Sådan konfigurerer du Exchange Server i det lokale miljø til at bruge hybrid moderne godkendelse

Oversigt

Hybrid Modern Authentication (HMA) i Microsoft Exchange Server er en funktion, der giver brugerne mulighed for at få adgang til postkasser, som hostes i det lokale miljø, ved hjælp af godkendelsestokens, der er hentet fra cloudmiljøet.

HMA gør det muligt for Outlook at hente Access- og Refresh OAuth-tokens fra Microsoft Entra ID enten direkte til synkronisering af adgangskodehash eller Pass-Through Auth-identiteter eller fra deres egen STS (Secure Token Service) for organisationsnetværkede identiteter. Exchange i det lokale miljø accepterer disse tokens og giver adgang til postkassen. Metoden til hentning af disse tokens og de påkrævede legitimationsoplysninger bestemmes af identitetsudbyderens (iDP' funktionalitet), som kan variere fra simpelt brugernavn og adgangskode til mere komplekse metoder, f.eks. certifikater, telefongodkendelse eller biometriske metoder.

Hvis HMA skal fungere, skal brugerens identitet være til stede i Microsoft Entra ID, og der kræves en del konfiguration, som håndteres af guiden Exchange Hybrid Configuration (HCW).

I forhold til ældre godkendelsesmetoder, f.eks. NTLM, tilbyder HMA flere fordele. Det giver en mere sikker og fleksibel godkendelsesmetode, der udnytter styrken ved skybaseret godkendelse. I modsætning til NTLM, der er afhængig af en mekanisme til svar på udfordringer og ikke understøtter moderne godkendelsesprotokoller, bruger HMA OAuth-tokens, som er mere sikre og giver bedre interoperabilitet.

HMA er en effektiv funktion, der øger fleksibiliteten og sikkerheden ved at få adgang til programmer i det lokale miljø ved at udnytte styrken ved skybaseret godkendelse. Det er en væsentlig forbedring i forhold til ældre godkendelsesmetoder, der giver forbedret sikkerhed, fleksibilitet og brugervenlighed.

Trin, der skal følges for at konfigurere og aktivere Hybrid Modern Auth

Hvis du vil aktivere Hybrid Modern Authentication (HMA), skal du sikre, at din organisation opfylder alle nødvendige forudsætninger. Derudover skal du bekræfte, at din Office-klient er kompatibel med moderne godkendelse. Du kan finde flere oplysninger i dokumentationen om , hvordan moderne godkendelse fungerer for Office 2013- og Office 2016-klientapps.

1. Sørg for, at du opfylder forudsætningerne, før du begynder.

2. Føj URL-adresser til webtjenesten i det lokale miljø til Microsoft Entra ID. URL-adresserne skal tilføjes som Service Principal Names (SPNs). Hvis din Exchange Server konfiguration er i hybrid med flere lejere, skal disse URL-adresser til webtjenesten i det lokale miljø tilføjes som SPN'er i Microsoft Entra ID for alle lejere, som er hybride med Exchange Server i det lokale miljø.

3. Sørg for, at alle virtuelle mapper er aktiveret for HMA. Hvis du vil konfigurere hybrid moderne godkendelse til Outlook på internettet (OWA) og Exchange Kontrolpanel (ECP), er det vigtigt også at bekræfte de respektive mapper.

4. Kontrollér, om objektet EvoSTS Auth Server er markeret.

5. Kontrollér, at det Exchange Server OAuth-certifikat er gyldigt. Scriptet MonitorExchangeAuthCertificate kan bruges til at bekræfte gyldigheden af OAuth-certifikatet. I tilfælde af at det udløber, hjælper scriptet med fornyelsesprocessen.

6. Sørg for, at alle brugeridentiteter synkroniseres med Microsoft Entra ID, især alle konti, der bruges til administration. Ellers holder logon op med at fungere, indtil de synkroniseres. Konti, f.eks. den indbyggede administrator, synkroniseres aldrig med Microsoft Entra ID og kan derfor ikke bruges på noget OAuth-logon, når HMA er blevet aktiveret. Denne funktionsmåde skyldes attributten isCriticalSystemObject , som er angivet til True for nogle konti, herunder standardadministratoren.

7. (Valgfrit) Hvis du vil bruge Outlook til iOS- og Android-klienten, skal du sørge for at tillade, at tjenesten Registrer automatisk opretter forbindelse til din Exchange Server.

8. Aktivér HMA i Exchange i det lokale miljø.

Forudsætninger for aktivering af hybridmodernisk godkendelse

I dette afsnit indeholder vi oplysninger og trin, der skal udføres for at kunne konfigurere og aktivere hybridmodernisk godkendelse i Microsoft Exchange Server.

