Office
Přihlásit se

Postup při konfiguraci serveru Exchange místní hybridní moderní ověřování

Poznámka:  Snažíme se pro vás co nejrychleji zajistit aktuální obsah nápovědy ve vašem jazyce. Tato stránka byla přeložena automaticky a může obsahovat gramatické chyby nebo nepřesnosti. Naším cílem je to, aby pro vás byl její obsah užitečný. Mohli byste nám prosím dát ve spodní části této stránky vědět, jestli vám informace v článku pomohly? Pokud byste se rádi podívali na jeho anglickou verzi, najdete ji tady .

Hybridní moderní ověřování (vysoké paměti), je způsob správy identit, nabízí bezpečnější uživatele a tak mohli ověřovat, který je k dispozici pro místní hybridní nasazení Exchange serveru.

PRO INFORMACI

Než začneme, připojím:

  • Moderní ověřování hybridní > vysoké paměti

  • Protokoly Exchange místní > EXCH

  • Exchange Online > EXO

Také že pokud obrázku v tento článek obsahuje objekt, který má "šedě" nebo neaktivní to znamená, která prvek zobrazen šedě není součástí konfigurace specifické pro vysoké paměti.

Povolení hybridní moderní ověřování

Zapnutí vysoké paměti prostředky:

  1. Mít jistotu, že splníte prereqs než začnete.

    1. Od mnoho požadavky jsou společná pro oba Skype pro firmy a Exchange, najdete v článku Přehled splněny kontrolní seznam pro. Než začnete některé kroky v tomto článku, udělejte toto.

  2. Přidání místního adresy URL webových služeb jako názvy hlavní služby (názvy) na Azure AD.

  3. Zajištění všech virtuálních spuštěných pro vysoké paměti

  4. Kontrola objekt EvoSTS ověřování serveru

  5. Povolení vysoké paměti v adj.SMĚNNÉHO

Poznámka:  Podporuje verze Office MA? Kontrola tady.

Zkontrolujte, jestli že splňujete všechny pre-na systém

Protože mnoho požadavky jsou společná pro oba Skype pro firmy a Exchange, najdete v článku Přehled splněny kontrolní seznam pro. Tento před zahájením kteréhokoliv z kroků v tomto článku.

Přidání místního webové adresy URL služeb jako názvy v Azure AD

Spusťte příkazy, které přiřadit místní webové adresy URL služby Azure AD názvy. názvy používají klientských počítačích a zařízeních během a tak mohli ověřovat. Všechny adresy URL, která asi zvyklí z místního připojit k Azure Active Directory (AAD) musí být registrován v AAD (včetně interních a externích obory názvů).

Nejprve shromážděte všechny adresy URL, které musíte přidat v AAD. Spusťte tyto příkazy místní:

  • Get-MapiVirtualDirectory | FL server * url *

  • Get-WebServicesVirtualDirectory | FL server * url *

  • Get-ActiveSyncVirtualDirectory | FL server * url *

  • Get-OABVirtualDirectory | FL server * url *

Ujistěte se, adresy URL klientů může připojit k jsou označeny jako hlavní názvy služeb HTTPS v AAD.

  1. Nejdřív připojte k AAD pomocí těchto pokynů.

  2. Související adresy URL pro váš server Exchange zadejte tento příkaz:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Vyberte - ExpandProperty ServicePrincipalNames

Do něj přenést vědomí (a snímek obrazovky pro pozdější porovnání) výstup tento příkaz, který by měl obsahovat https://služby Automatická konfigurace . doména.com a adresu URLmail.yourdomain.com https://, ale převážně tvořeny názvy, které začínají 00000002-0000-0ff1-ce00-000000000000 /. Pokud jsou adresy URL https:// ze svého místního chybějících bude potřeba přidat konkrétní záznamy na tento seznam.

