Så här konfigurerar du Exchange Server lokalt för att använda modern hybridautentisering
Översikt
Hybrid modern autentisering (HMA) i Microsoft Exchange Server är en funktion som gör det möjligt för användare att komma åt postlådor, som finns lokalt, med hjälp av auktoriseringstoken som hämtas från molnet.
Med HMA kan Outlook hämta OAuth-token för åtkomst och uppdatering från Microsoft Entra ID, antingen direkt för synkronisering av lösenordshash eller Pass-Through autentiseringsidentiteter eller från sin egen säkerhetstokentjänst (STS) för federerade identiteter. Exchange on-premises accepterar dessa token och ger postlådeåtkomst. Metoden för att hämta dessa token och de autentiseringsuppgifter som krävs bestäms av funktionerna i identitetsprovidern (iDP), som kan sträcka sig från enkelt användarnamn och lösenord till mer komplexa metoder som certifikat, telefonautentisering eller biometriska metoder.
För att HMA ska fungera måste användarens identitet finnas i Microsoft Entra ID och viss konfiguration krävs, som hanteras av exchange hybridkonfigurationsguiden (HCW).
I jämförelse med äldre autentiseringsmetoder som NTLM erbjuder HMA flera fördelar. Det ger en säkrare och mer flexibel autentiseringsmetod som utnyttjar kraften i molnbaserad autentisering. Till skillnad från NTLM, som förlitar sig på en mekanism för utmaningssvar och inte stöder moderna autentiseringsprotokoll, använder HMA OAuth-token, som är säkrare och ger bättre samverkan.
HMA är en kraftfull funktion som förbättrar flexibiliteten och säkerheten för åtkomst till lokala program och utnyttjar kraften i molnbaserad autentisering. Det representerar en betydande förbättring jämfört med äldre autentiseringsmetoder, vilket ger förbättrad säkerhet, flexibilitet och användar bekvämlighet.
Steg att följa för att konfigurera och aktivera modern hybridautentisering
Om du vill aktivera modern hybridautentisering (HMA) måste du se till att din organisation uppfyller alla nödvändiga krav. Dessutom bör du bekräfta att Office-klienten är kompatibel med modern autentisering. Mer information finns i dokumentationen om hur modern autentisering fungerar för Office 2013- och Office 2016-klientappar.
Kontrollera att du uppfyller kraven innan du börjar.
Lägg till lokala webbtjänst-URL:er i Microsoft Entra ID. URL:erna måste läggas till som
Service Principal Names (SPNs). Om din Exchange Server konfiguration är i hybrid med flera klienter måste dessa lokala webbtjänst-URL:er läggas till som SPN i Microsoft Entra ID för alla klienter, som är i hybrid med Exchange Server lokalt.Kontrollera att alla virtuella kataloger är aktiverade för HMA. Om du vill konfigurera modern hybridautentisering för Outlook på webben (OWA) och Exchange Kontrollpanelen (ECP) är det viktigt att även verifiera respektive katalog.
Kontrollera att Exchange Server OAuth-certifikatet är giltigt. Skriptskriptet MonitorExchangeAuthCertificate kan användas för att verifiera OAuth-certifikatets giltighet. I händelse av att det upphör att gälla hjälper skriptet till med förnyelseprocessen.
Se till att alla användaridentiteter synkroniseras med Microsoft Entra ID, särskilt alla konton, som används för administration. Annars slutar inloggningen att fungera tills de har synkroniserats. Konton, till exempel den inbyggda administratören, synkroniseras aldrig med Microsoft Entra ID och kan därför inte användas vid OAuth-inloggning när HMA har aktiverats. Det här beteendet beror på
isCriticalSystemObjectattributet som är inställt påTrueför vissa konton, inklusive standardadministratören.(Valfritt) Om du vill använda Outlook för iOS- och Android-klienten måste du tillåta att tjänsten Identifiera automatiskt ansluter till din Exchange Server.
Krav för att aktivera modern hybridautentisering
I det här avsnittet tillhandahåller vi information och steg som behöver göras för att konfigurera och aktivera modern hybridautentisering i Microsoft Exchange Server.
Exchange Server specifika krav
Exchange-servrarna måste uppfylla följande krav innan modern hybridautentisering kan konfigureras och aktiveras. Om du har en hybridkonfiguration måste du köra den senaste kumulativa uppdateringen (CU) för att vara i ett tillstånd som stöds. Du kan hitta de Exchange Server versioner som stöds och bygga i Exchange Server supportmatris. Modern hybridautentisering måste konfigureras enhetligt för alla Exchange-servrar i din organisation. Partiell implementering, där HMA endast är aktiverat på en delmängd servrar, stöds inte.
