Så här konfigurerar du Exchange Server lokalt för att använda modern hybridautentisering

  • Artikel

Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.

Hybrid Modern Authentication (HMA) är en metod för identitetshantering som erbjuder säkrare användarautentisering och auktorisering och är tillgänglig för lokala hybriddistributioner i Exchange Server.

Aktivera modern hybridautentisering

Om du aktiverar HMA måste din miljö uppfylla följande:

  1. Kontrollera att du uppfyller kraven innan du börjar.

  2. Eftersom många krav är gemensamma för både Skype för företag och Exchange kan du läsa dem i översikten över modern hybridautentisering och krav för att använda den med lokala Skype för företag- och Exchange-servrar. Gör detta innan du påbörjar något av stegen i den här artikeln. Krav för länkade postlådor som ska infogas.

  3. Lägg till lokala webbtjänst-URL:er som tjänsthuvudnamn (SPN) i Microsoft Entra ID. Om Exchange on-premises är i hybrid med flera klienter måste dessa lokala webbtjänst-URL:er läggas till som SPN i Microsoft Entra ID för alla klienter, som är i hybrid med Exchange on-premises.

  4. Kontrollera att alla virtuella kataloger är aktiverade för HMA

  5. Sök efter EvoSTS Auth Server-objektet

  6. Kontrollera att Exchange Server OAuth-certifikatet är giltigt

  7. Kontrollera att alla användaridentiteter är synkroniserade med Microsoft Entra ID

  8. Aktivera HMA lokalt i Exchange.

Obs!

Stöder din version av Office MA? Se Hur modern autentisering fungerar för Office 2013- och Office 2016-klientappar.

Varning

Det går inte att publicera Outlook Web App och Exchange Kontrollpanelen via Microsoft Entra programproxy.

Lägg till lokala webbtjänst-URL:er som SPN i Microsoft Entra ID

Kör kommandona som tilldelar dina lokala webbtjänst-URL:er som Microsoft Entra SPN. SPN används av klientdatorer och enheter under autentisering och auktorisering. Alla URL:er som kan användas för att ansluta från lokal plats till Microsoft Entra ID måste registreras i Microsoft Entra ID (inklusive både interna och externa namnområden).

  1. Kör först följande kommandon på din Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*

    Kontrollera att URL:erna som klienterna kan ansluta till visas som HTTPS-tjänstens huvudnamn i Microsoft Entra ID. Om Exchange on-premises är i hybrid med flera klienter, bör dessa HTTPS-SPN:er läggas till i Microsoft Entra ID för alla klienter i hybrid med Exchange on-premises.

  2. Installera Microsoft Graph PowerShell-modulen:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Anslut sedan till Microsoft Entra ID med de här anvisningarna. Om du vill godkänna de behörigheter som krävs kör du följande kommando:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. För dina Exchange-relaterade URL:er skriver du följande kommando:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    Anteckna (och skärmbild för senare jämförelse) utdata för det här kommandot, som ska innehålla en https://*autodiscover.yourdomain.com* och https://*mail.yourdomain.com* URL, men som huvudsakligen består av SPN:er som börjar med 00000002-0000-0ff1-ce00-000000000000/. Om det finns https:// URL:er från din lokala plats som saknas, bör dessa specifika poster läggas till i den här listan.

  5. Om du inte ser dina interna och externa MAPI/HTTPposter , EWS, ActiveSync, OABoch Autodiscover i den här listan måste du lägga till dem. Använd följande kommando för att lägga till alla URL:er som saknas:

    Viktigt

    I vårt exempel är mail.corp.contoso.com url:erna som ska läggas till och owa.contoso.com. Se till att de ersätts av de URL:er som har konfigurerats i din miljö.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$ServicePrincipalUpdate = @(
"https://mail.corp.contoso.com/","https://owa.contoso.com/"
)
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate

  6. Kontrollera att dina nya poster har lagts till genom att köra Get-MsolServicePrincipal kommandot från steg 2 igen och titta igenom utdata. Jämför listan/skärmbilden från tidigare med den nya listan med SPN:er. Du kan också ta en skärmbild av den nya listan för dina poster. Om du lyckas visas de två nya URL:erna i listan. I vårt exempel innehåller listan med SPN:er nu specifika URL:er https://mail.corp.contoso.com och https://owa.contoso.com.

