Office
Se connecter

Comment configurer Exchange Server en local pour utiliser l’authentification moderne hybride

Remarque :  Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Hybride moderne d’authentification (zone), est une méthode de gestion des identités qui offre plus sécurisées authentification des utilisateurs et autorisation et qui est disponible pour les déploiements Exchange server en local hybride.

À TITRE D’INFO

Avant de commencer, que j’appelle :

  • Authentification moderne hybride > zone de mémoire haute

  • Exchange local > change

  • Exchange Online > EXO

En outre, que si un graphique dans cet article comporte un objet qui compte « grisé » ou « estompé » cela signifie que l’élément en gris n’est pas inclus dans configuration spécifiques à la zone de mémoire haute.

Activation de l’authentification moderne hybride

Activation de zone de mémoire haute signifie que :

  1. En vérifiant que vous remplissez les conditions préalables avant de commencer.

    1. Depuis plusieurs conditions préalables sont courants pour les deux Skype entreprise et Exchange, voir l’article de présentation pour votre liste de vérification de condition requise. Procédez comme suit avant de commencer un des étapes décrites dans cet article.

  2. Ajout en local URL de service web en tant que Principal du Service (noms) dans Azure Active Directory.

  3. Assurer tous les répertoires virtuels sont activés pour la zone de mémoire haute

  4. Vérification de l’objet EvoSTS Auth serveur

  5. L’activation de zone de mémoire haute dans change

Remarque  Votre version d’Office ne prend en charge MA ? Vérifier ici.

Assurez-vous que tous les préalables

Dans la mesure où les conditions préalables pour les nombreuses sont courants pour les deux Skype entreprise et Exchange, voir l’article de présentation pour votre liste de vérification de condition requise. Effectuez ce avant de commencer l’une des étapes décrites dans cet article.

Ajoutez en local web service URL en tant que noms principaux de service dans Azure Active Directory

Exécuter les commandes qui assigner des URL de service de votre site web en local comme noms principaux de service Azure AD noms principaux de service. sont utilisées par les ordinateurs clients et les périphériques pendant l’authentification et d’autorisation. Toutes les URL peuvent être utilisées pour vous connecter à partir de local à Azure Active Directory (DAS) doivent être enregistrés dans AAD (y compris les espaces de noms internes et externes).

Tout d’abord, rassembler toutes les URL que vous devez ajouter dans AAD. Ces commandes en local, exécutez :

  • Get-MapiVirtualDirectory | Serveur FL, * url *

  • Get-WebServicesVirtualDirectory | Serveur FL, * url *

  • Get-ActiveSyncVirtualDirectory | Serveur FL, * url *

  • Get-OABVirtualDirectory | Serveur FL, * url *

Vérifiez que les URL clients peuvent se connecter à sont répertoriées sous forme de noms principaux de service HTTPS dans AAD.

  1. Tout d’abord, connectez-vous à AAD avec ces instructions.

  2. Pour votre Exchange URL associées, tapez la commande suivante :

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Sélectionnez - ExpandProperty ServicePrincipalNames

Prenez note des (et capture d’écran pour comparaison ultérieure) le résultat de cette commande, qui doit inclure un https:// découverte automatique. votre_domaine.com et https://mail.yourdomain.com URL, mais principalement regroupent noms principaux de service qui commencent par 00000002-0000-0ff1-ce00-000000000000 /. S’il existe URL https:// votre locales qui ne figurent pas nous devrez ajouter les enregistrements spécifiques à cette liste.

