วิธีการกำหนดค่า Exchange Server ภายในองค์กรจะใช้การรับรองความถูกต้องทันสมัยแบบไฮบริด

หมายเหตุ:  เราต้องการมอบเนื้อหาวิธีใช้ปัจจุบันในภาษาของคุณให้กับคุณโดยเร็วที่สุดเท่าที่เราจะทำได้ หน้านี้ได้รับการแปลด้วยระบบอัตโนมัติ และอาจมีข้อผิดพลาดทางไวยากรณ์หรือความไม่ถูกต้อง จุดประสงค์ของเราคือเพื่อให้เนื้อหานี้มีประโยชน์กับคุณ คุณแจ้งให้เราทราบว่าข้อมูลดังกล่าวมีประโยชน์ต่อคุณที่ด้านล่างของหน้านี้ได้หรือไม่ นี่คือ บทความภาษาอังกฤษ เพื่อให้ง่ายต่อการอ้างอิง

ไฮบริทันสมัยรับรองความถูกต้อง (HMA), คือ วิธีการจัดการข้อมูลเฉพาะตัวที่มีการรับรองความถูกต้องของผู้ใช้และตรวจสอบความปลอดภัยมากขึ้น และจะพร้อมใช้งานสำหรับการปรับใช้แบบไฮบริดของของ Exchange server ภายในองค์กร

ทั่ว

ก่อนที่เราเริ่มต้น จะโทร:

  • การรับรองความถูกต้องทันสมัยแบบไฮบริดของ > HMA

  • Exchange ภายในองค์กร > แลก

  • Exchange Online > EXO

นอกจากนี้ถ้ากราฟิกใน บทความนี้มีวัตถุที่มี 'สีเทาเอาท์ ' หรือ 'เป็นสีจาง' หมายความว่าองค์ประกอบที่แสดงเป็นสีเทาไม่ได้รวมอยู่ในการกำหนดค่า HMA ที่เฉพาะเจาะจง

การเปิดใช้งานแบบไฮบริดของทันสมัยรับรองความถูกต้อง

การเปิดใช้งาน HMA หมายถึง:

  1. ไม่แน่ใจว่า คุณเป็นไปตาม prereqs ก่อนที่คุณเริ่มต้น

    1. เนื่องจากหลายข้อกำหนดเบื้องต้นเป็นทั่วไปสำหรับทั้งสอง Skype for Business และ Exchangeดูภาพรวมของบทความสำหรับรายการตรวจสอบ pre req ของคุณ ทำสิ่งนี้ก่อนที่คุณเริ่มต้นใด ๆ ของขั้นตอนในบทความนี้

  2. เพิ่มในสถานที่ url ของบริการเว็บเป็นชื่อบริการหลัก (SPNs) ใน Azure AD

  3. มั่นใจว่าไดเรกทอรีเสมือนทั้งหมดจะเปิดใช้งานสำหรับ HMA

  4. ตรวจสอบสำหรับวัตถุ EvoSTS เซิร์ฟเวอร์การรับรองความถูกต้อง

  5. เปิดใช้งาน HMA ในแลกเปลี่ยน

บันทึกย่อ  เวอร์ชันของ Office ของคุณสนับสนุนตรงได้อย่างไร ตรวจสอบต่อไปนี้

ให้แน่ใจว่า คุณตรงกับทั้งหมด pre-reqs

เนื่องจากข้อกำหนดเบื้องต้นจำนวนมากทั่วไปสำหรับทั้งสอง Skype for Business และ Exchangeดูภาพรวมของบทความสำหรับรายการตรวจสอบ pre req ของคุณได้ ทำนี้ก่อนที่คุณเริ่มต้นใด ๆ ของขั้นตอนในบทความนี้

เพิ่มภายในองค์กรเว็บ url ของบริการเป็น SPNs ใน Azure AD

เรียกใช้คำสั่งที่กำหนดให้เว็บภายในองค์กรของคุณ url ของบริการขณะใช้ SPNs Azure AD SPNs โดยเครื่องไคลเอ็นต์และอุปกรณ์เล่นในระหว่างการรับรองความถูกต้องและการอนุญาต Url ทั้งหมดที่อาจถูกใช้เพื่อเชื่อมต่อจากภายในองค์กรกับ Azure Active Directory (AAD) ต้องลงทะเบียนใน AAD (รวมถึง namespaces ภายใน และภายนอก)

รวบรวม Url ทั้งหมดที่คุณต้องการเพิ่มใน AAD ก่อน เรียกใช้เหล่านี้คำสั่งภายในองค์กร:

