Exchange Server määrittäminen käyttämään hybridimodernia todennusta

Yleiskatsaus

Hybrid Modern Authentication (HMA) in Microsoft Exchange Server on ominaisuus, jonka avulla käyttäjät voivat käyttää paikallisesti isännöityjä postilaatikoita käyttämällä pilvipalvelusta hankittuja valtuutustunnuksia.

HMA:n avulla Outlook voi hankkia Access- ja Refresh OAuth -tunnukset Microsoft Entra ID joko suoraan salasanan hajautuksia tai Pass-Through todennustunnuksia varten tai omasta STS-tunnuksestaan organisaation ulkopuoliselle käyttäjätiteetille. Paikallinen Exchange hyväksyy nämä tunnukset ja tarjoaa postilaatikon käyttöoikeuden. Näiden tunnusten ja tarvittavien tunnistetietojen hankkimismenetelmä määräytyy tunnistetietopalvelun (iDP) ominaisuuksien perusteella. Ne voivat vaihdella yksinkertaisesta käyttäjänimestä ja salasanasta monimutkaisempiin menetelmiin, kuten varmenteihin, puhelimen todennusta tai biometrisiin menetelmiin.

Jotta HMA toimisi, käyttäjän käyttäjätietojen on oltava Microsoft Entra ID. Jotkin määritykset vaaditaan, ja niitä käsitellään ohjatussa Exchange Hybrid Configuration Wizard -toiminnossa (HCW).

Verrattuna vanhoihin todentamismenetelmiin, kuten NTLM:iin, HMA tarjoaa useita etuja. Se tarjoaa turvallisemman ja joustavamman todennusmenetelmän, joka hyödyntää pilvipohjaisen todentamisen tehoa. Toisin kuin NTLM, joka on riippuvainen haastevastausmekanismista eikä tue nykyaikaisia todennusprotokollia, HMA käyttää OAuth-tunnuksia, jotka ovat turvallisempia ja tarjoavat paremman yhteentoimivuuden.

HMA on tehokas ominaisuus, joka parantaa paikallisten sovellusten käytön joustavuutta ja suojausta hyödyntäen pilvipohjaisen todentamisen tehoa. Se on merkittävä parannus vanhoihin todennusmenetelmiin verrattuna tarjoten entistä paremman suojauksen, joustavuuden ja käyttömukavuuden.

Ohjeet Hybrid Modern Authin määrittämiseen ja käyttöön ottamiseksi

Jotta hybrid modern authentication (HMA) voidaan ottaa käyttöön, sinun on varmistettava, että organisaatiosi täyttää kaikki tarvittavat edellytykset. Varmista lisäksi, että Office-asiakkaasi on yhteensopiva modernin todennuksen kanssa. Lisätietoja on artikkelissa Modernin todennuksen toiminta Office 2013- ja Office 2016 -asiakassovelluksissa.

1. Varmista, että täytät edellytykset ennen aloittamista.

2. Lisää paikalliset verkkopalvelun URL-osoitteet Microsoft Entra ID. URL-osoitteet on lisättävä muodossa Service Principal Names (SPNs). Jos Exchange Server määritys on yhdistelmäkäyttöinen useiden vuokraajien kanssa, nämä paikallisen verkkopalvelun URL-osoitteet on lisättävä palvelun päänimeksi kaikkien vuokralaisten Microsoft Entra ID, jotka ovat yhdistelmäkäytössä paikallisen Exchange Server kanssa.

3. Varmista, että kaikki näennäishakemistot on otettu käyttöön HMA:ssa. Jos haluat määrittää Modernin hybrid-todennuksen Outlookin verkkoversiolle (OWA) ja Exchange Ohjauspaneeli :lle (ECP), on tärkeää tarkistaa myös vastaavat hakemistot.

4. Tarkista EvoSTS Auth Server -objekti.

5. Varmista, että Exchange Server OAuth -varmenne on kelvollinen. MonitorExchangeAuthCertificate-komentosarjan avulla voidaan varmistaa OAuth-varmenteen oikeellisuus. Jos komentosarja vanhentuu, se auttaa uusintaprosessissa.

