Поделиться через


Использование проверки подлинности на основе утверждений AD FS с Outlook в Интернете

Установка и настройка службы федерации Active Directory (AD FS) (AD FS) в Exchange Server организациях позволяет клиентам использовать проверку подлинности на основе утверждений AD FS для подключения к Outlook в Интернете (ранее — Outlook Web App) и Центр администрирования Exchange (EAC). Удостоверение на основе утверждений — это еще один подход к проверке подлинности, который удаляет управление проверкой подлинности из приложения и упрощает управление учетными записями за счет централизованной проверки подлинности. Если включена проверка подлинности на основе утверждений, Outlook в Интернете и EAC не отвечают за проверку подлинности пользователей, хранение учетных записей пользователей и паролей, поиск сведений об удостоверениях пользователей или интеграцию с другими системами идентификации. Централизованная проверка подлинности упрощает обновление методов проверки подлинности в будущем.

Проверка подлинности на основе утверждений AD FS заменяет традиционные методы проверки подлинности, доступные для Outlook в Интернете и EAC. Например:

  • проверка подлинности на основе клиентского сертификата Active Directory;
  • Обычная проверка подлинности
  • дайджест-проверка подлинности;
  • проверка подлинности с помощью форм;
  • Проверка подлинности Windows

Настройка проверки подлинности на основе утверждений AD FS для Outlook в Интернете и Центра администрирования Exchange в Exchange Server включает следующие дополнительные серверы:

  • Контроллер домена Windows Server 2012 или более поздней версии (доменные службы Active Directory роль сервера).

  • Сервер Windows Server 2012 или более поздней версии AD FS (службы федерации Active Directory (AD FS) роль сервера). Windows Server 2012 использует AD FS 2.1, а Windows Server 2012 R2 — AD FS 3.0. Для установки AD FS и создания необходимых правил доверия и утверждений проверяющей стороны на сервере AD FS необходимо быть членом группы безопасности "Администраторы домена", "Администраторы предприятия" или "Локальные администраторы".

  • При необходимости— сервер веб-Application Proxy Windows Server 2012 R2 или более поздней версии (роль сервера удаленного доступа, служба веб-Application Proxy роли).

    • Веб-Application Proxy — это обратный прокси-сервер для веб-приложений, которые находятся в корпоративной сети. Веб-Application Proxy позволяет пользователям на многих устройствах получать доступ к опубликованным веб-приложениям за пределами корпоративной сети. Дополнительные сведения см. в статье Установка и настройка веб-Application Proxy для публикации внутренних приложений.

    • Хотя веб-Application Proxy обычно рекомендуется, если СЛУЖБА AD FS доступна внешним клиентам, автономный доступ в Outlook в Интернете не поддерживается при использовании проверки подлинности AD FS через веб-Application Proxy.

    • Для установки веб-Application Proxy на сервере Windows Server 2012 R2 требуются разрешения локального администратора.

    • Перед настройкой сервера веб-Application Proxy необходимо развернуть и настроить сервер AD FS, и вы не сможете установить веб-Application Proxy на том же сервере, где установлена служба AD FS.

Что нужно знать перед началом работы

  • Предполагаемое время выполнения этой процедуры: 45 минут.

  • Процедуры в этом разделе основаны на Windows Server 2012 R2.

  • Outlook в Интернете для устройств не поддерживает проверку подлинности, основанную на утверждениях AD FS.

  • Для выполнения процедур в организации Exchange необходимо иметь разрешения на управление организацией.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Шаг 1. Проверка требований к сертификатам для AD FS

Для AD FS требуются два основных типа сертификатов:

  • Обмен данными между службами SSL-сертификат для зашифрованного трафика веб-служб между сервером AD FS, клиентами, серверами Exchange и необязательным сервером веб-Application Proxy. Рекомендуется использовать сертификат, выданный внутренним или коммерческим центром сертификации (ЦС), так как все клиенты должны доверять этому сертификату.

  • Сертификат подписи маркеров для зашифрованного обмена данными и проверки подлинности между сервером AD FS, контроллерами домена Active Directory и серверами Exchange. Рекомендуется использовать самозаверяющий сертификат подписи маркера AD FS по умолчанию.

Дополнительные сведения о создании и импорте SSL-сертификатов в Windows см. в разделе Серверные сертификаты.

Ниже приведена сводка сертификатов, которые мы будем использовать в этом сценарии:

Общее имя (CN) в сертификате (в поле Тема, Альтернативное имя субъекта или совпадение сертификата с подстановочными знаками) Тип Требуется на серверах Comments
adfs.contoso.com Выдано ЦС Сервер AD FS

Сервер веб-Application Proxy

Это имя узла, которое отображается клиентам, поэтому клиенты должны доверять издателю этого сертификата.
ADFS Signing - adfs.contoso.com Самозаверяющий Сервер AD FS

Серверы Exchange

Сервер веб-Application Proxy

Самозаверяющий сертификат по умолчанию автоматически копируется во время настройки дополнительного сервера веб-Application Proxy, но его необходимо импортировать вручную в хранилище доверенных корневых сертификатов на всех серверах Exchange в организации.

По умолчанию самозаверяющий сертификат подписи маркеров действителен в течение одного года. Сервер AD FS настроен на автоматическое продление (замена) самозаверяемых сертификатов до истечения срока их действия, но вам потребуется повторно импортировать сертификат на серверы Exchange.

Вы можете увеличить срок действия сертификата по умолчанию, выполнив следующую команду в Windows PowerShell на сервере AD FS: Set-AdfsProperties -CertificateDuration <Days> (значение по умолчанию — 365). Дополнительные сведения см. в разделе Set-AdfsProperties.