Kontrollera att virtuella kataloger är korrekt konfigurerade

Kontrollera nu att OAuth är korrekt aktiverat i Exchange på alla virtuella kataloger som Outlook kan använda genom att köra följande kommandon:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Kontrollera utdata för att se till att OAuth är aktiverat på var och en av dessa VDirs. Det ser ut ungefär så här (och det viktigaste att titta på är "OAuth"):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Om OAuth saknas på någon server och någon av de fyra virtuella katalogerna måste du lägga till den med hjälp av relevanta kommandon innan du fortsätter (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory och Set-AutodiscoverVirtualDirectory).

Bekräfta att EvoSTS-autentiseringsserverobjektet finns

Gå tillbaka till det lokala Exchange Management Shell för det här sista kommandot. Nu kan du kontrollera att din lokala leverantör har en post för evoSTS-autentiseringsprovidern:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Dina utdata bör visa en AuthServer med namnet EvoSts med ett GUID och tillståndet "Aktiverad" ska vara Sant. Annars bör du ladda ned och köra den senaste versionen av hybridkonfigurationsguiden.

Obs!

Om Exchange on-premises är i hybrid med flera klienter bör dina utdata visa en AuthServer med namnet EvoSts - {GUID} för varje klientorganisation i hybrid med Exchange on-premises och tillståndet Aktiverad ska vara Sant för alla dessa AuthServer-objekt.

Viktigt

Om du kör Exchange 2010 i din miljö skapas inte EvoSTS-autentiseringsprovidern.

Aktivera HMA

Kör följande kommando i Exchange Management Shell lokalt och ersätt <GUID> på kommandoraden med GUID från utdata från det senaste kommandot som du körde:

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Obs!

I äldre versioner av hybridkonfigurationsguiden hette EvoSts AuthServer helt enkelt EvoSTS utan ett GUID kopplat. Du behöver inte utföra någon åtgärd. Ändra bara föregående kommandorad så att den återspeglar detta genom att ta bort GUID-delen av kommandot:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Om den lokala Exchange-versionen är Exchange 2016 (CU18 eller högre) eller Exchange 2019 (CU7 eller senare) och hybrid har konfigurerats med HCW som laddats ned efter september 2020 kör du följande kommando i Exchange Management Shell lokalt:

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Obs!

Om Exchange on-premises är i hybrid med flera klientorganisationer finns det flera AuthServer-objekt i Exchange on-premises med domäner som motsvarar varje klientorganisation. Flaggan IsDefaultAuthorizationEndpoint ska vara inställd på true (med cmdleten IsDefaultAuthorizationEndpoint ) för något av dessa AuthServer-objekt. Den här flaggan kan inte anges till true för alla Authserver-objekt och HMA skulle aktiveras även om ett av AuthServer-objektets IsDefaultAuthorizationEndpoint-flagga är inställd på true.

Obs!

För parametern DomainName använder du klientdomänvärdet, som vanligtvis är i formatet contoso.onmicrosoft.com.

Kontrollera

När du aktiverar HMA använder en klients nästa inloggning det nya autentiseringsflödet. Att bara aktivera HMA utlöser inte någon omautentisering för någon klient, och det kan ta en stund för Exchange att hämta de nya inställningarna.

Du bör också hålla ned CTRL-tangenten samtidigt som du högerklickar på ikonen för Outlook-klienten (även i meddelandefältet i Windows) och väljer Anslutningsstatus. Leta efter klientens SMTP-adress mot en AuthN-typ av Bearer\*, som representerar ägartoken som används i OAuth.

Obs!

Behöver du konfigurera Skype för företag med HMA? Du behöver två artiklar: En som visar en lista över topologier som stöds och en som visar hur du utför konfigurationen.

Aktivera modern hybridautentisering för OWA och ECP

Modern hybridautentisering kan nu också aktiveras för OWA och ECP. Kontrollera att kraven är uppfyllda innan du fortsätter.

När modern hybridautentisering har aktiverats för OWA och ECPomdirigeras varje slutanvändare och administratör som försöker logga in på OWA eller ECP till sidan Microsoft Entra ID autentisering först. När autentiseringen har slutförts omdirigeras användaren till OWA eller ECP.

Krav för att aktivera modern hybridautentisering för OWA och ECP

Om du vill aktivera modern hybridautentisering för OWA och ECPmåste alla användaridentiteter synkroniseras med Microsoft Entra ID. Utöver detta är det viktigt att OAuth-konfigurationen mellan Exchange Server lokalt och Exchange Online har upprättats innan ytterligare konfigurationssteg kan utföras.

