Як настроїти Exchange Server локального використання гібридного сучасної автентифікації

Примітка.:  Ми хочемо надавати найновіший вміст довідки рідною мовою користувачів якомога швидше. Цю сторінку перекладено за допомогою засобу автоматичного перекладу, тому вона може містити смислові, синтаксичні або граматичні помилки. Ми вважаємо, що цей вміст стане вам у пригоді. Повідомте нас, чи була інформація корисною, унизу цієї сторінки. Для зручності цю статтю можна переглянути англійською мовою .

Гібридне сучасної автентифікації (HMA), – це спосіб керування посвідченнями, безпечнішою Автентифікація користувача та дозволи, а також буде доступний для локального гібридного розгортання сервера Exchange server.

ГРУПА РОЗРОБНИКІВ

Перш ніж почати, можна викликати:

  • Гібридне сучасної автентифікації > HMA

  • Обмін локального > EXCH

  • Служба Exchange Online > EXO

Крім того, Якщо зображення в ця стаття містить об'єкт, "затемнений" або "сірі" це означає, що елемент відображається сірим кольором не входить до певних HMA конфігурації.

Увімкнення гібридного сучасної автентифікації

Увімкнення HMA засобів:

  1. Переконавшись, що ви відповідаєте на prereqs, перш ніж почати.

    1. З багатьох попередні вимоги – це спільні для обох Skype для бізнесу та Exchange, Огляд статті контрольний попередньо повторити. Для цього перед початком будь-які дії, описані в цій статті.

  2. Додавання локальні URL-адреси веб-служби як імена учасників служби (SPN) у Azure AD.

  3. Забезпечення всі віртуальні каталоги увімкнуто для HMA

  4. Перевірка наявності об'єкта EvoSTS автентифікації сервера

  5. Увімкнення HMA у хоч.

Примітка  Чи підтримує ваша версія Office ма? Перевірте тут.

Переконайтеся, що ви відповідаєте всі pre вимоги

Оскільки попередні вимоги до багатьох поширених для обох Skype для бізнесу та Exchange, Огляд статті контрольний попередньо повторити. Зробити цей перед початком будь-які дії, описані в цій статті.

Додавання локального веб-служби URL-адреси, як SPN в Azure AD

Виконання команди, які локальні веб-служби URL-адреси за призначити Azure AD SPN. SPN використовуються клієнта машини та пристрої під час автентифікації та авторизації. Всі URL-адрес, які можуть використовуватися для підключення з локального до Azure Active Directory (AAD) має бути зареєстровано в AAD (зокрема внутрішній і зовнішній простори імен).

По-перше, зібрати всіх URL-адреси, які потрібно додати в AAD. Виконайте наведені нижче команди локального:

  • Get-MapiVirtualDirectory | Сервер FL, * * URL-адреси

  • Get-WebServicesVirtualDirectory | Сервер FL, * * URL-адреси

  • Get-ActiveSyncVirtualDirectory | Сервер FL, * * URL-адреси

  • Get-OABVirtualDirectory | Сервер FL, * * URL-адреси

Переконайтеся, що URL-адрес клієнта може підключитися до відображаються як HTTPS служби імен у AAD.

  1. По-перше, підключитися до AAD за допомогою цих інструкцій.

  2. Для вашого обміну URL-адреси, пов'язаної, введіть таку команду:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | виберіть елемент - ExpandProperty ServicePrincipalNames

Перегляньте зверніть увагу на (і знімок екрана для подальшого порівняння) виводу цієї команди, які потрібно включити до https://автовизначення. ваш _ домен. com та https://mail.yourdomain.com URL-адресу, але в основному складаються з SPN, які починаються з 00000002-0000-0ff1-ce00-000000000000 /. Якщо https:// URL-адреси з локальних відсутніх потрібно буде додати ці записи до цього списку.