3. Pokud interním a externím MAPI/HTTP, EWS ActiveSync, adresáře offline a Automatická konfigurace záznamy v tomto seznamu nevidíte, je nutné přidat pomocí příkazu dole (příklady adres URL se spojkou "mail.corp.contoso.com" a "owa.contoso.com", ale chcete nahradit příkladu Adresy URL vlastními):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Nastavení MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Ověřte že spuštěním příkazu Get-MsolServicePrincipal z kroku 2 a procházení výstup byly přidány nové záznamy. Porovnejte seznam / snímek obrazovky z před pro nový seznam názvy (můžete taky snímek obrazovky nového seznamu pro záznamy). Pokud by bylo úspěšné, zobrazí se dvě nové adresy URL v seznamu. Přechod v našem příkladu, v seznamu názvy teď zahrne konkrétní adresy URL https://mail.corp.contoso.com a https://owa.contoso.com.

Ověřte, zda virtuálních správně nakonfigurovat

Nyní ověřit OAuth aktivované správně v Exchange ve všech virtuální adresáře aplikace Outlook může použít spuštěním následující příkazy.

  • Get-MapiVirtualDirectory | FL server * url * * auth *

  • Get-WebServicesVirtualDirectory | FL server * url * * oauth *

  • Get-OABVirtualDirectory | FL server * url * * oauth *

  • Get-AutoDiscoverVirtualDirectory | FL server * oauth *

Kontrola výstupu, abyste měli jistotu OAuth je k dispozici ve všech těchto VDirs, bude vypadat přibližně takto (a klíče věc prohlédnout si je "OAuth");

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | FL server * url * * auth *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, vyjednávání}

InternalAuthenticationMethods: {Ntlm, OAuth, vyjednávání}

ExternalAuthenticationMethods: {Ntlm, OAuth, vyjednávání}

Pokud OAuth chybí libovolný server a všechny čtyři virtuálních a budete ji muset přidat pomocí příslušných příkazů pokračovat.

Potvrďte, že objekt EvoSTS ověřování serveru je prezentace

Vraťte se místní Exchange prostředí Management Shell posledního příkazu. Teď se můžete ověřit, zda vaše místní položky pro ověření evoSTS:

  • Get-AuthServer | kde {$_. Název - eq "EvoSts"}

Výstup má zobrazit AuthServer EvoSts název a stát "Povoleno" by měl být pravdivé. Pokud to nevidíte, mají stáhnout a spustit nejnovější verzi Průvodce hybridní konfigurací.

Důležité  Pokud používáte Exchange 2010 ve vašem prostředí, nevytvoří se zprostředkovatele ověřování EvoSTS.

Povolení vysoké paměti

Spusťte tento příkaz v Management Shellu místního serveru Exchange

  • Nastavení AuthServer – Identity EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Ověřit

Po povolení vysoké paměti klienta příštím přihlášení pomocí nový tok ověřování. Všimněte si, že právě zapnutí vysoké paměti neaktivují nové ověřování pro každého klienta. Klientech znovu ověřování na základě platnosti auth tokeny a/nebo certifikáty mají.

By měl taky podržte stisknutou klávesu CTRL ve stejnou dobu klepnutí pravým tlačítkem myši na ikonu pro klienta aplikace Outlook (taky na hlavním panelu Windows oznámení) a klikněte na připojení stav. Vyhledejte adresa SMTP klienta proti "Authn" typ "Nosný *", která představuje nosnému tokenu OAuth.

Poznámka:  Je třeba nakonfigurovat vysoké paměti Skypu pro firmy? Musíte mít dvě články: jeden se seznamem podporovaných topologiía takový, který se dozvíte, jak se to konfiguraci.

Odkaz zpět na přehled moderní ověřování.

Rozšiřte své dovednosti s Office
Projít školení
Získejte nové funkce jako první
Připojte se k účastníkům programu Office Insiders

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.

Děkujeme vám za váš názor. Vypadá to, že bude užitečné, když vás spojíme s některým z našich agentů z podpory Office.

×