Aracılığıyla paylaş


Şirket içi Exchange Server Karma Modern Kimlik Doğrulaması kullanacak şekilde yapılandırma

Genel bakış

Microsoft Exchange Server'deki Karma Modern Kimlik Doğrulaması (HMA), kullanıcıların buluttan alınan yetkilendirme belirteçlerini kullanarak şirket içinde barındırılan posta kutularına erişmesine olanak tanıyan bir özelliktir.

HMA, Outlook'un doğrudan parola karması eşitlemesi veya Pass-Through Kimlik Doğrulama kimlikleri için Microsoft Entra ID'den veya federasyon kimlikleri için kendi Güvenli Belirteç Hizmeti'nden (STS) Erişim ve Yenileme OAuth belirteçleri almasını sağlar. Şirket içi Exchange bu belirteçleri kabul eder ve posta kutusu erişimi sağlar. Bu belirteçleri alma yöntemi ve gerekli kimlik bilgileri, kimlik sağlayıcısının (iDP) basit kullanıcı adı ve paroladan sertifikalar, telefon kimlik doğrulaması veya biyometrik yöntemler gibi daha karmaşık yöntemlere kadar değişebilen özelliklerine göre belirlenir.

HMA'nın çalışması için kullanıcının kimliğinin Microsoft Entra ID içinde mevcut olması gerekir ve Exchange Karma Yapılandırma Sihirbazı (HCW) tarafından işlenen bazı yapılandırmalar gerekir.

HMA, NTLM gibi eski kimlik doğrulama yöntemlerine kıyasla çeşitli avantajlar sunar. Bulut tabanlı kimlik doğrulamasının gücünden yararlanarak daha güvenli ve esnek bir kimlik doğrulama yöntemi sağlar. Sınama yanıtı mekanizmasını kullanan ve modern kimlik doğrulama protokollerini desteklemeyen NTLM'den farklı olarak, HMA daha güvenli olan ve daha iyi birlikte çalışabilirlik sunan OAuth belirteçlerini kullanır.

HMA, bulut tabanlı kimlik doğrulamasının gücünden yararlanarak şirket içi uygulamalara erişim esnekliğini ve güvenliğini geliştiren güçlü bir özelliktir. Gelişmiş güvenlik, esneklik ve kullanıcı kolaylığı sunan eski kimlik doğrulama yöntemlerine göre önemli bir iyileştirmeyi temsil eder.

Karma Modern Kimlik Doğrulamasını yapılandırma ve etkinleştirme adımları

Karma Modern Kimlik Doğrulamasını (HMA) etkinleştirmek için kuruluşunuzun tüm gerekli önkoşulları karşıladığından emin olmanız gerekir. Ayrıca, Office istemcinizin Modern Kimlik Doğrulaması ile uyumlu olduğunu onaylamanız gerekir. Daha fazla ayrıntı için , Office 2013 ve Office 2016 istemci uygulamaları için modern kimlik doğrulamasının nasıl çalıştığı hakkındaki belgelere bakın.

  1. Başlamadan önce önkoşulları karşıladığınızdan emin olun.

  2. Microsoft Entra ID şirket içi web hizmeti URL'leri ekleyin. URL'ler olarak Service Principal Names (SPNs)eklenmelidir. Exchange Server kurulumunuzun birden çok kiracıyla karma olması durumunda, bu şirket içi web hizmeti URL'lerinin şirket içi Exchange Server karma olan tüm kiracıların Microsoft Entra ID SPN'ler olarak eklenmesi gerekir.

  3. HMA için tüm sanal dizinlerin etkinleştirildiğinden emin olun. Web üzerinde Outlook (OWA) ve Exchange Denetim Masası (ECP) için Karma Modern Kimlik Doğrulaması yapılandırmak istiyorsanız, ilgili dizinleri de doğrulamanız önemlidir.

  4. EvoSTS Kimlik Doğrulama Sunucusu nesnesini denetleyin.

  5. Exchange Server OAuth sertifikasının geçerli olduğundan emin olun. MonitorExchangeAuthCertificate betiği, OAuth sertifikasının geçerliliğini doğrulamak için kullanılabilir. Süresi dolması durumunda betik yenileme işlemine yardımcı olabilir.

