Office
Logga in

Hur du konfigurerar Exchange Server lokalt om du vill använda Hybrid Modern autentisering

Obs!:  Vi vill kunna erbjuda dig bästa möjliga supportinnehåll så fort som möjligt och på ditt språk. Den här sidan har översatts med hjälp av automatiserad översättning och kan innehålla grammatiska fel eller andra felaktigheter. Vår avsikt är att den här informationen ska vara användbar för dig. Vill du berätta för oss om informationen är till hjälp längst ned på sidan? Här är artikeln på engelska som referens.

Hybrid Modern autentisering (HMA) är en metod för Identitetshantering av som erbjuder säkrare användarautentisering och auktorisering och är tillgängliga för hybriddistributioner av Exchange server lokalt.

OBS

Innan vi börjar ringer jag:

  • Hybrid Modern autentisering > HMA

  • Exchange-lokala > utbyte

  • Exchange Online > EXO

Även om en bild i den här artikeln innehåller ett objekt som har ”nedtonat” eller nedtonad innebär att de element som visas i grått inte ingår i HMA konfiguration.

Aktivera Hybrid Modern autentisering

Aktivera innebär HMA:

  1. Att vara säker på att du uppfyller prereqs innan du börjar.

    1. Eftersom många förutsättningar är gemensamma för båda Skype för företag och Exchange, finns i Översikt översiktsartikeln uppfyllde checklista för. Gör detta innan du utför stegen i den här artikeln.

  2. Lägga till lokala web service URL: er som tjänsten kapitalbelopp namn (Name) i Azure AD.

  3. Kontrollera att alla virtuella är aktiverade för HMA

  4. Söka efter objektet EvoSTS Auth Server

  5. Aktivera HMA i kursjust

Obs!  Stöder din version av Office MA? Kontrollera här.

Kontrollera att du uppfyller alla de pre-för

Eftersom många förutsättningar är gemensamma för båda Skype för företag och Exchange, finns i Översikt översiktsartikeln uppfyllde checklista för. Gör detta innan du följer stegen i den här artikeln.

Lägga till lokala web service URL: er som huvudnamn för tjänst i Azure AD

Kör de kommandon som tilldelar din lokala webbplats URL: er som Azure AD Name. Name används av klientdatorer och enheter under autentisering och auktorisering. Alla webbadresser som kan användas för att ansluta från lokala till Azure Active Directory (AAD) måste registreras i AAD (Detta omfattar både intern och extern namnområde).

Börja med att samla alla webbadresser som du måste lägga till i AAD. Kör följande kommandon lokalt:

  • Get-MapiVirtualDirectory | FL server * url *

  • Get-WebServicesVirtualDirectory | FL server * url *

  • Get-ActiveSyncVirtualDirectory | FL server * url *

  • Get-OABVirtualDirectory | FL server * url *

Kontrollera att URL: er som klienter kan ansluta till visas som HTTPS-tjänstnamnen kapital i AAD.

  1. Ansluta till AAD först, med de här anvisningarna.

  2. För din Exchange skriver relaterade URL-adresser, du följande kommando:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Välj - ExpandProperty ServicePrincipalNames

Ta del av (och skärmbild för senare jämförelse) det här kommandot som ska innehålla en https://automatisk upptäckt. Dindomän.com och https://mail.yourdomain.com URL-adress, men huvudsakligen består av Name som börjar med 00000002-0000-0ff1-ce00-000000000000 /. Om det finns https:// URL: er från din lokala som saknas måste vi du lägga till de specifika posterna i den här listan.

3. Om du inte ser din interna och externa MAPI/HTTP, EWS, ActiveSync, OAB och automatisk upptäckt poster i den här listan, måste du lägga till dem med hjälp av kommandot nedan (exempel-URL: er är ”mail.corp.contoso.com” och ”owa.contoso.com”, men du skulle Ersätt exemplet URL: er med dina egna):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add (”https://mail.corp.contoso.com/”)

  • $x.ServicePrincipalnames.Add (”https://owa.contoso.com/”)

  • $x.ServicePrincipalnames.Add (”https://eas.contoso.com/”)

  • Ange MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Kontrollera din nya poster har lagts till genom att köra kommandot Get-MsolServicePrincipal från steg 2 igen och titta igenom utdata. Jämför listan / skärmbilden från före i den nya listan över huvudnamn för tjänst (du kan också skärmbild ny lista för posterna). Om du lyckas, visas de två nya URL-adresserna i listan. Gå genom vårt exempel innehåller listan över Name nu specifika URL: er https://mail.corp.contoso.com och https://owa.contoso.com.

Kontrollera virtuella kataloger är korrekt konfigurerad

Kontrollera nu OAuth aktiveras korrekt i Exchange på alla virtuella kataloger Outlook kan använda genom att köra följande kommandon.

  • Get-MapiVirtualDirectory | FL server * url *, * auth *

  • Get-WebServicesVirtualDirectory | FL server * url *, * oauth *

  • Get-OABVirtualDirectory | FL server * url *, * oauth *

  • Get-AutoDiscoverVirtualDirectory | FL server * oauth *

Kontrollera utdata så att OAuth är aktiverat på var och en av dessa VDirs, den ser ut ungefär så här (och det viktigaste jag igenom är ”OAuth”).

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | FL server * url *, * auth *

Server: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, förhandla}

InternalAuthenticationMethods: {Ntlm, OAuth, förhandla}

ExternalAuthenticationMethods: {Ntlm, OAuth, förhandla}

Om OAuth är saknas från valfri server och någon av de fyra virtuella katalogerna måste du lägga till den med hjälp av kommandona relevanta innan du fortsätter.

Bekräfta EvoSTS Auth serverobjektet är presentera

Gå tillbaka till den lokala Exchange Management Shell för sista kommandot. Nu kan du verifiera att din lokala har en post för evoSTS autentisering värd:

  • Get-AuthServer | där {$_. Namnge - eq ”EvoSts”}

Din utdata ska visas en AuthServer av EvoSts namn och tillståndet ”aktiverad” bör vara sant. Om detta inte visas kan du hämta och köra den senaste versionen av guiden konfiguration av Hybrid.

Viktigt  Om du kör Exchange 2010 i din miljö, skapas inte EvoSTS autentisering leverantör.

Aktivera HMA

Kör du följande kommando i Exchange Management Shell, lokalt

  • Ange AuthServer-identitet EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Ange OrganizationConfig-OAuth2ClientProfileEnabled $true

Verifiera

När du aktiverar HMA använder en klient nästa inloggning nya auth flödet. Observera att bara aktivera HMA inte utlösa återverifiering för klienter. Den klienter igen autentisera utifrån livslängd auth tokens och/eller certifikat som de har.

Du bör även håller du ned CTRL-tangenten samtidigt som du högerklicka på ikonen för Outlook-klienten (även i Windows-aviseringar fack) och klicka på anslutningsstatus. Leta efter klientens SMTP-adress mot en ”Authn” sorts ”innehavaren *”, som representerar används i OAuth-bärartoken.

Obs!  Behöver du konfigurera Skype för företag med HMA? Du måste ha två artiklar: en som visar stöds topologieroch en som visar hur du gör konfigurationen.

Länk till Modern autentisering översikt.

Utöka dina Office-kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×