Чтобы экспортировать сертификат из консоли управления AD FS, выберитеСертификаты>службы>, щелкните правой кнопкой мыши сертификат > для подписи маркера, выберите Пункт Просмотр сертификата>, перейдите на вкладку >Сведения, щелкните Копировать в файл.

mail.contoso.com Выдано ЦС Серверы Exchange

Сервер веб-Application Proxy

Это типичный сертификат, который используется для шифрования внешних клиентских подключений к Outlook в Интернете (и, вероятно, к другим службам IIS Exchange). Дополнительные сведения см. в статье Требования к сертификатам для служб Exchange.

Дополнительные сведения см. в разделе "Требования к сертификатам" статьи Требования AD FS.

Примечание.

Теперь для шифрования данных, которыми обмениваются компьютерные системы, используется протокол TLS вместо протокола SSL. Они настолько тесно связаны, что термины "SSL" и "TLS" (без версий) часто используются взаимозаменяемо. Из-за этого сходства ссылки на "SSL" в разделах Exchange, Центре администрирования Exchange и командной консоли Exchange часто используются для охвата протоколов SSL и TLS. Как правило, термин "SSL" обозначает именно протокол SSL только в тех случаях, когда указан номер версии (например, SSL 3.0). Чтобы узнать, почему следует отключить протокол SSL и переключиться на TLS, проверка из статьи Защита от уязвимости SSL 3.0.

Шаг 2. Развертывание сервера AD FS

Для установки службы роли службы федерации Active Directory (AD FS) на целевом сервере можно использовать диспетчер сервера или Windows PowerShell.

Чтобы использовать диспетчер сервера для установки AD FS, выполните следующие действия.

  1. На целевом сервере откройте диспетчер сервера, щелкните Управление, а затем выберите Добавить роли и компоненты.

    В диспетчер сервера щелкните Управление, чтобы перейти к разделу Добавление ролей и компонентов.

  2. Откроется мастер добавления ролей и компонентов . Вы будете начинать с страницы Перед началом работы , если вы не выбрали пропустить эту страницу по умолчанию. Нажмите кнопку Далее.

    Страница

  3. На странице Выбор типа установки убедитесь, что выбран параметр Установка на основе ролей или компонентов , а затем нажмите кнопку Далее.

    Страница

  4. На странице Выбор целевого сервера проверьте выбор сервера и нажмите кнопку Далее.

    Страница

  5. На странице Выбор ролей сервера выберите службы федерации Active Directory (AD FS) в списке и нажмите кнопку Далее.

    Выберите

  6. На странице Выбор компонентов нажмите кнопку Далее (примите выбранные функции по умолчанию).

    Нажмите кнопку Далее на странице

  7. На странице службы федерации Active Directory (AD FS) (AD FS) нажмите кнопку Далее.

    Страница

  8. Только Windows Server 2012: на странице Выбор служб ролей нажмите кнопку Далее (примите выбранные службы ролей по умолчанию).

  9. На странице Подтверждение выбранных вариантов установки нажмите кнопку Установить.

    Страница

  10. На странице Ход установки можно watch индикатор выполнения, чтобы убедиться, что установка прошла успешно. По завершении установки оставьте мастер открытым, чтобы щелкнуть Настроить службу федерации на этом сервере в разделе Шаг 3b. Настройка сервера AD FS.

Просмотрите ход выполнения на странице

Чтобы использовать Windows PowerShell для установки AD FS, выполните следующую команду:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Шаг 3. Настройка и проверка сервера AD FS

Вы также можете ознакомиться с этим контрольным списком, чтобы помочь вам настроить AD FS : Контрольный список: Настройка сервера федерации.

Шаг 3a. Создание gMSA на контроллере домена

Перед настройкой сервера AD FS необходимо создать групповую управляемую учетную запись службы (gMSA) на контроллере домена Windows Server 2012 или более поздней версии. Это можно сделать в окне с повышенными привилегиями Windows PowerShell на контроллере домена (окно Windows PowerShell, открываемое путем выбора запуска от имени администратора).

  1. Выполните следующую команду:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    

    Если команда выполнена успешно, возвращается значение GUID. Например:

    Guid
    ----
    2570034b-ab50-461d-eb80-04e73ecf142b

  2. Чтобы создать учетную запись gMSA для сервера AD FS, используйте следующий синтаксис:

    New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
    

    В этом примере создается учетная запись gMSA с именем FSgMSA для службы федерации с именем adfs.contoso.com. Имя службы федерации — это значение, видимое для клиентов.

    New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
    

Шаг 3b. Настройка сервера AD FS

Чтобы настроить сервер AD FS, можно использовать диспетчер сервера или Windows PowerShell.

Чтобы использовать диспетчер сервера, выполните следующие действия.

  1. Если вы оставили мастер добавления ролей и компонентов открытым на сервере AD FS из шага 2. Развертывание сервера AD FS, щелкните ссылку Настройка службы федерации на этом сервере на странице Ход установки .

    Щелкните

    Если вы закрыли мастер добавления ролей и компонентов или использовали Windows PowerShell для установки AD FS, вы можете перейти к тому же месту в диспетчер сервера, щелкнув Уведомления, а затем выбрав Настроить службу федерации на этом сервере в предупреждении Конфигурация после развертывания.

    В диспетчер сервера щелкните Уведомления, чтобы увидеть предупреждение, содержащее ссылку На настройку службы fedration на этом сервере.

  2. Откроется мастер службы федерации Active Directory (AD FS). На странице Приветствие убедитесь, что выбран пункт Создать первый сервер федерации в ферме серверов федерации , а затем нажмите кнопку Далее.

    Страница приветствия в мастере настройки службы федерации Active Directory (AD FS).

  3. На странице Подключение к службы федерации Active Directory (AD FS) выберите учетную запись администратора домена в домене, где находится сервер AD FS (текущие учетные данные выбраны по умолчанию). Если необходимо выбрать другого пользователя, нажмите кнопку Изменить. По завершении нажмите кнопку Далее.

    Страница Подключение к AD DS в мастере настройки службы федерации Active Directory (AD FS).