  6. Tüm kullanıcı kimliklerinin, özellikle de yönetim için kullanılan tüm hesapların Microsoft Entra ID eşitlenmiş olduğundan emin olun. Aksi takdirde, oturum açma bilgileri eşitlenene kadar çalışmayı durdurur. Yerleşik Yönetici gibi hesaplar hiçbir zaman Microsoft Entra ID ile eşitlenmez ve bu nedenle HMA etkinleştirildikten sonra OAuth oturum açma işlemlerinde kullanılamaz. Bu davranış, varsayılan yönetici de dahil olmak üzere bazı hesaplar için olarak ayarlanan True özniteliğinden kaynaklanırisCriticalSystemObject.

  7. (İsteğe bağlı) iOS ve Android için Outlook istemcisini kullanmak istiyorsanız Otomatik Algıla hizmetinin Exchange Server bağlanmasına izin verdiğinizden emin olun.

  8. Şirket içi Exchange'de HMA'yı etkinleştirin.

Karma Modern Kimlik Doğrulamasını etkinleştirme önkoşulları

Bu bölümde, Microsoft Exchange Server'da Karma Modern Kimlik Doğrulaması'nı başarıyla yapılandırmak ve etkinleştirmek için yapılması gereken bilgileri ve adımları sağlıyoruz.

Belirli önkoşulları Exchange Server

Karma Modern Kimlik Doğrulaması'nın yapılandırılması ve etkinleştirilmesi için Önce Exchange sunucularınızın aşağıdaki gereksinimleri karşılaması gerekir. Karma yapılandırmanız olması durumunda, desteklenen bir durumda olması için en son Toplu Güncelleştirmeyi (CU) çalıştırmanız gerekir. Desteklenen Exchange Server sürümlerini ve derlemesini Exchange Server desteklenebilirlik matrisinde bulabilirsiniz. Karma Modern Kimlik Doğrulaması, kuruluşunuzdaki tüm Exchange sunucularında aynı şekilde yapılandırılmalıdır. HMA'nın sunucuların yalnızca bir alt kümesinde etkinleştirildiği kısmi uygulama desteklenmez.

  • Kuruluşta kullanım süresi sonu Exchange sunucusu olmadığından emin olun.
  • Exchange Server 2016 CU8 veya üzerini çalıştırıyor olmalıdır.
  • Exchange Server 2019 CU1 veya üzerini çalıştırıyor olmalıdır.
  • Tüm sunucuların İnternet'e bağlanaabildiğinden emin olun. Ara sunucu gerekiyorsa, kullanmak için Exchange Server yapılandırın.
  • Zaten bir karma yapılandırmanız varsa, modern karma HMA'yı desteklemediğinden bunun klasik bir karma dağıtım olduğundan emin olun.
  • SSL Boşaltma'nın kullanılmadığından emin olun (desteklenmez). Ancak SSL Köprü Oluşturma kullanılabilir ve desteklenir.

Daha fazla bilgi için bkz. Karma Modern Kimlik Doğrulamasına genel bakış ve bunu şirket içi Skype Kurumsal ve Exchange sunucuları ile kullanma önkoşulları.

Karma Modern Kimlik Doğrulaması ile çalışan protokoller

Karma Modern Kimlik Doğrulaması aşağıdaki Exchange Server protokolleri için çalışır:

Protokol Desteklenen Karma Modern Kimlik Doğrulaması
HTTP üzerinden MAPI (MAPI/HTTP) Evet
Outlook Anywhere (RPC/HTTP) Hayır
Exchange Active Sync (EAS) Evet
Exchange Web Services (EWS) Evet
Web üzerinde Outlook (OWA) Evet
Exchange Yönetici Merkezi (ECP) Evet
Çevrimdışı Adres Defteri (OAB) Evet
IMAP Hayır
POP Hayır

Microsoft Entra ID'da SPN olarak şirket içi web hizmeti URL'leri ekleme

Şirket içi web hizmeti URL'lerinizi Microsoft Entra SPN olarak atayan komutları çalıştırın. SPN'ler, kimlik doğrulaması ve yetkilendirme sırasında istemci makineleri ve cihazlar tarafından kullanılır. Şirket içinden Microsoft Entra ID bağlanmak için kullanılabilecek tüm URL'lerin Microsoft Entra ID (hem iç hem de dış ad alanları dahil) olarak kaydedilmesi gerekir.

  1. İlk olarak, Microsoft Exchange Server aşağıdaki komutları çalıştırın:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
    Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
    Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
    Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
    Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
    Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
    

    İstemcilerin bağlanabileceği URL'lerin Microsoft Entra ID HTTPS hizmet sorumlusu adları olarak listelenmiş olduğundan emin olun. Şirket içi Exchange'in birden çok kiracıyla karma olması durumunda, bu HTTPS SPN'leri şirket içi Exchange ile karma olan tüm kiracıların Microsoft Entra ID eklenmelidir.

