Jak skonfigurować Exchange Server lokalnie do korzystania z nowoczesnego uwierzytelniania hybrydowego

Omówienie

Nowoczesne uwierzytelnianie hybrydowe (HMA) w Microsoft Exchange Server to funkcja, która umożliwia użytkownikom dostęp do skrzynek pocztowych hostowanych lokalnie przy użyciu tokenów autoryzacji uzyskanych z chmury.

Usługa HMA umożliwia programowi Outlook uzyskiwanie tokenów dostępu i odświeżania uwierzytelniania OAuth z Tożsamość Microsoft Entra, bezpośrednio na potrzeby synchronizacji skrótów haseł lub Pass-Through tożsamości uwierzytelniania lub z ich własnej usługi bezpiecznego tokenu (STS) dla tożsamości federacyjnych. Lokalna usługa Exchange akceptuje te tokeny i zapewnia dostęp do skrzynki pocztowej. Metoda uzyskiwania tych tokenów i wymaganych poświadczeń zależy od możliwości dostawcy tożsamości (iDP), który może się wahać od prostej nazwy użytkownika i hasła do bardziej złożonych metod, takich jak certyfikaty, uwierzytelnianie telefonu lub metody biometryczne.

Aby usługa HMA działała, tożsamość użytkownika musi być obecna w Tożsamość Microsoft Entra, a wymagana jest pewna konfiguracja, która jest obsługiwana przez Kreatora konfiguracji hybrydowej programu Exchange (HCW).

W porównaniu do starszych metod uwierzytelniania, takich jak NTLM, hma oferuje kilka zalet. Zapewnia ona bezpieczniejszą i elastyczną metodę uwierzytelniania, korzystając z możliwości uwierzytelniania opartego na chmurze. W przeciwieństwie do NTLM, który opiera się na mechanizmie reagowania na wyzwania i nie obsługuje nowoczesnych protokołów uwierzytelniania, hma używa tokenów OAuth, które są bezpieczniejsze i oferują lepszą współdziałanie.

HMA to zaawansowana funkcja, która zwiększa elastyczność i bezpieczeństwo dostępu do aplikacji lokalnych, wykorzystując możliwości uwierzytelniania opartego na chmurze. Stanowi znaczącą poprawę w stosunku do starszych metod uwierzytelniania, oferując większe bezpieczeństwo, elastyczność i wygodę użytkownika.

Kroki, które należy wykonać, aby skonfigurować i włączyć hybrydowy nowoczesny uwierzytelnianie

Aby włączyć nowoczesne uwierzytelnianie hybrydowe (HMA), musisz upewnić się, że twoja organizacja spełnia wszystkie niezbędne wymagania wstępne. Ponadto należy potwierdzić, że klient pakietu Office jest zgodny z nowoczesnym uwierzytelnianiem. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dotyczącą sposobu działania nowoczesnego uwierzytelniania dla aplikacji klienckich pakietu Office 2013 i Office 2016.

1. Przed rozpoczęciem upewnij się, że spełniasz wymagania wstępne .

2. Dodaj lokalne adresy URL usługi internetowej do Tożsamość Microsoft Entra. Adresy URL muszą zostać dodane jako Service Principal Names (SPNs). Jeśli konfiguracja Exchange Server jest hybrydowa z wieloma dzierżawami, te lokalne adresy URL usługi internetowej muszą zostać dodane jako nazwy SPN w Tożsamość Microsoft Entra wszystkich dzierżaw, które są hybrydowe z Exchange Server lokalnie.

3. Upewnij się, że wszystkie katalogi wirtualne są włączone dla usługi HMA. Jeśli chcesz skonfigurować nowoczesne uwierzytelnianie hybrydowe dla programu Outlook w sieci Web (OWA) i programu Exchange Panel sterowania (ECP), ważne jest również zweryfikowanie odpowiednich katalogów.

4. Sprawdź obiekt EvoSTS Auth Server.

5. Upewnij się, że certyfikat OAuth Exchange Server jest prawidłowy. Skrypt MonitorExchangeAuthCertificate może służyć do weryfikowania ważności certyfikatu OAuth. W przypadku jego wygaśnięcia skrypt pomaga w procesie odnawiania.

6. Upewnij się, że wszystkie tożsamości użytkowników są synchronizowane z Tożsamość Microsoft Entra, zwłaszcza ze wszystkimi kontami, które są używane do administrowania. W przeciwnym razie logowanie przestaje działać, dopóki nie zostaną zsynchronizowane. Konta, takie jak wbudowany administrator, nigdy nie będą synchronizowane z Tożsamość Microsoft Entra i w związku z tym nie mogą być używane podczas logowania OAuth po włączeniu umowy HMA. To zachowanie jest spowodowane atrybutem isCriticalSystemObject , który jest ustawiony na True dla niektórych kont, w tym administratora domyślnego.

