Lokale Hybrid moderne Authentifizierung mit Exchange Server zu konfigurieren

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

Hybrid moderne Authentifizierung (diesen Speicherbereich), ist eine Methode der Verwaltung von Identität, die bietet sicherer Benutzerauthentifizierung und Autorisierung und ist für lokale hybridbereitstellungen in Exchange Server verfügbar.

FYI

Bevor wir beginnen, rufen Sie ich an:

  • Hybrid moderne Authentifizierung > diesen Speicherbereich

  • Lokalen Exchange > Exchange

  • Exchange Online > EXO

Auch, Wenn eine Grafik in in diesem Artikel Objekt hat, die weist ' grau ' oder 'abgeblendet' bedeutet dies, dass das Element grau dargestellt in diesen Speicherbereich-spezifische Konfiguration nicht enthalten ist.

Aktivieren der moderne Hybrid-Authentifizierung

Aktivieren diesen Speicherbereich bedeutet, dass ein:

  1. Werden Sie sicher, dass Sie die Prereqs erfüllen, bevor Sie beginnen.

    1. Seit viele erforderliche Komponenten gelten für beide Skype for Business und Exchange, finden Sie im Übersichtsartikel für Ihre Checkliste Voraussetzung. Führen Sie diese, bevor Sie mit den Schritten in diesem Artikel beginnen.

  2. Hinzufügen von lokalen Webdienst-URLs als Dienstprinzipalnamen (SPNs) in Azure Active Directory.

  3. Alle virtuellen Verzeichnisse Gewährleistung für diesen Speicherbereich aktiviert sind

  4. Aktivieren das Objekt EvoSTS autorisierende Server

  5. Aktivieren diesen Speicherbereich in auf

Notiz  Unterstützt Ihre Version von Office MA? Aktivieren Sie hier.

Stellen Sie sicher, dass Sie alle der Prä-Reqs entsprechen

Da viele erforderliche Komponenten für beide Skype for Business und Exchange, finden Sie im Übersichtsartikel für Ihre Voraussetzung Checklistefeldbezogene. Führen Sie diese bevor Sie beginnen, einen der Schritte in diesem Artikel.

Hinzufügen von lokalen Dienst URLs als SPNs in Azure AD web

Führen Sie die Befehle, die Ihrem lokalen Web Service URLs zuweisen, wie Azure AD SPNs. SPNs während der Authentifizierung und Autorisierung von Client-Computern und Geräten verwendet werden. Alle URLs, die Verbindung aus lokalen Azure Active Directory (AAD) verwendet werden können, müssen in AAD registriert sein, (Dies umfasst interne und externe Namespaces).

Sammeln Sie zuerst die URLs aus, die Sie in AAD hinzufügen müssen. Führen Sie diese Befehle lokalen aus:

  • Get-MapiVirtualDirectory | FL-Server * Url *

  • Get-WebServicesVirtualDirectory | FL-Server * Url *

  • Get-ActiveSyncVirtualDirectory | FL-Server * Url *

  • ' Get-OABVirtualDirectory ' | FL-Server * Url *

Vergewissern Sie sich die URLs Clients eine Verbindung herstellen können, als HTTPS-Dienst Benutzerprinzipalnamen in AAD aufgeführt sind.

  1. Schließen Sie zuerst AAD mit folgenden Anweisungen.

  2. Für die Exchange-geben verwandter URLs, Sie den folgenden Befehl aus:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Wählen Sie - ExpandProperty ServicePrincipalNames

Optimieren der Notiz (und Screenshot für spätere Vergleiche) die Ausgabe dieses Befehls, der eine https://enthalten sollte AutoErmittlung . Ihre Domäne.com undMail -URL https://, jedoch bestehen hauptsächlich aus SPNs, die mit 00000002-0000-0ff1-ce00-000000000000 beginnen /. Wenn es gibt https:// URLs aus Ihrem lokalen, die fehlen müssen wir diese bestimmte Einträge zu dieser Liste hinzuzufügen.