  2. Microsoft Graph PowerShell modülünü yükleyin:

    Install-Module Microsoft.Graph -Scope AllUsers
    
  3. Ardından, bu yönergeleri izleyerek Microsoft Entra ID bağlanın. Gerekli izinlere onay vermek için aşağıdaki komutu çalıştırın:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
    
  4. Exchange ile ilgili URL'leriniz için aşağıdaki komutu yazın:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
    

    Ve URL'sini içermesi https://*autodiscover.yourdomain.com*https://*mail.yourdomain.com* gereken ancak çoğunlukla ile 00000002-0000-0ff1-ce00-000000000000/başlayan SPN'lerden oluşan bu komutun çıkışını not edin. Şirket içi ortamınızdan eksik URL'ler varsa https:// , bu belirli kayıtlar bu listeye eklenmelidir.

  5. İç ve dış MAPI/HTTP, , EWS, ActiveSyncOAB, ve AutoDiscover kayıtlarınızı bu listede görmüyorsanız, bunları eklemeniz gerekir. Eksik olan tüm URL'leri eklemek için aşağıdaki komutu kullanın. Örneğimizde, eklenen URL'ler ve owa.contoso.comşeklindedirmail.corp.contoso.com. Bunların ortamınızda yapılandırılan URL'ler ile değiştirildiğinden emin olun.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
    $x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
    $x.ServicePrincipalNames += "https://owa.contoso.com/"
    Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
    
  6. 4. adımdaki Get-MgServicePrincipal komutu yeniden çalıştırarak yeni kayıtlarınızın eklendiğini doğrulayın ve çıkışı doğrulayın. Daha önce gelen listeyi yeni SPN listesiyle karşılaştırın. Kayıtlarınızın yeni listesini de not edebilirsiniz. Başarılıysanız, listede iki yeni URL'yi görmeniz gerekir. Örneğimize göre, SPN'lerin listesi artık belirli URL'leri https://mail.corp.contoso.com ve https://owa.contoso.comiçerir.

Sanal dizinlerin düzgün yapılandırıldığını doğrulama

Şimdi Outlook'un kullanabileceği tüm sanal dizinlerde Exchange'de OAuth'un düzgün etkinleştirildiğini doğrulamak için aşağıdaki komutları çalıştırın:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Bu sanal dizinlerin her biri için etkinleştirildiğinden ve şuna benzer olduğundan emin olmak OAuth için çıkışı denetleyin (ve daha önce bahsedildiği gibi bakmanız gereken önemli nokta):OAuth

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Herhangi bir sunucuda ve beş sanal dizinden herhangi birinde OAuth eksikse, devam etmeden önce ilgili komutları kullanarak eklemeniz gerekir (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) ve Set-ActiveSyncVirtualDirectory.

EvoSTS Kimlik Doğrulama Sunucusu Nesnesinin Mevcut Olduğunu Onaylayın

Şimdi Exchange Server şirket içi Yönetim Kabuğu'nda (EMS) bu son komutu çalıştırın. Şirket içi Exchange Server evoSTS kimlik doğrulama sağlayıcısı için bir giriş döndürdüğünü doğrulayabilirsiniz:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Çıktınızda Adın EvoSts - <GUID> bir AuthServer'ı gösterilmelidir ve Enabled durumu olmalıdır True. Böyle bir durum söz konusu değilse Karma Yapılandırma Sihirbazı'nın en son sürümünü indirip çalıştırmanız gerekir.

Şirket içi Exchange Server birden çok kiracıyla karma bir yapılandırma çalıştırması durumunda, çıktınız şirket içi Exchange Server karma içindeki her kiracı için Adı EvoSts - <GUID> olan bir AuthServer gösterir ve Enabled durum bu AuthServer nesnelerinin tümü için olmalıdırTrue. Sonraki adımda gerekli olacağı için tanımlayıcısını EvoSts - <GUID>not edin.