  • รับ MapiVirtualDirectory | เซิร์ฟเวอร์ FL, * url *

  • รับ WebServicesVirtualDirectory | เซิร์ฟเวอร์ FL, * url *

  • รับ ActiveSyncVirtualDirectory | เซิร์ฟเวอร์ FL, * url *

  • รับ OABVirtualDirectory | เซิร์ฟเวอร์ FL, * url *

ให้แน่ใจว่า Url ไคลเอ็นต์อาจเชื่อมต่อเพื่อแสดงรายการเป็นชื่อหลักบริการ HTTPS ใน AAD

  1. ขั้นแรก เชื่อมต่อกับ AAD กับคำแนะนำเหล่านี้

  2. สำหรับ Exchange ของคุณ ที่เกี่ยวข้องแสดง Url พิมพ์คำสั่งต่อไปนี้:

  • รับ MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | เลือก - ExpandProperty ServicePrincipalNames

จดบันทึกย่อของ (และสกรีนช็อตสำหรับการเปรียบเทียบเวอร์ชันที่ใหม่กว่า) ผลลัพธ์ของคำสั่งนี้ ซึ่งควรมีแอ https://ค้นหาอัตโนมัติ yourdomain.comและ https://mail.yourdomain.com URL แต่เป็นส่วนใหญ่ประกอบด้วย SPNs ที่ขึ้นต้น ด้วย 00000002-0000-0ff1-ce00-000000000000 / ถ้ามี Url https:// จากของคุณภายในองค์กรที่หายไป เราจะต้องการเพิ่มระเบียนที่เฉพาะเจาะจงกับรายการนี้

3 ถ้าคุณไม่เห็นของคุณภายใน และภายนอก MAPI/HTTP, EWS, ActiveSync, OAB และค้นหาอัตโนมัติของระเบียนในรายการนี้ คุณต้องเพิ่มรูปภาพโดยใช้คำสั่งที่ด้านล่าง (Url ตัวอย่างคือ 'mail.corp.contoso.com' และ 'owa.contoso.com' แต่คุณจะแทนตัวอย่าง Url ของเครื่องมือ):

  • $x =รับ MsolServicePrincipal 00000002-0000-0ff1-ce00-000000000000 - AppPrincipalId

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • ตั้งค่า MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4 ตรวจสอบระเบียนใหม่ของคุณถูกเพิ่ม โดยการเรียกใช้คำสั่ง MsolServicePrincipal รับจากขั้นตอนที่ 2 อีก และถึงผลลัพธ์การค้นหาหรือไม่ รายการการเปรียบเทียบ / สกรีนช็อตจากก่อนที่จะลงในรายการใหม่ของ SPNs (คุณอาจยังสกรีนช็อตรายการใหม่สำหรับระเบียนของคุณ) ถ้าคุณประสบความสำเร็จ คุณจะเห็นสอง Url ใหม่ในรายการ ไปตามตัวอย่างของเรา รายการของ SPNs จะขณะนี้มี Url ที่เฉพาะเจาะจงhttps://mail.corp.contoso.comและhttps://owa.contoso.com

ตรวจสอบว่า ไดเรกทอรีเสมือนเป็นการกำหนดค่า อย่างถูกต้อง

ตอนนี้ ตรวจสอบใช้ OAuth อย่างถูกต้องถูกเปิดใช้งานในอาจใช้ Exchange ใน Outlook ไดเรกทอรีเสมือนทั้งหมด ด้วยการเรียกใช้คำสั่งต่อไปนี้

  • รับ MapiVirtualDirectory | เซิร์ฟเวอร์ FL, * url *, * * รับรองความถูกต้อง

  • รับ WebServicesVirtualDirectory | เซิร์ฟเวอร์ FL, * url *, * ใช้ oauth *

  • รับ OABVirtualDirectory | เซิร์ฟเวอร์ FL, * url *, * ใช้ oauth *

  • รับ AutoDiscoverVirtualDirectory | เซิร์ฟเวอร์ FL, * ใช้ oauth *

เปิดใช้งานการตรวจสอบผลลัพธ์เพื่อทำให้แน่ใจว่าใช้ OAuth VDirs เหล่านี้แต่ละ นั้นจะมีลักษณะดังนี้ (และสิ่งสำคัญเมื่อต้องการดูที่จะ 'ใช้ OAuth');

[PS] C:\Windows\system32 > รับ MapiVirtualDirectory | เซิร์ฟเวอร์ fl, * url *, * * รับรองความถูกต้อง