3. Si vous ne voyez pas votre HTTP/MAPI interne et externe, les enregistrements EWS, ActiveSync, OAB et la découverte automatique dans cette liste, vous devez les ajouter à l’aide de la commande suivante (les exemples d’URL sont « mail.corp.contoso.com » et « owa.contoso.com », mais vous le feriez Remplacer l’exemple URL avec votre propre) :

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add (« https://mail.corp.contoso.com/ »)

  • $x.ServicePrincipalnames.Add (« https://owa.contoso.com/ »)

  • $x.ServicePrincipalnames.Add (« https://eas.contoso.com/ »)

  • Jeu-MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Vérifiez que vos nouveaux enregistrements ont été ajoutés en relançant la commande Get-MsolServicePrincipal à l’étape 2 et consultez la sortie. Comparez la liste / capture d’écran d’avant à la nouvelle liste de noms principaux de service (vous pouvez également capture d’écran de la nouvelle liste pour vos enregistrements). Si vous avez réussi, vous verrez les deux nouvelles URL dans la liste. Accédant à notre exemple, la liste des noms principaux de service maintenant inclura l' URL spécifique https://mail.corp.contoso.com et https://owa.contoso.com.

Vérifier que les répertoires virtuels sont configurés correctement

À présent vérifier OAuth est correctement activé dans Exchange sur tous les Outlook répertoires virtuel peut utiliser en exécutant les commandes suivantes ;

  • Get-MapiVirtualDirectory | Serveur FL, * url *, * auth *

  • Get-WebServicesVirtualDirectory | Serveur FL, * url *, * oauth *

  • Get-OABVirtualDirectory | Serveur FL, * url *, * oauth *

  • Get-AutoDiscoverVirtualDirectory | Serveur FL, * oauth *

Vérifier la sortie pour vous assurer que OAuth est activé sur chacun de ces VDirs, il doit ressembler à ceci (et l’essentiel pour examiner est « OAuth ») ;

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | serveur fl, * url *, * auth *

Serveur : EX1

InternalUrl : https://mail.contoso.com/mapi

ExternalUrl : https://mail.contoso.com/mapi

IISAuthenticationMethods : {Ntlm, OAuth, négociation}

InternalAuthenticationMethods : {Ntlm, OAuth, négociation}

ExternalAuthenticationMethods : {Ntlm, OAuth, négociation}

Si OAuth est manquant dans n’importe quel serveur et les quatre répertoires virtuels vous devez peut-être les ajouter à l’aide des commandes avant de poursuivre.

Confirmer que l’objet de serveur EvoSTS Auth est établie.

Revenir à l’environnement local Exchange Management Shell pour cette dernière commande. Vous pouvez maintenant valider que vos localement comporte une entrée pour le fournisseur d’authentification evoSTS :

  • Get-AuthServer | où {$_. Nom - eq « EvoSts »}

Votre sortie doit indiquer un AuthServer de la EvoSts nom et l’état « Activé » doit être True. Si vous ne voyez pas cette, téléchargez et exécutez la version la plus récente de l’Assistant Configuration hybride.

Important  Si vous exécutez Exchange 2010 dans votre environnement, le fournisseur d’authentification EvoSTS n’est créé.

Activer la zone de mémoire haute

Exécutez la commande suivante dans Exchange Management Shell, en local

  • Jeu-AuthServer-identité EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Vérifier

Une fois que vous activez la zone de mémoire haute, prochaine connexion d’un client utilisera le nouveau flux auth. Notez que mise en marche de zone de mémoire haute ne déclenche pas une nouvelle authentification pour n’importe quel client. Le clients s’authentifier à nouveau en fonction de la durée de vie des jetons auth et/ou des certificats qu’ils ont.

Vous devez également maintenez la touche CTRL enfoncée en même temps vous avec le bouton droit sur l’icône pour le client Outlook (également dans la barre d’état Windows Notifications) et cliquez sur état de la connexion. Recherchez l’adresse du client SMTP par rapport à un type de « Authentification » de « Porteur * », qui représente le jeton PORTEUR utilisé dans OAuth.

Remarque  Vous avez besoin configurer Skype entreprise avec zone ? Vous aurez besoin de deux articles : une qui répertorie les topologies prises en chargeet une qui vous montre comment effectuer la configuration.

Lien vers la vue d’ensemble d’authentification moderne.

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×