Como configurar Exchange Server no local para utilizar a Autenticação Moderna Híbrida
Descrição geral
A Autenticação Moderna Híbrida (HMA) no Microsoft Exchange Server é uma funcionalidade que permite aos utilizadores aceder a caixas de correio, alojadas no local, através de tokens de autorização obtidos a partir da cloud.
O HMA permite que o Outlook obtenha tokens OAuth de Acesso e Atualização de Microsoft Entra ID, diretamente para sincronização do hash de palavras-passe ou Pass-Through identidades de Autenticação, ou a partir do seu próprio Serviço de Token Seguro (STS) para identidades federadas. O Exchange no local aceita estes tokens e fornece acesso à caixa de correio. O método de obtenção destes tokens e as credenciais necessárias é determinado pelas capacidades do fornecedor de identidade (iDP), que podem ir desde o nome de utilizador e a palavra-passe simples até métodos mais complexos, como certificados, autenticação telefónica ou métodos biométricos.
Para que o HMA funcione, a identidade do utilizador tem de estar presente no Microsoft Entra ID e é necessária alguma configuração, que é processada pelo Assistente de Configuração Híbrida do Exchange (HCW).
Em comparação com os métodos de autenticação legados, como o NTLM, o HMA oferece várias vantagens. Fornece um método de autenticação mais seguro e flexível, tirando partido do poder da autenticação baseada na cloud. Ao contrário do NTLM, que se baseia num mecanismo de resposta a desafios e não suporta protocolos de autenticação modernos, o HMA utiliza tokens OAuth, que são mais seguros e oferecem uma melhor interoperabilidade.
O HMA é uma funcionalidade avançada que melhora a flexibilidade e a segurança do acesso a aplicações no local, tirando partido do poder da autenticação baseada na cloud. Representa uma melhoria significativa em relação aos métodos de autenticação legados, oferecendo maior segurança, flexibilidade e conveniência do utilizador.
Passos a seguir para configurar e ativar a Autenticação Moderna Híbrida
Para ativar a Autenticação Moderna Híbrida (HMA), tem de garantir que a sua organização cumpre todos os pré-requisitos necessários. Além disso, deve confirmar que o seu cliente do Office é compatível com a Autenticação Moderna. Para obter mais detalhes, consulte a documentação sobre Como funciona a autenticação moderna para as aplicações cliente do Office 2013 e do Office 2016.
Certifique-se de que cumpre os pré-requisitos antes de começar.
Adicione URLs do serviço Web no local ao Microsoft Entra ID. Os URLs têm de ser adicionados como
Service Principal Names (SPNs)
. Caso a configuração do Exchange Server esteja híbrida com vários inquilinos, estes URLs do serviço Web no local têm de ser adicionados como SPNs na Microsoft Entra ID de todos os inquilinos, que estão híbridos com Exchange Server no local.Certifique-se de que todos os diretórios virtuais estão ativados para HMA. Se quiser configurar a Autenticação Moderna Híbrida para o Outlook na Web (OWA) e o Exchange Painel de Controlo (ECP), é importante verificar também os respetivos diretórios.
Certifique-se de que o Exchange Server certificado OAuth é válido. O script MonitorExchangeAuthCertificate pode ser utilizado para verificar a validade do certificado OAuth. Em caso de expiração, o script ajuda no processo de renovação.
Certifique-se de que todas as identidades de utilizador são sincronizadas com Microsoft Entra ID, especialmente todas as contas, que são utilizadas para administração. Caso contrário, o início de sessão deixa de funcionar até ser sincronizado. As contas, como o Administrador incorporado, nunca serão sincronizadas com Microsoft Entra ID e, portanto, não podem ser utilizadas em nenhum início de sessão OAuth depois de o HMA ter sido ativado. Este comportamento deve-se ao
isCriticalSystemObject
atributo , que está definidoTrue
como para algumas contas, incluindo o administrador predefinido.(Opcional) Se quiser utilizar o cliente Outlook para iOS e Android, certifique-se de que permite que o serviço de Deteção Automática se ligue ao seu Exchange Server.
Pré-requisitos para ativar a Autenticação Moderna Híbrida
Nesta secção, fornecemos informações e passos que têm de ser efetuados para configurar e ativar com êxito a Autenticação Moderna Híbrida no Microsoft Exchange Server.