7. (Opcjonalnie) Jeśli chcesz używać klienta programu Outlook dla systemów iOS i Android, upewnij się, że zezwalasz usłudze AutoDetect na nawiązywanie połączenia z Exchange Server.

8. Włącz usługę HMA w lokalnym programie Exchange.

Wymagania wstępne dotyczące włączania hybrydowej nowoczesnej uwierzytelniania

W tej sekcji podamy informacje i kroki, które należy wykonać, aby pomyślnie skonfigurować i włączyć hybrydowy uwierzytelnianie nowoczesne w Microsoft Exchange Server.

Exchange Server określonych wymagań wstępnych

Serwery exchange muszą spełniać następujące wymagania, aby można było skonfigurować i włączyć nowoczesne uwierzytelnianie hybrydowe. Jeśli masz konfigurację hybrydową, musisz uruchomić najnowszą aktualizację zbiorczą (CU), aby była w obsługiwanym stanie. Obsługiwane wersje Exchange Server i kompilacja można znaleźć w macierzy Exchange Server możliwości obsługi. Nowoczesne uwierzytelnianie hybrydowe musi być skonfigurowane jednolicie na wszystkich serwerach programu Exchange w organizacji. Częściowa implementacja, w której usługa HMA jest włączona tylko dla podzestawu serwerów, nie jest obsługiwana.

• Upewnij się, że w organizacji nie ma żadnych serwerów programu Exchange na koniec okresu eksploatacji.
• Exchange Server 2016 r. musi działać cu8 lub nowszy.
• Exchange Server 2019 r. musi działać cu1 lub nowszy.
• Upewnij się, że wszystkie serwery mogą łączyć się z Internetem. Jeśli jest wymagany serwer proxy, skonfiguruj Exchange Server, aby go używać.
• Jeśli masz już konfigurację hybrydową, upewnij się, że jest to klasyczne wdrożenie hybrydowe, ponieważ nowoczesna hybryda nie obsługuje usługi HMA.
• Upewnij się, że odciążanie protokołu SSL nie jest używane (nie jest obsługiwane). Mostkowanie SSL może być jednak używane i jest obsługiwane.

Więcej informacji można również znaleźć w omówieniu nowoczesnego uwierzytelniania hybrydowego i wymaganiach wstępnych dotyczących korzystania z niego w dokumentacji lokalnych serwerów Skype dla firm i serwerów programu Exchange.

Protokoły współpracujące z nowoczesnym uwierzytelnianiem hybrydowym

Nowoczesne uwierzytelnianie hybrydowe działa w przypadku następujących protokołów Exchange Server:

Protocol (Protokół)	Obsługiwana nowoczesna uwierzytelnianie hybrydowe
MAPI za pośrednictwem protokołu HTTP (MAPI/HTTP)	Tak
Outlook Anywhere (RPC/HTTP)	Nie
Exchange Active Sync (EAS)	Tak
Exchange Web Services (EWS)	Tak
Outlook on the Web (OWA)	Tak
Exchange Administracja Center (ECP)	Tak
Książka adresowa trybu offline (OAB)	Tak
IMAP	Nie
POP	Nie

Dodawanie lokalnych adresów URL usługi internetowej jako nazw SPN w Tożsamość Microsoft Entra

Uruchom polecenia, które przypisują adresy URL lokalnej usługi internetowej jako Microsoft Entra nazwy SPN. Nazwy SPN są używane przez maszyny klienckie i urządzenia podczas uwierzytelniania i autoryzacji. Wszystkie adresy URL, które mogą służyć do nawiązywania połączenia ze środowiska lokalnego do Tożsamość Microsoft Entra, muszą być zarejestrowane w Tożsamość Microsoft Entra (w tym w wewnętrznych i zewnętrznych przestrzeniach nazw).

1. Najpierw uruchom następujące polecenia w Microsoft Exchange Server:

   Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
   Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
   

   Upewnij się, że adresy URL, z którymi klienci mogą się łączyć, są wymienione jako nazwy główne usługi HTTPS w Tożsamość Microsoft Entra. Jeśli lokalna usługa Exchange jest w środowisku hybrydowym z wieloma dzierżawami, te nazwy SPN https powinny zostać dodane w Tożsamość Microsoft Entra wszystkich dzierżaw w środowisku hybrydowym z lokalnym programem Exchange.

