Kako da konfigurišete Exchange Server lokalno da biste koristili hibridne moderni potvrda identiteta

Napomena:  Želimo da vam što pre pružimo najnoviji sadržaj pomoći čim na vašem jeziku. Ova stranica je prevedena automatski i može da sadrži gramatičke greške ili netačnosti. Naš cilj je da ovaj sadržaj bude koristan. Možete li nam na dnu ove stranice saopštiti da li su vam informacije bile od koristi? Ovo je članak na engleskom jeziku za brzu referencu.

Hibridno moderni potvrda identiteta (HMA), je metod upravljanje identitetom koja nudi sigurniji potvrde identiteta korisnika i autorizacija i dostupan je za hibridne primene za Exchange server lokalno.

SA OBAVEŠTENJEM

Pre nego što počnemo, pozovem:

  • Moderni hibridne potvrde identiteta > HMA

  • Exchange lokalnog > iznos za

  • Exchange Online > EXO

Takođe, Ako grafiku u ovaj članak sadrži objekat koji je „obojenog brisanja” ili „nedostupno, to znači element prikazane u sivom nije uključen u HMA konfiguracija.

Omogućavanje hibridne moderni potvrda identiteta

Uključivanje HMA znači:

  1. Da li ispunjavate prijemni pre nego što počnete.

    1. Od mnogo Preduslovi su uobičajene za oba Skype za posao i Exchange, pogledajte članak pregled za vaš upit pre lista za proveru. Uradite ovo pre nego što počnete bilo koji od koraka u ovom članku.

  2. Dodavanje lokalne URL adrese Veb usluge kao usluge glavnice imena (SPNs) u Azure AD.

  3. Obezbeđivanje sve virtuelne direktorijume su omogućene za HMA

  4. Traženje EvoSTS Auth Server objekta

  5. Omogućavanje HMA u kursevi

Napomena  Da li vaša verzija sistema Office ne podržava MA? Proverite ovde.

Proverite da li ispunjavate sve pre-reqs

Pošto su mnoge preduslovi uobičajenih za oba Skype za posao i Exchange, pogledajte članak pregled za vaš upit pre lista za proveru. Uradite ovo pre nego što započnete neki od koraka u ovom članku.

Dodavanje lokalnog Veb URL adrese usluge kao SPNs u Azure AD

Pokretanje komande koje dodelite vašu lokalnu web URL adrese usluge kao SPNs Azure AD SPNs. koriste klijentskih mašina i uređaja tokom potvrde identiteta i autorizacija. Sve URL adrese mogu se koristiti za povezivanje sa lokalnim za Azure Active Directory (AAD) moraju biti registrovani u AAD (oni obuhvataju internim i spoljnim prostori za imena).

Prvo, prikupite sve URL adrese koje su vam potrebne da biste dodali u AAD. Pokrenite ove komande lokalnog:

  • Preuzimanje MapiVirtualDirectory | FL servera, * URL adrese *

  • Preuzimanje WebServicesVirtualDirectory | FL servera, * URL adrese *

  • Preuzimanje ActiveSyncVirtualDirectory | FL servera, * URL adrese *

  • Preuzimanje OABVirtualDirectory | FL servera, * URL adrese *

Uverite se da URL adrese klijenta se može povezati sa su navedene u vidu HTTPS usluge glavno imena u AAD.

  1. Prvo, povežite se sa AAD sa ovim uputstvima.

  2. Za vaš Exchange Srodne URL adrese, otkucajte sledeću komandu:

  • Preuzimanje MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Izaberite - ExpandProperty ServicePrincipalNames

Hvatanje pažnju (i snimak za kasniju poređenja) rezultat ovu komandu, što bi trebalo da uključite u https://Automatsko otkrivanje. vašdomen.com i https://mail.yourdomain.com URL, ali uglavnom se sastoji od SPNs koje počinju sa 00000002-0000-0ff1-ce00-000000000000 /. Ako postoje https:// URL adrese iz vaše lokalne koje nedostaju smo ćete morati da dodate te zapise na ovu listu.