- Kontrollera att det inte finns några Exchange-servrar i slutet av livscykeln i organisationen.
- Exchange Server 2016 måste köra CU8 eller senare.
- Exchange Server 2019 måste köra CU1 eller senare.
- Kontrollera att alla servrar kan ansluta till Internet. Om en proxy krävs konfigurerar du Exchange Server att använda den.
- Om du redan har en hybridkonfiguration kontrollerar du att det är en klassisk hybriddistribution eftersom modern hybrid inte stöder HMA.
- Kontrollera att SSL-avlastning inte används (det stöds inte). SSL Bridging kan dock användas och stöds.
Mer information finns också i översikten över modern hybridautentisering och förutsättningar för att använda den med dokumentation om lokala Skype för företag- och Exchange-servrar.
Protokoll som fungerar med modern hybridautentisering
Hybrid modern autentisering fungerar för följande Exchange Server protokoll:
| Protokoll | Hybrid modern autentisering stöds |
|---|---|
| MAPI via HTTP (MAPI/HTTP) | Ja |
| Outlook Överallt (RPC/HTTP) | Nej |
| Exchange Active Sync (EAS) | Ja |
| Exchange Web Services (EWS) | Ja |
| Outlook på webben (OWA) | Ja |
| Exchange Admin Center (ECP) | Ja |
| Offlineadressbok (OAB) | Ja |
| IMAP | Nej |
| POP | Nej |
Lägg till lokala webbtjänst-URL:er som SPN i Microsoft Entra ID
Kör kommandona som tilldelar dina lokala webbtjänst-URL:er som Microsoft Entra SPN. SPN används av klientdatorer och enheter under autentisering och auktorisering. Alla URL:er som kan användas för att ansluta från lokal plats till Microsoft Entra ID måste registreras i Microsoft Entra ID (inklusive både interna och externa namnområden).
Kör först följande kommandon på din Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*Kontrollera att URL:erna som klienterna kan ansluta till visas som HTTPS-tjänstens huvudnamn i Microsoft Entra ID. Om Exchange on-premises är i hybrid med flera klienter, bör dessa HTTPS-SPN:er läggas till i Microsoft Entra ID för alla klienter i hybrid med Exchange on-premises.
Installera Microsoft Graph PowerShell-modulen:
Install-Module Microsoft.Graph -Scope AllUsersAnslut sedan till Microsoft Entra ID genom att följa dessa instruktioner. Om du vill godkänna de behörigheter som krävs kör du följande kommando:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.AllFör dina Exchange-relaterade URL:er skriver du följande kommando:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNamesAnteckna utdata för det här kommandot, som ska innehålla en
https://*autodiscover.yourdomain.com*ochhttps://*mail.yourdomain.com*URL, men som huvudsakligen består av SPN:er som börjar med00000002-0000-0ff1-ce00-000000000000/. Om det finnshttps://URL:er från din lokala plats som saknas, bör dessa specifika poster läggas till i den här listan.Om du inte ser dina interna och externa
MAPI/HTTPposter ,EWS,ActiveSync,OABochAutoDiscoveri den här listan måste du lägga till dem. Använd följande kommando för att lägga till alla URL:er som saknas. I vårt exempel ärmail.corp.contoso.comurl:erna som läggs till ochowa.contoso.com. Se till att de ersätts av de URL:er som har konfigurerats i din miljö.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $x.ServicePrincipalNames += "https://mail.corp.contoso.com/" $x.ServicePrincipalNames += "https://owa.contoso.com/" Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNamesKontrollera att dina nya poster har lagts till genom att köra
Get-MgServicePrincipalkommandot från steg 4 igen och verifiera utdata. Jämför listan från tidigare med den nya listan med SPN:er. Du kan också anteckna den nya listan för dina poster. Om du lyckas bör du se de två nya URL:erna i listan. I vårt exempel innehåller listan med SPN:er nu specifika URL:erhttps://mail.corp.contoso.comochhttps://owa.contoso.com.
