Office
Logg på

Konfigurere Exchange-serveren lokalt for å bruke Hybrid moderne godkjenning

Obs!:  Vi ønsker å gi deg det nyeste hjelpeinnholdet så raskt som mulig, på ditt eget språk. Denne siden er oversatt gjennom automatisering og kan inneholde grammatiske feil eller unøyaktigheter. Formålet vårt er at innholdet skal være nyttig for deg. Kan du fortelle oss om informasjonen var nyttig for deg nederst på denne siden? Her er den engelske artikkelen for enkel referanse.

Hybrid moderne godkjenning (HMA), er en metode for Identitetsbehandling med sikrere brukergodkjenning og godkjenning, og som er tilgjengelig for lokale hybriddistribusjoner av Exchange server.

FYI

Før vi begynner ringe jeg:

  • Hybrid moderne godkjenning > HMA

  • Utveksle lokale > EXCH

  • Exchange Online > EXO

Også Hvis grafikk i denne artikkelen inneholder et objekt som har "nedtonet-out" eller "nedtonet' som betyr at elementet vises i grått ikke er inkludert i HMA-spesifikke konfigurasjon.

Aktivere Hybrid moderne godkjenning

Aktiver HMA betyr:

  1. Være sikker på at du oppfyller prereqs før du begynner.

    1. Siden mange Forutsetninger er felles for både på Skype for Business og Exchange, kan du se artikkelen oversikt for Sjekkliste for forutsetninger. Gjør dette før du begynner noen av trinnene i denne artikkelen.

  2. Legge til lokale web service URL-adresser som Service hovedstolen navn (SPNer) i Azure AD.

  3. Sørge for at alle virtuelle mapper er aktivert for HMA

  4. Kontrollerer om EvoSTS Auth Server-objektet

  5. Aktivere HMA i av

Obs!  Støtter din versjon av Office glidende gjennomsnitt? Se her.

Kontroller at du oppfyller alle de pre-systemkrav for

Siden mange forutsetninger er felles for både på Skype for Business og Exchange, kan du se artikkelen oversikt for Sjekkliste for forutsetninger. Gjør dette før du begynner noen av trinnene i denne artikkelen.

Legge til lokale web service URL-adresser som SPNer i Azure AD

Kjøre kommandoene som tilordner lokale web service URL-adresser som Azure AD SPNer. SPNer brukes av klientmaskiner og enheter under godkjenning. Alle URL-adressene som kan brukes til å koble fra lokale til Azure Active Directory (AAD) må være registrert i AAD (Dette omfatter både interne og eksterne navneområder).

Samle inn alle URL-adressene som du må legge til i AAD først. Kjør disse kommandoene lokalt:

  • Få MapiVirtualDirectory | FL server * URL-adressen *

  • Få WebServicesVirtualDirectory | FL server * URL-adressen *

  • Få ActiveSyncVirtualDirectory | FL server * URL-adressen *

  • Få OABVirtualDirectory | FL server * URL-adressen *

Kontroller URL-adresser for klienter kan koble til, er oppført som HTTPS hovedstol tjenestenavnene i AAD.

  1. Først må du koble til AAD med disse instruksjonene.

  2. Relaterte URL-adresser, Skriv inn følgende kommando for din Exchange:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Velg - ExpandProperty ServicePrincipalNames

Ta noterer (og skjermbilde for senere sammenligning) utdataene for denne kommandoen som skal inneholde en https://Autosøk. dittdomene.com og https://mail.yourdomain.com URL-adressen, men det meste består av SPNer som begynner med 00000002-0000-0ff1-ce00-000000000000 /. Hvis det er https:// URL-adresser fra de lokale som mangler må vi legge til disse bestemte poster i denne listen.

3. Hvis du ikke ser interne og eksterne MAPI/HTTP, EWS, ActiveSync, OAB og Autosøk-poster i denne listen, må du legge dem ved hjelp av kommandoen nedenfor (URL-adresser for eksempel er 'mail.corp.contoso.com' og 'owa.contoso.com', men du ville Erstatt eksemplet URL-adresser med dine egne):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Angi MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Kontroller ble lagt til nye poster ved å kjøre kommandoen Get-MsolServicePrincipal fra trinn 2 på nytt, og se gjennom resultatet. Sammenligne listen / skjermbilde fra før til den nye listen over SPNer (du kan også skjermbilde den nye listen til postene). Hvis du var vellykket, ser du to nye URL-adressene i listen. Går ved eksemplet vårt, inneholder i listen over SPNer nå bestemte URL-adresser https://mail.corp.contoso.com og https://owa.contoso.com.

Kontroller virtuelle mapper er riktig konfigurert

Kontrollere nå OAuth er riktig aktivert i Exchange på alle virtuelle mapper Outlook kan bruke ved å kjøre følgende kommandoer;

  • Få MapiVirtualDirectory | FL server * URL-adressen * * auth *

  • Få WebServicesVirtualDirectory | FL server * URL-adressen * * oauth *

  • Få OABVirtualDirectory | FL server * URL-adressen * * oauth *

  • Få AutoDiscoverVirtualDirectory | FL server * oauth *

Kontroller resultatet å sikre at OAuth er aktivert på hver av disse VDirs, vil det se omtrent slik ut (og viktige ting å se på er 'OAuth');

[PS] C:\Windows\System32 > få MapiVirtualDirectory | Fl server * URL-adressen * * auth *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, forhandle}

InternalAuthenticationMethods: {Ntlm, OAuth, forhandle}

ExternalAuthenticationMethods: {Ntlm, OAuth, forhandle}

Hvis OAuth mangler fra en hvilken som helst server og noen av de fire virtuelle mappene og deretter må du legge den ved hjelp av kommandoene relevante før du fortsetter.

Bekrefte EvoSTS Auth Server-objektet er Presenter

Gå tilbake til den lokale Exchange Management Shell for denne siste kommando. Nå kan du kontrollere at lokale har en oppføring for godkjenningstjenesten evoSTS:

  • Få AuthServer | der {$_. Gi navn - eq "EvoSts"}

Utdataene skal vise et AuthServer av navn-EvoSts og tilstanden "Aktivert" må være sann. Hvis du ikke ser dette, bør du laste ned og kjøre den nyeste versjonen av veiviseren for konfigurasjon av Hybrid.

Viktig  Hvis du kjører Exchange 2010 i miljøet, vil ikke godkjenningstjenesten EvoSTS opprettes.

Aktivere HMA

Kjør følgende kommando i Exchange Management Shell, lokalt

  • Angi AuthServer-identitet EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Bekreft

Når du aktiverer HMA, bruker en klient neste login flyten auth. Legg merke til at bare når du slår på HMA ikke utløser en ny godkjenning for alle klienter. Den klienter på nytt godkjenne basert på levetiden for auth tokener og/eller sertifikater de har.

Du bør også holder du nede CTRL-tasten samtidig du Høyreklikk ikonet for Outlook-klienten (også i varsler for Windows-oppgavelinjen), og klikk 'Tilkoblingsstatus'. Se etter kundens SMTP-adresse mot en 'Authn' type 'bæreren *", som representerer brukes i OAuth-bæretoken.

Obs!  Må du konfigurere Skype for Business med HMA? Du må ha to artikler: én som viser støttede topologierog én som viser deg hvordan du gjør konfigurasjonen.

Kobling til siden oversikt over moderne godkjenning.

Bli bedre på Office
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Office Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×