Exchange Server specifikke forudsætninger

Dine Exchange-servere skal opfylde følgende krav, før hybrid moderne godkendelse kan konfigureres og aktiveres. Hvis du har en hybridkonfiguration, skal du køre den seneste kumulative opdatering (CU) for at være i en understøttet tilstand. Du kan finde de understøttede Exchange Server versioner og bygge i Exchange Server supportmatrix. Hybrid moderne godkendelse skal konfigureres ensartet på tværs af alle Exchange-servere i din organisation. Delvis implementering, hvor HMA kun er aktiveret på et undersæt af servere, understøttes ikke.

• Sørg for, at der ikke er nogen Exchange-servere, der slutter med livet, i organisationen.
• Exchange Server 2016 skal køre CU8 eller nyere.
• Exchange Server 2019 skal køre CU1 eller nyere.
• Sørg for, at alle servere kan oprette forbindelse til internettet. Hvis der kræves en proxy, skal du konfigurere Exchange Server til at bruge den.
• Hvis du allerede har en hybridkonfiguration, skal du sørge for, at det er en klassisk hybridinstallation, da moderne hybrid ikke understøtter HMA.
• Sørg for, at SSL-aflastning ikke bruges (det understøttes ikke). SSL-broer kan dog bruges og understøttes.

Du kan også finde flere oplysninger i oversigten over hybridmoderne godkendelse og forudsætninger for at bruge den med dokumentation til Skype for Business- og Exchange-servere i det lokale miljø.

Protokoller, der fungerer med Hybrid Modern Auth

Hybrid moderne godkendelse fungerer for følgende Exchange Server protokoller:

Protokol	Hybrid moderne godkendelse understøttes
MAPI via HTTP (MAPI/HTTP)	Ja
Outlook Anywhere (RPC/HTTP)	Nej
Exchange Active Sync (EAS)	Ja
Exchange Web Services (EWS)	Ja
Outlook på internettet (OWA)	Ja
Exchange Administration Center (ECP)	Ja
Offlineadressekartotek (OAB)	Ja
IMAP	Nej
POP	Nej

Tilføj URL-adresser til webtjenesten i det lokale miljø som SPN'er i Microsoft Entra ID

Kør de kommandoer, der tildeler URL-adresserne til webtjenesten i det lokale miljø som Microsoft Entra SPN'er. SPN'er bruges af klientcomputere og enheder under godkendelse og godkendelse. Alle de URL-adresser, der kan bruges til at oprette forbindelse fra det lokale miljø til Microsoft Entra ID, skal registreres i Microsoft Entra ID (herunder både interne og eksterne navneområder).

1. Kør først følgende kommandoer på Microsoft Exchange Server:

   Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
   Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
   

   Sørg for, at URL-adresserne, som klienter kan oprette forbindelse til, er angivet som HTTPS-tjenesteprincipalnavne i Microsoft Entra ID. Hvis Exchange i det lokale miljø er i hybrid med flere lejere, skal disse HTTPS-SPN'er tilføjes i Microsoft Entra ID for alle lejere i hybrid med Exchange i det lokale miljø.

2. Installér Microsoft Graph PowerShell-modulet:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Opret derefter forbindelse til Microsoft Entra ID ved at følge disse instruktioner. Kør følgende kommando for at give samtykke til de påkrævede tilladelser:

   Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
   

4. Skriv følgende kommando for dine Exchange-relaterede URL-adresser:

   Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
   

   Notér outputtet fra denne kommando, som skal indeholde en https://*autodiscover.yourdomain.com* OG https://*mail.yourdomain.com* URL-adresse, men hovedsageligt består af SPN'er, der starter med 00000002-0000-0ff1-ce00-000000000000/. Hvis der mangler https:// URL-adresser fra dit lokale miljø, skal disse specifikke poster føjes til listen.

5. Hvis du ikke kan se dine interne og eksterne MAPI/HTTP, EWS, ActiveSync, OABog AutoDiscover poster på denne liste, skal du tilføje dem. Brug følgende kommando til at tilføje alle manglende URL-adresser. I vores eksempel er mail.corp.contoso.com de URL-adresser, der tilføjes, og owa.contoso.com. Sørg for, at de erstattes af de URL-adresser, der er konfigureret i dit miljø.

   $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
   $x.ServicePrincipalNames += "https://owa.contoso.com/"
   Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
   

6. Kontrollér, at de nye poster blev tilføjet, ved at køre Get-MgServicePrincipal kommandoen fra trin 4 igen, og valider outputtet. Sammenlign listen fra før med den nye liste over SPN'er. Du kan også notere den nye liste for dine poster. Hvis du lykkes, kan du se de to nye URL-adresser på listen. I eksemplet indeholder listen over SPN'er nu de specifikke URL-adresser https://mail.corp.contoso.com og https://owa.contoso.com.

