Kā konfigurēt Exchange servera lokālo izmantot hibrīda modernās autentifikācijas

Svarīgi! :  Šis raksts ir mašīntulkots, skatiet atrunu. Lūdzu, skatiet šī raksta versiju angļu valodā šeit jūsu informācijai.

Hibrīda modernās autentifikācijas (HMA) ir identitātes pārvaldība, kas piedāvā padarīt drošāku lietotāju autentifikācija un autorizācija un ir pieejams Exchange server lokālā Hibrīdie izvietojumi metode.

INFORMATĪVU

Pirms mēs sākt, var zvanīt.

  • Hibrīda modernās autentifikācijas > HMA

  • Lokālo Exchange > EXCH

  • Exchange Online > EXO

Turklāt, Ja grafiku, šis raksts ir objekts, kas ir "pelēkota out" vai pelēkota tas nozīmē, ka elements, kas parādīts pelēkā krāsā nav iekļauta HMA konkrētu konfigurēšanu.

Hibrīda modernās autentifikācijas iespējošana

HMA ieslēgšana līdzekļus:

  1. Būdams pārliecināts, ka jūs atbilstat prereqs pirms darba sākšanas.

    1. Jo daudzi priekšnosacījumi ir kopīgas gan Skype darbam un Exchange, skatiet rakstā Pārskats par pre req kontrolsarakstu. Pirms darba sākšanas kādu no šajā rakstā norādītās darbības, rīkojieties šādi.

  2. Pievienojot lokālā web pakalpojuma URL kā pakalpojuma pamatsummas nosaukumi (SPN) Azure ad.

  3. Nodrošinot, ka visiem, virtuālo direktoriju ir iespējoti HMA

  4. Pārbaudīt, vai nav EvoSTS Auth servera objektu

  5. Iespējojot HMA valūtas

Piezīme  Jūsu Office versijas atbalsta Excel lentes attēls Pārbaudiet šeit.

Pārliecinieties, vai ir ievēroti visi pre prasībām

Tā kā daudzi priekšnosacījumi ir kopīgas gan Skype darbam un Exchange, skatiet rakstā Pārskats par pre req kontrolsaraksts. Veiciet šo pirms sākat jebkuru no šajā rakstā norādītās darbības.

Pievienojiet lokālā web pakalpojuma URL adresi kā SPN Azure AD

Palaidiet komandas, kas piešķirt lokālā web pakalpojuma URL adresi kā Azure AD SPN. SPN izmanto klienta mašīnas un ierīces laikā autentifikācija un autorizācija. Visu URL, kas, iespējams, esat pieradis lietot savienojumu no lokāla uz Azure Active Directory (AAD) ir jābūt reģistrētam AAD (attiecas uz iekšējiem un ārējiem nosaukumvietas).

Vispirms Iegūstiet visu URL, kas jums ir jāpievieno AAD. Izpildiet šīs komandas lokālā:

  • Get-MapiVirtualDirectory | FL server * url *

  • Get-WebServicesVirtualDirectory | FL server * url *

  • Get-OABVirtualDirectory | FL server * url *

Nodrošina URL klienti var izveidot savienojumu ar norādīti kā HTTPS pakalpojumu pamatsummas nosaukumi AAD.

  1. Vispirms izveidojiet savienojumu ar AAD ar šīs instrukcijas.

  2. Jūsu Exchange saistīto URL ierakstiet šādu komandu:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Atlasiet - ExpandProperty ServicePrincipalNames

Ņemt vērā (un ekrānuzņēmums vēlāk salīdzinājums) šo komandu, kas jāiekļauj https://izvades automātiskās noteikšanas . jūsu _ domēns. com un https://mail.yourdomain.com vietrādi URL, bet lielākoties sastāv no SPN, kuru nosaukumi sākas ar 00000002-0000-0ff1-ce00-000000000000 /. Ja pastāv https:// URL no jūsu lokālo trūkstošo mums šim sarakstam pievienot tos konkrētu ierakstus.

