Konfigurace Exchange Server místního prostředí pro používání hybridního moderního ověřování

Přehled

HMA (Hybrid Modern Authentication) v Microsoft Exchange Server je funkce, která uživatelům umožňuje přístup k poštovním schránkám hostovaným místně pomocí autorizačních tokenů získaných z cloudu.

HMA umožňuje Outlooku získat tokeny Accessu a Aktualizovat tokeny OAuth z Microsoft Entra ID, a to buď přímo pro synchronizaci hodnot hash hesel nebo identity Pass-Through ověřování, nebo z vlastní služby zabezpečených tokenů (STS) pro federované identity. Místní Exchange přijímá tyto tokeny a poskytuje přístup k poštovní schránce. Metoda získání těchto tokenů a požadovaných přihlašovacích údajů je určená možnostmi zprostředkovatele identity (iDP), které můžou být v rozsahu od jednoduchého uživatelského jména a hesla až po složitější metody, jako jsou certifikáty, telefonní ověřování nebo biometrické metody.

Aby HMA fungoval, musí se identita uživatele nacházet v Microsoft Entra ID a vyžaduje se určitá konfigurace, kterou zajišťuje Průvodce hybridní konfigurací Exchange (HCW).

Ve srovnání se staršími metodami ověřování, jako je NTLM, nabízí HMA několik výhod. Poskytuje bezpečnější a flexibilnější metodu ověřování s využitím výkonu cloudového ověřování. Na rozdíl od protokolu NTLM, který spoléhá na mechanismus výzvy a odpovědi a nepodporuje moderní ověřovací protokoly, používá HMA tokeny OAuth, které jsou bezpečnější a nabízejí lepší interoperabilitu.

HMA je výkonná funkce, která zvyšuje flexibilitu a zabezpečení přístupu k místním aplikacím a využívá možnosti cloudového ověřování. Představuje významné vylepšení oproti starším metodám ověřování a nabízí rozšířené zabezpečení, flexibilitu a uživatelské pohodlí.

Postup konfigurace a povolení hybridního moderního ověřování

Pokud chcete povolit hybridní moderní ověřování (HMA), musíte zajistit, aby vaše organizace splňovala všechny nezbytné požadavky. Kromě toho byste měli ověřit, jestli je váš klient Office kompatibilní s moderním ověřováním. Další podrobnosti najdete v dokumentaci k tomu , jak funguje moderní ověřování v klientských aplikacích Office 2013 a Office 2016.

1. Než začnete, ujistěte se , že splňujete požadavky .

2. Přidejte adresy URL místní webové služby do Microsoft Entra ID. Adresy URL musí být přidány jako Service Principal Names (SPNs). V případě, že je vaše nastavení Exchange Server hybridní s více tenanty, musí se tyto adresy URL místních webových služeb přidat jako hlavní názvy služeb (SPN) do Microsoft Entra ID všech tenantů, kteří jsou hybridní s Exchange Server místním prostředím.

3. Ujistěte se, že jsou pro HMA povolené všechny virtuální adresáře. Pokud chcete nakonfigurovat hybridní moderní ověřování pro Outlook na webu (OWA) a Exchange Ovládací panely (ECP), je důležité také ověřit příslušné adresáře.

4. Zkontrolujte objekt EvoSTS Auth Server.

5. Ujistěte se, že Exchange Server certifikát OAuth je platný. Skript skriptu MonitorExchangeAuthCertificate lze použít k ověření platnosti certifikátu OAuth. V případě vypršení platnosti skript pomůže s procesem obnovení.

6. Ujistěte se, že se všechny identity uživatelů synchronizují s Microsoft Entra ID, zejména se všemi účty, které se používají ke správě. Jinak přihlášení přestane fungovat, dokud se nesynchronní. Účty, jako je například předdefinovaný správce, se nikdy nebudou synchronizovat s Microsoft Entra ID, a proto je po povolení HMA nebude možné použít při žádném přihlášení OAuth. Toto chování je způsobeno atributem isCriticalSystemObject , který je u některých účtů, včetně výchozího správce, nastavený na True hodnotu .

7. (Volitelné) Pokud chcete používat klienta Outlooku pro iOS a Android, nezapomeňte službě Automatické rozpoznávání povolit připojení k vašemu Exchange Server.

8. Povolte HMA v místním Exchange.

Požadavky na povolení hybridního moderního ověřování

V této části poskytujeme informace a kroky, které je potřeba provést, aby bylo možné úspěšně nakonfigurovat a povolit hybridní moderní ověřování v Microsoft Exchange Server.