Kontrollér, at virtuelle mapper er konfigureret korrekt

Kontrollér nu, at OAuth er korrekt aktiveret i Exchange på alle de virtuelle mapper, som Outlook kan bruge, ved at køre følgende kommandoer:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Kontrollér outputtet for at sikre, OAuth at er aktiveret for hver af disse virtuelle mapper, det ser nogenlunde sådan ud (og det vigtigste at se på er OAuth som nævnt før):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Hvis OAuth mangler fra en server og en af de fem virtuelle mapper, skal du tilføje den ved hjælp af de relevante kommandoer, før du fortsætter (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) og Set-ActiveSyncVirtualDirectory.

Bekræft, at EvoSTS-godkendelsesserverobjektet er til stede

Kør den sidste kommando nu på Exchange Server EMS (Management Shell) i det lokale miljø. Du kan validere, at dit Exchange Server i det lokale miljø returnerer en post for evoSTS-godkendelsesprovideren:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Dit output skal vise en AuthServer med navnet , EvoSts - <GUID> og tilstanden Enabled skal være True. Hvis det ikke er tilfældet, skal du downloade og køre den nyeste version af guiden Hybridkonfiguration.

Hvis Exchange Server i det lokale miljø kører en hybridkonfiguration med flere lejere, viser dit output én AuthServer med navnet EvoSts - <GUID> for hver lejer i hybrid med Exchange Server i det Enabled lokale miljø, og tilstanden skal være True for alle disse AuthServer-objekter. Notér identifikatoren EvoSts - <GUID>, da det vil være påkrævet i det efterfølgende trin.

Aktivér HMA

Kør følgende kommandoer i Exchange Server Management Shell (EMS) i det lokale miljø, og erstat <GUID> på kommandolinjen med GUID'et fra outputtet fra den sidste kommando, du kørte. I ældre versioner af guiden Hybridkonfiguration blev EvoSts AuthServer navngivet EvoSTS uden et tilknyttet GUID. Der er ingen handling, du skal udføre. Du skal blot ændre den foregående kommandolinje ved at fjerne GUID-delen af kommandoen.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Hvis den Exchange Server version i det lokale miljø er Exchange Server 2016 (CU18 eller nyere) eller Exchange Server 2019 (CU7 eller nyere), og hybriden blev konfigureret ved hjælp af HCW downloadet efter september 2020, skal du køre følgende kommando i Exchange Server Management Shell i det lokale miljø (EMS). For parameteren DomainName skal du bruge værdien for lejerdomænet, som normalt er i formatet contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Hvis Exchange Server i det lokale miljø er i hybrid med flere lejere, er der flere AuthServer-objekter i Exchange Server organisationer i det lokale miljø med domæner, der svarer til hver lejer. Flaget IsDefaultAuthorizationEndpoint skal angives til True for et af disse AuthServer-objekter. Flaget kan ikke angives til sand for alle AuthServer-objekter, og HMA vil være aktiveret, selvom et af disse AuthServer-objektflag IsDefaultAuthorizationEndpoint er angivet til sand.

Vigtigt!

Når du arbejder med flere lejere , skal de alle være i det samme cloudmiljø, f.eks. alle i Global eller alle i GCC. De kan ikke findes i blandede miljøer, f.eks. én lejer i Global og en anden i GCC.

Kontrolere

Når du aktiverer HMA, bruger en klients næste logon det nye godkendelsesflow. Hvis du bare aktiverer HMA, udløses der ikke en godkendelse for en hvilken som helst klient, og det kan tage et stykke tid for Exchange Server at hente de nye indstillinger. Denne proces kræver ikke oprettelse af en ny profil.

Du skal også holde tasten nede CTRL , samtidig med at du højreklikker på ikonet for Outlook-klienten (også på proceslinjen i Windows) og vælger Connection Status. Søg efter klientens SMTP-adresse i forhold til typen AuthNBearer\*, som repræsenterer det ihændehavertoken, der bruges i OAuth.

Aktivér hybrid moderne godkendelse for OWA og ECP

Hybrid moderne godkendelse kan nu også aktiveres for OWA og ECP. Sørg for, at forudsætningerne er opfyldt, før du fortsætter.

Når hybrid moderne godkendelse er aktiveret for OWA og ECP, omdirigeres hver slutbruger og administrator, der forsøger at logge på OWA ellerECP, først til siden til Microsoft Entra ID godkendelse. Når godkendelsen er fuldført, omdirigeres brugeren til OWA eller ECP.

Forudsætninger for aktivering af hybrid moderne godkendelse for OWA og ECP

Vigtigt!

Alle servere skal have mindst Exchange Server 2019 CU14-opdateringen installeret. De skal også køre Exchange Server 2019 CU14 april 2024 HU eller en nyere opdatering.