6. Varmista, että kaikki käyttäjätiedot synkronoidaan Microsoft Entra ID kanssa, erityisesti kaikkien hallintatilien kanssa. Muussa tapauksessa kirjautuminen lakkaa toimimasta, kunnes ne synkronoidaan. Tilejä, kuten sisäistä järjestelmänvalvojaa, ei koskaan synkronoida Microsoft Entra ID kanssa, joten niitä ei voi käyttää missään OAuth-kirjautumisessa, kun HMA on otettu käyttöön. Tämä ongelma johtuu määritteessä isCriticalSystemObject , jonka arvoksi True on määritetty joillekin tileille, kuten oletusjärjestelmänvalvojalle.

7. (Valinnainen) Jos haluat käyttää Outlook for iOS- ja Android-asiakasohjelmia, varmista, että sallit automaattisen tunnistettavan palvelun muodostaa yhteyden Exchange Server.

8. Ota HMA käyttöön Exchangessa paikallisesti.

Hybrid Modern Auth -todennusta edellyttävät

Tässä osiossa annetaan tietoja ja ohjeita, jotka on tehtävä, jotta Hybrid Modern Auth voidaan määrittää ja ottaa käyttöön Microsoft Exchange Server.

Exchange Server erityiset edellytykset

Exchange-palvelimien on täytettävä seuraavat vaatimukset, ennen kuin hybridi modernin todennuksen voi määrittää ja ottaa käyttöön. Jos sinulla on yhdistelmämääritys, sinun on suoritettava viimeisin kumulatiivinen päivitys, jotta voit olla tuetussa tilassa. Tuetut Exchange Server versiot löytyvät Exchange Server tuettavuusmatriisista. Hybrid Modern Authentication on määritettävä yhdenmukaisesti kaikissa organisaatiosi Exchange-palvelimilla. Osittaista toteutusta, jossa HMA on käytössä vain palvelimien alijoukossa, ei tueta.

• Varmista, että organisaatiossa ei ole käyttöiän lopun Exchange-palvelimia.
• Exchange Server 2016 on suoritettava cu8 tai uudempi.
• Exchange Server 2019 on suoritettava cu1 tai uudempi.
• Varmista, että kaikki palvelimet voivat muodostaa yhteyden Internetiin. Jos välityspalvelin vaaditaan, määritä Exchange Server käyttämään sitä.
• Jos sinulla on jo yhdistelmämääritys, varmista, että se on perinteinen yhdistelmäkäyttöönotto, sillä moderni hybridi ei tue HMA:a.
• Varmista, että SSL-purkua ei käytetä (sitä ei tueta). SSL-välistys on kuitenkin käytettävissä ja sitä tuetaan.

Lisätietoja on myös hybridimodernin todennuksen yleiskatsauksessa ja edellytyksissä sen käyttämiselle paikallisten Skype for Business- ja Exchange-palvelindokumentaatioiden kanssa.

Hybrid Modern Auth -todennusta toimivat protokollat

Hybrid Modern Authentication toimii seuraavissa Exchange Server protokollissa:

Protocol (Protokolla)	Hybrid Modern Auth Supported
MAPI HTTP:n välityksellä (MAPI/HTTP)	Kyllä
Outlook Anywhere (RPC/HTTP)	Ei
Exchange Active Sync (EAS)	Kyllä
Exchange Web Services (EWS)	Kyllä
Outlookin verkkoversio (OWA)	Kyllä
Exchange Hallinta Keskus (ECP)	Kyllä
Offline-osoitteisto (OAB)	Kyllä
IMAP	Ei
POP	Ei

Paikallisten verkkopalvelun URL-osoitteiden lisääminen palvelun päänimeksi Microsoft Entra ID

Suorita komennot, jotka määrittävät paikalliset verkkopalvelun URL-osoitteet palvelun päänimen Microsoft Entra. Palvelun päänimeä käytetään asiakaskoneissa ja laitteissa todentamisen ja valtuutuksen aikana. Kaikki URL-osoitteet, joita voidaan käyttää paikallisiin Microsoft Entra ID yhdistämiseen, on rekisteröitävä Microsoft Entra ID (mukaan lukien sekä sisäiset että ulkoiset nimitilat).

1. Suorita ensin seuraavat komennot Microsoft Exchange Server:

   Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
   Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
   

   Varmista, että URL-osoitteet, joihin asiakkaat saattavat muodostaa yhteyden, näkyvät Microsoft Entra ID HTTPS-palvelun pääniminä. Jos Paikallinen Exchange on yhdistelmäkäyttöinen useiden vuokraajien kanssa, nämä HTTPS-palvelun päänimet tulee lisätä kaikkien paikallisen Exchangen kanssa yhdistelmävuokraajien Microsoft Entra ID.