2. Zainstaluj moduł Programu PowerShell programu Microsoft Graph:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Następnie połącz się z Tożsamość Microsoft Entra, postępjąc zgodnie z tymi instrukcjami. Aby wyrazić zgodę na wymagane uprawnienia, uruchom następujące polecenie:

   Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
   

4. W przypadku adresów URL związanych z programem Exchange wpisz następujące polecenie:

   Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
   

   Zanotuj dane wyjściowe tego polecenia, które powinny zawierać adres https://*autodiscover.yourdomain.com* URL i https://*mail.yourdomain.com* , ale w większości składają się z 00000002-0000-0ff1-ce00-000000000000/nazw SPN rozpoczynających się od . https:// Jeśli brakuje adresów URL lokalnych, te konkretne rekordy powinny zostać dodane do tej listy.

5. Jeśli rekordy wewnętrzne i zewnętrzne MAPI/HTTP, EWS, , ActiveSync, OABi AutoDiscover nie są widoczne na tej liście, należy je dodać. Użyj następującego polecenia, aby dodać wszystkie brakujące adresy URL. W naszym przykładzie dodawane adresy URL to mail.corp.contoso.com i owa.contoso.com. Upewnij się, że zostały one zastąpione przez adresy URL skonfigurowane w środowisku.

   $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
   $x.ServicePrincipalNames += "https://owa.contoso.com/"
   Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
   

6. Sprawdź, czy nowe rekordy zostały dodane, uruchamiając Get-MgServicePrincipal ponownie polecenie z kroku 4 i weryfikuj dane wyjściowe. Porównaj listę z poprzedniej listy z nową listą numerów SPN. Możesz również zanotować nową listę rekordów. Jeśli to się powiedzie, na liście powinny zostać wyświetlone dwa nowe adresy URL. W naszym przykładzie lista nazw SPN zawiera teraz określone adresy URL https://mail.corp.contoso.com i https://owa.contoso.com.

Sprawdzanie, czy katalogi wirtualne są prawidłowo skonfigurowane

Teraz sprawdź, czy uwierzytelnianie OAuth jest prawidłowo włączone w programie Exchange we wszystkich katalogach wirtualnych, których program Outlook może używać, uruchamiając następujące polecenia:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Sprawdź dane wyjściowe, aby upewnić się, że OAuth jest włączona dla każdego z tych katalogów wirtualnych, wygląda to mniej więcej tak (a kluczową kwestią, którą należy przyjrzeć się, jest OAuth jak wspomniano wcześniej):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Jeśli brakuje protokołu OAuth na dowolnym serwerze i w dowolnym z pięciu katalogów wirtualnych, należy dodać go przy użyciu odpowiednich poleceń przed kontynuowaniem (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) i Set-ActiveSyncVirtualDirectory.

Potwierdzanie obecności obiektu serwera uwierzytelniania EvoSTS

Teraz na Exchange Server lokalnej powłoki zarządzania (EMS) uruchom to ostatnie polecenie. Możesz sprawdzić, czy lokalna Exchange Server zwraca wpis dla dostawcy uwierzytelniania evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

Dane wyjściowe powinny zawierać wartość AuthServer o nazwie EvoSts - <GUID> , a Enabled stan powinien mieć Truewartość . Jeśli tak nie jest, należy pobrać i uruchomić najnowszą wersję Kreatora konfiguracji hybrydowej.

Jeśli Exchange Server lokalnie uruchamia konfigurację hybrydową z wieloma dzierżawami, dane wyjściowe pokazują jeden serwer AuthServer z nazwą EvoSts - <GUID> dla każdej dzierżawy w środowisku hybrydowym z Exchange Server lokalnie, a Enabled stan powinien być True dla wszystkich tych obiektów AuthServer. Zanotuj identyfikator EvoSts - <GUID>, ponieważ będzie on wymagany w kolejnym kroku.