HMA'yı etkinleştirme

Exchange Server şirket içi Yönetim Kabuğu'nda (EMS) aşağıdaki komutları çalıştırın ve komut satırındaki öğesini çalıştırdığınız son komutun çıkışındaki GUID ile değiştirin<GUID>. Karma Yapılandırma Sihirbazı'nın eski sürümlerinde EvoSts AuthServer, GUID eklenmemiş olarak adlandırılmıştır EvoSTS . Yapmanız gereken bir eylem yoktur, komutun GUID bölümünü kaldırarak önceki komut satırını değiştirmeniz yeterlidir.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Exchange Server şirket içi sürümü 2016 Exchange Server (CU18 veya üzeri) veya Exchange Server 2019 (CU7 veya üzeri) ise ve karma, Eylül 2020'de indirilen HCW'nin yardımıyla yapılandırıldıysa, Exchange Server şirket içi Yönetim Kabuğu'nda (EMS) aşağıdaki komutu çalıştırın. parametresi için DomainName genellikle biçiminde contoso.onmicrosoft.comolan kiracı etki alanı değerini kullanın:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Şirket içi Exchange Server birden çok kiracıyla karma olması durumunda, Exchange Server şirket içi kuruluşlarda her kiracıya karşılık gelen etki alanları olan birden çok AuthServer nesnesi vardır. Bayrağı IsDefaultAuthorizationEndpoint , bu AuthServer nesnelerinden herhangi biri için olarak ayarlanmalıdır True . Bayrak tüm AuthServer nesneleri için true olarak ayarlanamaz ve bu AuthServer nesne IsDefaultAuthorizationEndpoint bayraklarından biri true olarak ayarlansa bile HMA etkinleştirilir.

Önemli

Birden çok kiracıyla çalışırken, içinde veya GCCiçinde tümü Global gibi tüm kiracıların aynı bulut ortamında olması gerekir. bir kiracı ve içinde başka bir GCCkiracı Global gibi karma ortamlarda bulunamazlar.

Doğrulamak

HMA'yı etkinleştirdiğinizde, istemcinin bir sonraki oturum açması yeni kimlik doğrulama akışını kullanır. HMA'yı açmak herhangi bir istemci için yeniden kimlik doğrulaması tetiklemez ve Exchange Server yeni ayarları alması biraz zaman alabilir. Bu işlem, yeni bir profil oluşturulmasını gerektirmez.

Ayrıca, Outlook istemcisinin simgesine CTRL sağ tıklayıp (Windows Bildirimleri tepsisinde de) tuşunu basılı tutarak seçeneğini belirlemeniz Connection Statusgerekir. İstemcinin SMTP adresini, OAuth'da kullanılan taşıyıcı belirtecini temsil eden türüne AuthNBearer\*göre arayın.

OWA ve ECP için Karma Modern Kimlik Doğrulamasını Etkinleştirme

Karma Modern Kimlik Doğrulaması artık ve ECPiçin OWA de etkinleştirilebilir. Devam etmeden önce Önkoşulların karşılandığından emin olun.

ve ECPiçin OWA Karma Modern Kimlik Doğrulaması etkinleştirildikten sonra veya oturum açmaya OWAECP çalışan her son kullanıcı ve yönetici önce Microsoft Entra ID kimlik doğrulaması sayfasına yönlendirilir. Kimlik doğrulaması başarılı olduktan sonra kullanıcı veya ECPöğesine OWA yeniden yönlendirilir.

OWA ve ECP için Karma Modern Kimlik Doğrulamasını etkinleştirme önkoşulları

Önemli

Tüm sunucularda en az Exchange Server 2019 CU14 güncelleştirmesi yüklü olmalıdır. Ayrıca Exchange Server 2019 CU14 Nisan 2024 HU veya sonraki bir güncelleştirmeyi çalıştırmaları gerekir.

ve ECPiçin Karma Modern Kimlik Doğrulaması'nı etkinleştirmek için OWA tüm kullanıcı kimliklerinin Microsoft Entra ID ile eşitlenmesi gerekir. Buna ek olarak, daha fazla yapılandırma adımı gerçekleştirilmeden önce Exchange Server şirket içi ile Exchange Online arasında OAuth kurulumunun oluşturulması önemlidir.

Karma yapılandırmayı yapılandırmak için Karma Yapılandırma Sihirbazı'nı (HCW) zaten çalıştıran müşterilerin OAuth yapılandırması vardır. OAuth daha önce yapılandırılmadıysa, HCW çalıştırılarak veya Exchange ile Exchange Online kuruluşlar arasında OAuth kimlik doğrulamasını yapılandırma belgelerinde açıklandığı gibi adımları izleyerek yapılabilir.

Herhangi bir değişiklik yapmadan önce ve EcpVirtualDirectory ayarlarının OwaVirtualDirectory belgelenmiş olması önerilir. Bu belge, özelliği yapılandırdıktan sonra herhangi bir sorun oluşursa özgün ayarları geri yüklemenizi sağlar.