3. Wenn Sie Ihre internen und externen MAPI/HTTP, EWS, ActiveSync, OAB und AutoErmittlung-Einträge in dieser Liste nicht angezeigt werden, müssen Sie diese mit dem folgenden Befehl hinzufügen (die URLs Beispiel sind 'mail.corp.contoso.com' und 'owa.contoso.com', aber Sie möchten Ersetzen im Beispiel URLs durch ein eigenes):

  • $x = Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Set-MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4 Stellen Sie sicher, dass Ihre neue Einträge hinzugefügt wurden, indem Sie den Befehl Get-MsolServicePrincipal erneut aus Schritt 2 ausführen, und suchen Sie die Ausgabe. Vergleichen Sie die Liste / Screenshot bevor Sie auf die neue Liste der SPNs (können Sie auch Screenshot der Liste neue für Ihre Einträge). Wenn Sie erfolgreich waren, sehen Sie die beiden neuen URLs in der Liste. Nach diesem Beispiel gezeigt, wird die Liste der SPNs jetzt die bestimmte URLs https://mail.corp.contoso.com und https://owa.contoso.comenthalten.

Stellen Sie sicher, dass virtuelle Verzeichnisse ordnungsgemäß konfiguriert sind.

Überprüfen Sie jetzt OAuth ordnungsgemäß aktiviert ist, Exchange auf allen virtuellen Verzeichnissen Outlook möglicherweise durch Ausführen der folgenden Befehle; verwenden

  • Get-MapiVirtualDirectory | FL-Server * Url * * autorisierende *

  • Get-WebServicesVirtualDirectory | FL-Server * Url * * Oauth *

  • ' Get-OABVirtualDirectory ' | FL-Server * Url * * Oauth *

  • Get-AutoDiscoverVirtualDirectory | FL-Server * Oauth *

Überprüfen Sie die Ausgabe an den Stellen Sie sicher, dass OAuth auf jeder der folgenden VDirs aktiviert ist, sieht ungefähr wie folgt aus (und unbedingt eigenständig ist 'OAuth');

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | fl-Server * Url * * autorisierende *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, handeln}

InternalAuthenticationMethods: {Ntlm, OAuth, handeln}

ExternalAuthenticationMethods: {Ntlm, OAuth, handeln}

Wenn OAuth aus einem beliebigen Server und eine der vier virtuellen Verzeichnisse fehlt, müssen Sie ihn mit den relevanten Befehlen, bevor Sie fortfahren hinzufügen.

Bestätigen Sie, dass das Objekt EvoSTS autorisierende Server vorhanden ist.

Kehren Sie zu der lokalen Exchange-Verwaltungsshell für diesen letzten Befehl zurück. Sie können jetzt überprüfen, ob es sich bei Ihrem lokalen enthält einen Eintrag für EvoSTS-Authentifizierung:

  • Get-AuthServer | Wo {$_. Benennen Sie - Eq "EvoSts"}

Die Ausgabe sollte eine AuthServer mit dem Namen EvoSts anzeigen und der Status 'Aktiviert' muss True. Wenn dies nicht angezeigt wird, sollten Sie herunterladen und die neueste Version des Hybrid-Assistenten ausführen.

Wichtige  Wenn Sie in Ihrer Umgebung Exchange 2010 ausführen, wird nicht der EvoSTS Authentifizierungsanbieter erstellt werden.

Aktivieren Sie diesen Speicherbereich

Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell, lokal

  • Set-AuthServer-Identität EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

„Bestätigen“,

Nachdem Sie diesen Speicherbereich aktivieren, wird eines Kunden nächsten Login den neuen autorisierende Fluss verwendet. Beachten Sie, dass auf diesen Speicherbereich einschalten eine erneute Authentifizierung für Clients auslösen wird nicht. Die Clients erneut authentifizieren basierend auf die Gültigkeitsdauer der autorisierende Token und/oder Zertifikate, die sie besitzen.

Sie sollten auch halten Sie die STRG-Taste zur gleichen Zeit, die Sie rechts auf das Symbol für die Outlook-Client (auch in der Benachrichtigungen über die Windows-Taskleiste) klicken, und klicken Sie auf 'Verbindungsstatus'. Suchen Sie nach SMTP-Adresse des Clients anhand einer Typs 'Authn' von 'Person *', die das Person Token in OAuth verwendete darstellt.

Notiz  So konfigurieren Sie Skype for Business mit diesen Speicherbereich müssen? Sie benötigen zwei Artikel: eine Topologien unterstütztListen, und eine, die Sie wird gezeigt, wie die Konfiguration vornehmen.

Link zurück zur Übersicht über die moderne Authentifizierung.

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×