2. Asenna Microsoft Graph PowerShell -moduuli:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Muodosta sitten yhteys Microsoft Entra ID noudattamalla näitä ohjeita. Jos haluat antaa luvan tarvittaville käyttöoikeuksille, suorita seuraava komento:

   Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
   

4. Kirjoita Exchangeen liittyville URL-osoitteille seuraava komento:

   Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
   

   Huomaa tämän komennon tulos, jonka tulisi sisältää ja https://*autodiscover.yourdomain.com*https://*mail.yourdomain.com* URL-osoite, mutta joka koostuu enimmäkseen palvelun päänimistä, jotka alkavat merkkijonolla 00000002-0000-0ff1-ce00-000000000000/. https:// Jos paikallisista URL-osoitteista puuttuu URL-osoitteita, kyseiset tietueet on lisättävä tähän luetteloon.

5. Jos tässä luettelossa ei näy sisäisiä ja ulkoisia MAPI/HTTP, EWS, ActiveSync, OAB- ja AutoDiscover -tietueita, sinun on lisättävä ne. Lisää kaikki puuttuvat URL-osoitteet seuraavan komennon avulla. Tässä esimerkissä lisätyt URL-osoitteet ovat mail.corp.contoso.com ja owa.contoso.com. Varmista, että ne korvataan ympäristössäsi määritetyillä URL-osoitteilla.

   $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
   $x.ServicePrincipalNames += "https://owa.contoso.com/"
   Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
   

6. Varmista, että uudet tietueet on lisätty suorittamalla Get-MgServicePrincipal komento vaiheesta 4 uudelleen, ja vahvista tuloste. Vertaa luetteloa aiemmasta uuteen palvelun päänimien luetteloon. Voit myös merkitä tietueesi uuden luettelon muistiin. Jos onnistut, luettelossa pitäisi näkyä kaksi uutta URL-osoitetta. Palvelun päänimien luettelo sisältää nyt esimerkissä tietyt URL-osoitteet https://mail.corp.contoso.com ja https://owa.contoso.com.

Varmista, että näennäishakemistot on määritetty oikein

Varmista nyt, että OAuth on otettu käyttöön Exchangessa kaikissa Outlookin mahdollisesti käyttämissä näennäishakemistoissa suorittamalla seuraavat komennot:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Tarkista tuloste ja varmista, että OAuth se on käytössä kaikissa näissä virtuaalihakemistoissa, se näyttää suunnilleen tältä (ja tärkeintä on OAuth tarkastella, kuten aiemmin mainittiin):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Jos OAuth puuttuu palvelimesta ja jostakin viidestä näennäishakemistosta, sinun on lisättävä se asianmukaisilla komennoilla ennen jatkamista (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) ja Set-ActiveSyncVirtualDirectory.

Vahvista, että EvoSTS-todennuspalvelinobjekti on olemassa

Suorita nyt tämä viimeinen komento Exchange Server paikallisessa Management Shellissä (EMS). Voit varmistaa, että paikallinen Exchange Server palauttaa merkinnän evoSTS-todennuspalvelulle:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Tulosteen tulee näyttää AuthServer, jonka nimi EvoSts - <GUID> on Enabled ja tilan on oltava True. Jos näin ei ole, lataa ja suorita ohjatun hybridimääritystoiminnon uusin versio.

Jos paikallinen Exchange Server suorittaa yhdistelmämäärityksen, jossa on useita vuokraajia, tulosteessa näkyy yksi AuthServer, jolla on nimi kullekin vuokraajan nimi EvoSts - <GUID> jokaiselle hybridivuokraajalle, jossa on Exchange Server paikallisesti, ja Enabled tilan tulee olla True kaikille näille AuthServer-objekteille. Kirjoita tunniste muistiin EvoSts - <GUID>, kuten seuraavassa vaiheessa vaaditaan.