Exchange Server pré-requisitos específicos
Os servidores do Exchange têm de cumprir os seguintes requisitos antes de a Autenticação Moderna Híbrida poder ser configurada e ativada. Caso tenha uma configuração híbrida, tem de executar a Atualização Cumulativa () mais recente para estar num estado suportado. Pode encontrar as versões de Exchange Server suportadas e criar na matriz de suporte Exchange Server. A Autenticação Moderna Híbrida tem de ser configurada uniformemente em todos os servidores do Exchange na sua organização. A implementação parcial, em que o HMA está ativado apenas num subconjunto de servidores, não é suportada.
- Certifique-se de que não existem servidores Exchange em fim de vida na organização.
- Exchange Server 2016 tem de executar CU8 ou posterior.
- Exchange Server 2019 tem de executar CU1 ou posterior.
- Certifique-se de que todos os servidores se podem ligar à Internet. Se for necessário um proxy, configure Exchange Server para utilizá-lo.
- Se já tiver uma configuração híbrida, certifique-se de que é uma implementação híbrida clássica, uma vez que o híbrido moderno não suporta HMA.
- Certifique-se de que a Descarga de SSL não é utilizada (não é suportada). O SSL Bridging, no entanto, pode ser utilizado e é suportado.
Pode também encontrar mais informações na descrição geral da Autenticação Moderna Híbrida e nos pré-requisitos para utilizá-la com a documentação Skype para Empresas e servidores Exchange no local.
Protocolos que funcionam com a Autenticação Moderna Híbrida
A Autenticação Moderna Híbrida funciona para os seguintes protocolos de Exchange Server:
Protocol | Autenticação Moderna Híbrida Suportada |
---|---|
MAPI através de HTTP (MAPI/HTTP) | Sim |
Outlook Anywhere (RPC/HTTP) | Não |
Exchange Active Sync (EAS) | Sim |
Exchange Web Services (EWS) | Sim |
Outlook na Web (OWA) | Sim |
Exchange Administração Center (ECP) | Sim |
Livro de Endereços Offline (OAB) | Sim |
IMAP | Não |
POP | Não |
Adicionar URLs do serviço Web no local como SPNs no Microsoft Entra ID
Execute os comandos que atribuem os URLs do serviço Web no local como Microsoft Entra SPNs. Os SPNs são utilizados por computadores cliente e dispositivos durante a autenticação e autorização. Todos os URLs que podem ser utilizados para ligar do local ao Microsoft Entra ID têm de ser registados no Microsoft Entra ID (incluindo espaços de nomes internos e externos).
Primeiro, execute os seguintes comandos no Microsoft Exchange Server:
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
Confirme que os URLs aos quais os clientes se podem ligar estão listados como nomes principais de serviço HTTPS no Microsoft Entra ID. Caso o Exchange no local esteja híbrido com vários inquilinos, estes SPNs HTTPS devem ser adicionados no Microsoft Entra ID de todos os inquilinos híbridos com o Exchange no local.
Instale o módulo do PowerShell do Microsoft Graph:
Install-Module Microsoft.Graph -Scope AllUsers
Em seguida, ligue-se a Microsoft Entra ID seguindo estas instruções. Para consentir as permissões necessárias, execute o seguinte comando:
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Para os URLs relacionados com o Exchange, escreva o seguinte comando:
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Anote a saída deste comando, que deve incluir um
https://*autodiscover.yourdomain.com*
URL ehttps://*mail.yourdomain.com*
, mas consiste principalmente em SPNs que começam por00000002-0000-0ff1-ce00-000000000000/
. Se existiremhttps://
URLs no local em falta, esses registos específicos devem ser adicionados a esta lista.Se não vir os registos internos e externos
MAPI/HTTP
,EWS
,ActiveSync
,OAB
eAutoDiscover
nesta lista, tem de os adicionar. Utilize o seguinte comando para adicionar todos os URLs em falta. No nosso exemplo, os URLs adicionados sãomail.corp.contoso.com
eowa.contoso.com
. Certifique-se de que são substituídos pelos URLs configurados no seu ambiente.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $x.ServicePrincipalNames += "https://mail.corp.contoso.com/" $x.ServicePrincipalNames += "https://owa.contoso.com/" Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
Verifique se os novos registos foram adicionados ao executar novamente o comando a
Get-MgServicePrincipal
partir do passo 4 e valide o resultado. Compare a lista de antes com a nova lista de SPNs. Também pode anotar a nova lista para os seus registos. Se tiver êxito, deverá ver os dois novos URLs na lista. Ao seguir o nosso exemplo, a lista de SPNs inclui agora os URLs específicoshttps://mail.corp.contoso.com
ehttps://owa.contoso.com
.