Kontrollera att virtuella kataloger är korrekt konfigurerade
Kontrollera nu att OAuth är korrekt aktiverat i Exchange på alla virtuella kataloger som Outlook kan använda genom att köra följande kommandon:
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*
Kontrollera utdata för att se OAuth till att är aktiverat för var och en av dessa virtuella kataloger, det ser ut ungefär så här (och det viktigaste att titta på är OAuth som nämnts tidigare):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Om OAuth saknas på någon server och någon av de fem virtuella katalogerna måste du lägga till den med hjälp av relevanta kommandon innan du fortsätter (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) och Set-ActiveSyncVirtualDirectory.
Bekräfta att EvoSTS-autentiseringsserverobjektet finns
Kör nu det här sista kommandot på den Exchange Server lokala hanteringsgränssnittet (EMS). Du kan kontrollera att din Exchange Server lokalt returnerar en post för evoSTS-autentiseringsprovidern:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Dina utdata ska visa en AuthServer med namnet EvoSts - <GUID> och Enabled tillståndet ska vara True. Om så inte är fallet bör du ladda ned och köra den senaste versionen av hybridkonfigurationsguiden.
Om Exchange Server lokalt kör en hybridkonfiguration med flera klienter visar dina utdata en AuthServer med namnet EvoSts - <GUID> för varje klientorganisation i hybrid med Exchange Server lokalt och Enabled tillståndet bör vara True för alla dessa AuthServer-objekt. Anteckna identifieraren EvoSts - <GUID>eftersom det krävs i det efterföljande steget.
Aktivera HMA
Kör följande kommandon i Exchange Server lokalt hanteringsgränssnitt (EMS) och ersätt <GUID> på kommandoraden med GUID från utdata från det senaste kommandot som du körde. I äldre versioner av hybridkonfigurationsguiden namngavs EvoSTS EvoSts AuthServer utan ett GUID kopplat. Det finns ingen åtgärd du behöver vidta. Ändra bara föregående kommandorad genom att ta bort GUID-delen av kommandot.
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Om den Exchange Server lokala versionen är Exchange Server 2016 (CU18 eller senare) eller Exchange Server 2019 (CU7 eller senare) och hybriden konfigurerades med hjälp av HCW som laddades ned efter september 2020 kör du följande kommando i Exchange Server lokala hanteringsgränssnittet (EMS). För parametern DomainName använder du värdet för klientdomänen, som vanligtvis är i formatet contoso.onmicrosoft.com:
Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Om Exchange Server lokalt finns i hybrid med flera klienter finns det flera AuthServer-objekt i Exchange Server lokala organisationer med domäner som motsvarar varje klientorganisation. Flaggan IsDefaultAuthorizationEndpoint ska vara inställd på True för något av dessa AuthServer-objekt. Flaggan kan inte anges till true för alla AuthServer-objekt och HMA skulle aktiveras även om en av dessa AuthServer-objektflaggan IsDefaultAuthorizationEndpoint är inställd på true.
Viktigt
När du arbetar med flera klientorganisationer måste de alla finnas i samma molnmiljö, till exempel alla i Global eller i GCC. De kan inte finnas i mixmiljöer som en klientorganisation i Global och en annan i GCC.
Kontrollera
När du aktiverar HMA använder en klients nästa inloggning det nya autentiseringsflödet. Att bara aktivera HMA utlöser inte någon omautentisering för någon klient, och det kan ta en stund för Exchange Server att hämta de nya inställningarna. Den här processen kräver inte att en ny profil skapas.
Du bör också hålla ned CTRL nyckeln samtidigt som du högerklickar på ikonen för Outlook-klienten (även i meddelandefältet i Windows) och väljer Connection Status. Leta efter klientens SMTP-adress mot en AuthN typ av Bearer\*, som representerar ägartoken som används i OAuth.
Aktivera modern hybridautentisering för OWA och ECP
Modern hybridautentisering kan nu också aktiveras för OWA och ECP. Kontrollera att kraven är uppfyllda innan du fortsätter.
När den moderna hybridautentiseringen har aktiverats för OWA och ECPomdirigeras varje slutanvändare och administratör som försöker logga in på OWA eller ECP till sidan Microsoft Entra ID autentisering först. När autentiseringen har slutförts omdirigeras användaren till OWA eller ECP.
Krav för att aktivera modern hybridautentisering för OWA och ECP
Viktigt
Alla servrar måste ha minst den Exchange Server 2019 CU14-uppdateringen installerad. De måste också köra Exchange Server 2019 CU14 April 2024 HU eller en senare uppdatering.