  4. На странице Указание свойств службы настройте следующие параметры:

    • SSL-сертификат. Импортируйте или выберите SSL-сертификат, содержащий имя службы федерации, настроенное на шаге 3a. Создание gMSA на контроллере домена (например adfs.contoso.com, ). При импорте сертификата, который еще не установлен на сервере, необходимо импортировать PFX-файл (скорее всего, защищенный паролем файл, содержащий закрытый ключ сертификата). Здесь отображается значение общего имени (CN) в поле Subject сертификата.

    • Имя службы федерации. Это поле заполняется автоматически в зависимости от типа выбранного или импортируемого SSL-сертификата:

      • Сертификат с одним субъектом: отображается значение CN в поле Subject сертификата, и его нельзя изменить (например, adfs.contoso.com).

      • Сертификат SAN. Если сертификат содержит требуемое имя службы федерации, отображается это значение (например, adfs.contoso.com). Вы можете использовать раскрывающийся список, чтобы просмотреть другие значения CN в сертификате.

      • Сертификат с подстановочным знаком: отображается значение CN в поле Subject сертификата (например, *.contoso.com), но его необходимо изменить на обязательное имя службы федерации (например, adfs.contoso.com).

      Примечание. Если выбираемый сертификат не содержит требуемого имени службы федерации (поле Имя службы федерации не содержит обязательного значения), вы получите следующую ошибку:

      The federation service name does not match any of the subject names found in the certificate.

    • Отображаемое имя службы федерации. Введите название организации. Например, Contoso, Ltd..

    По завершении нажмите кнопку Далее.

    Страница Указание свойств службы в мастере настройки службы федерации Active Directory (AD FS).

  5. На странице Указание учетной записи службы настройте следующие параметры:

    • Выберите Использовать существующую учетную запись пользователя домена или групповую управляемую учетную запись службы.

    • Имя учетной записи. Щелкните Выбрать и введите учетную запись gMSA, созданную на шаге 3a. Создание gMSA на контроллере домена (например, FSgMSA). Обратите внимание, что после его выбора отображается <Domain>\<gMSAAccountName>$ значение (например, CONTOSO\FSgMSA$).

    По завершении нажмите кнопку Далее.

    Страница Указание учетной записи службы в мастере настройки службы федерации Active Directory (AD FS).

  6. На странице Укажите базу данных конфигурации убедитесь, что выбран параметр Создать базу данных на этом сервере с помощью внутренней базы данных Windows , а затем нажмите кнопку Далее.

    Страница Указание базы данных конфигурации в мастере настройки службы федерации Active Directory (AD FS).

  7. На странице Параметры проверки проверьте выбранные параметры. Вы можете нажать кнопку Просмотреть скрипт, чтобы скопировать Windows PowerShell эквивалент выбранной вами для использования в будущем. По завершении нажмите кнопку Далее.

    Страница Проверка параметров в мастере настройки службы федерации Active Directory (AD FS).

  8. На странице Предварительные проверки убедитесь, что все проверки необходимых компонентов успешно завершены, и нажмите кнопку Настроить.

    Страница Проверка предварительных требований в мастере настройки службы федерации Active Directory (AD FS).

  9. На странице Результаты просмотрите результаты и убедитесь, что настройка успешно завершена. Если вы хотите прочитать о следующих шагах (например, настройка DNS), щелкните Дальнейшие действия, необходимые для завершения развертывания службы федерации . Когда закончите, нажмите кнопку Закрыть.

    Страница Результаты в мастере настройки службы федерации Active Directory (AD FS).

Чтобы использовать Windows PowerShell для настройки AD FS, выполните следующие действия.

  1. Выполните следующую команду на сервере AD FS, чтобы найти значение отпечатка установленного сертификата, содержащего adfs.contoso.com:

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Выполните следующую команду:

    Import-Module ADFS
    
  3. Используйте следующий синтаксис.

    Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>
    

В этом примере ad FS настраивается со следующими параметрами:

  • adfs.contoso.com отпечаток сертификата: *.contoso.com сертификат, имеющий значение 5AE82C737900B29C2BAC3AB6D8C44D249EE05609отпечатка .

  • Имя службы федерации: adfs.contoso.com

  • Отображаемое имя службы федерации: Contoso, Ltd.

  • Имя учетной записи и домен sam федерации gMSA. Например, для учетной записи gMSA с именем FSgMSA в contoso.com домене обязательное значение равно contoso\FSgMSA$.

Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"

Примечания.

  • При создании gMSA автоматически добавляется к значению Name, $ чтобы создать значение SamAccountName, которое здесь требуется.

  • Escape-символ (''') требуется для $ в SamAccountName.

Дополнительные сведения и синтаксис см. в статье Install-AdfsFarm.

Шаг 3c. Тестирование сервера AD FS

После настройки AD FS можно проверить установку на сервере AD FS, успешно открыв URL-адрес метаданных федерации в веб-браузере. В URL-адресе используется синтаксис https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml. Например, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

Шаг 4. Создание правил доверия проверяющей стороны и настраиваемых утверждений в AD FS для Outlook в Интернете и EAC

  • На сервере Exchange server Outlook в Интернете использует виртуальный каталог с именемowa, а EAC — виртуальный каталог с именем ecp.

  • Косая черта (/), используемая в значениях URL-адреса Outlook в Интернете и EAC, является преднамеренным. Важно, чтобы отношения доверия проверяющей стороны AD FS и URI аудитории Exchange были идентичными. Они оба должны иметь или оба должны пропускать конечные косые черты в своих URL-адресах. Примеры в этом разделе содержат конечные косые черты после URL-адресов owa и ecp (owa/ и ecp/).

  • В организациях с несколькими сайтами Active Directory, которые используют отдельные пространства имен (например, и na.contoso.com), необходимо настроить отношения доверия с проверяющей стороной для каждого пространства имен как для Outlook в Интернете, eu.contoso.com так и для центра администрирования EAC.

