Office
Log på

Sådan konfigureres Exchange Server i det lokale miljø til at bruge Hybrid moderne godkendelse

Bemærk!:  Vi vil gerne give dig den mest opdaterede hjælp, så hurtigt vi kan, på dit eget sprog. Denne side er oversat ved hjælp af automatisering og kan indeholde grammatiske fejl og unøjagtigheder. Det er vores hensigt, at dette indhold skal være nyttigt for dig. Vil du fortælle os, om oplysningerne var nyttige for dig, nederst på denne side? Her er artiklen på engelsk så du kan sammenligne.

Hybrid moderne godkendelse HMA (), er en metode til administration af identitet, som giver mere sikker brugergodkendelse og autorisation og er tilgængelig for Exchange server lokalt hybridinstallationer.

TIL ORIENTERING

Før vi begynder, ringe jeg til:

  • Hybrid moderne godkendelse > HMA

  • Exchange lokalt > udveksling

  • Exchange Online > EXO

Også, Hvis en grafik i denne artikel indeholder et objekt, der indeholder ' nedtonet ' eller 'nedtonet', som gør det element, vises den nedtonet ikke er inkluderet i HMA-specifikke konfiguration.

Aktivere Hybrid moderne godkendelse

Slå betyder HMA:

  1. At være sikker på, at du opfylder prereqs, inden du går i gang.

    1. Siden mange forudsætninger, der er fælles for begge Skype for Business og Exchange, artiklen oversigt for din pre nødvendig huskeliste. Gør dette, før du starter et af trinnene i denne artikel.

  2. Tilføje lokale web service URL-adresser som tjenestens hovednavne (hovednavne) i Azure AD.

  3. Kontrollere, at alle virtuelle mapper er aktiveret for HMA

  4. Kontrollerer, om objektet EvoSTS Auth Server

  5. Aktivere HMA i behov

Bemærk!  Understøtter din version af Office glidende gennemsnit? Se her.

Sørg for, at du opfylder alle pre-systemkrav

Da mange forudsætninger er fælles for begge Skype for Business og Exchange, artiklen oversigt for din pre nødvendig huskeliste. Gøre denne før du starter et af trinnene i denne artikel.

Tilføje lokale-tjenesten URL-adresser som hovednavne i Azure AD

Køre de kommandoer, tildeler webstedet lokale service URL-adresser, som Azure AD hovednavne. hovednavne bruges af klientcomputere og enheder under godkendelse og autorisation. Alle de URL-adresser, der kan bruges til at oprette forbindelse fra det lokale til Azure Active Directory (AAD) skal være registreret i AAD (Dette omfatter både interne og eksterne navneområder).

Du skal først indsamle alle de URL-adresser, du skal bruge til at tilføje i AAD. Kør følgende kommandoer i det lokale miljø:

  • Get-MapiVirtualDirectory | FL server * URL-adresse *

  • Get-WebServicesVirtualDirectory | FL server * URL-adresse *

  • Get-ActiveSyncVirtualDirectory | FL server * URL-adresse *

  • Get-OABVirtualDirectory | FL server * URL-adresse *

Kontrollér, at URL-adresserne klienter kan oprette forbindelse til er angivet som HTTPS vigtigste Tjenestenavne i AAD.

  1. Opret først forbindelse til AAD med disse instruktioner.

  2. Til din Exchange-relaterede URL-adresser, skal du skrive følgende kommando:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Vælg - ExpandProperty ServicePrincipalNames

Tage noter (og skærmbillede til senere sammenligning) output for denne kommando, som skal indeholde en https://autodiscover. ditdomæne.com og https://mail.yourdomain.com URL-adresse, men hovedsageligt består af hovednavne, der starter med 00000002-0000-0ff1-ce00-000000000000 /. Hvis der er https:// URL-adresser fra din lokale, der mangler skal vi tilføje disse poster til denne liste.

3. Hvis du ikke kan se din interne og eksterne MAPI/HTTP, EWS, ActiveSync, OAB og Autodiscover-poster på listen, skal du tilføje dem ved hjælp af kommandoen nedenfor (eksempel URL-adresser er 'mail.corp.contoso.com' og 'owa.contoso.com', men du ville gøre Erstat eksemplet URL-adresser med dine egne):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Sæt MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Kontroller blev tilføjet din nye poster ved at køre kommandoen Get-MsolServicePrincipal fra trin 2 igen og kigge output. Sammenlign listen / skærmbillede fra før til den nye liste over hovednavne (du kan også skærmbillede den nye liste til posterne). Hvis du blev gennemført, får du vist to nye URL-adresserne på listen. Gå efter vores eksempel, vil på listen over hovednavne nu omfatter bestemte URL-adresser https://mail.corp.contoso.com og https://owa.contoso.com.

Kontrollér virtuelle mapper er konfigureret korrekt

Nu bekræfte OAuth aktiveres korrekt i Exchange på alle virtuelle mapper Outlook kan bruge ved at køre følgende kommandoer

  • Get-MapiVirtualDirectory | FL server * URL-adressen *, * auth *

  • Get-WebServicesVirtualDirectory | FL server * URL-adressen *, * oauth *

  • Get-OABVirtualDirectory | FL server * URL-adressen *, * oauth *

  • Get-AutoDiscoverVirtualDirectory | FL server * oauth *

Kontrollér output at sikre dig, at OAuth er aktiveret på hver af disse VDirs, den ser nogenlunde således ud (og den vigtige ting at kigge på er 'OAuth');

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | Fl server * URL-adressen *, * auth *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, forhandl}

InternalAuthenticationMethods: {Ntlm, OAuth, forhandl}

ExternalAuthenticationMethods: {Ntlm, OAuth, forhandl}

Hvis OAuth mangler fra en hvilken som helst server og en af de fire virtuelle mapper skal du tilføje den ved hjælp af kommandoerne relevante før du fortsætter.

Kontrollér EvoSTS Auth Server-objektet er Præsenter

Gå tilbage til lokale Exchange Management Shell for denne sidste kommando. Nu kan du kontrollere, at dine lokale har en post for evoSTS godkendelse udbyder:

  • Get-AuthServer | hvor {$_. Navngive - eq "EvoSts"}

Din output skal vises en AuthServer navn EvoSts og tilstanden 'Enabled' skal være sande. Hvis du ikke kan se dette, skal du hente og køre den seneste version af guiden Konfiguration af Hybrid.

Vigtige  Hvis du kører Exchange 2010 i dit miljø, bliver der ikke oprettet provideren EvoSTS godkendelse.

Aktivere HMA

Køre følgende kommando i Exchange Management Shell, lokalt

  • Sæt AuthServer-identitet EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Bekræft

Når du aktiverer HMA, bruge en klient næste login nye auth strømmen. Bemærk, at kun slå HMA ikke udløse en ny godkendelse for en hvilken som helst-klienten. Den klienter igen godkende baseret på levetiden for auth tokens og/eller certifikater, de har.

Du skal også holde CTRL nede på samme tid du højre klikke på ikonet for Outlook-klienten (også i Windows beskeder bakke) og klikke på 'Forbindelsesstatus'. Se efter kundens SMTP-adresse med en 'Authn' type 'Bæreren *', som repræsenterer bruges i OAuth-bærertokenet.

Bemærk!  Brug for at konfigurere Skype for Business med HMA? Du skal bruge to artikler: én, der viser en liste over understøttede topologierog én, der viser, hvordan du gør konfigurationen.

Link til oversigt i moderne godkendelse igen.

Udvid dine Office-færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Bliv Office Insider

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×