Kunder som redan har kört hybridkonfigurationsguiden (HCW) för att konfigurera hybriden har en OAuth-konfiguration på plats. Om OAuth inte har konfigurerats tidigare kan det göras genom att köra HCW eller genom att följa stegen som beskrivs i dokumentationen Konfigurera OAuth-autentisering mellan Exchange och Exchange Online organisationer.

Vi rekommenderar att du dokumenterar OwaVirtualDirectory inställningarna och EcpVirtualDirectory innan du gör några ändringar. Med den här dokumentationen kan du återställa de ursprungliga inställningarna om det uppstår problem när du har konfigurerat funktionen.

Viktigt

Alla servrar måste ha minst den Exchange Server 2019 CU14-uppdateringen installerad. De måste också köra Exchange Server 2019 CU14 April 2024 HU eller en senare uppdatering.

Steg för att aktivera modern hybridautentisering för OWA och ECP

  1. Fråga url:erna OWA och ECP som har konfigurerats på din Exchange Server lokalt . Detta är viktigt eftersom de måste läggas till som svars-URL till Microsoft Entra ID:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. Installera Microsoft Graph PowerShell-modulen om den ännu inte har installerats:

    Install-Module Microsoft.Graph -Scope AllUsers

  3. Anslut till Microsoft Entra ID med de här anvisningarna. Om du vill godkänna de behörigheter som krävs kör du följande kommando:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. Ange url OWA :er och ECP :

    $replyUrlsToBeAdded = @(
"https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
)

  5. Uppdatera ditt program med svars-URL:erna:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  6. Kontrollera att svars-URL:erna har lagts till:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  7. Om du vill aktivera Exchange Server lokal möjlighet att utföra modern hybridautentisering följer du stegen som beskrivs i avsnittet Aktivera HMA.

  8. (Valfritt) Krävs endast om nedladdningsdomäner används:

    Skapa en ny global inställning åsidosätter genom att köra följande kommandon från ett upphöjt Exchange Management Shell (EMS). Kör följande kommandon på en Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. (Valfritt) Krävs endast i scenarier med Exchange-resursskogstopologi :

    Lägg till följande nycklar till <appSettings> noden i <ExchangeInstallPath>\ClientAccess\Owa\web.config filen. Gör detta på varje Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    Skapa en ny global inställning åsidosätter genom att köra följande kommandon från ett upphöjt Exchange Management Shell (EMS). Kör följande kommandon på en Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  10. Om du vill aktivera modern hybridautentisering för OWA och ECPmåste du först inaktivera andra autentiseringsmetoder på dessa virtuella kataloger. Kör följande kommandon för varje OWA virtuell ECP katalog på varje Exchange Server:

    Viktigt

    Det är viktigt att köra dessa kommandon i den angivna ordningen. Annars visas ett felmeddelande när du kör kommandona. När du har kört dessa kommandon kommer inloggningen till OWA och ECP sluta fungera tills OAuth-autentiseringen för dessa virtuella kataloger har aktiverats.

    Kontrollera också att alla konton är synkroniserade, särskilt de konton som används för administration för att Microsoft Entra ID. Annars slutar inloggningen att fungera tills de har synkroniserats. Observera att konton, till exempel den inbyggda administratören, inte synkroniseras med Microsoft Entra ID och därför inte kan användas för administration när HMA för OWA och ECP har aktiverats. Detta beror på isCriticalSystemObject attributet som är inställt på TRUE för vissa konton.

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

  11. Aktivera OAuth för den OWA virtuella katalogen och ECP . Kör följande kommandon för varje OWA virtuell ECP katalog på varje Exchange Server:

    Viktigt

    Det är viktigt att köra dessa kommandon i den angivna ordningen. Annars visas ett felmeddelande när du kör kommandona.

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

Använda modern hybridautentisering med Outlook för iOS och Android

Om du är en lokal kund som använder Exchange Server på TCP 443 tillåter du nätverkstrafik från följande IP-intervall:

52.125.128.0/20
52.127.96.0/23

Dessa IP-adressintervall dokumenteras också i Ytterligare slutpunkter som inte ingår i Office 365 IP-adress och URL-webbtjänst.

Konfigurationskrav för modern autentisering för övergång från Office 365 dedikerad/ITAR till vNext