Шаг 4a. Создание отношений доверия с проверяющей стороной в AD FS для Outlook в Интернете и EAC

Чтобы создать отношения доверия с проверяющей стороной на сервере AD FS, можно использовать консоль управления AD FS или Windows PowerShell.

Чтобы использовать консоль управления AD FS для создания отношений доверия с проверяющей стороной, выполните следующие действия.

Примечание. Эти действия необходимо выполнить дважды: один раз для Outlook в Интернете и один раз для EAC. Единственное различие заключается в значениях, которые вы вводите на шагах 5 и 8 (страницы Указание отображаемого имени и Настройка URL-адреса в мастере).

  1. В окне Диспетчер серверов выберите Средства, а затем выберите Управление AD FS.

    В диспетчер сервера выберите Средства > управления AD FS.

  2. В консоли управления AD FS разверните узел Отношения доверия , а затем выберите Отношения доверия с проверяющей стороной. В области Действия выберите Добавить доверие проверяющей стороны.

    В консоли управления AD FS разверните узел Отношения доверия и выберите Добавить доверие проверяющей стороны в области действия.

  3. Откроется мастер добавления доверия проверяющей стороны. На странице Добро пожаловать нажмите кнопку Пуск.

    Страница приветствия в мастере добавления отношения доверия с проверяющей стороной.

  4. На странице Выбор источника данных выберите Ввести данные о проверяющей стороне вручную и нажмите кнопку Далее.

    Сведения о Outlook в Интернете на странице Выбор источника данных в мастере добавления отношения доверия с проверяющей стороной.

  5. На странице Указание отображаемого имени настройте следующие параметры:

    • Для Outlook в Интернете:

    • Отображаемое имя: введите Outlook в Интернете.

    • Примечания. Введите описание. Например, это доверие для https://mail.contoso.com/owa/.

      Страница Указание отображаемого имени в мастере добавления отношения доверия с проверяющей стороной.

    • Для Центра администрирования EAC:

    • Отображаемое имя: введите EAC.

    • Примечания. Введите описание. Например, это доверие для https://mail.contoso.com/ecp/.

    Сведения о EAC на странице Выбор источника данных в мастере добавления отношения доверия с проверяющей стороной.

    По завершении нажмите кнопку Далее.

  6. На странице Выбор профиля убедитесь, что выбран профиль AD FS и нажмите кнопку Далее.

    Страница Выбор профиля в мастере добавления отношения доверия с проверяющей стороной.

  7. На странице Настройка сертификата нажмите кнопку Далее (не указывайте необязательный сертификат шифрования маркеров).

    Страница Настройка сертификата в мастере добавления отношения доверия с проверяющей стороной.

  8. На странице Настройка URL-адреса выберите Включить поддержку пассивного протокола WS-Federation и в поле Url-адрес пассивного протокола проверяющей стороны WS-Federation введите следующие сведения:

    По завершении нажмите кнопку Далее.

    Параметры центра администрирования EAC на странице Настройка URL-адреса в мастере добавления отношения доверия с проверяющей стороной.

  9. На странице Настройка идентификаторов нажмите кнопку Далее (URL-адрес из предыдущего шага указан в разделе Идентификаторы доверия проверяющей стороны).

    Параметры для Outlook в Интернете на странице Настройка идентификаторов в мастере добавления доверия проверяющей стороны.

  10. На странице Настройка многофакторной идентификации сейчас? убедитесь, что я не хочу настраивать параметры многофакторной проверки подлинности для этого отношения доверия с проверяющей стороной , и нажмите кнопку Далее.

    Настройка многофакторной идентификации сейчас? в мастере добавления отношения доверия с проверяющей стороной.

  11. На странице Выбор правил авторизации выдачи установите флажок Разрешить всем пользователям доступ к этой проверяющей стороне выбран, а затем нажмите кнопку Далее.

    Страница Выбор правил авторизации выдачи в мастере добавления отношения доверия с проверяющей стороной.

  12. На странице Готово для добавления доверия проверьте настройки, а затем нажмите кнопку Далее, чтобы сохранить сведения об отношении доверия с проверяющей стороной.

    Страница

  13. На странице Готово снимите флажок Открыть диалоговое окно Изменение правил утверждений для этого отношения доверия проверяющей стороны при закрытии мастера, а затем нажмите кнопку Закрыть.

    Страница Готово в мастере добавления отношения доверия с проверяющей стороной.

Чтобы использовать Windows PowerShell запрос на создание отношений доверия с проверяющей стороной, выполните следующие действия.

  1. В окне Windows PowerShell с повышенными привилегиями выполните следующую команду:

    Import-Module ADFS
    
  2. Используйте следующий синтаксис.

    Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL | EACURL> -WSFedEndpoint <OotwURL | EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
    

В этом примере создается доверие проверяющей стороны для Outlook в Интернете с использованием следующих значений:

Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

В этом примере создается доверие проверяющей стороны для центра администрирования EAC, используя следующие значения:

Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

Шаг 4b. Создание настраиваемых правил утверждений в AD FS для Outlook в Интернете и EAC

Для Outlook в Интернете и EAC необходимо создать два правила утверждений:

  • ИД безопасности пользователя Active Directory

  • UPN Active Directory

Чтобы создать правила утверждений на сервере AD FS, можно использовать консоль управления AD FS или Windows PowerShell.

Чтобы использовать консоль управления AD FS для создания правил утверждений, выполните следующие действия.

Примечание. Эти действия необходимо выполнить дважды: один раз для Outlook в Интернете и один раз для EAC. Единственным отличием является доверие проверяющей стороны, выбранное на первом шаге. Все остальные значения в процедуре идентичны.

Чтобы добавить необходимые правила утверждений:

  1. В консоли управления AD FS разверните узел Отношения доверия, выберите Отношения доверия с проверяющей стороной, а затем выберите Outlook в Интернете или доверие проверяющей стороны EAC. В области Действия выберите Изменить правила утверждений.