Verificar se os diretórios virtuais estão configurados corretamente
Agora, verifique se o OAuth está corretamente ativado no Exchange em todos os diretórios virtuais que o Outlook pode utilizar ao executar os seguintes comandos:
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*
Verifique o resultado para se certificar de que OAuth
está ativado para cada um destes diretórios virtuais. Tem um aspeto semelhante a este (e o aspeto principal a ter em conta é OAuth
o mencionado anteriormente):
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Se o OAuth estiver em falta em qualquer servidor e em qualquer um dos cinco diretórios virtuais, tem de adicioná-lo através dos comandos relevantes antes de continuar (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) e Set-ActiveSyncVirtualDirectory.
Confirme que o Objeto de Servidor de Autenticação EvoSTS está Presente
Agora, no Exchange Server Shell de Gestão no local (EMS), execute este último comando. Pode validar se a sua Exchange Server no local devolve uma entrada para o fornecedor de autenticação evoSTS:
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
O resultado deve mostrar um AuthServer do Nome EvoSts - <GUID>
e o Enabled
estado deve ser True
. Se não for esse o caso, deve transferir e executar a versão mais recente do Assistente de Configuração Híbrida.
Caso Exchange Server no local execute uma configuração híbrida com vários inquilinos, a saída mostra um AuthServer com o Nome EvoSts - <GUID>
para cada inquilino em híbrido com Exchange Server no local e o Enabled
estado deve ser True
para todos estes objetos AuthServer. Anote o identificador EvoSts - <GUID>
, uma vez que será necessário no passo seguinte.
Ativar o HMA
Execute os seguintes comandos no Exchange Server Shell de Gestão no local (EMS) e substitua o <GUID>
na linha de comandos pelo GUID da saída do último comando que executou. Em versões mais antigas do Assistente de Configuração Híbrida, o EvoSts AuthServer foi nomeado EvoSTS
sem um GUID anexado. Não precisa de efetuar nenhuma ação, basta modificar a linha de comandos anterior ao remover a parte GUID do comando.
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Se o Exchange Server versão no local for Exchange Server 2016 (CU18 ou superior) ou Exchange Server 2019 (CU7 ou superior) e o híbrido tiver sido configurado pela ajuda do HCW transferido após setembro de 2020, execute o seguinte comando no Exchange Server Management Shell (EMS) no local. Para o DomainName
parâmetro , utilize o valor de domínio do inquilino, que normalmente se encontra no formato contoso.onmicrosoft.com
:
Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Caso Exchange Server no local esteja híbrida com vários inquilinos, existem vários objetos AuthServer presentes no Exchange Server organizações no local com domínios correspondentes a cada inquilino. O IsDefaultAuthorizationEndpoint
sinalizador deve ser definido True
como para qualquer um destes objetos AuthServer. O sinalizador não pode ser definido como verdadeiro para todos os objetos AuthServer e HMA seria ativado mesmo que um destes sinalizadores de objeto IsDefaultAuthorizationEndpoint
AuthServer esteja definido como verdadeiro.
Importante
Ao trabalhar com vários inquilinos , todos têm de estar no mesmo ambiente na cloud, como todos no Global
ou todos no GCC
. Não podem existir em ambientes mistos, como um inquilino no Global
e outro no GCC
.
Verificar
Depois de ativar o HMA, o próximo início de sessão de um cliente utilizará o novo fluxo de autenticação. Ativar o HMA não irá acionar uma reautenticação para nenhum cliente e poderá demorar algum tempo até Exchange Server a recolher as novas definições. Este processo não requer a criação de um novo perfil.
Também deve manter premida a CTRL
tecla ao mesmo tempo que clica com o botão direito do rato no ícone do cliente do Outlook (também no tabuleiro notificações do Windows) e selecione Connection Status
. Procure o endereço SMTP do cliente relativamente a um AuthN
tipo de Bearer\*
, que representa o token de portador utilizado no OAuth.
Ativar a Autenticação Moderna Híbrida para OWA e ECP
A Autenticação Moderna Híbrida também pode agora ser ativada para OWA
e ECP
. Certifique-se de que os Pré-requisitos são cumpridos antes de continuar.
Após a Autenticação Moderna Híbrida ter sido ativada para OWA
e ECP
, cada utilizador final e administrador que tente iniciar sessão ou ECP
OWA
será redirecionado primeiro para a página de autenticação Microsoft Entra ID. Depois de a autenticação ter sido efetuada com êxito, o utilizador será redirecionado para OWA
ou ECP
.
Pré-requisitos para ativar a Autenticação Moderna Híbrida para OWA e ECP
Importante
Todos os servidores têm de ter, pelo menos, a Exchange Server atualização CU14 de 2019 instalada. Também devem executar o Exchange Server HU de abril de 2024 ou uma atualização posterior do EXCHANGE SERVER 2019.
