Как настроить локальное развертывание Exchange Server для использования гибридной современной проверки подлинности

Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.

Гибридная современная проверка подлинности (HMA) — это метод управления удостоверениями, который обеспечивает более безопасную проверку подлинности и авторизацию пользователей и доступен для локальных гибридных развертываний Exchange Server.

Определения

Прежде чем начать, вы должны ознакомиться с некоторыми определениями:

  • Гибридная современная проверка подлинности > HMA

  • Локальный > EXCH Exchange

  • > EXCHANGE ONLINE EXO

Кроме того, если рисунок в этой статье содержит объект , который является серым или затемненным, то это означает, что элемент, показанный серым цветом, не включен в конфигурацию HMA.

Включение гибридной современной проверки подлинности

Для включения HMA требуется, чтобы ваша среда соответствовала следующим требованиям:

  1. Перед началом работы убедитесь, что выполнены предварительные требования.

  2. Так как многие предварительные требования являются общими для Skype для бизнеса и Exchange, ознакомьтесь с ними в статье Общие сведения о гибридной современной проверке подлинности и предварительные требования для ее использования с локальными серверами Skype для бизнеса и Exchange. Сделайте это, прежде чем приступить к любому из действий, описанных в этой статье. Требования к вставленным связанным почтовым ящикам.

  3. Добавьте URL-адреса локальных веб-служб в качестве имен субъектов-служб в Microsoft Entra ID. Если EXCH находится в гибридной среде с несколькими клиентами, эти URL-адреса локальных веб-служб должны быть добавлены в качестве имен субъектов-служб в Microsoft Entra ID всех клиентов, которые находятся в гибридной среде с EXCH.

  4. Убедитесь, что для HMA включены все виртуальные каталоги.

  5. Проверка объекта EvoSTS Auth Server

  6. Включите HMA в EXCH.

Примечание.

Outlook Web App и Exchange панель управления не работают с гибридной современной проверкой подлинности. Кроме того, публикация Outlook Web App и Exchange панель управления через Microsoft Entra прокси приложения не поддерживается.

Добавление URL-адресов локальных веб-служб в качестве имен субъектов-служб в Microsoft Entra ID

Выполните команды, которые назначают URL-адреса локальной веб-службы как Microsoft Entra именам субъектов-служб. Имена субъектов-служб используются клиентскими компьютерами и устройствами во время проверки подлинности и авторизации. Все URL-адреса, которые могут использоваться для подключения из локальной среды к Microsoft Entra ID, должны быть зарегистрированы в Microsoft Entra ID (включая внутренние и внешние пространства имен).

  1. Сначала выполните следующие команды на Microsoft Exchange Server:

    Get-MapiVirtualDirectory | FL server,*url*
    Get-WebServicesVirtualDirectory | FL server,*url*
    Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
    Get-OABVirtualDirectory | FL server,*url*
    Get-AutodiscoverVirtualDirectory | FL server,*url*
    Get-OutlookAnywhere | FL server,*hostname*
    

    Убедитесь, что URL-адреса клиентов, к которому могут подключаться, перечислены в Microsoft Entra ID как имена субъектов-служб HTTPS. Если EXCH находится в гибридной среде с несколькими клиентами, эти имена субъектов-служб HTTPS следует добавить в Microsoft Entra ID всех клиентов в гибридном режиме с EXCH.

  2. Затем подключитесь к Microsoft Entra ID с помощью этих инструкций. Чтобы предоставить согласие на необходимые разрешения, выполните следующую команду:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
    
  3. Для URL-адресов, связанных с Exchange, введите следующую команду:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
    

    Запишите (и снимок экрана для последующего сравнения) выходные данные этой команды, которые должны содержать https://*autodiscover.yourdomain.com* URL-адрес и https://*mail.yourdomain.com* , но в основном состоят из имен субъектов-служб, которые начинаются с 00000002-0000-0ff1-ce00-000000000000/. https:// Если отсутствуют URL-адреса из локальной среды, эти конкретные записи должны быть добавлены в этот список.

  4. Если в этом списке отсутствуют внутренние и внешние записи MAPI/HTTP, EWS, ActiveSync, OAB и автообнаружения, необходимо добавить их с помощью следующей команды (примеры URL-адресов и mail.corp.contoso.comowa.contoso.com, но следует заменить примеры URL-адресов собственными):

    $x= Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
    $ServicePrincipalUpdate =@(
    "https://mail.corp.contoso.com/","https://owa.contoso.com/"
    )
    Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
    
  5. Убедитесь, что новые записи добавлены, снова выполнив Get-MsolServicePrincipal команду из шага 2 и просмотрев выходные данные. Сравните список или снимок экрана до с новым списком имен субъектов-служб. Вы также можете сделать снимок экрана с новым списком записей. В случае успеха вы увидите два новых URL-адреса в списке. В нашем примере список имен субъектов-служб теперь включает конкретные URL-адреса https://mail.corp.contoso.com и https://owa.contoso.com.