Włączanie usługi HMA

Uruchom następujące polecenia w Exchange Server lokalnej powłoki zarządzania (EMS) i zastąp <GUID> ciąg w wierszu polecenia identyfikatorem GUID z danych wyjściowych ostatniego uruchomionego polecenia. W starszych wersjach Kreatora konfiguracji hybrydowej nazwa EvoSts AuthServer została nazwana EvoSTS bez dołączonego identyfikatora GUID. Nie ma żadnej akcji, którą należy wykonać, wystarczy zmodyfikować poprzedni wiersz polecenia, usuwając część identyfikatora GUID polecenia.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Jeśli wersja lokalna Exchange Server jest Exchange Server 2016 r. (CU18 lub nowsza) lub Exchange Server 2019 r. (CU7 lub nowsza) i została skonfigurowana hybrydowo za pomocą narzędzia HCW pobranego po wrześniu 2020 r., uruchom następujące polecenie w Exchange Server lokalnej powłoki zarządzania (EMS). Dla parametru DomainName użyj wartości domeny dzierżawy, która jest zwykle w postaci contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Jeśli Exchange Server lokalnie jest w środowisku hybrydowym z wieloma dzierżawami, w Exchange Server organizacji lokalnych z domenami odpowiadającymi każdej dzierżawie znajduje się wiele obiektów AuthServer. Flaga powinna być ustawiona IsDefaultAuthorizationEndpoint na True dowolny z tych obiektów AuthServer. Nie można ustawić flagi na wartość true dla wszystkich obiektów AuthServer, a właściwość HMA zostanie włączona, nawet jeśli jedna z tych flag obiektu IsDefaultAuthorizationEndpoint AuthServer ma wartość true.

Ważna

W przypadku pracy z wieloma dzierżawami wszystkie muszą znajdować się w tym samym środowisku chmury, takim jak wszystkie w Global programie lub wszystkie w GCCprogramie . Nie mogą istnieć w środowiskach mieszanych, takich jak jedna dzierżawa w Global programie, a druga w programie GCC.

Zweryfikować

Po włączeniu usługi HMA następne logowanie klienta użyje nowego przepływu uwierzytelniania. Samo włączenie usługi HMA nie spowoduje ponownego uwierzytelnienia dla żadnego klienta i może upłynąć trochę czasu, Exchange Server odbierze nowe ustawienia. Ten proces nie wymaga utworzenia nowego profilu.

Należy również przytrzymać CTRL klucz w tym samym czasie, klikając prawym przyciskiem myszy ikonę klienta programu Outlook (również w zasobniku Powiadomienia systemu Windows) i wybierz pozycję Connection Status. Wyszukaj adres AuthN SMTP klienta względem typu Bearer\*, który reprezentuje token elementu nośnego używany w usłudze OAuth.

Włączanie nowoczesnego uwierzytelniania hybrydowego dla systemów OWA i ECP

Nowoczesne uwierzytelnianie hybrydowe można teraz również włączyć dla elementów OWA i ECP. Przed kontynuowaniem upewnij się, że wymagania wstępne zostały spełnione.

Po włączeniu nowoczesnego uwierzytelniania hybrydowego dla OWA i ECPkażdy użytkownik końcowy i administrator, który próbuje się zalogować OWA lub ECP zostanie przekierowany do strony uwierzytelniania Tożsamość Microsoft Entra najpierw. Po pomyślnym uwierzytelnieniu użytkownik zostanie przekierowany do OWA lub ECP.

Wymagania wstępne dotyczące włączania nowoczesnego uwierzytelniania hybrydowego dla systemów OWA i ECP

Ważna

Wszystkie serwery muszą mieć zainstalowaną aktualizację cu14 Exchange Server 2019. Muszą również uruchomić Exchange Server 2019 CU14 z kwietnia 2024 r. LUB nowszą aktualizację.

Aby włączyć nowoczesne uwierzytelnianie hybrydowe dla OWA i ECP, wszystkie tożsamości użytkowników muszą być zsynchronizowane z Tożsamość Microsoft Entra. Ponadto przed wykonaniem dalszych kroków konfiguracji należy ustanowić konfigurację protokołu OAuth między Exchange Server lokalnym i Exchange Online.

Klienci, którzy już uruchomili Kreatora konfiguracji hybrydowej (HCW) w celu skonfigurowania hybrydowego, mają wdrożoną konfigurację OAuth. Jeśli protokół OAuth nie został wcześniej skonfigurowany, można to zrobić, uruchamiając narzędzie HCW lub wykonując kroki opisane w dokumentacji Konfigurowanie uwierzytelniania OAuth między programem Exchange a organizacjami Exchange Online.

Zaleca się udokumentowanie OwaVirtualDirectory ustawień i EcpVirtualDirectory przed wprowadzeniem jakichkolwiek zmian. Ta dokumentacja umożliwi przywrócenie oryginalnych ustawień, jeśli wystąpią problemy po skonfigurowaniu funkcji.

Kroki włączania nowoczesnego uwierzytelniania hybrydowego dla systemów OWA i ECP

Ostrzeżenie

Publikowanie Outlook Web App (OWA) i exchange Panel sterowania (ECP) za pośrednictwem serwera proxy aplikacji Microsoft Entra nie jest obsługiwane.