    В консоли управления AD FS разверните узел Отношения доверия, выберите Отношения доверия с проверяющей стороной, выберите доверие проверяющей стороны и в области Действия щелкните Изменить правила утверждений.

  2. В открывавшемся окне Изменение правил утверждений для <ruleName> убедитесь, что выбрана вкладка Правила преобразования выдачи , а затем нажмите кнопку Добавить правило.

    В окне Изменение правил утверждений выберите Добавить правило на вкладке Правила преобразования выдачи.

  3. Откроется мастер добавления правила утверждения преобразования . На странице Выбор шаблона правила щелкните раскрывающийся список Шаблон правила утверждения и выберите Отправить утверждения с помощью настраиваемого правила. По завершении нажмите кнопку Далее.

    На странице Выбор шаблона правила в мастере добавления правила преобразования утверждения выберите Отправить утверждения с помощью настраиваемого правила.

  4. На странице Настройка правила введите следующие сведения:

    • Имя правила утверждения. Введите описательное имя правила утверждения. Например, ActiveDirectoryUserSID.

    • Пользовательское правило: скопируйте и вставьте следующий текст:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
      

    На странице Настройка правила в мастере добавления правила утверждения преобразования настройте параметры правила утверждений для идентификатора безопасности пользователя Active Directory.

    Закончив, нажмите кнопку Готово.

  5. Вернитесь в окно Изменение правил утверждений для <ruleName> , убедитесь, что выбрана вкладка Правила преобразования выдачи , а затем нажмите кнопку Добавить правило.

    В окне Изменение правил утверждений выберите Добавить правило на вкладке Правила преобразования выдачи.

  6. Откроется мастер добавления правила утверждения преобразования . На странице Выбор шаблона правила щелкните раскрывающийся список Шаблон правила утверждения и выберите Отправить утверждения с помощью настраиваемого правила. По завершении нажмите кнопку Далее.

    На странице Выбор шаблона правила в мастере добавления правила преобразования утверждения выберите Отправить утверждения с помощью настраиваемого правила.

  7. На странице Настройка правила введите следующие сведения:

    • Имя правила утверждения. Введите описательное имя правила утверждения. Например, ActiveDirectoryUPN.

    • Пользовательское правило: скопируйте и вставьте следующий текст:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
      

    На странице Настройка правила мастера добавления правила утверждения преобразования настройте параметры правила утверждений для имени участника-пользователя Active Directory.

    Закончив, нажмите кнопку Готово.

  8. В окне Изменение правил утверждений для <ruleName> нажмите кнопку ОК.

    Завершив добавление правил утверждений, нажмите кнопку ОК.

Чтобы использовать Windows PowerShell для создания настраиваемых правил утверждений, выполните следующие действия.

  1. Откройте окно Windows PowerShell с повышенными привилегиями и выполните следующую команду:

    Import-Module ADFS
    
  2. Используйте следующий синтаксис.

    Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
    

Чтобы создать настраиваемые правила утверждений в существующем доверии проверяющей стороны с именем Outlook в Интернете, выполните следующую команду:

Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Чтобы создать настраиваемые правила утверждений в существующем доверии проверяющей стороны с именем EAC, выполните следующую команду:

Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Шаг 5. (Необязательно) Развертывание и настройка сервера Windows Server 2012 R2 Web Application Proxy

Действия, описанные в этом разделе, необходимы только в том случае, если вы хотите опубликовать Outlook в Интернете и EAC с помощью веб-Application Proxy, а веб-Application Proxy выполнить проверку подлинности AD FS. Помните:

  • Вы не можете использовать автономный доступ в Outlook в Интернете, если используете проверку подлинности AD FS через веб-Application Proxy.

  • Невозможно установить веб-Application Proxy на том же сервере, где установлена служба AD FS.

Если вы не собираетесь использовать веб-Application Proxy, перейдите к шагу 6.

Шаг 5a. Установка веб-Application Proxy

Чтобы использовать диспетчер сервера для установки веб-Application Proxy, выполните следующие действия.

  1. На целевом сервере откройте диспетчер сервера, щелкните Управление, а затем выберите Добавить роли и компоненты.

    В диспетчер сервера щелкните Управление, чтобы перейти к разделу Добавление ролей и компонентов.

  2. Откроется мастер добавления ролей и компонентов . Вы будете начинать с страницы Перед началом работы , если вы не выбрали пропустить эту страницу по умолчанию. Нажмите кнопку Далее.

    Страница

  3. На странице Выбор типа установки убедитесь, что выбран параметр Установка на основе ролей или компонентов , а затем нажмите кнопку Далее.

    Страница

  4. На странице Выбор целевого сервера проверьте выбор сервера и нажмите кнопку Далее.

    Страница

  5. На странице Выбор ролей сервера выберите Удаленный доступ в списке ролей и нажмите кнопку Далее.

    Выберите

  6. На странице Компоненты нажмите кнопку Далее (примите выбранные по умолчанию функции).

    Страница

  7. На странице Удаленный доступ прочтите сведения, а затем нажмите кнопку Далее.

    Ознакомьтесь со сведениями на странице

  8. На странице Выбор служб ролей выберите Веб-Application Proxy. В открывшемся диалоговом окне Добавление компонентов щелкните Добавить компоненты , чтобы принять значения по умолчанию и закрыть диалоговое окно. На странице Выбор служб ролей нажмите кнопку Далее.

    После выбора веб-Application Proxy появится диалоговое окно

    Выберите Веб-Application Proxy на странице

  9. На странице Подтверждение выбранных вариантов установки нажмите кнопку Установить.

    X.

  10. На странице Ход установки watch индикатор выполнения, чтобы убедиться, что установка прошла успешно. По завершении установки оставьте мастер открытым, чтобы на следующем шаге (5b) щелкнуть Открыть мастер веб-Application Proxy.

