Cara mengonfigurasi Exchange Server lokal untuk menggunakan autentikasi Modern hibrid

Catatan:  Kami ingin secepatnya menyediakan konten bantuan terbaru dalam bahasa Anda. Halaman ini diterjemahkan menggunakan mesin dan mungkin terdapat kesalahan tata bahasa atau masalah keakuratan. Kami bertujuan menyediakan konten yang bermanfaat untuk Anda. Dapatkah Anda memberi tahu kami apakah informasi ini bermanfaat untuk Anda di bagian bawah halaman ini? Berikut artikel dalam bahasa Inggris untuk referensi.

Hibrid Modern autentikasi (HMA), adalah metode manajemen identitas yang menawarkan lebih aman autentikasi pengguna dan izin, dan tersedia untuk penempatan hibrid Exchange server di tempat.

FYI

Sebelum kami mulai, cara menghubungi:

  • Autentikasi Modern hibrid > HMA

  • Exchange di tempat > EXCH

  • Exchange Online > EXO

Juga, jika grafik dalam artikel ini berisi objek yang memiliki ' berwarna abu-out' atau 'redup' artinya elemen yang diperlihatkan dalam abu-abu tidak disertakan dalam konfigurasi HMA khusus.

Mengaktifkan autentikasi Modern hibrid

Mengaktifkan HMA berarti:

  1. Menjadi yakin Anda memenuhi prereqs sebelum Anda mulai.

    1. Karena banyak prasyarat umum untuk Skype for Business dan Exchange, Lihat artikel gambaran umum untuk daftar periksa pra-req Anda. Lakukan hal ini sebelum Anda memulai langkah-langkah dalam artikel ini.

  2. Menambahkan lokal URL layanan web sebagai nama Layanan pokok (SPNs) di Azure AD.

  3. Memastikan semua Virtual direktori diaktifkan untuk HMA

  4. Memeriksa objek EvoSTS Auth Server

  5. Mengaktifkan HMA di EXCH.

Catatan  Versi Office yang didukung oleh MA? Periksa di sini.

Pastikan Anda memenuhi semua pra-persyaratan

Karena banyak persyaratan umum untuk Skype for Business dan Exchange, Lihat artikel gambaran umum untuk daftar periksa pra-req Anda. Lakukan ini sebelum Anda memulai langkah-langkah dalam artikel ini.

Menambahkan lokal web URL Layanan sebagai SPNs di Azure AD

Menjalankan perintah yang menetapkan web lokal Anda URL Layanan sebagai Azure AD SPNs. SPNs yang digunakan oleh komputer klien dan perangkat selama autentikasi dan otorisasi. Semua URL yang dapat digunakan untuk menyambungkan di tempat ke direktori aktif Azure (AAD) harus didaftarkan di AAD (ini termasuk ruang nama internal dan eksternal).

Pertama, mengumpulkan semua URL yang perlu Anda tambahkan di AAD. Jalankan ini perintah di tempat:

  • Get-MapiVirtualDirectory | FL server, * url *

  • Get-WebServicesVirtualDirectory | FL server, * url *

  • Get-ActiveSyncVirtualDirectory | FL server, * url *

  • Get-OABVirtualDirectory | FL server, * url *

Pastikan klien URL mungkin tersambung ke dicantumkan sebagai layanan HTTPS nama utama dalam AAD.

  1. Pertama-tama, sambungkan ke AAD dengan instruksi ini.

  2. Untuk Exchange Anda terkait URL, ketik perintah berikut ini:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Pilih - ExpandProperty ServicePrincipalNames

Membuat catatan (dan cuplikan layar untuk perbandingan yang lebih baru) output perintah ini, yang harus menyertakan https://autodiscover. domain.com dan https://mail.yourdomain.com URL, tapi sebagian besar terdiri dari SPNs yang dimulai dengan 00000002-0000-0ff1-ce00-000000000000 /. Jika ada https:// URL Anda di tempat yang hilang kami akan perlu menambahkan catatan tersebut tertentu ke daftar ini.