1. Wyślij zapytanie do OWA adresów URL i ECP skonfigurowanych w Exchange Server lokalnie. Jest to ważne, ponieważ muszą zostać dodane jako adres URL odpowiedzi do Tożsamość Microsoft Entra:

   Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
   Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
   

2. Zainstaluj moduł Programu PowerShell programu Microsoft Graph, jeśli nie został jeszcze zainstalowany:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Połącz się z Tożsamość Microsoft Entra, korzystając z tych instrukcji. Aby wyrazić zgodę na wymagane uprawnienia, uruchom następujące polecenie:

   Connect-Graph -Scopes User.Read, Application.ReadWrite.All
   

4. Określ adresy OWA URL i i ECP zaktualizuj aplikację przy użyciu adresów URL odpowiedzi:

   $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
   

5. Sprawdź, czy adresy URL odpowiedzi zostały pomyślnie dodane:

   (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
   

6. Aby umożliwić Exchange Server lokalnej możliwości wykonywania nowoczesnego uwierzytelniania hybrydowego, wykonaj kroki opisane w sekcji Włączanie usługi HMA.

7. (Opcjonalnie) Wymagane tylko wtedy, gdy są używane domeny pobierania :

   Utwórz nowe zastąpienie ustawienia globalnego, uruchamiając następujące polecenia z poziomu powłoki zarządzania programu Exchange z podwyższonym poziomem poziomu (EMS). Uruchom następujące polecenia na jednym Exchange Server:

   New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

8. (Opcjonalnie) Wymagane tylko w scenariuszach topologii lasu zasobów programu Exchange :

   Dodaj następujące klucze do <appSettings> węzła <ExchangeInstallPath>\ClientAccess\Owa\web.config pliku. Wykonaj to na każdym Exchange Server:

   <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
   <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
   

   Utwórz nowe zastąpienie ustawienia globalnego, uruchamiając następujące polecenia z poziomu powłoki zarządzania programu Exchange z podwyższonym poziomem poziomu (EMS). Uruchom następujące polecenia na jednym Exchange Server:

   New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

9. Aby włączyć nowoczesne uwierzytelnianie hybrydowe dla OWA i ECP, należy najpierw wyłączyć dowolną inną metodę uwierzytelniania w tych katalogach wirtualnych. Ważne jest, aby wykonać konfigurację w danej kolejności. Niewykonanie tego problemu może spowodować wyświetlenie komunikatu o błędzie podczas wykonywania polecenia.
   
   Uruchom następujące polecenia dla każdego OWAECP katalogu wirtualnego na każdym Exchange Server, aby wyłączyć wszystkie inne metody uwierzytelniania:

   Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   

   Ważna

   Upewnij się, że wszystkie konta są synchronizowane z Tożsamość Microsoft Entra, zwłaszcza z wszystkimi kontami, które są używane do administrowania. W przeciwnym razie logowanie przestaje działać, dopóki nie zostaną zsynchronizowane. Konta, takie jak wbudowany administrator, nie będą synchronizowane z Tożsamość Microsoft Entra i dlatego nie mogą być używane do administrowania po włączeniu umowy HMA dla OWA i ECP. To zachowanie jest spowodowane atrybutem ustawionym isCriticalSystemObjectTrue dla niektórych kont.

10. Włącz usługę OWA OAuth dla katalogu i ECP katalogu wirtualnego. Ważne jest, aby wykonać konfigurację w danej kolejności. Niewykonanie tego problemu może spowodować wyświetlenie komunikatu o błędzie podczas wykonywania polecenia. Dla każdego OWA katalogu wirtualnego na ECP każdym Exchange Server należy uruchomić następujące polecenia:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
    

Korzystanie z nowoczesnego uwierzytelniania hybrydowego w programie Outlook dla systemów iOS i Android

Jeśli chcesz używać klienta programu Outlook dla systemów iOS i Android razem z nowoczesnym uwierzytelnianiem hybrydowym, upewnij się, że usługa AutoDetect może łączyć się z Exchange Server (TCP 443HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Zakresy adresów IP można również znaleźć w dokumentacji dodatkowych punktów końcowych, które nie są zawarte w dokumentacji usługi sieci Web Office 365 adresów IP i adresów URL.

Artykuły pokrewne

Wymagania dotyczące konfiguracji nowoczesnego uwierzytelniania na potrzeby przejścia z usługi Office 365 dedykowanej dla regulacji ITAR do wersji vNext