Como configurar o Exchange Server no local para usar a autenticação moderna híbrida
Esse artigo se aplica ao Microsoft 365 Enterprise e ao Office 365 Enterprise.
A HMA (Autenticação Moderna Híbrida) é um método de gerenciamento de identidade que oferece autenticação e autorização mais seguras do usuário e está disponível para implantações híbridas locais do Servidor exchange.
Habilitando a Autenticação Moderna Híbrida
Ativar o HMA requer que seu ambiente atenda ao seguinte:
Verifique se você atende aos pré-requisitos antes de começar.
Como muitos pré-requisitos são comuns para Skype for Business e Exchange, examine-os na visão geral e pré-requisitos da Autenticação Moderna Híbrida para usá-lo com servidores locais Skype for Business e Exchange. Faça isso antes de iniciar qualquer uma das etapas deste artigo. Requisitos sobre caixas de correio vinculadas a serem inseridas.
Adicione URLs do serviço Web local como SPNs (Nomes da Entidade de Serviço) em Microsoft Entra ID. Caso o Exchange local esteja em híbrido com vários locatários, essas URLs de serviço Web locais devem ser adicionadas como SPNs no Microsoft Entra ID de todos os locatários, que estão em híbridos com o Exchange local.
Verifique se todos os Diretórios Virtuais estão habilitados para o HMA
Verifique se há o objeto EvoSTS Auth Server
Verifique se o certificado OAuth Exchange Server é válido
Verifique se todas as identidades de usuário estão sincronizadas com Microsoft Entra ID
Habilitar o HMA no Exchange local.
Observação
Sua versão do Office dá suporte a MA? Confira Como funciona a autenticação moderna para aplicativos cliente do Office 2013 e Office 2016.
Aviso
A publicação do Outlook Web App e do Exchange Painel de Controle por meio de Microsoft Entra proxy de aplicativo não tem suporte.
Adicionar URLs de serviço Web locais como SPNs em Microsoft Entra ID
Execute os comandos que atribuem suas URLs de serviço Web locais como Microsoft Entra SPNs. Os SPNs são usados por computadores cliente e dispositivos durante a autenticação e autorização. Todas as URLs que podem ser usadas para se conectar do local ao Microsoft Entra ID devem ser registradas em Microsoft Entra ID (incluindo namespaces internos e externos).
Primeiro, execute os seguintes comandos em seu Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*Verifique se os clientes de URLs podem se conectar são listados como nomes de entidade de serviço HTTPS no Microsoft Entra ID. Caso o Exchange local esteja em híbrido com vários locatários, esses SPNs HTTPS devem ser adicionados no Microsoft Entra ID de todos os locatários em híbridos com o Exchange local.
Instale o módulo do Microsoft Graph PowerShell:
Install-Module Microsoft.Graph -Scope AllUsersEm seguida, conecte-se a Microsoft Entra ID com essas instruções. Para consentir com as permissões necessárias, execute o seguinte comando:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.AllPara suas URLs relacionadas ao Exchange, digite o seguinte comando:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNamesAnote (e captura de tela para comparação posterior) a saída desse comando, que deve incluir uma
https://*autodiscover.yourdomain.com*URL ehttps://*mail.yourdomain.com*, mas consiste principalmente em SPNs que começam com00000002-0000-0ff1-ce00-000000000000/. Se houverhttps://URLs do local ausentes, esses registros específicos devem ser adicionados a essa lista.Se você não vir seus registros internos e externos
MAPI/HTTP,EWS,ActiveSync, ,OABeAutodiscovernesta lista, deverá adicioná-los. Use o seguinte comando para adicionar todas as URLs ausentes:Importante
Em nosso exemplo, as URLs que serão adicionadas são
mail.corp.contoso.comeowa.contoso.com. Verifique se elas são substituídas pelas URLs configuradas em seu ambiente.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdateVerifique se seus novos registros foram adicionados executando o
Get-MsolServicePrincipalcomando da etapa 2 novamente e examinando a saída. Compare a lista/captura de tela de antes com a nova lista de SPNs. Você também pode tirar uma captura de tela da nova lista para seus registros. Se você tiver êxito, verá as duas novas URLs na lista. Seguindo nosso exemplo, a lista de SPNs agora inclui as URLs específicashttps://mail.corp.contoso.comehttps://owa.contoso.com.