Om du vill aktivera modern hybridautentisering för OWA och ECPmåste alla användaridentiteter synkroniseras med Microsoft Entra ID.
Utöver detta är det viktigt att OAuth-konfigurationen mellan Exchange Server lokalt och Exchange Online har upprättats innan ytterligare konfigurationssteg kan utföras.
Kunder som redan har kört hybridkonfigurationsguiden (HCW) för att konfigurera hybriden har en OAuth-konfiguration på plats. Om OAuth inte har konfigurerats tidigare kan det göras genom att köra HCW eller genom att följa stegen som beskrivs i dokumentationen konfigurera OAuth-autentisering mellan Exchange och Exchange Online organisationer.
Vi rekommenderar att du dokumenterar OwaVirtualDirectory inställningarna och EcpVirtualDirectory innan du gör några ändringar. Med den här dokumentationen kan du återställa de ursprungliga inställningarna om det uppstår problem när du har konfigurerat funktionen.
Steg för att aktivera modern hybridautentisering för OWA och ECP
Varning
Publicering av Outlook Web App (OWA) och Exchange Kontrollpanelen (ECP) via Microsoft Entra programproxy stöds inte.
Fråga url:erna
OWAochECPsom har konfigurerats på din Exchange Server lokalt. Detta är viktigt eftersom de måste läggas till som svars-URL till Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*Installera Microsoft Graph PowerShell-modulen om den ännu inte har installerats:
Install-Module Microsoft.Graph -Scope AllUsersAnslut till Microsoft Entra ID med de här anvisningarna. Om du vill godkänna de behörigheter som krävs kör du följande kommando:
Connect-Graph -Scopes User.Read, Application.ReadWrite.AllAnge url
OWA:er ochECPoch uppdatera programmet med svars-URL:erna:$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp" Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrlsKontrollera att svars-URL:erna har lagts till:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrlsOm du vill aktivera Exchange Server lokal möjlighet att utföra modern hybridautentisering följer du stegen som beskrivs i avsnittet Aktivera HMA.
(Valfritt) Krävs endast om nedladdningsdomäner används:
Skapa en ny global inställnings åsidosättning genom att köra följande kommandon från ett upphöjt Exchange Management Shell (EMS). Kör följande kommandon på en Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force(Valfritt) Krävs endast i scenarier med Exchange-resursskogstopologi :
Lägg till följande nycklar till
<appSettings>noden i<ExchangeInstallPath>\ClientAccess\Owa\web.configfilen. Gör detta på varje Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>Skapa en ny global inställnings åsidosättning genom att köra följande kommandon från ett upphöjt Exchange Management Shell (EMS). Kör följande kommandon på en Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -ForceOm du vill aktivera modern hybridautentisering för
OWAochECPmåste du först inaktivera andra autentiseringsmetoder på dessa virtuella kataloger. Det är viktigt att utföra konfigurationen i den angivna ordningen. Om du inte gör det kan det resultera i ett felmeddelande under kommandokörningen.
Kör dessa kommandon för varjeOWAvirtuellECPkatalog på varje Exchange Server för att inaktivera alla andra autentiseringsmetoder:Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $falseViktigt
Se till att alla konton är synkroniserade med Microsoft Entra ID, särskilt alla konton som används för administration. Annars slutar inloggningen att fungera tills de har synkroniserats. Konton, till exempel den inbyggda administratören, synkroniseras inte med Microsoft Entra ID och kan därför inte användas för administration när HMA för OWA och ECP har aktiverats. Det här beteendet beror på
isCriticalSystemObjectattributet som är inställt påTrueför vissa konton.Aktivera OAuth för den
OWAvirtuella katalogen ochECP. Det är viktigt att utföra konfigurationen i den angivna ordningen. Om du inte gör det kan det resultera i ett felmeddelande under kommandokörningen. För varjeOWAvirtuellECPkatalog på varje Exchange Server måste dessa kommandon köras:Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Använda modern hybridautentisering med Outlook för iOS och Android
Om du vill använda Outlook för iOS- och Android-klienten tillsammans med modern hybridautentisering måste du tillåta att autoidentifieringstjänsten ansluter till din Exchange Server på TCP 443 (HTTPS):
<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23
IP-adressintervallen finns också i ytterligare slutpunkter som inte ingår i dokumentationen om Office 365 IP-adress och URL-webbtjänst.
Relaterade artiklar
Konfigurationskrav för modern autentisering för övergång från Office 365 dedikerad/ITAR till vNext