Проверка правильной настройки виртуальных каталогов

Теперь убедитесь, что OAuth включен правильно в Exchange для всех виртуальных каталогов, которые может использовать Outlook, выполнив следующие команды:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Проверьте выходные данные, чтобы убедиться, что OAuth включен в каждом из этих VDirs. Он выглядит примерно так (и главное, на что следует обратить внимание— OAuth):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Если OAuth отсутствует на любом сервере и любом из четырех виртуальных каталогов, необходимо добавить его с помощью соответствующих команд, прежде чем продолжить (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory и Set-AutodiscoverVirtualDirectory).

Убедитесь, что объект сервера проверки подлинности EvoSTS присутствует

Вернитесь в локальную командную консоль Exchange для последней команды. Теперь вы можете проверить, есть ли в локальной среде запись для поставщика проверки подлинности evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

В выходных данных должен отображаться authServer с именем EvoSts с идентификатором GUID, а состояние "Включено" должно иметь значение True. В противном случае следует скачать и запустить последнюю версию мастера гибридной конфигурации.

Примечание.

Если EXCH находится в гибридном режиме с несколькими клиентами, в выходных данных должен отображаться один AuthServer с именем EvoSts - {GUID} для каждого клиента в гибридном режиме с EXCH, а состояние Включено должно иметь значение True для всех этих объектов AuthServer.

Важно!

Если вы используете Exchange 2010 в своей среде, поставщик проверки подлинности EvoSTS не будет создан.

Включение HMA

Выполните следующую команду в локальной командной консоли Exchange, заменив <GUID> в командной строке идентификатором GUID из выходных данных последней выполненной команды:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Примечание.

В более старых версиях мастера гибридной конфигурации EvoSts AuthServer просто назывался EvoSTS без присоединенного GUID. Вам не нужно выполнять никаких действий. Просто измените предыдущую командную строку, чтобы отразить это, удалив часть команды GUID:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Если версия EXCH — Exchange 2016 (CU18 или более поздняя) или Exchange 2019 (CU7 или более поздняя) и гибридная среда была настроена с HCW, скачанным после сентября 2020 г., выполните следующую команду в локальной командной консоли Exchange:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Примечание.

Если EXCH находится в гибридной среде с несколькими клиентами, в EXCH присутствует несколько объектов AuthServer с доменами, соответствующими каждому клиенту. Флаг IsDefaultAuthorizationEndpoint должен иметь значение true (с помощью командлета IsDefaultAuthorizationEndpoint ) для любого из этих объектов AuthServer. Этот флаг не может иметь значение true для всех объектов Authserver, и HMA будет включена, даже если для флага IsDefaultAuthorizationEndpoint одного из этих объектов AuthServer задано значение true.

Примечание.

Для параметра DomainName используйте значение домена клиента, которое обычно имеет вид contoso.onmicrosoft.com.

Проверяем подлинность

После включения HMA следующий вход клиента будет использовать новый поток проверки подлинности. Простое включение HMA не вызовет повторную проверку подлинности для любого клиента, и exchange может занять некоторое время, чтобы получить новые параметры.

Кроме того, удерживая нажатой клавишу CTRL, щелкните правой кнопкой мыши значок клиента Outlook (также на панели уведомлений Windows) и выберите Состояние подключения. Найдите SMTP-адрес клиента для типа Bearer\*Authn , который представляет токен носителя, используемый в OAuth.

Примечание.

Требуется настроить Skype для бизнеса с помощью HMA? Вам потребуется две статьи: одна со списком поддерживаемых топологий, а вторая — сведения о настройке.

Гибридная современная проверка подлинности в случае Outlook для iOS и Android

Если вы являетесь локальным клиентом, использующим Exchange Server на TCP 443, разрешите сетевой трафик из следующих диапазонов IP-адресов:

52.125.128.0/20
52.127.96.0/23

Эти диапазоны IP-адресов также описаны в разделе Дополнительные конечные точки, не включенные в веб-службу Office 365 IP-адреса и URL-адреса.

Требования к конфигурации современной проверки подлинности для перехода с Office 365 Dedicated/ITAR на vNext