Office
Conectare

Cum se configurează Exchange Server local pentru a utiliza hibrid autentificare modernă

Notă:  Dorim să vă oferim cel mai recent conținut de ajutor, cât mai rapid posibil, în limba dvs. Această pagină a fost tradusă automatizat și poate conține erori gramaticale sau inexactități. Scopul nostru este ca acest conținut să vă fie util. Vă rugăm să ne spuneți dacă informațiile v-au fost utile, în partea de jos a acestei pagini. Aici se află articolul în limba engleză , ca să îl puteți consulta cu ușurință.

Autentificare modernă hibrid (HMA), este o metodă de management de identitate care oferă mai sigură autorizare utilizator și autorizarea și este disponibilă pentru implementări hibride Exchange server local.

INFORMARE

Înainte de a începe, pot apela:

  • Autentificare modernă hibrid > HMA

  • Exchange local > sumă

  • Exchange Online > EXO

De asemenea, dacă un element grafic din acest articol are un obiect care are "estompată ' sau 'estompate' înseamnă că elementul afișat în gri nu este inclus în configurare HMA specifice.

Activarea hibrid autentificare modernă

Activarea HMA înseamnă că:

  1. Se-vă că îndepliniți prereqs înainte de a începe.

    1. Deoarece multe cerințe preliminare sunt comune pentru ambele Skype for Business și Exchange, consultați articolul de prezentare generală pentru lista de verificare pre-cer. Faceți acest lucru înainte de a începe oricare dintre pașii din acest articol.

  2. Adăugarea local URL-uri de serviciu web ca serviciu capital nume (SPNs) în Azure AD.

  3. Asigurându-vă că toate directoarele virtuale sunt activate pentru HMA

  4. Verificarea pentru obiect EvoSTS Auth Server

  5. Activarea HMA în schimb

Notă  Versiunea de Office acceptă MA? Verificați aici.

Asigurați-vă că îndepliniți toate pre-cerințele pentru

Deoarece multe cerințe preliminare sunt comune pentru ambele Skype for Business și Exchange, consultați articolul de prezentare generală pentru lista de verificare pre-cer. Efectuați acest înainte de a începe oricare dintre pașii din acest articol.

Adăugarea local web URL-uri serviciu ca SPNs în Azure AD

Rulați comenzi care atribuirea de web local serviciu URL-uri ca Azure AD SPNs. SPNs sunt utilizate de client mașini și dispozitive în timpul autentificarea și autorizarea. Toate URL-urile care pot fi utilizate pentru a vă conecta din mediul local la Azure Active Directory (AAD) trebuie să fie înregistrat în AAD (acestea includ atât interne și externe spațiile de nume).

Mai întâi, Colectați toate URL-urile pe care trebuie să adăugați în AAS. Rulați aceste comenzi local:

  • Get-MapiVirtualDirectory | Server de FL, * URL-ul *

  • Get-WebServicesVirtualDirectory | Server de FL, * URL-ul *

  • Get-ActiveSyncVirtualDirectory | Server de FL, * URL-ul *

  • Get-OABVirtualDirectory | Server de FL, * URL-ul *

Asigurați-vă clienții URL-uri pot conecta la sunt listate sub formă de nume principal de servicii HTTPS în AAS.

  1. Mai întâi, conectați-vă la AAS cu aceste instrucțiuni.

  2. Pentru schimb de URL-urile asociate, tastați următoarea comandă:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Selectați - ExpandProperty ServicePrincipalNames

Ia notă de (şi captură de ecran pentru o versiune mai recentă comparație) rezultatul această comandă, care ar trebui să includeți un https://descoperire automată . Domeniuldvs.com și https://mail.yourdomain.com URL-ul, însă cea mai mare parte alcătuite SPNs care încep cu 00000002-0000-0ff1-ce00-000000000000 /. Dacă există https:// URL-uri din locală care lipsesc trebuie să adăugați aceste înregistrări specifice la această listă.

