Como configurar o Exchange Server no local para usar a autenticação moderna híbrida

Esse artigo se aplica ao Microsoft 365 Enterprise e ao Office 365 Enterprise.

A HMA (Autenticação Moderna Híbrida) é um método de gerenciamento de identidade que oferece autenticação e autorização de usuário mais seguras e está disponível para implantações híbridas locais do Exchange Server.

Definições

Antes de começar, você deve estar familiarizado com algumas definições:

  • HMA de Autenticação Moderna > Híbrida

  • EXCH local do > Exchange

  • > Exchange Online EXO

Além disso, se um gráfico neste artigo tiver um objeto "esmaecido" ou "esmaecido", isso significa que o elemento mostrado em cinza não está incluído na configuração específica do HMA.

Habilitando a autenticação moderna híbrida

Ativar o HMA significa:

  1. Ter certeza de que atende aos pré-requisitos antes de começar.

  2. Como muitos pré-requisitos são comuns para o Skype for Business e o Exchange, a Visão geral da Autenticação Moderna Híbrida e os pré-requisitos para usá-los com servidores Skype for Business e Exchange locais. Faça isso antes de começar qualquer uma das etapas neste artigo. Requisitos sobre caixas de correio vinculadas a serem inseridas.

  3. Adicionar URLs de serviço Web locais como SPNs (nomes de entidade de serviço) Azure AD. Caso o EXCH esteja híbrido com vários locatários, essas URLs de serviço Web locais devem ser adicionadas como SPNs no Azure AD de todos os locatários que estão híbridos com EXCH.

  4. Garantir que todos os Diretórios Virtuais estejam habilitados para HMA

  5. Verificando o objeto EvoSTS Auth Server

  6. Habilitando o HMA no EXCH.

Observação

Sua versão do Office é compatível com MA? Veja como funciona a autenticação moderna para aplicativos cliente do Office 2013 e do Office 2016.

Certifique-se de atender a todos os pré-requisitos

Como muitos pré-requisitos são comuns para o Skype for Business e o Exchange, examine a visão geral da Autenticação Moderna Híbrida e os pré-requisitos para usá-lo com servidores locais Skype for Business e Exchange. Faça isso antes de começar qualquer uma das etapas neste artigo.

Observação

Outlook Web App e o Exchange Painel de Controle não funcionam com a Autenticação Moderna híbrida. Além disso, não há suporte Outlook Web App publicação Painel de Controle exchange Azure AD Proxy de Aplicativo exchange.

Adicionar URLs de serviço Web locais como SPNs no Azure AD

Execute os comandos que atribuem as URLs do serviço Web local como Azure AD SPNs. Os SPNs são usados por computadores e dispositivos cliente durante a autenticação e a autorização. Todas as URLs que podem ser usadas para se conectar do local ao Azure Active Directory (Azure AD) devem ser registradas no Azure AD (isso inclui namespaces internos e externos).

Primeiro, reúna todas as URLs que você precisa adicionar no AAD. Execute estes comandos no local:

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*

Verifique se as URLs às que os clientes podem se conectar estão listadas como nomes de entidade de serviço HTTPS no AAD. Caso o EXCH esteja híbrido com vários locatários, esses SPNs HTTPS devem ser adicionados no AAD de todos os locatários híbridos com EXCH.

  1. Primeiro, conecte-se ao AAD com estas instruções.

    Observação

    Você precisa usar a opção Connect-MsolService desta página para poder usar o comando abaixo.

  2. Para as URLs relacionadas ao Exchange, digite o seguinte comando:

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
    

    Anote (e captura de tela para comparação posterior) a saída desse comando, https://*autodiscover.yourdomain.com*https://*mail.yourdomain.com* que deve incluir um e uma URL, mas consiste principalmente em SPNs que começam com 00000002-0000-0ff1-ce00-000000000000/. Se houver https:// URLs de seu local ausentes, esses registros específicos deverão ser adicionados a essa lista.

  3. Se você não vir seus registros MAPI/HTTP, EWS, ActiveSync, OAB e Descoberta Automática internos e externos nesta lista, deverá adicioná-los usando o comando abaixo (as URLs mail.corp.contoso.comowa.contoso.comde exemplo são e, mas você substituiria as URLs de exemplo por suas próprias):

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
    $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. Verifique se os novos registros foram adicionados executando o Get-MsolServicePrincipal comando da etapa 2 novamente e examinando a saída. Compare a lista/captura de tela de antes com a nova lista de SPNs. Você também pode fazer uma captura de tela da nova lista para seus registros. Se você tiver êxito, verá as duas novas URLs na lista. Seguindo nosso exemplo, a lista de SPNs agora incluirá as URLs específicas https://mail.corp.contoso.com e https://owa.contoso.com.