เซิร์ฟเวอร์: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm ใช้ OAuth เจรจา}

InternalAuthenticationMethods: {Ntlm ใช้ OAuth เจรจา}

ExternalAuthenticationMethods: {Ntlm ใช้ OAuth เจรจา}

ถ้าใช้ OAuth หายไปจากเซิร์ฟเวอร์ใด ๆ และไดเรกทอรีเสมือนสี่ใด ๆ จาก นั้นคุณจำเป็นต้องเพิ่มแมโครนั้นโดยใช้คำสั่งที่เกี่ยวข้องก่อน

ยืนยันวัตถุเซิร์ฟเวอร์ EvoSTS รับรองความถูกต้องจะนำเสนอ

กลับไปยัง Shell การจัดการ Exchange ในสถานที่สำหรับคำสั่งนี้ล่าสุด ตอนนี้ คุณสามารถตรวจสอบว่า ของคุณภายในองค์กรมีรายการข้อความสำหรับผู้ให้บริการการรับรองความถูกต้อง evoSTS:

  • รับ AuthServer | ตำแหน่งที่ {$_ ตั้งชื่อ - eq "EvoSts" }

ผลลัพธ์ของคุณควรแสดงความ AuthServer ของ EvoSts ชื่อ และสถานะ 'เปิดใช้งาน' ควรเป็น True ถ้าคุณไม่เห็นข้อมูลนี้ คุณควรดาวน์โหลด และเรียกใช้เวอร์ชันล่าสุดของตัวช่วยสร้างการกำหนดค่าแบบไฮบริด

สิ่งสำคัญ  ถ้าคุณกำลังใช้งาน Exchange 2010 ในสภาพแวดล้อมของคุณ ตัวให้บริการการรับรองความถูกต้อง EvoSTS จะไม่สามารถสร้าง

เปิดใช้งาน HMA

เรียกใช้คำสั่งต่อไปนี้ใน Exchange Management Shell ภายในองค์กร

  • ตั้งค่า AuthServer-ข้อมูลเฉพาะตัว EvoSTS - IsDefaultAuthorizationEndpoint $true

  • ตั้งค่า OrganizationConfig-OAuth2ClientProfileEnabled $true

ตรวจสอบ

เมื่อคุณเปิดใช้งาน HMA เข้าสู่ระบบถัดไปของลูกค้าจะใช้ขั้นตอนการรับรองความถูกต้องใหม่ โปรดสังเกตว่า เฉพาะการเปิดใช้งาน HMA จะไม่ทริกเกอร์การรับรองความถูกต้องใหม่สำหรับไคลเอ็นต์ใด ๆ ในไคลเอ็นต์อีกครั้งรับรองความถูกต้องโดยยึดตามชีวิตของโทเค็นการรับรองความถูกต้องและ/หรือใบรับรองพวกเขาได้

นอกจากนี้คุณควรกดแป้น CTRL ค้างไว้ในเวลาเดียวกันกับที่คุณคลิกขวาไอคอนสำหรับไคลเอ็นต์ Outlook (นอกจากนี้ในถาดแจ้งให้ทราบของ Windows) และคลิก 'สถานะการเชื่อมต่อ' ค้นหาที่อยู่ SMTP ของไคลเอ็นต์กับชนิด 'Authn' เป็น 'แบเรอร์ *' ซึ่งแสดงโทเค็นแบเรอร์ที่ใช้ในการใช้ OAuth

บันทึกย่อ  จำเป็นต้องกำหนดค่า Skype for Business กับ HMA ได้อย่างไร คุณจำเป็นต้องบทความที่สอง: หนึ่งที่แสดงรายการที่ได้รับการสนับสนุนโทและอีกหนึ่งที่แสดงวิธีการทำการกำหนดค่า

ลิงก์กลับไปยังภาพรวมของการรับรองความถูกต้องที่ทันสมัย

ขยายทักษะ Office ของคุณ
สำรวจการฝึกอบรม
รับฟีเจอร์ใหม่ก่อนใคร
เข้าร่วม Office Insider

ข้อมูลนี้เป็นประโยชน์หรือไม่

ขอบคุณสำหรับคำติชมของคุณ!

ขอขอบคุณสำหรับคำติชมของคุณ! เราคิดว่าอาจเป็นประโยชน์ที่จะให้คุณได้ติดต่อกับหนึ่งในตัวแทนฝ่ายสนับสนุน Office ของเรา

×