Verificar se os Diretórios Virtuais estão configurados corretamente
Agora verifique se o OAuth está habilitado corretamente no Exchange em todos os diretórios virtuais que o Outlook pode usar executando os seguintes comandos:
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
Verifique a saída para verificar se o OAuth está habilitado em cada um desses VDirs, ele se parece com isso (e a coisa chave a ser olhada é 'OAuth'):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Se o OAuth estiver ausente de qualquer servidor e de qualquer um dos quatro diretórios virtuais, você precisará adicioná-lo usando os comandos relevantes antes de prosseguir (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory e Set-AutodiscoverVirtualDirectory).
Confirmar se o objeto EvoSTS Auth Server está presente
Retorne ao Shell de Gerenciamento do Exchange local para este último comando. Agora você pode validar que seu local tem uma entrada para o provedor de autenticação evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Sua saída deve mostrar um AuthServer dos EvoSts de nome com um GUID e o estado "Habilitado" deve ser True. Caso contrário, você deve baixar e executar a versão mais recente do Assistente de Configuração Híbrida.
Observação
Caso o Exchange local esteja em híbrido com vários locatários, sua saída deve mostrar um AuthServer do Nome EvoSts - {GUID} para cada locatário em híbrido com o Exchange local e o estado Habilitado deve ser True para todos esses objetos AuthServer.
Importante
Se você estiver executando o Exchange 2010 em seu ambiente, o provedor de autenticação EvoSTS não será criado.
Habilitar o HMA
Execute o seguinte comando no Shell de Gerenciamento do Exchange, local, substituindo <GUID> na linha de comando pelo GUID da saída do último comando que você executou:
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Observação
Em versões mais antigas do Assistente de Configuração Híbrida, o EvoSts AuthServer foi simplesmente chamado de EvoSTS sem um GUID anexado. Não há nenhuma ação que você precise tomar, basta modificar a linha de comando anterior para refletir isso removendo a parte GUID do comando:
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Se a versão local do Exchange for Exchange 2016 (CU18 ou superior) ou Exchange 2019 (CU7 ou superior) e híbrida estiver configurada com HCW baixado após setembro de 2020, execute o seguinte comando no Shell de Gerenciamento do Exchange, local:
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Observação
Caso o Exchange local esteja em híbrido com vários locatários, há vários objetos AuthServer presentes no Exchange local com domínios correspondentes a cada locatário. O sinalizador IsDefaultAuthorizationEndpoint deve ser definido como true (usando o cmdlet IsDefaultAuthorizationEndpoint ) para qualquer um desses objetos AuthServer. Esse sinalizador não pode ser definido como true para todos os objetos Authserver e o HMA seria habilitado mesmo que um destes sinalizadores IsDefaultAuthorizationEndpoint do objeto AuthServer seja definido como true.
Observação
Para o parâmetro DomainName , use o valor de domínio do locatário, que geralmente está no formulário contoso.onmicrosoft.com.
Verify
Depois de habilitar o HMA, a próxima entrada de um cliente usará o novo fluxo de auth. Apenas ativar o HMA não disparará uma reauthenticação para nenhum cliente, e pode levar um tempo para o Exchange pegar as novas configurações.
Você também deve segurar a tecla CTRL ao mesmo tempo em que clica com o botão direito do mouse no ícone para o cliente do Outlook (também na bandeja Notificações do Windows) e selecione Status da Conexão. Procure o endereço SMTP do cliente em relação a um tipo AuthN de Bearer\*, que representa o token de portador usado no OAuth.
Observação
Precisa configurar Skype for Business com o HMA? Você precisará de dois artigos: um que lista topologias com suporte e um que mostra como fazer a configuração.
Habilitar a Autenticação Moderna Híbrida para OWA e ECP
A Autenticação Moderna Híbrida agora também pode ser habilitada para OWA e ECP. Verifique se os pré-requisitos são atendidos antes de continuar.
Depois que a Autenticação Moderna Híbrida estiver habilitada para OWA e ECP, cada usuário final e administrador que tentar entrar OWA ou ECP será redirecionado para a página de autenticação Microsoft Entra ID primeiro. Depois que a autenticação tiver sido bem-sucedida, o usuário será redirecionado para OWA ou ECP.
