Partilhar via


Como configurar Exchange Server no local para utilizar a Autenticação Moderna Híbrida

Descrição geral

A Autenticação Moderna Híbrida (HMA) no Microsoft Exchange Server é uma funcionalidade que permite aos utilizadores aceder a caixas de correio, alojadas no local, através de tokens de autorização obtidos a partir da cloud.

O HMA permite que o Outlook obtenha tokens OAuth de Acesso e Atualização de Microsoft Entra ID, diretamente para sincronização do hash de palavras-passe ou Pass-Through identidades de Autenticação, ou a partir do seu próprio Serviço de Token Seguro (STS) para identidades federadas. O Exchange no local aceita estes tokens e fornece acesso à caixa de correio. O método de obtenção destes tokens e as credenciais necessárias é determinado pelas capacidades do fornecedor de identidade (iDP), que podem ir desde o nome de utilizador e a palavra-passe simples até métodos mais complexos, como certificados, autenticação telefónica ou métodos biométricos.

Para que o HMA funcione, a identidade do utilizador tem de estar presente no Microsoft Entra ID e é necessária alguma configuração, que é processada pelo Assistente de Configuração Híbrida do Exchange (HCW).

Em comparação com os métodos de autenticação legados, como o NTLM, o HMA oferece várias vantagens. Fornece um método de autenticação mais seguro e flexível, tirando partido do poder da autenticação baseada na cloud. Ao contrário do NTLM, que se baseia num mecanismo de resposta a desafios e não suporta protocolos de autenticação modernos, o HMA utiliza tokens OAuth, que são mais seguros e oferecem uma melhor interoperabilidade.

O HMA é uma funcionalidade avançada que melhora a flexibilidade e a segurança do acesso a aplicações no local, tirando partido do poder da autenticação baseada na cloud. Representa uma melhoria significativa em relação aos métodos de autenticação legados, oferecendo maior segurança, flexibilidade e conveniência do utilizador.

Passos a seguir para configurar e ativar a Autenticação Moderna Híbrida

Para ativar a Autenticação Moderna Híbrida (HMA), tem de garantir que a sua organização cumpre todos os pré-requisitos necessários. Além disso, deve confirmar que o seu cliente do Office é compatível com a Autenticação Moderna. Para obter mais detalhes, consulte a documentação sobre Como funciona a autenticação moderna para as aplicações cliente do Office 2013 e do Office 2016.

  1. Certifique-se de que cumpre os pré-requisitos antes de começar.

  2. Adicione URLs do serviço Web no local ao Microsoft Entra ID. Os URLs têm de ser adicionados como Service Principal Names (SPNs). Caso a configuração do Exchange Server esteja híbrida com vários inquilinos, estes URLs do serviço Web no local têm de ser adicionados como SPNs na Microsoft Entra ID de todos os inquilinos, que estão híbridos com Exchange Server no local.

  3. Certifique-se de que todos os diretórios virtuais estão ativados para HMA. Se quiser configurar a Autenticação Moderna Híbrida para o Outlook na Web (OWA) e o Exchange Painel de Controlo (ECP), é importante verificar também os respetivos diretórios.

  4. Verifique o objeto Servidor de Autenticação EvoSTS.

  5. Certifique-se de que o Exchange Server certificado OAuth é válido. O script MonitorExchangeAuthCertificate pode ser utilizado para verificar a validade do certificado OAuth. Em caso de expiração, o script ajuda no processo de renovação.

  6. Certifique-se de que todas as identidades de utilizador são sincronizadas com Microsoft Entra ID, especialmente todas as contas, que são utilizadas para administração. Caso contrário, o início de sessão deixa de funcionar até ser sincronizado. As contas, como o Administrador incorporado, nunca serão sincronizadas com Microsoft Entra ID e, portanto, não podem ser utilizadas em nenhum início de sessão OAuth depois de o HMA ter sido ativado. Este comportamento deve-se ao isCriticalSystemObject atributo , que está definido True como para algumas contas, incluindo o administrador predefinido.

  7. (Opcional) Se quiser utilizar o cliente Outlook para iOS e Android, certifique-se de que permite que o serviço de Deteção Automática se ligue ao seu Exchange Server.

  8. Ative o HMA no Exchange no local.

Pré-requisitos para ativar a Autenticação Moderna Híbrida

Nesta secção, fornecemos informações e passos que têm de ser efetuados para configurar e ativar com êxito a Autenticação Moderna Híbrida no Microsoft Exchange Server.