    Щелкните

Чтобы использовать Windows PowerShell для установки веб-Application Proxy, выполните следующую команду:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Шаг 5b. Настройка сервера веб-Application Proxy

После развертывания сервера веб-Application Proxy необходимо настроить следующие параметры веб-Application Proxy:

  • Имя службы федерации: например, adfs.contoso.com.

  • Учетные данные доверия службы федерации. Имя пользователя и пароль учетной записи локального администратора на сервере AD FS.

  • Сертификат прокси-сервера AD FS: сертификат, установленный на сервере веб-Application Proxy, который определяет сервер для клиентов в качестве прокси-сервера для службы федерации и, следовательно, содержит имя службы федерации (например, adfs.contoso.com). Кроме того, имя службы федерации должно быть доступно для веб-сервера Application Proxy (разрешается в DNS).

Для настройки сервера веб-Application Proxy можно использовать диспетчер сервера или Windows PowerShell.

Чтобы использовать диспетчер сервера для настройки веб-Application Proxy, выполните следующие действия.

  1. Если вы оставили мастер добавления ролей и компонентов открытым на веб-сервере Application Proxy на предыдущем шаге, можно щелкнуть ссылку Открыть мастер веб-Application Proxy на странице Ход установки.

    Выберите

    Если вы закрыли мастер добавления ролей и компонентов или использовали Windows PowerShell для установки веб-Application Proxy, вы можете перейти к тому же месту, щелкнув Уведомления, а затем щелкнув Открыть мастер веб-Application Proxy в предупреждении Конфигурация после развертывания.

    В диспетчер сервера щелкните Уведомления, чтобы увидеть предупреждение, содержащее ссылку на мастер открытия веб-Application Proxy.

  2. Откроется мастер настройки веб-Application Proxy. На странице приветствия нажмите кнопку Далее.

    Страница приветствия в мастере настройки веб-Application Proxy.

  3. На странице Сервер федерации введите следующие сведения:

    • Имя службы федерации: например, adfs.contoso.com.

    • Имя пользователя и пароль. Введите учетные данные учетной записи локального администратора на сервере AD FS.

    По завершении нажмите кнопку Далее.

    Введите учетные данные для сервера AD FS на странице Сервер федерации в мастере настройки веб-Application Proxy.

  4. На странице Сертификат прокси-сервера AD FS выберите установленный сертификат, содержащий имя службы федерации (например adfs.contoso.com, ). Вы можете выбрать сертификат в раскрывающемся списке, а затем нажать кнопку Просмотреть>сведения , чтобы просмотреть дополнительные сведения о сертификате. По завершении нажмите кнопку Далее.

    Выберите сертификат прокси-сервера AD FS на странице Сертификат прокси-сервера AD FS в мастере настройки прокси-сервера AD FS.

  5. На странице Подтверждение просмотрите параметры. Команду Windows PowerShell можно скопировать, чтобы автоматизировать дополнительные установки (в частности, значение отпечатка сертификата). По завершении нажмите кнопку Настроить.

    Страница подтверждения в мастере настройки веб-Application Proxy.

  6. На странице Результаты убедитесь, что конфигурация прошла успешно, и нажмите кнопку Закрыть.

    Страница Результаты в мастере настройки веб-Application Proxy.

Чтобы использовать Windows PowerShell для настройки веб-Application Proxy, выполните следующие действия.

  1. Выполните следующую команду на сервере веб-Application Proxy, чтобы найти значение отпечатка установленного сертификата, содержащего adfs.contoso.com:

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Выполните следующую команду и введите имя пользователя и пароль учетной записи локального администратора на сервере AD FS.

    $ADFSServerCred = Get-Credential
    
  3. Используйте следующий синтаксис.

    Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>
    

    В этом примере настраивается сервер веб-Application Proxy со следующими параметрами:

    • Имя службы федерации: adfs.contoso.com

    • Отпечаток SSL-сертификата AD FS: *.contoso.com сертификат, имеющий значение 5AE82C737900B29C2BAC3AB6D8C44D249EE05609отпечатка .

    Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
    

Шаг 5c. Публикация утверждений доверия с проверяющей стороной для Outlook в Интернете и EAC в веб-Application Proxy

Чтобы опубликовать отношения доверия с проверяющей стороной в веб-Application Proxy, можно использовать консоль управления удаленным доступом или Windows PowerShell.

Чтобы использовать консоль управления удаленным доступом, выполните следующие действия.

Примечание. Эти действия необходимо выполнить дважды: один раз для Outlook в Интернете и один раз для EAC. Необходимые параметры описаны в процедуре.

  1. Откройте консоль управления удаленным доступом на сервере веб-Application Proxy: в диспетчер сервера щелкните Инструменты>удаленного управления доступом.

  2. В консоли управления удаленным доступом в разделе Конфигурация щелкните Веб-Application Proxy, а затем в области Задачи нажмите кнопку Опубликовать.

    Выберите Опубликовать в области Задачи в консоли управления удаленным доступом.

  3. Откроется мастер публикации нового приложения . На странице приветствия нажмите кнопку Далее.

    Страница приветствия в мастере публикации нового приложения на сервере веб-Application Proxy.

  4. На странице Предварительная проверка подлинности убедитесь, что выбрано службы федерации Active Directory (AD FS) (AD FS), а затем нажмите кнопку Далее.

    Страница предварительной проверки подлинности в мастере публикации нового приложения на сервере веб-Application Proxy.

  5. На странице Проверяющая сторона выберите проверяющую сторону, созданную на сервере AD FS в разделе Шаг 4. Создание правил доверия проверяющей стороны и настраиваемых утверждений в AD FS для Outlook в Интернете и EAC:

    Выберите проверяющую сторону на странице Проверяющая сторона в мастере публикации нового приложения на веб-сервере Application Proxy.

    • Для Outlook в Интернете выберите Outlook в Интернете.

