Het configureren van Exchange Server on-premises implementatie hybride moderne verificatie gebruiken

Opmerking:  We willen u graag zo snel mogelijk de meest recente Help-inhoud in uw eigen taal bieden. Deze pagina is automatisch vertaald en kan grammaticale fouten of onnauwkeurigheden bevatten. Wij hopen dat deze inhoud nuttig voor u is. Kunt u ons onder aan deze pagina laten weten of de informatie nuttig voor u was? Hier is het Engelstalige artikel ter referentie.

Hybride moderne verificatie (HMA), is een methode identiteitsbeheer biedt veiliger gebruikersverificatie en autorisatie en is beschikbaar voor Exchange server on-premises hybride implementaties.

TER INFORMATIE

Voordat we beginnen, bellen ik:

  • Hybride moderne verificatie > HMA

  • On-premises Exchange > EXCH

  • Exchange Online > EXO

Ook dat als een afbeelding in dit artikel bevat een object dat met ' grijs weergegeven, ' of 'grijs weergegeven' dat betekent dat het element grijs weergegeven, niet in HMA / regiospecifieke configuratie inbegrepen is.

Hybride moderne verificatie inschakelen

HMA inschakelen wanneer u gemiddelden:

  1. Deskundigheid op of u de prereqs voldoet aan voordat u begint.

    1. Sinds veel vereisten gelden voor zowel Skype voor bedrijven en Exchange, Zie het overzichtsartikel voor een checklist voldaan. Doe het volgende voordat u begint met een van de stappen in dit artikel.

  2. Toe te voegen on-premises implementatie webservice-URL's als Service Principal's (Names) in Azure AD.

  3. Ervoor zorgen dat alle virtuele mappen zijn ingeschakeld voor HMA

  4. Controleren op het object EvoSTS Auth Server

  5. HMA in wisselkoers inschakelen

Opmerking  Ondersteunt uw versie van Office MA? Controleer hier.

Zorg ervoor dat u aan alle de pre-vereisten voldoen

Aangezien veel vereisten voor zowel Skype voor bedrijven en Exchange, Zie het overzichtsartikel voor een checklist voldaan gelden. Voer deze voordat u begint met een van de stappen in dit artikel.

Lokale URL's als SPN's met webonderdelen in Azure AD toevoegen

De opdrachten die uw on-premises implementatie web toewijzen as Azure AD SPN. SPN's worden gebruikt door clientcomputers en apparaten tijdens verificatie en autorisatie voor URL's worden uitgevoerd. Alle URL's die kunnen worden gebruikt om te koppelen vanuit on-premises naar Azure Active Directory (AAD) moeten worden geregistreerd in AAD (inclusief interne en externe naamruimten).

Eerst Verzamel alle URL's die u nodig hebt om toe te voegen in AAD. Deze opdrachten on-premises implementatie uitvoeren:

  • Get-MapiVirtualDirectory | FL server, * url *

  • Get-WebServicesVirtualDirectory | FL server, * url *

  • Get-ActiveSyncVirtualDirectory | FL server, * url *

  • Get-OABVirtualDirectory | FL server, * url *

Controleer of de URL's clients verbinding maken kunnen met het als HTTPS principal servicenamen in AAD worden vermeld.

  1. Eerst verbinding maken met AAD met deze instructies.

  2. Voor uw Exchange typt gerelateerde URL's, u de volgende opdracht uit:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Selecteer - ExpandProperty ServicePrincipalNames

Opmerking van (en schermafbeelding voor later vergelijking) de uitvoer van deze opdracht, waaronder een https://moet meenemen automatisch opsporen. uwdomein.com en https://mail.yourdomain.com URL, maar voornamelijk bestaan uit SPN's die met 00000002-0000-0ff1-ce00-000000000000 beginnen /. Als er https:// URL's van uw on-premises ontbrekende moeten we die specifieke records toevoegen aan deze lijst.

