Come configurare il Server Exchange locale per utilizzare l'autenticazione moderno ibrido

Nota:  Riteniamo importante fornire il contenuto della Guida più recente non appena possibile, nella lingua dell'utente. Questa pagina è stata tradotta automaticamente e potrebbe contenere errori di grammatica o imprecisioni. L'intento è quello di rendere fruibile il contenuto. Nella parte inferiore della pagina è possibile indicare se le informazioni sono risultate utili. Questo è l' articolo in lingua inglese per riferimento.

Ibrido moderna autenticazione (alta), è un metodo di gestione delle identità che offre più sicura l'autenticazione degli utenti e autorizzazioni ed è disponibile per le distribuzioni ibride di Exchange server locale.

PER INFORMAZIONE.

Prima di iniziare, si partecipa:

  • Autenticazione moderno ibrido > alta

  • Exchange locale > EXCH

  • Exchange Online > EXO

Inoltre, che se un elemento grafico in questo articolo contiene un oggetto che ha ' inattivo ' o grigio che indica che l'elemento visualizzato in grigio non è incluso nella configurazione specifici di alta.

Abilitare l'autenticazione moderno ibrido

Attivare alta indica che:

  1. Assicurandosi che è necessario soddisfare i prerequisiti prima di iniziare.

    1. Poiché molti Prerequisiti sono comuni per entrambi Skype for Business ed Exchange, vedere l'articolo informazioni generali per un elenco di controllo pre-obbligatorio. Ripetere l'operazione prima di iniziare a uno dei passaggi descritti in questo articolo.

  2. Aggiunta di locale URL di servizi web come principale del servizio i nomi in Azure Active Directory.

  3. Verifica della compatibilità tutti virtuali sono state abilitate per alta

  4. Verifica della presenza di oggetto EvoSTS Auth Server

  5. Attivazione alta in cambio

Nota  La versione di Office supportati MA? Controllare qui.

Verificare che siano soddisfatti tutti i codice prerequisiti

Poiché i prerequisiti molti sono comuni per entrambi Skype for Business ed Exchange, vedere l'articolo informazioni generali per un elenco di controllo pre-obbligatorio. Eseguire questo prima di iniziare uno dei passaggi descritti in questo articolo.

Aggiungere locale web URL di servizi come entità servizio in Azure Active Directory

Eseguire i comandi che assegnare gli URL del servizio web locale come entità servizio Azure Active Directory entità servizio. vengono utilizzate dal computer client e dispositivi durante l'autenticazione e autorizzazione. Tutti gli URL che potrebbero essere utilizzati per la connessione da locale di Azure Active Directory (AAD) devono essere registrati in AAD (include spazi interni ed esterni).

Raccogliere prima di tutto, tutti gli URL che è necessario aggiungere AAD. Eseguire questi comandi locale:

  • Get-MapiVirtualDirectory | Server FL, * url *

  • Get-WebServicesVirtualDirectory | Server FL, * url *

  • Get-ActiveSyncVirtualDirectory | Server FL, * url *

  • Get-OABVirtualDirectory | Server FL, * url *

Assicurarsi che gli URL client può connettersi classificati come nomi dell'entità dei servizi HTTPS in AAD.

  1. Prima di tutto, connettersi a AAD con queste istruzioni.

  2. Per lo scambio correlati URL, digitare il comando seguente:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Selezionare - ExpandProperty gli attributi SPN

Prendere nota del (e schermata per un confronto successivo) l'output di questo comando, che deve includere un https://individuazione automatica. DominioPersonalecom e https://mail.yourdomain.com URL, ma prevalentemente costituite di nomi di provider che iniziano con 00000002-0000-0ff1-ce00-000000000000 /. Se sono presenti gli URL https:// i locali che mancano occorre aggiungere i record specifici all'elenco.

3. Se non è presente l'interne ed esterne MAPI/HTTP, record EWS, ActiveSync, della Rubrica fuori rete e l'individuazione automatica in questo elenco, è necessario aggiungerli utilizzando il comando seguente (gli URL di esempio sono 'mail.corp.contoso.com' e 'owa.contoso.com', ma si preferisce sostituzione dell'esempio URL con il proprio):

  • $x = MsolServicePrincipal get - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Set MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - gli attributi SPN $x.ServicePrincipalNames

4. Verificare che i nuovi record sono stati aggiunti eseguendo nuovamente il comando Get-MsolServicePrincipal dal passaggio 2 e sfogliare l'output. Confrontare l'elenco / schermata dalla prima per il nuovo elenco di nomi di provider (è inoltre possibile schermata Nuovo elenco per i record). Se è stata eseguita correttamente, verrà visualizzata due nuovi URL nell'elenco. Passando da questo esempio, l'elenco di nomi di provider ora sarà incluse le specifiche URL https://mail.corp.contoso.com e https://owa.contoso.com.

Verificare che virtuali siano configurati correttamente

A questo punto verificare OAuth è attivato correttamente Exchange su tutti i Outlook directory virtuale potrebbe usare eseguendo i comandi seguenti;

  • Get-MapiVirtualDirectory | Server FL, * url * * auth *

  • Get-WebServicesVirtualDirectory | Server FL, * url * * oauth *

  • Get-OABVirtualDirectory | Server FL, * url * * oauth *

  • Get-AutoDiscoverVirtualDirectory | Server FL, * oauth *

Controllo l'output per assicurarsi che l'opzione OAuth su ognuna di queste virtuali, il messaggio si presenterà simile al seguente (è importante osservare 'OAuth');

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | server fl, * url * * auth *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

URL esterno: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, è possibile negoziare}

InternalAuthenticationMethods: {Ntlm, OAuth, è possibile negoziare}

ExternalAuthenticationMethods sull'autenticazione: {Ntlm, OAuth, è possibile negoziare}

Se non è presente in qualsiasi server e uno dei quattro directory virtuale OAuth è necessario aggiungerlo utilizzando i comandi pertinenti prima di continuare.

Confermare che evosts Auth Server l'oggetto è presente

Tornare alla Shell di gestione di Exchange locale per questo comando ultimo. A questo punto è possibile convalidare che le locale disponga di una voce per il provider di autenticazione evoSTS:

  • Get-AuthServer | dove {$_. Assegnare un nome - eq "EvoSts"}

L'output deve essere visualizzata un'AuthServer di EvoSts nome e lo stato 'Enabled' deve essere True. Se non viene visualizzato, è necessario scaricare ed eseguire la versione più recente della procedura guidata Configurazione ibrida.

Importante  Se si esegue Exchange 2010 nel proprio ambiente, il provider di autenticazione EvoSTS non verranno creato.

Abilitare alta

Eseguire il seguente comando in Exchange Management Shell locale

  • AuthServer set-identità EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Verifica

Se si abilita alta, accesso successivo di un cliente utilizzerà il nuovo flusso di autenticazione. Si noti che basta attivare alta non è possibile impostare un trigger una nuova autenticazione per tutti i client. Il client nuovamente l'autenticazione in base alla durata del token di autenticazione e/o dispongono di certificati.

È anche necessario tenere premuto il tasto CTRL nello stesso momento che si destra fare clic sull'icona per il client di Outlook (anche nella barra delle applicazioni Windows notifiche) e fare clic su "Lo stato della connessione". Cercare l'indirizzo del cliente SMTP rispetto a un tipo 'Uso' 'titolare *", che rappresenta il token del titolare utilizzato in OAuth.

Nota  È necessario configurare Skype for Business con alta? È necessario due articoli: uno che elenca topologie supportatee uno che illustra come eseguire la configurazione.

Collegamento alla panoramica autenticazione moderno.

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×