3. Ja nav redzama jūsu iekšējiem un ārējiem MAPI/HTTP, EWS, OAB un automātiskās noteikšanas ierakstus šajā sarakstā, jums ir jāpievieno izmantojot komandu zemāk (URL piemērs ir "mail.corp.contoso.com" un "owa.contoso.com", bet jums bija aizstāt piemērā URL ar sava pašu):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • Kopas MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Pārbaudiet, vai esat pievienots jaunus ierakstus, izpildot komandu Get-MsolServicePrincipal 2. solī vēlreiz un meklēt izvades. Salīdziniet saraksta / ekrānuzņēmums no pirms SPN (jūs varat arī ekrānuzņēmums jaunā saraksta ierakstiem) jaunu sarakstu. Ja ir bijusi sekmīga, redzēsit divas jaunas URL sarakstā. Iet pa mūsu piemērā, SPN sarakstā būs tagad iekļauts konkrētu URL https://mail.corp.contoso.com un https://owa.contoso.com.

Pārliecinieties, vai virtuālo direktoriju ir konfigurēti

Tagad pārbaudīt OAuth ir pareizi aktivizēta programmā Exchange visos virtuālā direktorijus Outlook var izmantot, palaižot šādas komandas;

  • Get-MapiVirtualDirectory | FL server * url * * auth *

  • Get-WebServicesVirtualDirectory | FL server * url * * oauth *

  • Get-OABVirtualDirectory | FL server * url * * oauth *

  • Get-AutoDiscoverVirtualDirectory | FL server * oauth *

Izvēles izvades, lai pārliecinātos, ka OAuth ir iespējota par katru no šiem VDirs, tas izskatīsies apmēram šādi (un galvenais aplūkot ir "OAuth");

[PS] C:\Windows\system32 > Get-MapiVirtualDirectory | FL server * url * * auth *

Serveris: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, sarunas}

InternalAuthenticationMethods: {Ntlm, OAuth, sarunas}

ExternalAuthenticationMethods: {Ntlm, OAuth, sarunas}

Ja OAuth trūkst jebkuru serveri un kādu no četrām virtuālo direktoriju tam jums būs jāpievieno, izmantojot attiecīgās komandas, pirms turpināt.

Apstipriniet EvoSTS Auth Server objekts ir klāt

Atgriezieties lokālo Exchange pārvaldības čaulu šo pēdējo komandu. Tagad var apstiprināt, ka jūsu lokāli ir ievadne evoSTS autentifikācijas sniedzējs:

  • Get-AuthServer | Ja {$_. Nosaukums - eq "EvoSts"}

Izvades vajadzētu rādīt nosaukumu EvoSts AuthServer un "Enabled" valsts vajadzētu būt True. Ja neredzat to, var lejupielādēt un palaist hibrīda konfigurācijas vednis jaunāko versiju.

Svarīgi  Ja izmantojat Exchange 2010 jūsu vidē, EvoSTS autentifikācijas sniedzējs netiek izveidota.

Iespējot HMA

Izpildiet šo komandu Exchange pārvaldības čaulā lokālā

  • Kopas AuthServer-identitātes EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Verificēt

Kad iespējojat HMA, klienta nākamās pieteikšanās izmantos jaunu auth plūsmas. Ņemiet vērā, ka tikai ieslēgšana HMA netiek aktivizētas atkārtota autentifikācija jebkuru klientu. Klientiem atkārtoti autentificēties pamatā kalpošanas auth marķieri un/vai tiem ir sertifikātus.

Varat arī turiet nospiestu taustiņu CTRL un vienlaikus ar peles labo pogu noklikšķiniet uz ikonas Outlook klientu (arī teknē Windows paziņojumu) un noklikšķiniet uz savienojuma statuss. Meklējiet klienta SMTP adresi pret "Authn" veida "Uzrādītāja *", kas pārstāv uzrādītāja pilnvaru izmantot OAuth.

Piezīme  Vai vēlaties konfigurēt Skype darbam ar HMA? Ir divi raksti: viena, kurā uzskaitīti atbalstītie topoloģijāmun viens, kurā parādīts, kā veikt konfigurācijas.

Saite atpakaļ uz modernās autentifikācijas pārskats.

Piezīme : Mašīntulkošanas atruna. Šo rakstu ir tulkojusi datorsistēma bez cilvēka iejaukšanās. Microsoft piedāvā šos mašīntulkojumus, lai palīdzētu angliski nerunājošajiem lietotājiem izmanot saturu par Microsoft produktiem, pakalpojumiem un tehnoloģijām. Tā kā šis raksts ir mašīntulkots, tajā var būt leksikas, sintakses un gramatikas kļūdas.

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Office Insider programmai

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta aģentiem.

×