o tráfego de rede dos seguintes intervalos de IP:
52.125.128.0/20
52.127.96.0/23
Esses intervalos de endereços IP também estão documentados em pontos de extremidade adicionais não incluídos no serviço Web Office 365 ENDEREÇO IP e URL.