Modernin yhdistelmävarmennuksen määrittäminen paikalliselle Exchange-palvelimelle

Moderni yhdistelmävarmennus (HMA) on käyttäjätietojen hallintamenetelmä, joka tarjoaa suojatumman käyttäjän todentamisen ja valtuutuksen. Se on käytettävissä paikallisten Exchange-palvelinten yhdistelmäympäristöissä.

Tiedoksi

Ennen kuin aloitamme, artikkelissa käytetään seuraavia lyhenteitä:

  • Moderni yhdistelmävarmennus > HMA

  • Paikallinen Exchange > EXCH

  • Exchange Online > EXO.

Lisäksi jos jonkin tämän artikkelin kuvassa on harmaa tai himmennetty objekti, tarkoittaa se sitä, että harmaana näkyvä elementti ei sisälly pelkän HMA:n kokoonpanoon.

Modernin yhdistelmävarmennuksen ottaminen käyttöön

HMA:n ottaminen käyttöön merkitsee seuraavia vaiheita:

  1. Ennen aloittamista on tarkistettava, että kaikki edellytykset täyttyvät.

    1. Koska monet edellytykset ovat yhteisiä sekä Skype for Businessille että Exchangelle, tarkista edellytysten tarkistuslista yleiskatsausartikkelista. Tee tämä ennen kuin alat tekemään mitään tämän artikkelin vaiheita.

  2. Paikallisen verkkopalvelun URL-osoitteet lisätään palvelun päänimiksi (SPN) Azure AD:ssä.

  3. Tarkistetaan, että kaikki virtuaalihakemistot ovat käytössä HMA:ta varten.

  4. EvoSTS Auth Server -objekti tarkistetaan.

  5. HMA otetaan käyttöön EXCH:ssa.

Huomautus  Tukeeko Office-versiosi MA:ta? Tarkista täältä.

Edellytysten täyttymisen tarkistaminen

Koska monet edellytykset ovat yhteisiä sekä Skype for Businessille että Exchangelle, tarkista edellytysten tarkistuslista yleiskatsausartikkelista. Tee tämä ennen kuin alat tekemään mitään tämän artikkelin vaiheita.

Paikallisen verkkopalvelun URL-osoitteiden lisääminen palvelun päänimiksi Azure AD:ssä

Suorita komennot, jotka määrittävät paikallisen verkkopalvelun URL-osoitteet Azure AD:n palvelun päänimiksi. Asiakastietokoneet ja -laitteet käyttävät palvelun päänimiä todennuksessa ja valtuutuksessa. Kaikki URL-osoitteet, joilla saatetaan muodostaa paikallinen yhteys Azure Active Directoryyn (AAD), on rekisteröitävä AAD:ssä (tämä sisältää sekä sisäiset että ulkoiset nimitilat).

Nouda ensiksi kaikki URL-osoitteet, jotka on lisättävä AAD:ssä. Suorita seuraavat komennot paikallisesti:

  • Get-MapiVirtualDirectory | FL server,*url*

  • Get-WebServicesVirtualDirectory | FL server,*url*

  • Get-ActiveSyncVirtualDirectory | FL server,*url*

  • Get-OABVirtualDirectory | FL server,*url*

Varmista, että URL-osoitteet, joilla asiakaskoneet saattavat muodostaa yhteyden, luetellaan HTTPS-muodossa palvelun pääniminä AAD:ssä.

  1. Aloita muodostamalla yhteys AAD:hen noudattamalla näitä ohjeita.

  2. Kirjoita Exchangeen liittyviä URL-osoitteita varten seuraava komento:

  • Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000  | select -ExpandProperty ServicePrincipalNames

Kirjoita komennon tulos muistiin (ja ota näyttökuva myöhempää vertailua varten). Tuloksen pitäisi sisältää https://autodiscover.yourdomain.com- ja https://mail.yourdomain.com-URL-osoitteet. Suurimmaksi osaksi tulos kuitenkin sisältää palvelun päänimet, jotka alkavat 00000002-0000-0ff1-ce00-000000000000/. Jos tuloksesta puuttuu paikallisia https:// -URL-osoitteita, tietueet on lisättävä tähän luetteloon.