3. dacă nu vedeți vă interne și externe MAPI/HTTP, înregistrările EWS, ActiveSync, OAB și descoperirea automată din această listă, trebuie să adăugați le utilizând comanda de mai jos (de exemplu URL-urile sunt "mail.corp.contoso.com" și "owa.contoso.com", dar ar fi Înlocuire exemplul URL-uri cu propriile):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Set-MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Verificați dacă înregistrările noi au fost adăugate rulează comanda Get-MsolServicePrincipal de la pasul 2 din nou și căutați rezultatul. Comparație între lista / captură de ecran din înainte la lista nouă de SPNs (care poate fi, de asemenea, captură de ecran listă nouă pentru înregistrările). Dacă au fost cu succes, veți vedea două URL-urile nou din listă. Mergând de exemplul nostru, lista de SPNs acum va include anumite URL-uri https://mail.corp.contoso.com și https://owa.contoso.com.

Verificați dacă directoarele virtuale sunt configurate corect

Verificați acum OAuth este activată în mod corespunzător în Exchange pe toate Virtual directoare Outlook poate utiliza rulând următoarele comenzi;

  • Get-MapiVirtualDirectory | Server de FL, * url *, * auth *

  • Get-WebServicesVirtualDirectory | Server de FL, * url *, * oauth *

  • Get-OABVirtualDirectory | Server de FL, * url *, * oauth *

  • Get-AutoDiscoverVirtualDirectory | Server de FL, * oauth *

Selectare ieșire pentru a vă asigura că OAuth este activată în fiecare dintre aceste VDirs, acesta va arata astfel (şi lucru cheie pentru a consulta este 'OAuth');

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | server de FL, * url *, * auth *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, negociați}

InternalAuthenticationMethods: {Ntlm, OAuth, negociați}

ExternalAuthenticationMethods: {Ntlm, OAuth, negociați}

Dacă OAuth lipsește din orice server și oricare dintre cele patru directoare virtuale, atunci trebuie să adăugați utilizând comenzile relevante înainte de a continua.

Confirmați EvoSTS Auth Server obiectul este prezent

Reveniți la componenta de administrare Exchange local pentru acest Ultima comandă. Acum puteți valida că locală are o intrare pentru furnizorul de autentificare evoSTS:

  • Get-AuthServer | în cazul în care {$_. Denumiți - eq "EvoSts"}

De ieșire ar trebui să afișeze un AuthServer EvoSts nume și starea 'Activat' ar trebui să fie adevărate. Dacă nu vedeți acest lucru, ar trebui să descărcați și să rulați cea mai recentă versiune de Expertul de configurare hibridă.

Importante  Dacă rulați Exchange 2010 în mediul, nu vor fi create EvoSTS autentificare furnizor.

Activarea HMA

Rulați următoarea comandă în componenta de administrare Exchange, local

  • Set-AuthServer-identitate EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Verificare

După ce activați HMA, un client conectare următoare va utiliza fluxul auth nou. Rețineți că pur și simplu activarea HMA nu vor declanșa o re-autentificare pentru orice client. Clienții din nou autentificarea bazată pe numărul de perioade de auth simboluri și/sau certs au.

Când ar trebui, de asemenea, țineți apăsată tasta CTRL în același timp la dreapta faceți clic pe pictograma pentru clientul Outlook (de asemenea, în bara de notificări Windows) și faceți clic 'Stării'. Căutați adresa clientului SMTP cu un tip de "Authn" de "Purtător *", care reprezintă simbolul purtător utilizate în OAuth.

Notă  Trebuie să configurați Skype for Business cu HMA? Veți avea nevoie două articole: una care listează topologii acceptateși una care vă arată cum să procedați în configurare.

Link înapoi la prezentarea generală a autentificare modernă.

Extindeți-vă competențele Office
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă utilizatorilor Office Insider

Au fost utile aceste informații?

Vă mulțumim pentru feedback!

Vă mulțumim pentru feedback! Se pare că ar fi util să luați legătura cu unul dintre agenții noștri de asistență Office.

×