Exchange Server konkrétní požadavky

Servery Exchange musí před konfigurací a povolením hybridního moderního ověřování splňovat následující požadavky. Pokud máte hybridní konfiguraci, musíte spustit nejnovější kumulativní aktualizaci, aby byla v podporovaném stavu. Podporované verze Exchange Server a sestavení najdete v matici podpory Exchange Server. Hybridní moderní ověřování musí být nakonfigurované jednotně na všech serverech Exchange v rámci vaší organizace. Částečná implementace, kdy je HMA povolený pouze na podmnožině serverů, se nepodporuje.

• Ujistěte se, že v organizaci neexistují žádné servery Exchange s ukončenou životností.
• Exchange Server 2016 musí používat CU8 nebo novější.
• Exchange Server 2019 musí běžet CU1 nebo novější.
• Ujistěte se, že se všechny servery můžou připojit k internetu. Pokud se vyžaduje proxy server, nakonfigurujte Exchange Server, aby ho používal.
• Pokud už máte hybridní konfiguraci, ujistěte se, že se jedná o klasické hybridní nasazení, protože moderní hybrid nepodporuje HMA.
• Ujistěte se, že se nepoužívá přesměrování zpracování SSL (nepodporuje se). Je však možné použít přemostění SSL a je podporováno.

Další informace najdete také v tématu Přehled hybridního moderního ověřování a požadavky na jeho použití s místními Skype pro firmy a servery Exchange.

Protokoly, které pracují s hybridním moderním ověřováním

Hybridní moderní ověřování funguje pro následující protokoly Exchange Server:

Protocol (Protokol)	Podporované hybridní moderní ověřování
MAPI přes HTTP (MAPI/HTTP)	Ano
Outlook Anywhere (RPC/HTTP)	Ne
Exchange Active Sync (EAS)	Ano
Webové služby Exchange (EWS)	Ano
Outlook na webu (OWA)	Ano
Exchange Správa Center (ECP)	Ano
Offline adresář (OAB)	Ano
IMAP	Ne
BOUCHNOUT	Ne

Přidání adres URL místní webové služby jako hlavní názvy služeb (SPN) v Microsoft Entra ID

Spusťte příkazy, které přiřazují adresy URL místních webových služeb jako Microsoft Entra hlavní názvy služeb (SPN). Hlavní názvy služeb používají klientské počítače a zařízení během ověřování a autorizace. Všechny adresy URL, které se dají použít pro připojení z místního prostředí k Microsoft Entra ID, musí být zaregistrované v Microsoft Entra ID (včetně interních i externích oborů názvů).

1. Nejprve na Microsoft Exchange Server spusťte následující příkazy:

   Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
   Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
   

   Ujistěte se, že adresy URL, ke které se klienti mohou připojit, jsou v Microsoft Entra ID uvedené jako hlavní názvy služeb HTTPS. V případě, že je místní Exchange v hybridním prostředí s více tenanty, měly by se tyto hlavní názvy služeb HTTPS přidat do Microsoft Entra ID všech tenantů v hybridním prostředí s místním Exchangem.

2. Nainstalujte modul Microsoft Graph PowerShellu:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Pak se podle těchto pokynů připojte k Microsoft Entra ID. Pokud chcete vyjádřit souhlas s požadovanými oprávněními, spusťte následující příkaz:

   Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
   

4. Pro adresy URL související s Exchangem zadejte následující příkaz:

   Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
   

   Poznamenejte si výstup tohoto příkazu, který by měl obsahovat https://*autodiscover.yourdomain.com* adresu URL a https://*mail.yourdomain.com* , ale většinou se skládat z hlavních názvů služeb začínajících 00000002-0000-0ff1-ce00-000000000000/na . https:// Pokud chybí adresy URL z místního prostředí, měly by se tyto konkrétní záznamy přidat do tohoto seznamu.

5. Pokud v tomto seznamu nevidíte interní a externí MAPI/HTTPzáznamy , EWS, ActiveSync, OABa AutoDiscover , musíte je přidat. Pomocí následujícího příkazu přidejte všechny adresy URL, které chybí. V našem příkladu jsou mail.corp.contoso.com přidané adresy URL a owa.contoso.com. Ujistěte se, že jsou nahrazené adresami URL nakonfigurovanými ve vašem prostředí.

   $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
   $x.ServicePrincipalNames += "https://owa.contoso.com/"
   Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
   

6. Ověřte, že se nové záznamy přidaly, opětovným spuštěním Get-MgServicePrincipal příkazu z kroku 4 a ověřením výstupu. Porovnejte seznam z předchozí verze s novým seznamem hlavních názvů služby. Můžete si také poznamenat nový seznam záznamů. Pokud jste úspěšní, měly by se v seznamu zobrazit dvě nové adresy URL. V našem příkladu teď seznam hlavních názvů služeb (SPN) obsahuje konkrétní adresy URL https://mail.corp.contoso.com a https://owa.contoso.com.