3. Jos et näe sisäisiä ja ulkoisia MAPI/HTTP-, EWS-, ActiveSync-, OAB- ja Autodiscover-tietueita luettelossa, sinun täytyy lisätä ne alla olevan komennon avulla (esimerkissä käytetään URL-osoitteita mail.corp.contoso.com ja owa.contoso.com, joten korvaa esimerkki-URL-osoitteet omilla osoitteilla):

  • $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add("https://eas.contoso.com/")

  • Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames

4. Vahvista, että uudet tietueet lisättiin, suorittamalla 2. vaiheen Get-MsolServicePrincipal-komento uudelleen ja tarkistamalla tulos. Vertaa aiempaa luetteloa ja/tai näyttökuvaa uuteen palvelun päänimien luetteloon (voit ottaa näyttökuvan myös uudesta tietueiden luettelosta). Jos onnistuit, luettelossa näkyy kaksi uutta URL-osoitetta. Jatkaen esimerkkien käyttöä palvelun päänimien luettelo sisältää nyt tarkalleen URL-osoitteet https://mail.corp.contoso.com ja https://owa.contoso.com.

Virtuaalihakemistojen määrityksen tarkistaminen

Tarkista nyt, että OAuth on otettu oikein käyttöön Exchangessä kaikissa virtuaalihakemistoissa, joita Outlook voi käyttää, suorittamalla seuraavat komennot:

  • Get-MapiVirtualDirectory | FL server,*url*,*auth*

  • Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*

  • Get-OABVirtualDirectory | FL server,*url*,*oauth*

  • Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

Tarkista tuloksesta, että OAuth on otettu käyttöön kaikille virtuaalihakemistoille. Tulos näyttää suunnilleen tältä (kiinnitä huomiota OAuth-kohtaan):

[PS] C:\Windows\system32>Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1

InternalUrl                   : https://mail.contoso.com/mapi

ExternalUrl                   : https://mail.contoso.com/mapi

IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}

InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Jos OAuth puuttuu jostakin palvelimesta ja jostakin neljästä virtuaalihakemistosta, sinun on lisättävä se asianmukaisilla komennoilla ennen jatkamista.

EvoSTS Auth Server -objektin olemassaolon vahvistaminen

Suorita seuraava komento paikallisessa Exchange-palvelimen hallintaliittymässä. Nyt voit vahvistaa, että paikallisella palvelimella on merkintä evoSTS:n käyttöoikeuksien todentamispalvelun tarjoajalle:

  • Get-AuthServer | where {$_.Name -eq "EvoSts"}

Tuloksessa pitäisi näkyä EvoSts-niminen AuthServer, jonka Enabled-tila on Tosi. Jos et näe tätä, sinun kannattaa ladata ja suorittaa yhdistelmäympäristön ohjatun toiminnon uusin versio.

Tärkeää  Jos ympäristössä on käytössä Exchange 2010, EvoSTS:n käyttöoikeuksien todentamispalvelun tarjoajaa ei luoda.

HMA:n ottaminen käyttöön

Suorita paikallisessa Exchange-palvelimen hallintaliittymässä seuraava komento.

  • Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Varmistaminen

Kun olet ottanut HMA:n käyttöön, asiakkaan seuraava kirjautuminen käyttää uutta varmennusmenetelmää. Huomaa, että HMA:n käyttöönotto ei itsessään edellytä minkään asiakkaan uudelleentodentamista. Asiakkaiden uudelleentodentaminen tapahtuu asiakkaan todennustunnisteiden ja/tai varmenteiden elinkaaren perusteella.

Pidä myös CTRL-näppäintä painettuna samalla, kun napsautat kakkospainikkeella Outlook-asiakkaan kuvaketta (myös Windowsin tehtäväpalkissa), ja valitse Yhteyden tila. Etsi asiakkaan SMTP-osoitteesta haltijan* todentamistyyppi, joka edustaa OAuth:ssa käytettävää haltijatunnusta.

Huomautus  Onko sinun määritettävä Skype for Business käyttämään HMA:ta? Tarvitset kahta artikkelia: Tarvitset yhden, joka luettelee tuetut topologiat, ja toisen, jossa on määritysohjeet.

Linkki takaisin modernin varmennuksen yleiskatsaukseen.

Kehitä Office-taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Office Insider -käyttäjiin

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!

Kiitos palautteestasi! Näyttää siltä, että Office-tukiedustajamme avusta voi olla sinulle hyötyä.

×