如何設定 Exchange Server 內部部署使用混合式部署的現代化驗證

附註:  我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。

混合式現代化驗證 (HMA),是身分識別管理,提供更安全的使用者驗證與授權,並可用於 Exchange server 內部部署混合式部署的方法。

參考

開始之前,撥:

  • 混合式部署的現代化驗證 > HMA

  • 內部部署的 exchange > EXCH

  • Exchange Online > EXO

此外,如果在圖形中本文具有的物件的 「 呈現出 ' 或灰色以灰色顯示的項目不會包含在 HMA 特定設定的含意

啟用混合式部署的現代化驗證

開啟所代表的意義 HMA:

  1. 要確定您符合之前的必要條件。

    1. 自許多先決條件有的兩個商務用 Skype 並 Exchange,請參閱概觀如前需求的檢查清單。開始之前任何的本文中的步驟執行此動作。

  2. 新增內部部署的 web 服務的 Url 為服務主要名稱 (Spn) 中 Azure AD。

  3. 確保所有的虛擬目錄啟用 HMA

  4. 檢查 EvoSTS 授權伺服器物件

  5. 啟用 HMA EXCH.中

附註 您的 Office 版本是否支援台中?請檢查以下

請確定您符合所有則的文章

因為許多先決條件有的兩個商務用 Skype 並 Exchange,請參閱概觀如前需求的檢查清單。執行此之前開始本文中的步驟進行。

新增內部部署中 Azure AD 為 Spn web 服務 Url

執行 Azure AD Spn。 Spn 會使用用戶端電腦和裝置期間驗證與授權服務 Url 指派您內部部署網頁的命令。必須註冊可能使用來自內部部署連線至 Azure Active Directory (AAD) 的所有 Url 中 AAD (包括內部和外部命名空間)。

首先,收集您需要新增 AAD 中的所有 Url。執行下列命令內部部署:

  • 取得 MapiVirtualDirectory |FL 伺服器 * url *

  • 取得 WebServicesVirtualDirectory |FL 伺服器 * url *

  • 取得 ActiveSyncVirtualDirectory |FL 伺服器 * url *

  • 取得 OABVirtualDirectory |FL 伺服器 * url *

請確定用戶端可能會連線到列為中 AAD HTTPS 服務主要名稱的 Url。

  1. 首先,請使用這些指示連線至 AAD。

  2. 您的 exchange 相關的 Url,輸入以下命令:

  • 取得 MsolServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 |選取-ExpandProperty ServicePrincipalNames

請記下 (及更新版本比較的螢幕擷取畫面) 的這個命令,應該包含 https://輸出自動探索。yourdomain.com和 https://mail.yourdomain.com URL,但大多組成的開頭 00000002-0000-0ff1-ce00-000000000000 Spn /。如果有從您的內部部署遺失 https:// Url 我們需要新增至此清單的特定的記錄。

3.如果您沒有看到您的內部和外部 MAPI/HTTP、 EWS、 ActiveSync、 OAB 和自動探索記錄,此清單中的,您必須將其使用下列命令新增 (範例 Url 是 「 mail.corp.contoso.com 」 和 「 owa.contoso.com 」,但您可以取代範例使用您自己的 Url):

  • $x = 取得 MsolServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add (「 https://mail.corp.contoso.com/ 」)

  • $x.ServicePrincipalnames.Add (「 https://owa.contoso.com/ 」)

  • $x.ServicePrincipalnames.Add (「 https://eas.contoso.com/ 」)

  • 設定 MSOLServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000-ServicePrincipalNames $x.ServicePrincipalNames

4.驗證步驟 2 的取得 MsolServicePrincipal 命令執行,並查看輸出加入您的新記錄。比較清單 / 的螢幕擷取畫面之前 Spn (您也可以螢幕擷取畫面的新清單記錄) 的新清單。如果您已成功,您會看到清單中的兩個新的 Url。將以這個範例來說,Spn 清單會現在包含特定 Url https://mail.corp.contoso.comhttps://owa.contoso.com

驗證虛擬目錄會正確地設定

現在驗證 OAuth 已適當啟用中所有的虛擬目錄 Outlook Exchange 可能會使用藉由執行下列命令;

  • 取得 MapiVirtualDirectory |FL 伺服器 * url * * 驗證 *

  • 取得 WebServicesVirtualDirectory |FL 伺服器 * url * * oauth *

  • 取得 OABVirtualDirectory |FL 伺服器 * url * * oauth *

  • 取得 AutoDiscoverVirtualDirectory |FL 伺服器 * oauth *

檢查以確定OAuth輸出啟用在每一個這些 VDirs 上看起來應該像這樣 (,若要查看的重要項目是 「 OAuth 」);

[PS]C:\Windows\system32 > 取得 MapiVirtualDirectory |fl 伺服器 * url * * 驗證 *

伺服器: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm、 OAuth,交涉}

InternalAuthenticationMethods: {Ntlm、 OAuth,交涉}

ExternalAuthenticationMethods: {Ntlm、 OAuth,交涉}

如果您需要新增相關的命令,再繼續 OAuth 是遺失任何伺服器,以及任何四個虛擬目錄。

確認 EvoSTS 授權伺服器物件簡報

返回內部部署 Exchange 管理命令介面此最後一個命令。現在您可以在驗證您的內部部署的有 evoSTS 驗證提供者的項目:

  • 取得 AuthServer |位置 {$_。命名-eq 」 EvoSts"}

您的輸出應該會顯示的名稱 EvoSts AuthServer,[啟用] 狀態應該是 True。如果您沒有看到此,您必須下載並執行最新版本的混合式組態精靈。

重要 如果您執行的您的環境中 Exchange 2010,就不會建立 EvoSTS 驗證提供者。

啟用 HMA

在 Exchange 管理命令介面,內部部署中,執行下列命令

  • 設定 AuthServer-身分識別 EvoSTS IsDefaultAuthorizationEndpoint $true

  • Set-organizationconfig-OAuth2ClientProfileEnabled $true

[驗證]

當您啟用 HMA 時,請用戶端下次登入時會使用新的驗證流程。請注意,只要開啟 HMA 不會觸發重新驗證的任何用戶端。用戶端重新驗證根據驗證的權杖及/或他們擁有的憑證的存留時間。

您也應該您以滑鼠右鍵按一下 Outlook 用戶端 (也是在 Windows 通知匣) 的圖示的同時按住 CTRL 鍵,然後按一下 [連線狀態]。尋找針對 「 承載者 * 」,這代表用於 OAuth 承載者權杖的 「 驗證 」 類型的用戶端的 SMTP 位址。

附註 需要使用 HMA 設定商務用 Skype?您需要兩篇文章: 會列出支援拓撲,並顯示您如何進行設定

連結的現代化驗證概觀

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×