Ota HMA käyttöön

Suorita seuraavat komennot Exchange Server paikallisessa Management Shellissä (EMS) ja korvaa <GUID> komentorivillä GUID viimeisimmän suorittamasi komennon tulostuksesta. Ohjatun hybridimääritystoiminnon vanhemmissa versioissa EvoSts AuthServer nimettiin EvoSTS ilman GUID-tunnusta. Sinun ei tarvitse tehdä mitään. Muokkaa vain edeltävää komentoriviä poistamalla komennon GUID-osa.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Jos Exchange Server paikallinen versio on Exchange Server 2016 (CU18 tai uudempi) tai Exchange Server 2019 (CU7 tai uudempi) ja hybridi on määritetty syyskuun 2020 jälkeen ladatun HCW:n avulla, suorita seuraava komento Exchange Server paikallisessa Management Shellissä (EMS). Käytä parametrissa DomainName vuokraajan toimialueen arvoa, joka on yleensä muodossa contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Jos paikallinen Exchange Server on yhdistelmätilassa useiden vuokraajien kanssa, Exchange Server paikallisissa organisaatioissa on useita AuthServer-objekteja, joiden toimialueet vastaavat kutakin vuokraajaa. Jonkin IsDefaultAuthorizationEndpoint AuthServer-objektin merkinnän arvoksi True on asetettava jokin näistä. Kaikkien AuthServer-objektien merkinnän arvoksi ei voi asettaa tosi, ja HMA otetaan käyttöön, vaikka jonkin näistä AuthServer-objektin IsDefaultAuthorizationEndpoint merkinnästä olisi arvo tosi.

Tärkeää

Kun työskentelet useiden vuokraajien kanssa, niiden kaikkien on oltava samassa pilviympäristössä, kuten kaikki kohteessa Global tai kaikissa kohteessa GCC. Niitä ei voi olla yhdistelmäympäristöissä, kuten yksi vuokraaja kohteessa Global ja toinen kohteessa GCC.

Tarkistaa

Kun otat HMA:n käyttöön, asiakkaan seuraava sisäänkirjautuminen käyttää uutta todennustyönkulkua. Pelkkä HMA:n ottaminen käyttöön ei käynnistä todennusta kenellekään asiakkaalle, ja uusien asetusten noutaminen voi kestää jonkin aikaa, ennen kuin Exchange Server. Tämä prosessi ei edellytä uuden profiilin luomista.

Pidä näppäintä CTRL painettuna samalla, kun napsautat Outlook-asiakasohjelman kuvaketta hiiren kakkospainikkeella (myös Windowsin ilmoitusalueella) ja valitse Connection Status. Etsi asiakkaan SMTP-osoite tyyppiä AuthNBearer\*, joka edustaa OAuthissa käytettyä haltijatunnusta.

Ota käyttöön hybridimoderni todentaminen OWA:ssa ja ECP:ssä

Hybridi modernin todennuksen voi nyt ottaa käyttöön myös käytölle OWA ja ECP. Varmista, että edellytykset täyttyvät ennen jatkamista.

Kun hybridimoderni todennus on otettu käyttöön :lle ja:lleOWA, jokainen loppukäyttäjä ja järjestelmänvalvoja, joka yrittää kirjautua sisään OWA tai ECP ohjataan ensin Microsoft Entra ID todentamissivulle.ECP Kun todentaminen onnistui, käyttäjä ohjataan osoitteeseen OWA tai ECP.

OWA:n ja ECP:n hybridimodernin todentamisen edellytykset

Tärkeää

Kaikilla palvelimilla on oltava asennettuna vähintään Exchange Server 2019 CU14 -päivitys. Niiden on myös suoritettava Exchange Server 2019 CU14 Huhtikuu 2024 HU tai uudempi päivitys.

Jos haluat ottaa käyttöön modernin yhdistelmätodennuksen käytölle OWA ja ECP, kaikki käyttäjätiedot on synkronoitava Microsoft Entra ID kanssa. Tämän lisäksi on tärkeää, että OAuth-määritys paikallisten Exchange Server ja Exchange Online välillä on muodostettu, ennen kuin voit tehdä lisämäärityksiä.

Asiakkailla, jotka ovat jo suorittaneet ohjatun yhdistelmämääritystoiminnon (HCW) yhdistelmämäärityksen määrittämiseksi, on OAuth-määritys käytössä. Jos OAuth-todennusta ei ole määritetty aiemmin, se voidaan tehdä suorittamalla HCW tai noudattamalla OAuth-todennuksen määrittäminen Exchangen ja Exchange Online organisaatioiden välillä -dokumentaation ohjeita.

Ja -EcpVirtualDirectoryasetukset kannattaa dokumentoida OwaVirtualDirectory ennen muutosten tekemistä. Näiden ohjeiden avulla voit palauttaa alkuperäiset asetukset, jos ongelmia ilmenee ominaisuuden määrittämisen jälkeen.

OWA:n ja ECP:n hybridimodernin todennuksen käyttöönottovaiheet

Varoitus

Outlook Web App (OWA) ja Exchange Ohjauspaneeli (ECP) julkaisemista Microsoft Entra sovellusvälityspalvelimen kautta ei tueta.