Verificar se os diretórios virtuais estão configurados corretamente

Agora, verifique se o OAuth está habilitado corretamente no Exchange em todos os Diretórios Virtuais que o Outlook pode usar executando os seguintes comandos:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Verifique a saída para verificar se o OAuth está habilitado em cada um desses VDirs, ele terá uma aparência semelhante a esta (e a chave a ser verificada é 'OAuth'):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Se o OAuth estiver ausente de qualquer servidor e de qualquer um dos quatro diretórios virtuais, você precisará adicioná-lo usando os comandos relevantes antes de continuar (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory e Set-AutodiscoverVirtualDirectory).

Confirmar se o objeto de servidor de autenticação EvoSTS está presente

Retorne ao Shell de Gerenciamento do Exchange local para este último comando. Agora você pode validar se o local tem uma entrada para o provedor de autenticação evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

A saída deve mostrar um AuthServer do Nome EvoSts com um GUID e o estado "Habilitado" deve ser True. Se você não vir isso, baixe e execute a versão mais recente do Assistente de Configuração Híbrida.

Observação

Caso o EXCH esteja híbrido com vários locatários, sua saída deverá mostrar um AuthServer EvoSts - {GUID} do Nome para cada locatário híbrido com EXCH e o estado Habilitado deverá ser True para todos esses objetos AuthServer.

Importante

Se você estiver executando o Exchange 2010 em seu ambiente, o provedor de autenticação EvoSTS não será criado.

Habilitar HMA

Execute o seguinte comando no Shell de Gerenciamento do Exchange, localmente, <substituindo o GUID> na linha de comando pela cadeia de caracteres em seu ambiente:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Observação

Em versões mais antigas do Assistente de Configuração Híbrida, o EvoSts AuthServer era simplesmente chamado de EvoSTS sem um GUID anexado. Não há nenhuma ação que você precise executar, basta modificar a linha de comando acima para refletir isso removendo a parte GUID do comando:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Se a versão exCH for o Exchange 2016 (CU18 ou superior) ou o Exchange 2019 (CU7 ou superior) e o híbrido tiver sido configurado com HCW baixado após setembro de 2020, execute o seguinte comando no Shell de Gerenciamento do Exchange, local:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Observação

Caso o EXCH esteja híbrido com vários locatários, há vários objetos AuthServer presentes no EXCH com domínios correspondentes a cada locatário. O sinalizador IsDefaultAuthorizationEndpoint deve ser definido como true (usando o cmdlet IsDefaultAuthorizationEndpoint ) para qualquer um desses objetos AuthServer. Esse sinalizador não pode ser definido como true para todos os objetos Authserver e o HMA seria habilitado mesmo que um desses sinalizadores isDefaultAuthorizationEndpoint do objeto AuthServer fosse definido como true.

Para o parâmetro DomainName , use o valor de domínio do locatário, que geralmente está no formato contoso.onmicrosoft.com.

Verify

Depois de habilitar o HMA, o próximo logon de um cliente usará o novo fluxo de autenticação. Observe que apenas ativar o HMA não disparará uma reautenticação para nenhum cliente e pode levar algum tempo para o Exchange selecionar as novas configurações.

Você também deve manter pressionada a tecla CTRL ao mesmo tempo em que clica com o botão direito do mouse no ícone do cliente do Outlook (também na bandeja notificações do Windows) e clica em 'Status da Conexão'. Procure o endereço SMTP do cliente em relação a um tipo de AuthnBearer\*, que representa o token de portador usado no OAuth.

Observação

Precisa configurar o Skype for Business com o HMA? Você precisará de dois artigos: um que lista topologias com suporte e outro que mostra como fazer a configuração.

Usar autenticação moderna híbrida com o Outlook para iOS e Android

Se você for um cliente local usando o Exchange Server no TCP 443, permita o tráfego de rede dos seguintes intervalos de IP:

52.125.128.0/20
52.127.96.0/23

Esses intervalos de endereços IP também estão documentados em pontos de extremidade adicionais não incluídos no serviço Web Office 365 ENDEREÇO IP e URL.

Requisitos de configuração de Autenticação Moderna para transição do Office 365/ITAR dedicado para vNext