3. jika Anda tidak melihat internal dan eksternal MAPI/HTTP, EWS, ActiveSync, OAB dan pencarian otomatis catatan dalam daftar ini, Anda harus menambahkannya dengan menggunakan perintah di bawah ini (contoh URL 'mail.corp.contoso.com' dan 'owa.contoso.com', tetapi Anda akan ganti contoh URL dengan Anda sendiri):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Set-MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. verifikasi catatan baru ditambahkan dengan menjalankan perintah Get-MsolServicePrincipal dari langkah 2 lagi, dan lihat output. Membandingkan daftar / cuplikan layar dari sebelum ke daftar baru SPNs (Anda mungkin juga cuplikan layar daftar baru untuk catatan Anda). Jika Anda berhasil, Anda akan melihat dua URL yang baru dalam daftar. Masuk dengan contoh kami, daftar SPNs akan sekarang menyertakan URL tertentu https://mail.corp.contoso.com dan https://owa.contoso.com.

Memverifikasi direktori Virtual yang dikonfigurasi dengan benar

Sekarang verifikasi OAuth diaktifkan dengan benar di Exchange pada semua Virtual Direktori Outlook dapat menggunakan dengan menjalankan perintah berikut ini;

  • Get-MapiVirtualDirectory | FL server, * url *, * auth *

  • Get-WebServicesVirtualDirectory | FL server, * url *, * oauth *

  • Get-OABVirtualDirectory | FL server, * url *, * oauth *

  • Get-AutoDiscoverVirtualDirectory | FL server, * oauth *

Centang output agar yakin OAuth diaktifkan pada setiap VDirs ini, maka akan terlihat seperti ini (dan hal penting untuk melihat 'OAuth');

[ID] C:\Windows\system32 > Get-MapiVirtualDirectory | FL server, * url *, * auth *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, Negosiasikan}

InternalAuthenticationMethods: {Ntlm, OAuth, Negosiasikan}

ExternalAuthenticationMethods: {Ntlm, OAuth, Negosiasikan}

Jika OAuth hilang dari server apa pun dan salah satu dari empat direktori virtual, maka Anda perlu menambahkan menggunakan perintah relevan sebelum melanjutkan.

Konfirmasi EvoSTS Auth Server objek saat ini

Kembali ke di tempat Exchange Management Shell untuk perintah terakhir ini. Sekarang Anda bisa memvalidasi Anda di tempat yang memiliki entri untuk evoSTS autentikasi penyedia:

  • Get-AuthServer | di mana {$_. Nama - persamaan "EvoSts"}

Output Anda harus memperlihatkan AuthServer EvoSts nama dan status 'Aktifkan' harus benar. Jika Anda tidak melihat ini, Anda harus mengunduh dan menjalankan versi terbaru panduan konfigurasi hibrid.

Penting  Jika Anda menjalankan Exchange 2010 di lingkungan Anda, EvoSTS autentikasi penyedia tidak akan dibuat.

Mengaktifkan HMA

Jalankan perintah berikut dalam Exchange Management Shell, di tempat

  • Set-AuthServer-identitas EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Verifikasi

Setelah Anda mengaktifkan HMA, masuk berikutnya akan menggunakan aliran auth baru. Perhatikan bahwa hanya mengaktifkan HMA tidak akan memicu autentikasi kembali untuk klien. Klien ulang mengautentikasi berdasarkan umur auth token dan/atau sertifikat mereka memiliki.

Anda juga harus tahan tombol CTRL pada saat yang sama yang Anda klik kanan ikon untuk klien Outlook (juga di tray pemberitahuan Windows) dan klik 'Status koneksi'. Cari alamat SMTP klien terhadap tipe 'Authn' 'Penanggung *', yang menyatakan token penanggung yang digunakan dalam OAuth.

Catatan  Perlu mengonfigurasi Skype for Business dengan HMA? Anda akan memerlukan dua artikel: satu yang mencantumkan topologi yang didukung, dan satu yang memperlihatkan pada Anda cara melakukan konfigurasi.

Link kembali ke gambaran umum autentikasi Modern.

Kembangkan keterampilan Office Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung ke Office Insiders

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×