Para ativar a Autenticação Moderna Híbrida para OWA
e ECP
, todas as identidades de utilizador têm de ser sincronizadas com Microsoft Entra ID.
Além disso, é importante que a configuração do OAuth entre Exchange Server no local e Exchange Online tenha sido estabelecida antes de serem realizados mais passos de configuração.
Os clientes que já executaram o Assistente de Configuração Híbrida (HCW) para configurar o híbrido têm uma configuração OAuth implementada. Se o OAuth não tiver sido configurado anteriormente, pode fazê-lo ao executar o HCW ou ao seguir os passos descritos na documentação Configurar a autenticação OAuth entre o Exchange e Exchange Online organizações.
Recomenda-se que documente as OwaVirtualDirectory
definições e EcpVirtualDirectory
antes de efetuar alterações. Esta documentação irá permitir-lhe restaurar as definições originais se surgirem problemas após a configuração da funcionalidade.
Passos para ativar a Autenticação Moderna Híbrida para OWA e ECP
Aviso
A publicação do Outlook Web App (OWA) e do Exchange Painel de Controlo (ECP) através de Microsoft Entra proxy de aplicações não é suportada.
Consulte os
OWA
URLs eECP
que estão configurados no seu Exchange Server no local. Isto é importante porque têm de ser adicionados como URL de resposta a Microsoft Entra ID:Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Instale o módulo do PowerShell do Microsoft Graph se ainda não tiver sido instalado:
Install-Module Microsoft.Graph -Scope AllUsers
Ligue-se a Microsoft Entra ID com estas instruções. Para consentir as permissões necessárias, execute o seguinte comando:
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Especifique os urLs
OWA
eECP
e atualize a aplicação com os URLs de resposta:$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp" Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Verifique se os URLs de resposta foram adicionados com êxito:
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Para permitir que Exchange Server capacidade no local efetue a Autenticação Moderna Híbrida, siga os passos descritos na secção Ativar HMA.
(Opcional) Só é necessário se forem utilizados Domínios de Transferência :
Crie uma nova substituição de definição global ao executar os seguintes comandos a partir de uma Shell de Gestão do Exchange (EMS) elevada. Execute estes comandos num Exchange Server:
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Opcional) Apenas necessário em cenários de topologia de floresta de recursos do Exchange :
Adicione as seguintes chaves ao
<appSettings>
nó do<ExchangeInstallPath>\ClientAccess\Owa\web.config
ficheiro. Efetue este procedimento em cada Exchange Server:<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Crie uma nova substituição de definição global ao executar os seguintes comandos a partir de uma Shell de Gestão do Exchange (EMS) elevada. Execute estes comandos num Exchange Server:
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Para ativar a Autenticação Moderna Híbrida para
OWA
eECP
, primeiro tem de desativar qualquer outro método de autenticação nestes diretórios virtuais. É importante efetuar a configuração pela ordem indicada. Se não o fizer, poderá ocorrer uma mensagem de erro durante a execução do comando.
Execute estes comandos para cadaOWA
diretório virtual emECP
cada Exchange Server para desativar todos os outros métodos de autenticação:Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Importante
Certifique-se de que todas as contas são sincronizadas com Microsoft Entra ID, especialmente todas as contas, que são utilizadas para administração. Caso contrário, o início de sessão deixa de funcionar até ser sincronizado. As contas, como o Administrador incorporado, não serão sincronizadas com Microsoft Entra ID e, por conseguinte, não podem ser utilizadas para administração depois de o HMA para OWA e ECP ter sido ativado. Este comportamento deve-se ao
isCriticalSystemObject
atributo , que está definidoTrue
como para algumas contas.Ative o OAuth para o
OWA
diretório virtual eECP
. É importante efetuar a configuração pela ordem indicada. Se não o fizer, poderá ocorrer uma mensagem de erro durante a execução do comando. Para cadaOWA
diretório virtual eECP
em cada Exchange Server, estes comandos têm de ser executados:Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Utilizar a Autenticação Moderna Híbrida com o Outlook para iOS e Android
Se quiser utilizar o cliente Outlook para iOS e Android juntamente com a Autenticação Moderna Híbrida, certifique-se de que permite que o serviço de Deteção Automática se ligue ao seu Exchange Server em TCP 443
(HTTPS):
<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23
Os intervalos de endereços IP também podem ser encontrados na documentação Pontos finais adicionais não incluídos no Office 365 endereço IP e no serviço Web do URL.