Exchange Server pré-requisitos específicos

Os servidores do Exchange têm de cumprir os seguintes requisitos antes de a Autenticação Moderna Híbrida poder ser configurada e ativada. Caso tenha uma configuração híbrida, tem de executar a Atualização Cumulativa () mais recente para estar num estado suportado. Pode encontrar as versões de Exchange Server suportadas e criar na matriz de suporte Exchange Server. A Autenticação Moderna Híbrida tem de ser configurada uniformemente em todos os servidores do Exchange na sua organização. A implementação parcial, em que o HMA está ativado apenas num subconjunto de servidores, não é suportada.

  • Certifique-se de que não existem servidores Exchange em fim de vida na organização.
  • Exchange Server 2016 tem de executar CU8 ou posterior.
  • Exchange Server 2019 tem de executar CU1 ou posterior.
  • Certifique-se de que todos os servidores se podem ligar à Internet. Se for necessário um proxy, configure Exchange Server para utilizá-lo.
  • Se já tiver uma configuração híbrida, certifique-se de que é uma implementação híbrida clássica, uma vez que o híbrido moderno não suporta HMA.
  • Certifique-se de que a Descarga de SSL não é utilizada (não é suportada). O SSL Bridging, no entanto, pode ser utilizado e é suportado.

Pode também encontrar mais informações na descrição geral da Autenticação Moderna Híbrida e nos pré-requisitos para utilizá-la com a documentação Skype para Empresas e servidores Exchange no local.

Protocolos que funcionam com a Autenticação Moderna Híbrida

A Autenticação Moderna Híbrida funciona para os seguintes protocolos de Exchange Server:

Protocol Autenticação Moderna Híbrida Suportada
MAPI através de HTTP (MAPI/HTTP) Sim
Outlook Anywhere (RPC/HTTP) Não
Exchange Active Sync (EAS) Sim
Exchange Web Services (EWS) Sim
Outlook na Web (OWA) Sim
Exchange Administração Center (ECP) Sim
Livro de Endereços Offline (OAB) Sim
IMAP Não
POP Não

Adicionar URLs do serviço Web no local como SPNs no Microsoft Entra ID

Execute os comandos que atribuem os URLs do serviço Web no local como Microsoft Entra SPNs. Os SPNs são utilizados por computadores cliente e dispositivos durante a autenticação e autorização. Todos os URLs que podem ser utilizados para ligar do local ao Microsoft Entra ID têm de ser registados no Microsoft Entra ID (incluindo espaços de nomes internos e externos).

  1. Primeiro, execute os seguintes comandos no Microsoft Exchange Server:

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
    Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
    Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
    Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
    Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
    Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
    

    Confirme que os URLs aos quais os clientes se podem ligar estão listados como nomes principais de serviço HTTPS no Microsoft Entra ID. Caso o Exchange no local esteja híbrido com vários inquilinos, estes SPNs HTTPS devem ser adicionados no Microsoft Entra ID de todos os inquilinos híbridos com o Exchange no local.

  2. Instale o módulo do PowerShell do Microsoft Graph:

    Install-Module Microsoft.Graph -Scope AllUsers
    
  3. Em seguida, ligue-se a Microsoft Entra ID seguindo estas instruções. Para consentir as permissões necessárias, execute o seguinte comando:

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
    
  4. Para os URLs relacionados com o Exchange, escreva o seguinte comando:

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
    

    Anote a saída deste comando, que deve incluir um https://*autodiscover.yourdomain.com* URL e https://*mail.yourdomain.com* , mas consiste principalmente em SPNs que começam por 00000002-0000-0ff1-ce00-000000000000/. Se existirem https:// URLs no local em falta, esses registos específicos devem ser adicionados a esta lista.

  5. Se não vir os registos internos e externos MAPI/HTTP, EWS, ActiveSync, OABe AutoDiscover nesta lista, tem de os adicionar. Utilize o seguinte comando para adicionar todos os URLs em falta. No nosso exemplo, os URLs adicionados são mail.corp.contoso.com e owa.contoso.com. Certifique-se de que são substituídos pelos URLs configurados no seu ambiente.

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
    $x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
    $x.ServicePrincipalNames += "https://owa.contoso.com/"
    Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
    
  6. Verifique se os novos registos foram adicionados ao executar novamente o comando a Get-MgServicePrincipal partir do passo 4 e valide o resultado. Compare a lista de antes com a nova lista de SPNs. Também pode anotar a nova lista para os seus registos. Se tiver êxito, deverá ver os dois novos URLs na lista. Ao seguir o nosso exemplo, a lista de SPNs inclui agora os URLs específicos https://mail.corp.contoso.com e https://owa.contoso.com.

