如何配置 Exchange Server 的本地使用混合的现代身份验证

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

混合现代身份验证 (HMA),是一种方法的身份管理提供更安全用户身份验证和授权,并且可用于 Exchange server 的本地混合部署。

转寄

在开始之前,我呼叫:

  • 混合的现代身份验证 > HMA

  • Exchange 的本地 > EXCH

  • Exchange Online > EXO

此外,如果为图形本文包含已灰显或灰显以灰色显示的元素不包括在 HMA 特定配置这意味着对象

启用混合现代身份验证

表示启用 HMA:

  1. 要确保您在开始之前满足先决条件。

    1. 许多先决条件以来是常见的两个 Skype for Business 和 Exchange,请参阅本文概述必备项清单。执行此操作之前开始任何本文中的步骤操作。

  2. 添加本地 web 服务 Url 服务主体名称 (Spn) 为 Azure AD 中。

  3. 确保所有虚拟目录启用了 HMA

  4. 检查 EvoSTS 授权服务器对象

  5. 启用在汇兑损益 HMA

注意 您的 Office 版本是否支持 MA?检查下面

请确保满足所有预要求

由于许多先决条件是常见的两个 Skype for Business 和 Exchange,请参阅本文概述必备项清单。执行此之前开始任何本文中的步骤操作。

添加本地 Azure AD 中为 Spn web 服务 Url

运行分配本地 web 服务的 Url,如 Azure AD Spn。 Spn 期间身份验证和授权使用的客户端计算机和设备的命令。必须在 AAD (包括内部和外部的命名空间) 注册可用于从内部部署连接到 Azure Active Directory (AAD) 的所有 Url。

首先,收集您需要在 AAD 中添加的所有 Url。运行以下命令本地:

  • 获取 MapiVirtualDirectory |FL 服务器 * url *

  • 获取 WebServicesVirtualDirectory |FL 服务器 * url *

  • 获取 ActiveSyncVirtualDirectory |FL 服务器 * url *

  • 获取 OABVirtualDirectory |FL 服务器 * url *

确保客户端可以连接为 HTTPS 服务主体名称 AAD 中列出的 Url。

  1. 首先,连接到 AAD 与这些说明

  2. 您的 exchange 相关的 Url,键入以下命令:

  • 获取 MsolServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 |选择-ExpandProperty ServicePrincipalNames

执行此命令,应包含 https://的输出的备注 (和更高版本的比较的屏幕截图) 自动发现。您的域.com和 https://mail.yourdomain.com URL,但大部分包含 00000002-0000-0ff1-ce00-000000000000 开头的 Spn /。如果存在从您的本地所丢失 https:// Url 我们需要将这些特定记录添加到此列表。

3.如果看不到您的内部和外部 MAPI/HTTP、 EWS、 ActiveSync、 OAB 和自动发现记录,此列表中的,您必须添加它们使用以下命令 (示例 Url 是 'mail.corp.contoso.com' 和 'owa.contoso.com',但将替换示例使用您自己的 Url):

  • $x = 获取 MsolServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • 设置 MSOLServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000-ServicePrincipalNames $x.ServicePrincipalNames

4.验证您的新记录添加通过再次运行步骤 2 中的获取 MsolServicePrincipal 命令,通过输出进行查看。比较列表 / 的屏幕截图之前 Spn (您可能还屏幕截图的新列表为您的记录) 的新列表。如果您已成功,您将看到两个新列表中的 Url。将通过我们的示例,Spn 列表将现在包括特定 Url https://mail.corp.contoso.comhttps://owa.contoso.com

验证虚拟目录正确配置

现在验证 OAuth 正确启用中所有虚拟目录 Outlook Exchange 可能使用通过运行以下命令;

  • 获取 MapiVirtualDirectory |FL 服务器 * url * * 授权 *

  • 获取 WebServicesVirtualDirectory |FL 服务器 * url * * oauth *

  • 获取 OABVirtualDirectory |FL 服务器 * url * * oauth *

  • 获取 AutoDiscoverVirtualDirectory |FL 服务器 * oauth *

检查以确保OAuth输出启用对每个这些 VDirs,它将如下所示 (和查看的关键一点是 OAuth);

[PS]C:\Windows\system32 > 获取 MapiVirtualDirectory |fl 服务器 * url * * 授权 *

服务器: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm、 OAuth,协商}

InternalAuthenticationMethods: {Ntlm、 OAuth,协商}

ExternalAuthenticationMethods: {Ntlm、 OAuth,协商}

如果 OAuth 中任何服务器和任何四个虚拟目录缺失,则需要使用之前的相关命令添加它。

确认演示 EvoSTS 授权服务器对象

返回到本地 Exchange 管理外壳此最后一个命令。现在,您可以验证您的本地 evoSTS 身份验证提供程序有一项:

  • 获取认证服务器 |在其中 {$_。命名-eq"EvoSts"}

您的输出应显示的名称 EvoSts 认证服务器和启用状态应为 True。如果看不到此,您应下载并运行混合配置向导的最新版本。

重要 如果您正在运行 Exchange 2010 环境中,将不会创建 EvoSTS 身份验证提供程序。

启用 HMA

在 Exchange 命令行管理程序,内部部署中运行以下命令

  • 设置认证服务器-标识 EvoSTS IsDefaultAuthorizationEndpoint $true

  • 设置 OrganizationConfig-OAuth2ClientProfileEnabled $true

“验证”

一旦您启用 HMA,客户端的下一步登录将使用新的身份验证流。请注意,只需启用 HMA 不会触发重新进行身份验证的任何客户端。客户端重新进行身份验证基于的身份验证令牌和/或证书就生命周期。

您还应该 Outlook 客户端 (也在 Windows 通知任务栏) 中右键单击的图标的同时按住 CTRL 键并单击连接状态。查找客户端 SMTP 地址与身份验证类型持有者 *,它表示用于 OAuth 持有者令牌。

注意 需要使用 HMA 配置 Skype for Business?您将需要两篇文章: 列出支持的拓扑,并且您演示如何进行配置

返回到的现代身份验证概述的链接

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×