3. Als u uw interne en externe MAPI/HTTP, EWS, ActiveSync, OAB en automatisch opsporen-records in deze lijst niet ziet, moet u deze met de opdracht onderstaande toevoegen (het voorbeeld-URL's zijn 'mail.corp.contoso.com' en 'owa.contoso.com', maar u zou doen vervangen in het voorbeeld URL's met uw eigen):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Set-MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Controleer of dat uw nieuwe records zijn toegevoegd door de opdracht Get-MsolServicePrincipal opnieuw uit te voeren uit stap 2 en ze opzoeken via de uitvoer. De lijst vergelijken / schermafbeelding uit voordat u aan de nieuwe lijst met SPN's (u kunt ook de nieuwe lijst schermafbeelding voor uw records). Als u geslaagd, ziet u de twee nieuwe URL in de lijst. Meer doen door ons voorbeeld, bevat de lijst met SPN's nu de specifieke URL's https://mail.corp.contoso.com en https://owa.contoso.com.

Controleer of dat virtuele mappen zijn geconfigureerd

Nu verifiëren OAuth correct is ingeschakeld in Exchange op alle van de virtuele mappen van Outlook kunt gebruiken door de volgende opdrachten;

  • Get-MapiVirtualDirectory | FL server, * url *, * auth *

  • Get-WebServicesVirtualDirectory | FL server, * url *, * oauth *

  • Get-OABVirtualDirectory | FL server, * url *, * oauth *

  • Get-AutoDiscoverVirtualDirectory | FL server, * oauth *

Selectievakje de uitvoer om te controleren of OAuth op elk van deze virtuele mappen is ingeschakeld, wordt deze er ongeveer zo uitzien (is en belangrijke nagaan 'OAuth');

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | fl server, * url *, * auth *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, onderhandel wordt over}

InternalAuthenticationMethods: {Ntlm, OAuth, onderhandel wordt over}

ExternalAuthenticationMethods: {Ntlm, OAuth, onderhandel wordt over}

Als OAuth niet aanwezig op een server en een van de vier virtuele mappen is moet u deze met de relevante opdrachten voordat u verder gaat toevoegen.

Bevestig dat het EvoSTS Auth Server-Object is presenteren

Ga terug naar de on-premises implementatie Exchange Management Shell voor deze laatste opdracht. U kunt nu valideren dat uw on-premises een vermelding heeft voor de verificatie van evoSTS:

  • Get-AuthServer | waar {_ $. Naam - eq "EvoSts"}

Een AuthServer van de naam EvoSts door uw uitvoer moet worden weergegeven en de stand 'Ingeschakeld' moet True. Als u dit niet ziet, moet u downloaden en uitvoeren van de meest recente versie van de Wizard hybride configureren.

Belangrijke  Als u Exchange 2010 in uw omgeving gebruikt, kan de EvoSTS verificatie-provider niet worden gemaakt.

HMA inschakelen

Voer de volgende opdracht in on-premises implementatie van Exchange Management Shell

  • Set-AuthServer-identiteit EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Controleren

Zodra u HMA inschakelt, wordt de nieuwe auth stroom gebruikt in de volgende aanmelding van een klant. Houd er rekening mee dat alleen inschakelen van HMA geen nieuwe verificatie voor elke-client activeren Won't. De clients opnieuw verifiëren op basis van de levensduur van de auth tokens en/of de certificaten die ze hebben.

U moet ook de CTRL-toets ingedrukt op hetzelfde moment rechtermuisknop op het pictogram voor de Outlook-client (ook in het systeemvak van Windows meldingen) en klik op 'Verbindingsstatus'. Zoek naar de SMTP-adres van de klant ten opzichte van een 'Authn' type 'Vruchtdragende *', waarmee de gebruikt in OAuth-dragertoken.

Opmerking  Voor het configureren van Skype voor bedrijven met HMA nodig? Moet u twee artikelen: een lijst van ondersteunde topologieënen een om te zien hoe de configuratie uitvoeren.

Koppeling naar het overzicht moderne verificatie.

Uw Office-vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Office Insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagents.

×