1. Tee kysely - OWA ja ECP URL-osoitteet, jotka on määritetty Exchange Server paikallisesti. Tämä on tärkeää, koska ne on lisättävä vastaus-URL-osoitteena Microsoft Entra ID:

   Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
   Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
   

2. Asenna Microsoft Graph PowerShell -moduuli, jos sitä ei ole vielä asennettu:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Muodosta yhteys Microsoft Entra ID näiden ohjeiden avulla. Jos haluat antaa luvan tarvittaville käyttöoikeuksille, suorita seuraava komento:

   Connect-Graph -Scopes User.Read, Application.ReadWrite.All
   

4. Määritä oma url-osoitteesi OWA ja ECP päivitä sovellukseesi vastauksen URL-osoitteet:

   $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
   

5. Varmista, että vastauksen URL-osoitteet on lisätty:

   (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
   

6. Jos haluat ottaa käyttöön paikallisen Exchange Server mahdollisuuden suorittaa hybridi modernin todennuksen, noudata HMA:n käyttöönotto -osiossa annettuja ohjeita.

7. (Valinnainen) Pakollinen vain, jos käytetään lataustoimialueita :

   Luo uusi yleisen asetuksen ohitus suorittamalla seuraavat komennot laajennetusta Exchange Management Shellistä (EMS). Suorita nämä komennot yhdellä Exchange Server:

   New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

8. (Valinnainen) Pakollinen vain Exchange-resurssien metsätopologiaskenaariossa :

   Lisää seuraavat avaimet <appSettings> tiedoston solmuun <ExchangeInstallPath>\ClientAccess\Owa\web.config . Toimi näin jokaisessa Exchange Server:

   <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
   <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
   

   Luo uusi yleisen asetuksen ohitus suorittamalla seuraavat komennot laajennetusta Exchange Management Shellistä (EMS). Suorita nämä komennot yhdellä Exchange Server:

   New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

9. Jos haluat ottaa käyttöön yhdistelmämodernin todennuksen käytölle OWA ja ECP, sinun on ensin poistettava käytöstä kaikki muut todentamismenetelmät näissä näennäishakemistoissa. On tärkeää suorittaa määritys annetussa järjestyksessä. Jos näin ei tehdä, tämä voi aiheuttaa virhesanoman komennon suorittamisen aikana.
   
   Suorita nämä komennot kullekin Exchange Server kullekin OWA näennäishakemistolle ja ECP näennäishakemistolle, jos haluat poistaa käytöstä kaikki muut todennusmenetelmät:

   Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   

   Tärkeää

   Varmista, että kaikki tilit synkronoidaan Microsoft Entra ID, erityisesti kaikkiin tileihin, joita käytetään hallinnassa. Muussa tapauksessa kirjautuminen lakkaa toimimasta, kunnes ne synkronoidaan. Tilejä, kuten sisäistä järjestelmänvalvojaa, ei synkronoida Microsoft Entra ID kanssa, joten niitä ei voi käyttää hallintaan, kun HMA OWA:ssa ja ECP:ssä on otettu käyttöön. Tämä toiminta johtuu määritteessä isCriticalSystemObject , jonka arvoksi on määritetty True joillekin tileille.

10. OAuth-toiminnon ottaminen käyttöön -hakemistossa OWA ja ECP näennäishakemistossa. On tärkeää suorittaa määritys annetussa järjestyksessä. Jos näin ei tehdä, tämä voi aiheuttaa virhesanoman komennon suorittamisen aikana. OWA ECP Nämä komennot on suoritettava jokaisessa Exchange Server jokaisen näennäishakemiston ja näennäishakemiston osalta:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
    

Modernin hybriditodennuksen käyttäminen Outlook for iOS:n ja Androidin kanssa

Jos haluat käyttää Outlook for iOS- ja Android-asiakasohjelmaa yhdessä hybridimodernin todennuksen kanssa, varmista, että automaattinen tunnistuspalvelu voi muodostaa yhteyden Exchange Server TCP 443 (HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

IP-osoitealueet löytyvät myös lisäpäätepisteistä, jotka eivät sisälly Office 365 IP-osoitteen ja URL-osoitteen verkkopalvelun dokumentaatioon.

Aiheeseen liittyviä artikkeleita

Modernin todennuksen määritysvaatimukset siirryttäessä Office 365 dedicated/ITAR -sovelluksesta vNextiin