Verificar se os diretórios virtuais estão configurados corretamente

Agora, verifique se o OAuth está corretamente ativado no Exchange em todos os diretórios virtuais que o Outlook pode utilizar ao executar os seguintes comandos:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Verifique o resultado para se certificar de que OAuth está ativado para cada um destes diretórios virtuais. Tem um aspeto semelhante a este (e o aspeto principal a ter em conta é OAuth o mencionado anteriormente):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Se o OAuth estiver em falta em qualquer servidor e em qualquer um dos cinco diretórios virtuais, tem de adicioná-lo através dos comandos relevantes antes de continuar (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) e Set-ActiveSyncVirtualDirectory.

Confirme que o Objeto de Servidor de Autenticação EvoSTS está Presente

Agora, no Exchange Server Shell de Gestão no local (EMS), execute este último comando. Pode validar se a sua Exchange Server no local devolve uma entrada para o fornecedor de autenticação evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

O resultado deve mostrar um AuthServer do Nome EvoSts - <GUID> e o Enabled estado deve ser True. Se não for esse o caso, deve transferir e executar a versão mais recente do Assistente de Configuração Híbrida.

Caso Exchange Server no local execute uma configuração híbrida com vários inquilinos, a saída mostra um AuthServer com o Nome EvoSts - <GUID> para cada inquilino em híbrido com Exchange Server no local e o Enabled estado deve ser True para todos estes objetos AuthServer. Anote o identificador EvoSts - <GUID>, uma vez que será necessário no passo seguinte.

Ativar o HMA

Execute os seguintes comandos no Exchange Server Shell de Gestão no local (EMS) e substitua o <GUID> na linha de comandos pelo GUID da saída do último comando que executou. Em versões mais antigas do Assistente de Configuração Híbrida, o EvoSts AuthServer foi nomeado EvoSTS sem um GUID anexado. Não precisa de efetuar nenhuma ação, basta modificar a linha de comandos anterior ao remover a parte GUID do comando.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Se o Exchange Server versão no local for Exchange Server 2016 (CU18 ou superior) ou Exchange Server 2019 (CU7 ou superior) e o híbrido tiver sido configurado pela ajuda do HCW transferido após setembro de 2020, execute o seguinte comando no Exchange Server Management Shell (EMS) no local. Para o DomainName parâmetro , utilize o valor de domínio do inquilino, que normalmente se encontra no formato contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Caso Exchange Server no local esteja híbrida com vários inquilinos, existem vários objetos AuthServer presentes no Exchange Server organizações no local com domínios correspondentes a cada inquilino. O IsDefaultAuthorizationEndpoint sinalizador deve ser definido True como para qualquer um destes objetos AuthServer. O sinalizador não pode ser definido como verdadeiro para todos os objetos AuthServer e HMA seria ativado mesmo que um destes sinalizadores de objeto IsDefaultAuthorizationEndpoint AuthServer esteja definido como verdadeiro.

Importante

Ao trabalhar com vários inquilinos , todos têm de estar no mesmo ambiente na cloud, como todos no Global ou todos no GCC. Não podem existir em ambientes mistos, como um inquilino no Global e outro no GCC.

Verificar

Depois de ativar o HMA, o próximo início de sessão de um cliente utilizará o novo fluxo de autenticação. Ativar o HMA não irá acionar uma reautenticação para nenhum cliente e poderá demorar algum tempo até Exchange Server a recolher as novas definições. Este processo não requer a criação de um novo perfil.

Também deve manter premida a CTRL tecla ao mesmo tempo que clica com o botão direito do rato no ícone do cliente do Outlook (também no tabuleiro notificações do Windows) e selecione Connection Status. Procure o endereço SMTP do cliente relativamente a um AuthN tipo de Bearer\*, que representa o token de portador utilizado no OAuth.

Ativar a Autenticação Moderna Híbrida para OWA e ECP

A Autenticação Moderna Híbrida também pode agora ser ativada para OWA e ECP. Certifique-se de que os Pré-requisitos são cumpridos antes de continuar.

Após a Autenticação Moderna Híbrida ter sido ativada para OWA e ECP, cada utilizador final e administrador que tente iniciar sessão ou ECPOWA será redirecionado primeiro para a página de autenticação Microsoft Entra ID. Depois de a autenticação ter sido efetuada com êxito, o utilizador será redirecionado para OWA ou ECP.

Pré-requisitos para ativar a Autenticação Moderna Híbrida para OWA e ECP

Importante

Todos os servidores têm de ter, pelo menos, a Exchange Server atualização CU14 de 2019 instalada. Também devem executar o Exchange Server HU de abril de 2024 ou uma atualização posterior do EXCHANGE SERVER 2019.