3. Якщо ви не бачите до внутрішніх і зовнішніх MAPI/HTTP, EWS, ActiveSync, автономної адресної книги та автовизначення записи в цьому списку, який потрібно додати їх за допомогою команди нижче (URL-адреси, наприклад 'mail.corp.contoso.com' і 'owa.contoso.com', але слід замінити приклад URL-адреси з власного):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Набір MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Переконайтеся, що нові записи додано, запускається команда Get-MsolServicePrincipal у кроці 2, знову та переглядаючи вихід. У списку порівняння й знімок екрана з до нового списку SPN (можна також знімок екрана нового списку для записів). Якщо ви успішно, ви побачите дві нові URL-адреси у списку. Відбувається у нашому прикладі, список SPN тепер міститиме певних URL-адреси https://mail.corp.contoso.com і https://owa.contoso.com.

Перевірте віртуальні каталоги настроєно належним чином

Тепер перевірте OAuth активовано належним чином в Exchange на всіх віртуальні каталоги Outlook можна використовувати, виконавши наведені нижче команди;

  • Get-MapiVirtualDirectory | Сервер FL, * URL-адресу * * auth *

  • Get-WebServicesVirtualDirectory | Сервер FL, * URL-адресу * * oauth *

  • Get-OABVirtualDirectory | Сервер FL, * URL-адресу * * oauth *

  • Get-AutoDiscoverVirtualDirectory | Сервер FL, * oauth *

Перевірка виводу, щоб переконатися, що OAuth ввімкнуто кожного з цих VDirs, він матиме приблизно такий вигляд (і головне пошук не "OAuth");

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | сервер FL, * URL-адресу * * auth *

Сервер: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, укладіть}

InternalAuthenticationMethods: {Ntlm, OAuth, укладіть}

ExternalAuthenticationMethods: {Ntlm, OAuth, укладіть}

Якщо OAuth відсутня в будь-який сервер і будь-який із чотирьох віртуальних каталогів, то потрібно додати їх за допомогою відповідних команд, перш ніж продовжити.

Переконайтеся, що EvoSTS автентифікації сервера об'єкт – презентація

Поверніться до локального оболонки керування Exchange для цієї останньої команди. Тепер можна перевірити, що локальних має запис для автентифікація evoSTS постачальника:

  • Get-AuthServer | де {_ грн. Введіть назву - eq "EvoSts"}

Вихідних даних потрібно відобразити на AuthServer EvoSts ім'я та стан «Увімкнуто» має бути логічне значення True. Якщо цей елемент не відображається, потрібно завантажити й запустити найновішої версії майстра настроювання гібридного розгортання.

Важливим  Якщо ви працюєте в середовищі Exchange Server 2010, EvoSTS автентифікації постачальник не створено.

Увімкнення HMA

Запустіть таку команду в оболонці керування Exchange на локальному комп'ютері

  • Набір AuthServer-ідентифікації EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

"Перевірити"

Після ввімкнення HMA, клієнта наступного входу використовуватиметься потоці автентифікації. Зверніть увагу, що лише Увімкнення HMA не будуть застосовуватися повторна перевірка автентичності, для будь-якого клієнта. У клієнтах повторно автентифікації на основі життя auth маркери та/або сертифікатів у них.

Ви повинні також натисніть і утримуйте клавішу CTRL одночасно ви клацніть правою кнопкою миші піктограму Outlook у клієнті (також в треї Windows сповіщення) і натисніть кнопку "Стан підключення". Перегляньте SMTP-адресу клієнта відповідність до 'Authn' тип 'пред'явника *", який представляє пред'явника використовуються в OAuth.

Примітка  Спочатку потрібно настроїти Skype для бізнесу з HMA? Вам знадобиться дві статті: той, який містить список підтримуваних топологійта той, який показує, як зробити конфігурації.

Посилання на огляд сучасної автентифікації.

Удосконалення навичок роботи з Office
Ознайомтеся з навчальними матеріалами
Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×