OWA ve ECP için Karma Modern Kimlik Doğrulamasını etkinleştirme adımları

Uyarı

Microsoft Entra uygulama ara sunucusu aracılığıyla Outlook Web App (OWA) ve Exchange Denetim Masası (ECP) yayımlama desteklenmez.

  1. OWA şirket içi Exchange Server yapılandırılan ve ECP URL'lerini sorgula. Bu, Microsoft Entra ID yanıt URL'si olarak eklenmesi gerektiğinden önemlidir:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
    Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
    
  2. Henüz yüklenmemişse Microsoft Graph PowerShell modülünü yükleyin:

    Install-Module Microsoft.Graph -Scope AllUsers
    
  3. Bu yönergelerle Microsoft Entra ID bağlanın. Gerekli izinlere onay vermek için aşağıdaki komutu çalıştırın:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All
    
  4. ve ECP URL'lerinizi OWA belirtin ve uygulamanızı yanıt URL'leriyle güncelleştirin:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
    $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
    $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
    Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
    
  5. Yanıt URL'lerinin başarıyla eklendiğini doğrulayın:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
    
  6. Şirket içi Exchange Server Karma Modern Kimlik Doğrulaması gerçekleştirme özelliğini etkinleştirmek için HMA'yı Etkinleştirme bölümünde açıklanan adımları izleyin.

  7. (İsteğe bağlı) Yalnızca etki alanlarını indir kullanılıyorsa gereklidir:

    Yükseltilmiş exchange yönetim kabuğundan (EMS) aşağıdaki komutları çalıştırarak yeni bir genel ayar geçersiz kılma oluşturun. Tek bir Exchange Server şu komutları çalıştırın:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
    Restart-Service -Name W3SVC, WAS -Force
    
  8. (İsteğe bağlı) Yalnızca Exchange kaynak ormanı topolojisi senaryolarında gereklidir:

    Dosyanın düğümüne <appSettings><ExchangeInstallPath>\ClientAccess\Owa\web.config aşağıdaki anahtarları ekleyin. Bunu her Exchange Server yapın:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
    <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
    

    Yükseltilmiş exchange yönetim kabuğundan (EMS) aşağıdaki komutları çalıştırarak yeni bir genel ayar geçersiz kılma oluşturun. Tek bir Exchange Server şu komutları çalıştırın:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
    Restart-Service -Name W3SVC, WAS -Force
    
  9. ve ECPiçin Karma Modern Kimlik Doğrulamasını etkinleştirmek için OWA önce bu sanal dizinlerde diğer kimlik doğrulama yöntemlerini devre dışı bırakmanız gerekir. Yapılandırmayı verilen sırada gerçekleştirmek önemlidir. Bunun başarısız olması, komut yürütme sırasında bir hata iletisine neden olabilir.

    Diğer tüm kimlik doğrulama yöntemlerini devre dışı bırakmak için her Exchange Server her bir ve sanal dizin için OWAECP şu komutları çalıştırın:

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
    

    Önemli

    Tüm hesapların, özellikle de yönetim için kullanılan tüm hesapların Microsoft Entra ID eşitlenmiş olduğundan emin olun. Aksi takdirde, oturum açma bilgileri eşitlenene kadar çalışmayı durdurur. Yerleşik Yönetici gibi hesaplar Microsoft Entra ID ile eşitlenmez ve bu nedenle OWA ve ECP için HMA etkinleştirildikten sonra yönetim için kullanılamaz. Bu davranış, bazı hesaplar için olarak ayarlanan True özniteliğinden kaynaklanırisCriticalSystemObject.

  10. ve ECP sanal dizini için OAuth'u OWA etkinleştirin. Yapılandırmayı verilen sırada gerçekleştirmek önemlidir. Bunun başarısız olması, komut yürütme sırasında bir hata iletisine neden olabilir. Her OWA Exchange Server her ve ECP sanal dizin için şu komutların çalıştırılması gerekir:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
    

iOS ve Android için Outlook ile Karma Modern Kimlik Doğrulamasını Kullanma

iOS ve Android için Outlook istemcisini Karma Modern Kimlik Doğrulaması ile birlikte kullanmak istiyorsanız Otomatik Algılama hizmetinin (HTTPS) üzerindeki TCP 443 Exchange Server bağlanmasına izin verdiğinizden emin olun:

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

IP adresi aralıkları, Office 365 IP Adresi ve URL Web hizmeti belgelerinde bulunmayan Ek uç noktalar'da da bulunabilir.

Office 365 ayrılmış/ITAR'dan vNext'e geçiş için Modern Kimlik Doğrulama yapılandırma gereksinimleri