Para ativar a Autenticação Moderna Híbrida para OWA e ECP, todas as identidades de utilizador têm de ser sincronizadas com Microsoft Entra ID. Além disso, é importante que a configuração do OAuth entre Exchange Server no local e Exchange Online tenha sido estabelecida antes de serem realizados mais passos de configuração.

Os clientes que já executaram o Assistente de Configuração Híbrida (HCW) para configurar o híbrido têm uma configuração OAuth implementada. Se o OAuth não tiver sido configurado anteriormente, pode fazê-lo ao executar o HCW ou ao seguir os passos descritos na documentação Configurar a autenticação OAuth entre o Exchange e Exchange Online organizações.

Recomenda-se que documente as OwaVirtualDirectory definições e EcpVirtualDirectory antes de efetuar alterações. Esta documentação irá permitir-lhe restaurar as definições originais se surgirem problemas após a configuração da funcionalidade.

Passos para ativar a Autenticação Moderna Híbrida para OWA e ECP

Aviso

A publicação do Outlook Web App (OWA) e do Exchange Painel de Controlo (ECP) através de Microsoft Entra proxy de aplicações não é suportada.

  1. Consulte os OWA URLs e ECP que estão configurados no seu Exchange Server no local. Isto é importante porque têm de ser adicionados como URL de resposta a Microsoft Entra ID:

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
    Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
    
  2. Instale o módulo do PowerShell do Microsoft Graph se ainda não tiver sido instalado:

    Install-Module Microsoft.Graph -Scope AllUsers
    
  3. Ligue-se a Microsoft Entra ID com estas instruções. Para consentir as permissões necessárias, execute o seguinte comando:

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All
    
  4. Especifique os urLs OWA e ECP e atualize a aplicação com os URLs de resposta:

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
    $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
    $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
    Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
    
  5. Verifique se os URLs de resposta foram adicionados com êxito:

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
    
  6. Para permitir que Exchange Server capacidade no local efetue a Autenticação Moderna Híbrida, siga os passos descritos na secção Ativar HMA.

  7. (Opcional) Só é necessário se forem utilizados Domínios de Transferência :

    Crie uma nova substituição de definição global ao executar os seguintes comandos a partir de uma Shell de Gestão do Exchange (EMS) elevada. Execute estes comandos num Exchange Server:

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
    Restart-Service -Name W3SVC, WAS -Force
    
  8. (Opcional) Apenas necessário em cenários de topologia de floresta de recursos do Exchange :

    Adicione as seguintes chaves ao <appSettings> nó do <ExchangeInstallPath>\ClientAccess\Owa\web.config ficheiro. Efetue este procedimento em cada Exchange Server:

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
    <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
    

    Crie uma nova substituição de definição global ao executar os seguintes comandos a partir de uma Shell de Gestão do Exchange (EMS) elevada. Execute estes comandos num Exchange Server:

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
    Restart-Service -Name W3SVC, WAS -Force
    
  9. Para ativar a Autenticação Moderna Híbrida para OWA e ECP, primeiro tem de desativar qualquer outro método de autenticação nestes diretórios virtuais. É importante efetuar a configuração pela ordem indicada. Se não o fizer, poderá ocorrer uma mensagem de erro durante a execução do comando.

    Execute estes comandos para cada OWA diretório virtual em ECP cada Exchange Server para desativar todos os outros métodos de autenticação:

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
    

    Importante

    Certifique-se de que todas as contas são sincronizadas com Microsoft Entra ID, especialmente todas as contas, que são utilizadas para administração. Caso contrário, o início de sessão deixa de funcionar até ser sincronizado. As contas, como o Administrador incorporado, não serão sincronizadas com Microsoft Entra ID e, por conseguinte, não podem ser utilizadas para administração depois de o HMA para OWA e ECP ter sido ativado. Este comportamento deve-se ao isCriticalSystemObject atributo , que está definido True como para algumas contas.

  10. Ative o OAuth para o OWA diretório virtual e ECP . É importante efetuar a configuração pela ordem indicada. Se não o fizer, poderá ocorrer uma mensagem de erro durante a execução do comando. Para cada OWA diretório virtual e ECP em cada Exchange Server, estes comandos têm de ser executados:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
    

Utilizar a Autenticação Moderna Híbrida com o Outlook para iOS e Android

Se quiser utilizar o cliente Outlook para iOS e Android juntamente com a Autenticação Moderna Híbrida, certifique-se de que permite que o serviço de Deteção Automática se ligue ao seu Exchange Server em TCP 443 (HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Os intervalos de endereços IP também podem ser encontrados na documentação Pontos finais adicionais não incluídos no Office 365 endereço IP e no serviço Web do URL.

Requisitos de configuração da Autenticação Moderna para transição do Office 365 dedicado/ITAR para vNext