Hvis du vil aktivere hybrid moderne godkendelse for OWA og ECP, skal alle brugeridentiteter synkroniseres med Microsoft Entra ID. Derudover er det vigtigt, at OAuth-konfiguration mellem Exchange Server i det lokale miljø og Exchange Online er etableret, før der kan udføres yderligere konfigurationstrin.

Kunder, der allerede har kørt guiden Hybrid Configuration (HCW) for at konfigurere hybrid, har en OAuth-konfiguration på plads. Hvis OAuth ikke var konfigureret før, kan det gøres ved at køre HCW eller ved at følge trinnene som beskrevet i dokumentationen Konfigurer OAuth-godkendelse mellem Exchange og Exchange Online organisationer.

Det anbefales at dokumentere OwaVirtualDirectory indstillingerne og EcpVirtualDirectory , før du foretager ændringer. Denne dokumentation giver dig mulighed for at gendanne de oprindelige indstillinger, hvis der opstår problemer efter konfigurationen af funktionen.

Trin til aktivering af hybrid moderne godkendelse for OWA og ECP

Advarsel

Publicering af Outlook Web App (OWA) og Exchange Kontrolpanel (ECP) via Microsoft Entra programproxy understøttes ikke.

1. Forespørg om url-adresserne OWA og ECP , der er konfigureret på din Exchange Server i det lokale miljø. Dette er vigtigt, fordi de skal føjes som svar-URL-adresse til Microsoft Entra ID:

   Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
   Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
   

2. Installér Microsoft Graph PowerShell-modulet, hvis det endnu ikke er installeret:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Opret forbindelse til Microsoft Entra ID med denne vejledning. Kør følgende kommando for at give samtykke til de påkrævede tilladelser:

   Connect-Graph -Scopes User.Read, Application.ReadWrite.All
   

4. Angiv URL-adresserne OWA og ECP , og opdater programmet med url-adresserne til svar:

   $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
   

5. Kontrollér, at URL-adresserne til svaret er blevet tilføjet:

   (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
   

6. Hvis du vil aktivere Exchange Server mulighed for at udføre hybrid moderne godkendelse i det lokale miljø, skal du følge de trin, der er beskrevet i afsnittet Aktivér HMA.

7. (Valgfrit) Kræves kun, hvis downloaddomæner bruges:

   Opret en ny global indstilling tilsidesættes ved at køre følgende kommandoer fra en Udvidet Exchange Management Shell (EMS). Kør disse kommandoer på én Exchange Server:

   New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

8. (Valgfrit) Kun påkrævet i scenarier med exchange-ressourceskovtopologi :

   Føj følgende nøgler til noden <appSettings> i <ExchangeInstallPath>\ClientAccess\Owa\web.config filen. Gør dette på hver Exchange Server:

   <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
   <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
   

   Opret en ny global indstilling tilsidesættes ved at køre følgende kommandoer fra en Udvidet Exchange Management Shell (EMS). Kør disse kommandoer på én Exchange Server:

   New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

9. Hvis du vil aktivere hybrid moderne godkendelse for OWA og ECP, skal du først deaktivere alle andre godkendelsesmetoder i disse virtuelle mapper. Det er vigtigt at udføre konfigurationen i den angivne rækkefølge. Hvis du ikke gør det, kan det resultere i en fejlmeddelelse under udførelsen af kommandoen.
   
   Kør disse kommandoer for hver OWA og ECP en virtuel mappe på hver Exchange Server for at deaktivere alle andre godkendelsesmetoder:

   Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   

   Vigtigt!

   Sørg for, at alle konti er synkroniseret til Microsoft Entra ID, især alle konti, der bruges til administration. Ellers holder logon op med at fungere, indtil de synkroniseres. Konti, f.eks. den indbyggede administrator, synkroniseres ikke med Microsoft Entra ID og kan derfor ikke bruges til administration, når HMA for OWA og ECP er blevet aktiveret. Denne funktionsmåde skyldes attributten isCriticalSystemObject , som er angivet til True for nogle konti.

10. Aktivér OAuth for den OWA virtuelle mappe og ECP . Det er vigtigt at udføre konfigurationen i den angivne rækkefølge. Hvis du ikke gør det, kan det resultere i en fejlmeddelelse under udførelsen af kommandoen. For hver OWA virtuel ECP mappe på hver Exchange Server skal disse kommandoer køres:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
    

Brug af moderne hybridgodkendelse med Outlook til iOS og Android

Hvis du vil bruge Outlook til iOS- og Android-klienten sammen med hybrid moderne godkendelse, skal du sørge for at tillade, at tjenesten AutoDetect opretter forbindelse til din Exchange Server på TCP 443 (HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

IP-adresseintervaller findes også i yderligere slutpunkter, der ikke er inkluderet i dokumentationen til Office 365 IP-adresse og URL-webtjeneste.

Relaterede artikler

Krav til moderne godkendelseskonfiguration for overgang fra Office 365 dedikeret/ITAR til vNext