3. ako ne vidite unutrašnjih tako i spoljnih MAPI/HTTP, EWS, ActiveSync, OAB i automatsko otkrivanje zapisa na ovoj listi, morate da ih koristite komandu ispod dodate (na primer URL adrese „mail.corp.contoso.com” i „owa.contoso.com”, ali bi Zameni primer URL adrese sa svojom):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add (”„https://mail.corp.contoso.com/)

  • $x.ServicePrincipalnames.Add (”„https://owa.contoso.com/)

  • $x.ServicePrincipalnames.Add (”„https://eas.contoso.com/)

  • Podešavanje MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Potvrdite nove zapise su dodati tako da ponovo pokrenete komandu Get-MsolServicePrincipal korak 2 i pregledam izlazu. Poređenje listi / snimak iz pre za novu listu SPNs (takođe možete snimak nove liste za zapise). Ako ste uspešno, videćete dve nove URL adrese sa liste. Počnite tako što ćete našem primeru, na listi SPNs sada uključivaće određene URL adrese https://mail.corp.contoso.com i https://owa.contoso.com.

Potvrdite da virtuelne direktorijume su ispravno konfigurisani

Proverite OAuth ispravno omogućen u Exchange na svim virtuelne direktorijume Outlook možete da koristite tako što ćete pokrenuti sledeće komande;

  • Preuzimanje MapiVirtualDirectory | FL servera, * URL adrese *, * auth *

  • Preuzimanje WebServicesVirtualDirectory | FL servera, * URL adrese *, * oauth *

  • Preuzimanje OABVirtualDirectory | FL servera, * URL adrese *, * oauth *

  • Preuzimanje AutoDiscoverVirtualDirectory | FL servera, * oauth *

Potvrdu izlaz da proverite da li OAuth je omogućen za svaki od ovih VDirs, on će izgledati otprilike ovako (i ključna stvar da biste pogledali je „OAuth”);

[PS] C:\Windows\system32 > Get-MapiVirtualDirectory | FL servera, * URL adrese *, * auth *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, Postignite}

InternalAuthenticationMethods: {Ntlm, OAuth, Postignite}

ExternalAuthenticationMethods: {Ntlm, OAuth, Postignite}

Ako nedostaje OAuth u bilo kom serveru i bilo koju od četiri virtuelne direktorijume treba da dodate pomoću komande relevantne pre nego što nastavite.

Potvrdite da je Server objekta Auth EvoSTS poklon

Vratite se u lokalnu Exchange Management Shell za ovu poslednju komandu. Sada možete proveriti da na lokalnu ima stavke za evoSTS dobavljača potvrde identiteta:

  • Preuzimanje AuthServer | Gde {$_. Imenujte - eq „EvoSts”}

Izlaz bi trebalo da se na AuthServer ime EvoSts i stanja „Enabled” trebalo bi da bude True. Ako ne vidite ovo, trebalo bi da preuzmete i pokrenite najnoviju verziju čarobnjak za hibridnu konfiguraciju.

Važne  Ako koristite Exchange 2010 u okruženju, dobavljač EvoSTS neće biti kreirana.

Omogućavanje HMA

Pokrenite sledeću komandu u Exchange Management Shell lokalno

  • Podešavanje AuthServer-identitet EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Podešavanje OrganizationConfig-OAuth2ClientProfileEnabled $true

Verifikuj

Kada omogućite HMA, sledeći klijenta za prijavljivanje će koristiti novi tok potvrde identiteta. Imajte na umu da samo uključivanje HMA neće aktivirati ponovna provera identiteta za bilo koji klijent. Za klijente ponovo potvrđuju na osnovu trajanja auth tokena i/ili certifikate imaju.

Takođe bi trebalo da držite pritisnut taster CTRL u isto vreme možete kliknite desnim tasterom miša na ikonu za Outlook klijent (takođe u Windows obaveštenja paleta) i kliknite na dugme „Statusa veze”. Potražite SMTP adresu klijenta protiv na „Authn” tip „Vlasnika *”, što predstavlja simbol vlasnika koristi u OAuth.

Napomena  Potrebno je da konfigurišete Skype za posao sa HMA? Moraćete dva članaka: navodi podržana topologijai onaj koji vam pokazuje Kako da izvršite konfiguraciju.

Veza do modernog potvrde identiteta pregled.

Razvijte Office veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Office Insider korisnicima

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Zvuči da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×