如何設定 Exchange Server 內部部署使用混合式部署的現代化驗證

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

混合式現代化驗證 (HMA),是身分識別管理,提供更安全的使用者驗證與授權,並可用於 Exchange server 內部部署混合式部署的方法。

參考

開始之前,撥:

  • 混合式部署的現代化驗證 > HMA

  • 內部部署的 exchange > EXCH

  • Exchange Online > EXO

此外,如果在圖形中本文具有的物件的 「 呈現出 ' 或灰色以灰色顯示的項目不會包含在 HMA 特定設定的含意

啟用混合式部署的現代化驗證

開啟所代表的意義 HMA:

  1. 要確定您符合之前的必要條件。

    1. 自許多先決條件有的兩個商務用 Skype 並 Exchange,請參閱概觀如前需求的檢查清單。開始之前任何的本文中的步驟執行此動作。

  2. 新增內部部署的 web 服務的 Url 為服務主要名稱 (Spn) 中 Azure AD。

  3. 確保所有的虛擬目錄啟用 HMA

  4. 檢查 EvoSTS 授權伺服器物件

  5. 啟用 HMA EXCH.中

附註 您的 Office 版本是否支援台中?請檢查以下

請確定您符合所有則的文章

因為許多先決條件有兩個商務用 Skype 並 Exchange,請參閱概觀如前需求的檢查清單的。執行此之前開始本文中的步驟進行。

新增內部部署中 Azure AD 為 Spn web 服務 Url

執行 Azure AD Spn。 Spn 會使用用戶端電腦和裝置期間驗證與授權服務 Url 指派您內部部署網頁的命令。必須註冊可能使用來自內部部署連線至 Azure Active Directory (AAD) 的所有 Url 中 AAD (包括內部和外部命名空間)。

首先,收集您需要新增 AAD 中的所有 Url。執行下列命令內部部署:

  • 取得 MapiVirtualDirectory |FL 伺服器 * url *

  • 取得 WebServicesVirtualDirectory |FL 伺服器 * url *

  • 取得 OABVirtualDirectory |FL 伺服器 * url *

請確定用戶端可能會連線到列為中 AAD HTTPS 服務主要名稱的 Url。

  1. 首先,請使用這些指示連線至 AAD。

  2. 您的 exchange 相關的 Url,輸入以下命令:

  • 取得 MsolServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 |選取-ExpandProperty ServicePrincipalNames

請記下 (及更新版本比較的螢幕擷取畫面) 的這個命令,應該包含 https://輸出自動探索。yourdomain.com和 https://mail.yourdomain.com URL,但大多組成的開頭 00000002-0000-0ff1-ce00-000000000000 Spn /。如果有從您的內部部署遺失 https:// Url 我們需要新增至此清單的特定的記錄。

3.如果您沒有看到您內部和外部 MAPI/HTTP、 EWS、 OAB 和自動探索記錄此清單中的,您必須將其使用下列命令新增 (範例 Url 'mail.corp.contoso.com 」 和 「 owa.contoso.com 」,但您必須取代範例 Url,與您自己):

  • $x = 取得 MsolServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add (「 https://mail.corp.contoso.com/ 」)

  • $x.ServicePrincipalnames.Add (「 https://owa.contoso.com/ 」)

  • 設定 MSOLServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000-ServicePrincipalNames $x.ServicePrincipalNames

4.驗證步驟 2 的取得 MsolServicePrincipal 命令執行,並查看輸出加入您的新記錄。比較清單 / 的螢幕擷取畫面之前 Spn (您也可以螢幕擷取畫面的新清單記錄) 的新清單。如果您已成功,您會看到清單中的兩個新的 Url。將以這個範例來說,Spn 清單會現在包含特定 Url https://mail.corp.contoso.comhttps://owa.contoso.com

驗證虛擬目錄會正確地設定

現在驗證 OAuth 已適當啟用中所有的虛擬目錄 Outlook Exchange 可能會使用藉由執行下列命令;

  • 取得 MapiVirtualDirectory |FL 伺服器 * url * * 驗證 *

  • 取得 WebServicesVirtualDirectory |FL 伺服器 * url * * oauth *

  • 取得 OABVirtualDirectory |FL 伺服器 * url * * oauth *

  • 取得 AutoDiscoverVirtualDirectory |FL 伺服器 * oauth *

檢查以確定OAuth輸出啟用在每一個這些 VDirs 上看起來應該像這樣 (,若要查看的重要項目是 「 OAuth 」);

[PS]C:\Windows\system32 > 取得 MapiVirtualDirectory |fl 伺服器 * url * * 驗證 *

伺服器: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm、 OAuth,交涉}

InternalAuthenticationMethods: {Ntlm、 OAuth,交涉}

ExternalAuthenticationMethods: {Ntlm、 OAuth,交涉}

如果您需要新增相關的命令,再繼續 OAuth 是遺失任何伺服器,以及任何四個虛擬目錄。

確認 EvoSTS 授權伺服器物件簡報

返回內部部署 Exchange 管理命令介面此最後一個命令。現在您可以在驗證您的內部部署的有 evoSTS 驗證提供者的項目:

  • 取得 AuthServer |位置 {$_。命名-eq 」 EvoSts"}

您的輸出應該會顯示的名稱 EvoSts AuthServer,[啟用] 狀態應該是 True。如果您沒有看到此,您必須下載並執行最新版本的混合式組態精靈。

重要 如果您執行的您的環境中 Exchange 2010,就不會建立 EvoSTS 驗證提供者。

啟用 HMA

在 Exchange 管理命令介面,內部部署中,執行下列命令

  • 設定 AuthServer-身分識別 EvoSTS IsDefaultAuthorizationEndpoint $true

  • Set-organizationconfig-OAuth2ClientProfileEnabled $true

[驗證]

當您啟用 HMA 時,請用戶端下次登入時會使用新的驗證流程。請注意,只要開啟 HMA 不會觸發重新驗證的任何用戶端。用戶端重新驗證根據驗證的權杖及/或他們擁有的憑證的存留時間。

您也應該您以滑鼠右鍵按一下 Outlook 用戶端 (也是在 Windows 通知匣) 的圖示的同時按住 CTRL 鍵,然後按一下 [連線狀態]。尋找針對 「 承載者 * 」,這代表用於 OAuth 承載者權杖的 「 驗證 」 類型的用戶端的 SMTP 位址。

附註 需要使用 HMA 設定商務用 Skype?您需要兩篇文章: 會列出支援拓撲,並顯示您如何進行設定

連結的現代化驗證概觀

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×