Pré-requisitos para habilitar a Autenticação Moderna Híbrida para OWA e ECP
Para habilitar a Autenticação Moderna Híbrida para OWA e ECP, todas as identidades de usuário devem ser sincronizadas com Microsoft Entra ID.
Além disso, é importante que a instalação do OAuth entre Exchange Server local e Exchange Online tenha sido estabelecida antes que novas etapas de configuração possam ser feitas.
Os clientes que já executaram o HCW (Assistente de Configuração Híbrida) para configurar o híbrido terão uma configuração OAuth em vigor. Se o OAuth não estiver configurado antes, ele poderá ser feito executando o HCW ou seguindo as etapas conforme descrito na documentação Configurar autenticação OAuth entre o Exchange e Exchange Online organizações.
É recomendável documentar as OwaVirtualDirectory configurações e EcpVirtualDirectory antes de fazer alterações. Essa documentação permitirá que você restaure as configurações originais se houver problemas após a configuração do recurso.
Importante
Todos os servidores devem ter pelo menos a atualização cu14 Exchange Server 2019 instalada. Eles também devem executar o EXCHANGE SERVER CU14 abril 2024 HU de 2019 ou uma atualização posterior.
Etapas para habilitar a Autenticação Moderna Híbrida para OWA e ECP
Consulte as
OWAURLs eECPconfiguradas no Exchange Server local . Isso é importante porque eles devem ser adicionados como url de resposta a Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*Instale o módulo do Microsoft Graph PowerShell se ele ainda não tiver sido instalado:
Install-Module Microsoft.Graph -Scope AllUsersConecte-se a Microsoft Entra ID com essas instruções. Para consentir com as permissões necessárias, execute o seguinte comando:
Connect-Graph -Scopes User.Read, Application.ReadWrite.AllEspecifique suas
OWAURLs eECP:$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )Atualize seu aplicativo com as URLs de resposta:
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrlsVerifique se as URLs de resposta foram adicionadas com êxito:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrlsPara habilitar Exchange Server capacidade local de executar a Autenticação Moderna Híbrida, siga as etapas descritas na seção Habilitar o HMA.
(Opcional) Necessário apenas se os Domínios de Download forem usados :
Create uma nova substituição de configuração global executando os seguintes comandos de um EMS (Exchange Management Shell) elevado. Execute esses comandos em um Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force(Opcional) Necessário apenas em cenários de topologia da floresta de recursos do Exchange :
Adicione as chaves a seguir ao
<appSettings>nó do<ExchangeInstallPath>\ClientAccess\Owa\web.configarquivo. Faça isso em cada Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>Create uma nova substituição de configuração global executando os seguintes comandos de um EMS (Exchange Management Shell) elevado. Execute esses comandos em um Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -ForcePara habilitar a Autenticação Moderna Híbrida para
OWAeECP, primeiro, você deve desabilitar qualquer outro método de autenticação nesses diretórios virtuais. Execute esses comandos para cadaOWAdiretório virtual emECPcada Exchange Server:Importante
É importante executar esses comandos na ordem determinada. Caso contrário, você verá uma mensagem de erro ao executar os comandos. Depois de executar esses comandos, faça logon
OWAeECPpare de funcionar até que a autenticação OAuth para esses diretórios virtuais seja ativada.Além disso, verifique se todas as contas estão sincronizadas, especialmente as contas usadas para administração para Microsoft Entra ID. Caso contrário, o logon deixará de funcionar até que seja sincronizado. Observe que as contas, como o Administrador interno, não serão sincronizadas com Microsoft Entra ID e, portanto, não podem ser usadas para administração depois que o HMA para OWA e eCP estiver habilitado. Isso se deve ao
isCriticalSystemObjectatributo, que é definido como paraTRUEalgumas contas.Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $falseHabilite o OAuth para o
OWAdiretório virtual eECP. Execute esses comandos para cadaOWAdiretório virtual emECPcada Exchange Server:Importante
É importante executar esses comandos na ordem determinada. Caso contrário, você verá uma mensagem de erro ao executar os comandos.
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Usando a Autenticação Moderna Híbrida com o Outlook para iOS e Android
Se você for um cliente local usando Exchange Server no TCP 443, permita o tráfego de rede dos seguintes intervalos de IP:
52.125.128.0/20
52.127.96.0/23
Esses intervalos de endereço IP também são documentados em pontos de extremidade adicionais não incluídos no Office 365 endereço IP e no serviço Web de URL.
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de