    • Для EAC: выберите EAC.

    По завершении нажмите кнопку Далее.

  6. На странице Параметры публикации введите следующие сведения:

    • Для Outlook в Интернете

      • Имя: например, Outlook on the web. Это имя отображается только в консоли управления удаленным доступом.

      • Внешний URL-адрес: например, https://mail.contoso.com/owa/.

      • Внешний сертификат. Выберите установленный сертификат, содержащий имя узла внешнего URL-адреса для Outlook в Интернете (например, mail.contoso.com). Вы можете выбрать сертификат в раскрывающемся списке, а затем нажать кнопку Просмотреть>сведения , чтобы просмотреть дополнительные сведения о сертификате.

      • URL-адрес внутреннего сервера. Это значение автоматически заполняется внешним URL-адресом. Изменить его нужно только в том случае, если URL-адрес внутреннего сервера отличается от внешнего URL-адреса. Например, https://server01.contoso.com/owa/. Обратите внимание, что пути во внешнем URL-адресе и URL-адресе внутреннего сервера должны соответствовать (/owa/), но значения имени узла могут отличаться (например, mail.contoso.com и server01.contoso.com).

      Параметры публикации для Outlook в Интернете на странице Проверяющая сторона в мастере публикации нового приложения на веб-сервере Application Proxy.

    • Для EAC

      • Имя: например, EAC. Это имя отображается только в консоли управления удаленным доступом.

      • Внешний URL-адрес: внешний URL-адрес центра администрирования EAC. Например, https://mail.contoso.com/ecp/.

      • Внешний сертификат. Выберите установленный сертификат, содержащий имя узла внешнего URL-адреса для EAC (например, mail.contoso.com). Сертификат, скорее всего, является подстановочным сертификатом или сертификатом SAN. Вы можете выбрать сертификат в раскрывающемся списке, а затем нажать кнопку Просмотреть>сведения , чтобы просмотреть дополнительные сведения о сертификате.

      • URL-адрес внутреннего сервера. Это значение автоматически заполняется внешним URL-адресом. Изменить его нужно только в том случае, если URL-адрес внутреннего сервера отличается от внешнего URL-адреса. Например, https://server01.contoso.com/ecp/. Обратите внимание, что пути во внешнем URL-адресе и URL-адресе внутреннего сервера должны соответствовать (/ecp/), но значения имени узла могут отличаться (например, mail.contoso.com и server01.contoso.com).

    По завершении нажмите кнопку Далее.

    Параметры публикации для EAC на странице Проверяющая сторона в мастере публикации нового приложения на веб-сервере Application Proxy.

  7. На странице Подтверждение просмотрите параметры. Команду Windows PowerShell можно скопировать, чтобы автоматизировать дополнительные установки (в частности, значение отпечатка сертификата). По завершении нажмите кнопку Опубликовать.

    Страница подтверждения в мастере публикации нового приложения на сервере веб-Application Proxy.

  8. На странице Результаты убедитесь, что приложение успешно опубликовано, и нажмите кнопку Закрыть.

    Страница Результатов в мастере публикации нового приложения на сервере веб-Application Proxy.

Чтобы использовать Windows PowerShell для публикации отношений доверия с проверяющей стороной, выполните следующие действия.

  1. Выполните следующую команду на сервере веб-Application Proxy, чтобы найти отпечаток установленного сертификата, содержащего имя узла Outlook в Интернете и URL-адреса EAC (например, mail.contoso.com):

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Используйте следующий синтаксис.

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web  | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>
    

    В этом примере Outlook в Интернете публикуется в веб-Application Proxy со следующими параметрами:

    • Проверяющая сторона AD FS: Outlook в Интернете
    • Имя: Outlook в Интернете
    • Внешний URL-адрес: https://mail.contoso.com/owa/
    • Отпечаток внешнего сертификата: *.contoso.com сертификат, имеющий значение 5AE82C737900B29C2BAC3AB6D8C44D249EE05609отпечатка .
    • URL-адрес внутреннего сервера: https://mail.contoso.com/owa/
    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/
    

    В этом примере EAC публикуется в веб-Application Proxy со следующими параметрами:

    • Имя: EAC
    • Внешний URL-адрес: https://external.contoso.com/ecp/
    • Отпечаток внешнего сертификата: *.contoso.com сертификат, имеющий значение 5AE82C737900B29C2BAC3AB6D8C44D249EE05609отпечатка .
    • URL-адрес внутреннего сервера: https://mail.contoso.com/ecp/
    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
    

Примечание. Все конечные точки AD FS, которые нужно опубликовать через веб-Application Proxy, должны быть включены прокси-серверы. Это можно сделать в консоли управления AD FS наконечных точкахслужбы> (убедитесь, что для указанной конечной точки включено прокси-сервер имеет значение Да).

Шаг 6. Настройка организации Exchange для использования проверки подлинности AD FS

Чтобы настроить организацию Exchange для использования проверки подлинности AD FS, необходимо использовать командную консоль Exchange. Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

  1. Выполните следующую команду, чтобы найти значение отпечатка импортированного сертификата подписи маркера AD FS:

    Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
    

    Найдите значение CN=ADFS Signing - <FederationServiceName> Subject (например, CN=ADFS Signing - adfs.contoso.com).

    Это значение отпечатка можно подтвердить на сервере AD FS в окне с повышенными Windows PowerShell, выполнив команду Import-Module ADFS, а затем команду Get-AdfsCertificate -CertificateType Token-Signing.

  2. Используйте следующий синтаксис.

    Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"
    

    В этом примере используются следующие значения:

    • URL-адрес AD FS: https://adfs.contoso.com/adfs/ls/

    • URL-адрес Outlook в Интернете:https://mail.contoso.com/owa/

    • URL-адрес EAC: https://mail.contoso.com/ecp/

    • Отпечаток сертификата для подписи маркера AD FS: ADFS Signing - adfs.contoso.com сертификат, имеющий значение 88970C64278A15D642934DC2961D9CCA5E28DA6Bотпечатка .

    Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
    

    Примечание. Параметр AdfsEncryptCertificateThumbprint не поддерживается в этих сценариях.

Шаг 7. Настройка проверки подлинности AD FS в виртуальных каталогах Outlook в Интернете и EAC

Для виртуальных каталогов Outlook в Интернете и EAC необходимо настроить проверку подлинности AD FS как единственный доступный метод проверки подлинности, отключив все остальные методы проверки подлинности.

  • Перед настройкой виртуального каталога Outlook в Интернете необходимо настроить виртуальный каталог EAC.

  • Скорее всего, вы захотите настроить проверку подлинности AD FS только на серверах Exchange с выходом в Интернет, которые клиенты используют для подключения к Outlook в Интернете и EAC.

  • По умолчанию для виртуальных каталогов Outlook в Интернете и EAC включена только обычная проверка подлинности и проверка подлинности с помощью форм.

Чтобы использовать командную консоль Exchange для настройки EAC или Outlook в Интернете виртуального каталога только для принятия проверки подлинности AD FS, используйте следующий синтаксис:

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

В этом примере настраивается виртуальный каталог EAC на веб-сайте по умолчанию на сервере Mailbox01:

Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

В этом примере настраивается виртуальный каталог Outlook в Интернете на сайте по умолчанию на сервере Mailbox01:

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Примечание. Чтобы настроить все виртуальные каталоги EAC и Outlook в Интернете на каждом сервере Exchange в организации, выполните следующие команды:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Шаг 8. Перезапуск СЛУЖБ IIS на сервере Exchange Server

  1. Откройте диспетчер IIS на сервере Exchange Server. Простой способ сделать это в Windows Server 2012 или более поздней версии — нажать клавишу Windows + Q, ввести inetmgr и выбрать Диспетчер служб IIS в результатах.

  2. В диспетчере IIS выберите сервер.

  3. В области Действия выберите элемент Перезапустить.

    В диспетчере IIS выберите сервер и в области Действия нажмите кнопку Перезапустить.

Примечание. Чтобы выполнить эту процедуру в командной строке, откройте командную строку с повышенными привилегиями на сервере Exchange (открываемое окно командной строки, выбрав Запуск от имени администратора) и выполните следующие команды:

net stop w3svc /y
net start w3svc

Как проверить, все ли получилось?

Чтобы протестировать утверждения AD FS для Outlook в Интернете:

  1. В веб-браузере откройте Outlook в Интернете (например, https://mail.contoso.com/owa).

  2. Если в веб-браузере появляется ошибка сертификата, просто перейдите на сайт Outlook в Интернете. Вы должны быть перенаправлены на страницу входа AD FS или запрос ad FS на ввод учетных данных.

  3. Введите имя пользователя (домен\пользователя) и пароль, а затем нажмите кнопку Войти.

  4. Outlook в Интернете загрузится в окне.

Чтобы проверить утверждения AD FS для EAC, сделайте следующее.

  1. В веб-браузере откройте EAC (например, https://mail.contoso.com/ecp).

  2. Если в веб-браузере появляется ошибка сертификата, просто перейдите на веб-сайт EAC. Вы должны быть перенаправлены на страницу входа AD FS или запрос ad FS на ввод учетных данных.

  3. Введите имя пользователя (домен\пользователя) и пароль, а затем нажмите кнопку Войти.

  4. EAC загрузится в окне.

Дополнительные сведения

Многофакторная проверка подлинности

Развертывание и настройка AD FS для проверки подлинности на основе утверждений позволяет Outlook в Интернете и EAC поддерживать многофакторную проверку подлинности, например проверку подлинности на основе сертификата, проверку подлинности или маркеры безопасности и проверку подлинности по отпечатку пальца. Для многофакторной проверки подлинности требуются два из следующих трех факторов:

  • То, что знает только пользователь (например, пароль, ПИН-код или шаблон).

  • Что-то только у пользователя (например, карта банкомата, маркер безопасности, смарт-карта или мобильный телефон).

  • Что-то есть только у пользователя (например, биометрическая характеристика, например отпечаток пальца).

Например, пароль и код безопасности, отправленные на мобильный телефон, или ПИН-код и отпечаток пальца.

Дополнительные сведения о многофакторной проверке подлинности в Windows Server 2012 R2 см. в статьях Обзор: управление рисками для уязвимых приложений с помощью дополнительной многофакторной проверки подлинности и Пошаговое руководство: управление рисками для уязвимых приложений с помощью дополнительной многофакторной проверки подлинности.

На сервере AD FS служба федерации функционирует как служба маркеров безопасности и предоставляет маркеры безопасности, используемые с утверждениями. Служба федерации издает маркеры на основе предоставленных учетных данных. После того как хранилище учетных записей проверит учетные данные пользователя, в соответствии с правилами политики доверия для этого пользователя создаются утверждения, которые затем добавляются к маркеру безопасности, выданному клиенту. Дополнительные сведения о утверждениях см. в разделе Основные сведения о утверждениях.

Сосуществование с другими версиями Exchange

Вы можете использовать проверку подлинности AD FS для Outlook в Интернете и EAC, если в вашей организации развернуто несколько версий Exchange. Этот сценарий поддерживается только в том случае, если все клиенты подключаются через серверы Exchange и все эти серверы настроены для проверки подлинности AD FS.

В организациях Exchange 2016 пользователи с почтовыми ящиками на серверах Exchange 2010 могут получить доступ к своим почтовым ящикам через сервер Exchange 2016, настроенный для проверки подлинности AD FS. Первоначальное клиентское подключение к серверу Exchange 2016 использует проверку подлинности AD FS. Однако прокси-подключение к Exchange 2010 использует Kerberos. Не поддерживается способ настройки Exchange 2010 для прямой проверки подлинности AD FS.