Ověření správné konfigurace virtuálních adresářů

Teď spuštěním následujících příkazů ověřte, že je na Serveru správně povolený protokol OAuth ve všech virtuálních adresářích, které Outlook může používat:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Zkontrolujte výstup a ujistěte se, že OAuth je pro každý z těchto virtuálních adresářů povolený, vypadá nějak takto (a klíčové, co je potřeba se podívat, je, jak bylo OAuth zmíněno výše):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Pokud na libovolném serveru a některém z pěti virtuálních adresářů chybí OAuth, musíte ho přidat pomocí příslušných příkazů, než budete pokračovat (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) a Set-ActiveSyncVirtualDirectory.

Ověřte, že je k dispozici objekt serveru ověřování EvoSTS.

Teď na Exchange Server místním prostředí Management Shell (EMS) spusťte tento poslední příkaz. Můžete ověřit, že místní Exchange Server vrací položku pro zprostředkovatele ověřování evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Ve výstupu by se měl zobrazit AuthServer s názvem EvoSts - <GUID> a Enabled stav by měl být True. Pokud tomu tak není, měli byste si stáhnout a spustit nejnovější verzi Průvodce hybridní konfigurací.

V případě, že Exchange Server místně spustí hybridní konfiguraci s více tenanty, ve výstupu se zobrazí jeden AuthServer s názvem EvoSts - <GUID> pro každého tenanta v hybridním prostředí s Exchange Server místně a Enabled stav by měl být True pro všechny tyto objekty AuthServer. Poznamenejte si identifikátor EvoSts - <GUID>, protože bude vyžadován v dalším kroku.

Povolit HMA

V Exchange Server místního prostředí Management Shell (EMS) spusťte následující příkazy a nahraďte <GUID> v příkazovém řádku identifikátorEM GUID z výstupu posledního příkazu, který jste spustili. Ve starších verzích Průvodce hybridní konfigurací byl EvoSts AuthServer pojmenován EvoSTS bez připojeného identifikátoru GUID. Není potřeba provést žádnou akci, stačí změnit předchozí příkazový řádek odebráním části příkazu GUID.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Pokud je Exchange Server místní verze Exchange Server 2016 (CU18 nebo vyšší) nebo Exchange Server 2019 (CU7 nebo vyšší) a hybridní verze byla nakonfigurována pomocí hcw stažené po září 2020, spusťte následující příkaz v Exchange Server místním prostředí Management Shell (EMS). DomainName Jako parametr použijte hodnotu domény tenanta, která je obvykle ve tvaru contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

V případě Exchange Server je místní prostředí hybridní s více tenanty, existuje v Exchange Server místních organizacích několik objektů AuthServer s doménami odpovídajícími každému tenantovi. Příznak IsDefaultAuthorizationEndpoint by měl být nastavený na True pro některý z těchto objektů AuthServer. Příznak nelze nastavit na true pro všechny objekty AuthServer a HMA by byl povolen i v případě, že je jeden z těchto příznaků objektu IsDefaultAuthorizationEndpoint AuthServer nastavený na true.

Důležité

Když pracujete s více tenanty , musí být všichni ve stejném cloudovém prostředí, například ve všech Global nebo v GCC. Nemůžou existovat v různých prostředích, jako je jeden tenant v Global systému a jiný v GCCprostředí .

Ověřit

Po povolení HMA se při dalším přihlášení klienta použije nový tok ověřování. Když zapnete HMA, neaktivuje se opětovné ověření u žádného klienta a může chvíli trvat, než Exchange Server převezme nové nastavení. Tento proces nevyžaduje vytvoření nového profilu.

Měli byste také podržet stisknutou klávesu CTRL současně, když kliknete pravým tlačítkem myši na ikonu klienta Outlooku (také na hlavním panelu oznámení Windows) a vyberete Connection Status. Vyhledejte adresu SMTP klienta proti AuthN typu Bearer\*, který představuje nosný token použitý v OAuth.

Povolení hybridního moderního ověřování pro OWA a ECP

Hybridní moderní ověřování je teď možné povolit také pro OWA a ECP. Než budete pokračovat, ujistěte se, že jsou splněné požadavky .

Po povolení hybridního moderního ověřování pro OWA a ECPbudou všichni koncoví uživatelé a správci, kteří se pokusí přihlásit OWA k nebo ECP budou nejprve přesměrováni na stránku Microsoft Entra ID ověřování. Po úspěšném ověření bude uživatel přesměrován na OWA adresu nebo ECP.

Požadavky na povolení hybridního moderního ověřování pro OWA a ECP

Důležité

Na všech serverech musí být nainstalovaná alespoň aktualizace Exchange Server 2019 CU14. Musí také spustit Exchange Server 2019 CU14 z dubna 2024 HU nebo novější aktualizaci.

