Kohapealse Exchange Serveri konfigureerimine Hybrid Modern Authenticationi kasutamiseks

Hybrid Modern Authentication (HMA) on kasutajahalduse meetod, mis võimaldab kasutajate turvalisemat autentimist ja autoriseerimist, ning on saadaval Exchange‘i serveri kohapealsete hübriidjuurutuste jaoks.

NB!

Enne alustamist pange tähele järgmist.

  • Hybrid Modern Authentication > HMA

  • Exchange‘i kohapealne versioon > EXCH

  • Exchange Online > EXO

Lisaks, kui selle artikli mõnel pildil on kuvatud objekt halli või tuhmina, tähendab see seda, et hall element ei kuulu HMA-ga seotud konfiguratsiooni.

Hybrid Modern Authenticationi lubamine

HMA sisselülitamine tähendab järgmist.

  1. Veendumist, et vastate enne alustamist eeltingimustele.

    1. Kuna paljud eeltingimused on omased ka Skype‘i ärirakendusele ja Exchange‘ile, lugege eeltingimuste kontroll-loendi jaoks ülevaateartiklit. Tehke seda enne selles artiklis toodud juhistega alustamist.

  2. Azure AD-sse teenuse subjektinimena (SPN) kohapealse veebiteenuse URL-ide lisamist.

  3. Veendumist, et kõik virtuaalkataloogid on HMA jaoks lubatud

  4. EvoSTS aut. serveri objekti kontrollimist

  5. HMA lubamist EXCH-is.

Märkus Kas teie Office‘i versioon toetab MA-d? Kontrollige siin.

Kõigile eeltingimustele vastamises veendumine

Kuna paljud eeltingimused on omased ka Skype‘i ärirakendusele ja Exchange‘ile, lugege eeltingimuste kontroll-loendi jaoks ülevaateartiklit. Tehke seda enne selles artiklis toodud juhistega alustamist.

Kohapealse veebiteenuse URL-ide lisamine Azure AD-sse SPN-idena

Käivitage käsud, mis määravad teie kohapealse veebiteenuse URL-id Azure AD SPN-ideks. SPN-e kasutavad klientarvutid ja -seadmed autentimisel ja autoriseerimisel. Kõik URL-id, mida võidakse kasutada kohapealsest Azure Active Directoryst (AAD) ühenduse loomisel, peavad olema AAD-s registreeritud (nii sisemised kui ka välised nimeruumid).

Kõigepealt koguge kokku kõik URL-id, mis on vaja AAD-sse lisada. Käivitage järgmised käsud kohapeal.

  • Get-MapiVirtualDirectory | FL server,*url*

  • Get-WebServicesVirtualDirectory | FL server,*url*

  • Get-ActiveSyncVirtualDirectory | FL server,*url*

  • Get-OABVirtualDirectory | FL server,*url*

Veenduge, et URL-id, millega klientrakendused võivad ühenduse luua, oleksid AAD-s loetletud HTTP-de teenuse subjektinimedena.

  1. Esmalt looge nende juhiste abil ühendus AAD-ga.

  2. Exchange'iga seotud URL-ide jaoks tippige järgmine käsk.

  • Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000  | select -ExpandProperty ServicePrincipalNames

Pange tähele (ja tehke hilisemaks võrdlemiseks kuvatõmmis) selle käsu väljundit, mis peaks sisaldama URL-e https://autodiscover.yourdomain.com ja https://mail.yourdomain.com, kuid peamiselt sisaldama SPN-e, mis algavad numbritega 00000002-0000-0ff1-ce00-000000000000/. Kui teie kohapealsest versioonist on puuduvaid https:// URL-e, peame need konkreetsed kirjed loendisse lisama.

3. Kui te ei näe selles loendis oma sise ja välis MAPI-/HTTP-, EWS-, ActiveSync-, OAB- ja automaattuvastuskirjeid, peate need lisama, kasutades allpool asuvat käsku (näidis URL-id on mail.corp.contoso.com ja owa.contoso.com, kuid asendate näidis URL-id enda omadega).

  • $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add("https://eas.contoso.com/")

  • Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames

4. Veenduge uuesti, et teie uued kirjed lisati 2. juhises toodud käsuga Get-MsolServicePrincipal ning vaadake väljund üle. Võrrelge varasemat loendit / kuvatõmmist uue SPN-ide loendiga (võite ka oma kirjete jaoks teha kuvatõmmise). Kui olite edukas, näete loendis kaht uut URL-i. Meie näite põhjal sisaldab SPN-ide loend nüüd URL-e https://mail.corp.contoso.com ja https://owa.contoso.com.

Virtuaalkataloogide õigesti konfigureerimises veendumine

Nüüd veenduge, et OAuth on Exchange‘is kõigis virtuaalkataloogides, mida Outlook võib järgmiste käskude käivitamisel kasutada, õigesti lubatud.

  • Get-MapiVirtualDirectory | FL server,*url*,*auth*

  • Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*

  • Get-OABVirtualDirectory | FL server,*url*,*oauth*

  • Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Kontrollige väljundit, et olla kindel, et OAuth on lubatud kõigis neis virtuaalkataloogides. See näeb välja umbes selline (peamine, mida kontrollida on „OAuth“).

[PS] C:\Windows\system32>Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1

InternalUrl                   : https://mail.contoso.com/mapi

ExternalUrl                   : https://mail.contoso.com/mapi

IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}

InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Kui OAuth on ühestki serverist või neljast virtuaalkataloogist puudu, peate selle enne jätkamist asjakohaste käskude abil lisama.

EvoSTS aut. serveri objekti olemasolu kinnitamine

Minge selle viimase käsu jaoks tagasi kohapealse versiooni Exchange Management Shelli. Nüüd saate kinnitada, et teie kohapealsel versioonil on evoSTS autentimispakkuja jaoks kirje.

  • Get-AuthServer | where {$_.Name -eq "EvoSts"}

Teie väljundis peaks olema kuvatud EvoSts nime Authserver ja olek „Enabled“ (Lubatud) peaks olema väärtusel „True“ (Tõene). Kui te ei näe seda, peaksite laadima alla ja käivitama uusima hübriidkonfiguratsiooni viisardi versiooni.

Oluline Kui teie keskkonnas töötab Exchange 2010, ei looda EvoSTS autentimispakkujat.

HMA lubamine

Käivitage kohapealses Exchange Management Shellis järgmine käsk

  • Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Kinnitamine

Kui olete HMA kinnitanud, kasutatakse klientrakenduse järgmisel sisselogimisel uut autentimisvoogu. Pange tähele, et lihtsalt HMA sisselülitamine ei käivita ühegi klientrakenduse puhul uuesti autentimist. Klientrakendused autendivad uuesti vastavalt olemasolevatele autentimise kestuse lubadele ja/või sertidele.

Hoidke samal ajal, kui paremklõpsate Outlooki (ka Windowsi teatiste salves) klientrakenduse ikooni, all Ctrl klahvi ja klõpsake nuppu „Connection Status“ (Ühenduse olek). Otsige klientrakenduse SMTP-aadressist autenttüüpi kandjat, mis esindab OAuthis kasutatavat kandjatõendit.

Märkus Kas soovite konfigureerida Skype'i ärirakenduse HMA-ga? Selleks lugege kaht artiklit. Artiklit, kus on loetletud toetatud topoloogiad ja artiklit, mis õpetab, kuidas konfigureerida.

Link tagasi modernautentimise ülevaate juurde.

Täiendage Office'i kasutamise oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liituge Office Insideri programmiga

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×