Como configurar o Exchange Server local para usar a autenticação moderno híbrido

Observação:  Desejamos fornecer o conteúdo da Ajuda mais recente no seu idioma da forma mais rápida possível. Esta página foi traduzida de forma automatizada e pode conter imprecisões ou erros gramaticais. Nosso objetivo é que este conteúdo seja útil para você. As informações foram úteis? Dê sua opinião no final desta página. Aqui está o artigo em inglês para facilitar a referência.

Híbrido moderna autenticação (HMA), é um método de gerenciamento de identidades que oferece mais seguro autenticação de usuário e a autorização e está disponível para implantações híbridas do Exchange server local.

PARA INFORMAR

Antes de começar, posso chamar:

  • Autenticação moderno híbrido > HMA

  • Local do Exchange > EXCH

  • Exchange Online > EXO

Além disso, que se um elemento gráfico neste artigo possui um objeto que tem ' acinzentada ' ou 'esmaecido' significa que o elemento mostrado em cinza não está incluído na configuração de HMA específicas.

Habilitar a autenticação moderno híbrido

Como ativar HMA significa:

  1. Não se esquecendo de que atender os pré-requisitos antes de começar.

    1. Desde muitos pré-requisitos são comuns para ambas as Skype for Business e o Exchange, consulte o artigo de visão geral para sua lista de verificação de pré-requisito. Faça isso antes de começar a qualquer uma das etapas neste artigo.

  2. Adicionando local URLs de serviço web como nomes principais de serviço (SPNs) no Azure AD.

  3. Garantindo que todos os diretórios virtuais habilitados para HMA

  4. Verificando o objeto EvoSTS Auth servidor

  5. Habilitando HMA no ajuste

Observação  Sua versão do Office suporta MA? Verifique aqui.

Certifique-se de que atender a todos os pré-requisitos

Como muitos pré-requisitos são comuns para ambas as Skype for Business e o Exchange, consulte o artigo de visão geral para sua lista de verificação de pré-requisito. Siga este antes de começar qualquer uma das etapas neste artigo.

Adicionar local de URLs de serviço web como SPNs no Azure AD

Execute os comandos que atribuir sua web local URLs de serviço como Azure AD SPNs. SPNs são usadas pelos computadores cliente e dispositivos durante a autenticação e a autorização. Todos os URLs que podem ser usados para conectar-se do local ao Azure Active Directory (AAD) devem ser registrados no AAD (Isso inclui namespaces internos e externos).

Primeiro, reúna todas as URLs que você precisa adicionar no AAD. Execute esses comandos local:

  • Get-MapiVirtualDirectory | Servidor de FL, * url *

  • Get-WebServicesVirtualDirectory | Servidor de FL, * url *

  • Get-ActiveSyncVirtualDirectory | Servidor de FL, * url *

  • Get-OABVirtualDirectory | Servidor de FL, * url *

Garantir que as URLs clientes podem se conectar está listado como nomes principais de serviço HTTPS no AAD.

  1. Primeiro, conecte AAD com estas instruções.

  2. Para o Exchange URLs relacionados, digite o seguinte comando:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Selecione - ExpandProperty ServicePrincipalNames

Tomar nota dos (e captura de tela para comparação posterior) a saída deste comando, que deve incluir um https:// descoberta automática. SeuDomínio.com e URL dee-mailseudominio.com https://, mas consistem principalmente SPNs que começam com 00000002-0000-0ff1-ce00-000000000000 /. Se houver https:// URLs do seu local que estão faltando precisamos adicionar esses registros específicos a essa lista.

3. Se você não vir seu interna e externa MAPI/HTTP, registros EWS, ActiveSync, OAB e descoberta automática nesta lista, você deve adicioná-los usando o comando a seguir (as URLs de exemplo são 'mail.corp.contoso.com' e 'owa.contoso.com', mas você normalmente Substituir o exemplo URLs com suas próprias):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Set-MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Verifique seus novos registros foram adicionados executando o comando Get-MsolServicePrincipal da etapa 2 novamente e examinar a saída. Compare a lista / captura de tela de antes da nova lista de SPNs (você pode também captura de tela da nova lista para os seus registros). Se você tivesse bem-sucedido, você verá as duas novas URLs na lista. Indo por nosso exemplo, a lista de SPNs agora incluirá a específico de URLs https://mail.corp.contoso.com e https://owa.contoso.com.

Verificar que diretórios virtuais são configurados corretamente

Agora verificar OAuth está corretamente ativado no Exchange em todo o Outlook diretórios virtuais pode usar executando os seguintes comandos;

  • Get-MapiVirtualDirectory | Servidor de FL, * url * * auth *

  • Get-WebServicesVirtualDirectory | Servidor de FL, * url * * oauth *

  • Get-OABVirtualDirectory | Servidor de FL, * url * * oauth *

  • Get-AutoDiscoverVirtualDirectory | Servidor de FL, * oauth *

Verificar a saída para tornar-se OAuth fica habilitado em cada uma dessas VDirs, ele terá aparência semelhante a esta (e importante examinar é 'OAuth');

[PS] C:\Windows\System32> > Get-MapiVirtualDirectory | servidor de FL, * url * * auth *

Servidor: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, negocie}

InternalAuthenticationMethods: {Ntlm, OAuth, negocie}

ExternalAuthenticationMethods: {Ntlm, OAuth, negocie}

Se OAuth está ausente em qualquer servidor e qualquer um dos quatro diretórios virtuais você precisa adicioná-la usando os comandos relevantes antes de continuar.

Confirmar que o objeto de servidor de Auth EvoSTS está presente

Retornar para o Shell de gerenciamento do Exchange no local para o último comando. Agora você pode validar que o seu local tem uma entrada para o provedor de autenticação de evoSTS:

  • Get-AuthServer | onde {$_. Nomeie - eq "EvoSts"}

A saída deve mostrar um AuthServer de EvoSts o nome e o estado de 'Ativado' deve ser verdadeiro. Se você não vir isso, você deve baixar e executar a versão mais recente do Assistente de configuração híbrida.

Importante  Se você estiver executando o Exchange 2010 no seu ambiente, o provedor de autenticação EvoSTS não será criado.

Habilitar HMA

Execute o seguinte comando no Shell de gerenciamento do Exchange, no local

  • Conjunto AuthServer-identidade EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Verificar

Depois que você habilitar HMA, o próximo login do cliente usará o novo fluxo de autenticação. Observe que apenas ativando HMA não acionaram uma nova autenticação para qualquer cliente. O clientes autenticar novamente com base no tempo de vida dos tokens de autenticação e/ou certificados tiverem.

Você também deve mantenha pressionada a tecla CTRL ao mesmo tempo que você clique com botão direito no ícone para o cliente do Outlook (também na bandeja de notificações do Windows) e clique em 'Status de Conexão'. Procure o endereço de SMTP do cliente em relação a um tipo de 'Authn' de 'Portador *', que representa o token de portador usado em OAuth.

Observação  Você precisa configurar o Skype for Business com HMA? Você precisará dois artigos: uma que lista suportados topologiase outra que mostra como fazer a configuração.

Link de volta para a visão geral de autenticação moderno.

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×