Pokud chcete povolit hybridní moderní ověřování pro OWA a ECP, musí být všechny identity uživatelů synchronizovány s Microsoft Entra ID. Kromě toho je důležité, aby se nastavení OAuth mezi místním Exchange Server a Exchange Online vytvořilo před provedením dalších kroků konfigurace.

Zákazníci, kteří již spustili Průvodce hybridní konfigurací (HCW) ke konfiguraci hybridního využití, mají zavedenou konfiguraci OAuth. Pokud jste OAuth ještě nenakonfigurovali, můžete to provést spuštěním hcw nebo postupujte podle kroků uvedených v dokumentaci Konfigurace ověřování OAuth mezi Exchangem a Exchange Online organizacemi.

Před provedením jakýchkoli změn doporučujeme zdokumentovat OwaVirtualDirectory nastavení a EcpVirtualDirectory . Tato dokumentace vám umožní obnovit původní nastavení v případě jakýchkoli problémů po konfiguraci funkce.

Postup povolení hybridního moderního ověřování pro OWA a ECP

Upozornění

Publikování Outlook Web App (OWA) a Exchange Ovládací panely (ECP) prostřednictvím proxy aplikací Microsoft Entra není podporováno.

1. Zadejte dotaz na OWAECP adresy a, které jsou nakonfigurované v místním Exchange Server. To je důležité, protože je potřeba je přidat jako adresu URL odpovědi do Microsoft Entra ID:

   Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
   Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
   

2. Pokud ještě není nainstalovaný modul Microsoft Graph PowerShell, nainstalujte ho:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Připojte se k Microsoft Entra ID pomocí těchto pokynů. Pokud chcete vyjádřit souhlas s požadovanými oprávněními, spusťte následující příkaz:

   Connect-Graph -Scopes User.Read, Application.ReadWrite.All
   

4. Zadejte adresy URL a OWAECP a aktualizujte aplikaci pomocí adres URL odpovědí:

   $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
   

5. Ověřte, že adresy URL odpovědí byly úspěšně přidány:

   (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
   

6. Pokud chcete Exchange Server místní možnosti provádět hybridní moderní ověřování, postupujte podle kroků uvedených v části Povolení HMA.

7. (Volitelné) Vyžaduje se pouze v případě, že se používají domény pro stahování :

   Vytvořte nové přepsání globálního nastavení spuštěním následujících příkazů z prostředí Exchange Management Shell (EMS) se zvýšenými oprávněními. Na jednom Exchange Server spusťte tyto příkazy:

   New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

8. (Volitelné) Vyžaduje se pouze ve scénářích topologie doménové struktury prostředků Exchange :

   Do uzlu <ExchangeInstallPath>\ClientAccess\Owa\web.config souboru přidejte následující klíče<appSettings>. Udělejte to na každém Exchange Server:

   <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
   <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
   

   Vytvořte nové přepsání globálního nastavení spuštěním následujících příkazů z prostředí Exchange Management Shell (EMS) se zvýšenými oprávněními. Na jednom Exchange Server spusťte tyto příkazy:

   New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

9. Pokud chcete povolit hybridní moderní ověřování pro OWA a ECP, musíte v těchto virtuálních adresářích nejprve zakázat jakoukoli jinou metodu ověřování. Je důležité provést konfiguraci v daném pořadí. Pokud to neuděláte, může se během provádění příkazu zobrazit chybová zpráva.
   
   Spuštěním těchto příkazů pro každý OWA a ECP virtuální adresář na každém Exchange Server zakažte všechny ostatní metody ověřování:

   Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   

   Důležité

   Ujistěte se, že jsou všechny účty synchronizované s Microsoft Entra ID, zejména se všemi účty, které se používají pro správu. Jinak přihlášení přestane fungovat, dokud se nesynchronní. Účty, jako je například předdefinovaný správce, se nebudou synchronizovat s Microsoft Entra ID, a proto je po povolení HMA pro OWA a ECP nebude možné použít ke správě. Toto chování je způsobeno atributem isCriticalSystemObject , který je u některých účtů nastavený na True hodnotu .

10. Pro virtuální adresář a ECP povolte OAuthOWA. Je důležité provést konfiguraci v daném pořadí. Pokud to neuděláte, může se během provádění příkazu zobrazit chybová zpráva. Pro každý OWA a ECP virtuální adresář na každém Exchange Server musí být spuštěny tyto příkazy:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
    

Použití hybridního moderního ověřování v Outlooku pro iOS a Android

Pokud chcete používat klienta Outlooku pro iOS a Android společně s hybridním moderním ověřováním, nezapomeňte službě Automatické rozpoznávání povolit připojení k vašemu Exchange Server na TCP 443 (HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Rozsahy IP adres najdete také v části Další koncové body, které nejsou uvedené v dokumentaci k Office 365 IP adresy a webové službě URL.

Související články

Požadavky na konfiguraci moderního ověřování pro přechod z Office 365 dedicated/ITAR na vNext