Home Hibrid modern hitelesítés konfigurálása a helyszíni Exchange szolgáltatásban

Hibrid modern hitelesítés konfigurálása a helyszíni Exchange szolgáltatásban

Hogyan engedélyezhető a Hybrid Modern Authentication (HMA) a helyszíni Exchange Serverben? Az Exchange helyszíni szervezetét az alapvető hitelesítés helyett modern hitelesítéssel szeretnénk biztonságossá tenni. Így az MFA-t a helyszíni felhasználói postafiókokhoz használhatjuk, nem csak a felhőben lévő felhasználói postafiókokhoz. Ebből a cikkből megtudhatja, hogyan konfigurálhatja lépésről lépésre a hibrid modern hitelesítést az Exchange on-premises szolgáltatásban.

Bevezetés

Van egy Exchange Hybrid telepítésünk. A legtöbb postafiók az Exchange Online-ban található, de vannak helyszíni postafiókjaink. Ez a cég politikája miatt van. Most, hogy vannak postafiókjaink a helyszínen, szeretjük, ha a felhasználók az alapértelmezett alaphitelesítés helyett modern hitelesítéssel hitelesítenek.

Jegyzet:A hibrid modern hitelesítés kiválóan működik egyetlen Exchange Serverrel vagy magas rendelkezésre állású (kiegyenlített terhelésű) Exchange Serverrel.

Hibrid modern hitelesítés előfeltételei

Mielőtt elkezdené a hibrid modern hitelesítés konfigurálását, győződjön meg arról, hogy végigment az alábbi lépéseken:

  1. Exchange hibrid konfigurációs varázsló*
  2. A Microsoft Entra Connect telepítése és konfigurálása
  3. Az Exchange Server 2010 nem fut a szervezetben
  4. Exchange Server 2013/2016/2019 a legújabb összesített frissítéssel

*A hibrid modern hitelesítés nem támogatott a hibrid ügynökkel. Ki kell használnia a Classic Exchange hibrid topológiát, és közzé kell tennie az AutoDiscover, EWS, ActiveSync, MAPI és OAB végpontokat a hibrid modern hitelesítéshez, hogy különböző Outlook-kliensekkel működjön.

Jegyzet:Az Exchange OWA (Outlook Web Access) és az ECP (Exchange Control Panel) modern hitelesítéssel működik. Szüksége van azonban az Exchange Server 2019 CU14-re 2024. áprilisi Exchange Server gyorsjavítási frissítésekkel vagy újabb verzióval.

Javasoljuk, hogy engedélyezze a modern hitelesítést a helyszíni Exchange Server szervezetben az Outlook-ügyfelek, az Exchange OWA és az Exchange ECP védelme érdekében. Ez azt jelenti, hogy telepítenie kell az Exchange Server 2019-et, és a legújabb verziót kell használnia.

Hibrid modern hitelesítési diagram

Az alábbi diagramon láthatja, hogyan néz ki a hibrid modern hitelesítési folyamat a megvalósítás után.

  1. A helyszíni postafiókkal rendelkező felhasználó elindítja az Outlookot, és automatikus felderítéssel csatlakozik az Exchange Serverhez. A kapcsolat az Ön által beállított evoSTS URL-re irányít át.
  2. Az Outlook-ügyfél kapcsolatba lép a Microsoft Entra ID-vel, és megjelenik a modern hitelesítési bejelentkezési üzenet. A felhasználó az Exchange Online alkalmazáshoz (felhőalkalmazáshoz) beállított feltételes hozzáférési házirendekkel hitelesít.
  3. A sikeres hitelesítés után a felhasználó hozzáférési tokent és frissítési tokent kap.
  4. A felhasználó biztosítja a hozzáférési tokent a helyszíni Exchange Server számára, és hozzáférést kap a postafiókhoz.

A modern hitelesítés előnyei

A modern hitelesítés konfigurálása a helyszíni Exchange Serverben a következők:

  • Biztonságosabb, mint az alap hitelesítés (klasszikus felhasználónév és jelszó)
  • Házirendek konfigurálása a Microsoft Entra ID-ből (központi hely)
  • Modern megjelenés a végfelhasználói élményért

Amandának van egy helyszíni postafiókja, és az alábbi lépésekkel ellenőrizhetjük, hogy alapvető hitelesítéssel csatlakozik-e az Outlook asztali alkalmazásban:

  1. Indítsa el az Outlookot
  2. Tartsa lenyomva aCTRL billentyűéskattintson jobb gombbalaz Outlook ügyfélprogramon a Windows rendszertálcán
  3. KattintsonKapcsolat állapota

Az Authn (hitelesítés) oszlopban látni fogjaMint*mint a hitelesítési séma. Ez azt jelenti, hogy alapvető hitelesítést használ.

AAuthnoszlopban kell megjelennie mintVivő*. Ilyenkor tudod eztModern hitelesítéshasználják.

Végigvesszük az alábbi lépéseket, és megbizonyosodunk arról, hogy minden a helyén van, mielőtt engedélyeznénk a hibrid modern hitelesítést az Exchange helyszíni szervezetéhez.

Kérjük, minden alkalommal alaposan nézze meg, amikor futtatja a parancsmagokat. Ennek az az oka, hogy a következő adminisztratív feladatokat kell végrehajtania:

  • Exchange Management Shell (helyszíni Exchange Server)
  • PowerShell (Microsoft Graph PowerShell)

1. lépés: Engedélyezze a modern hitelesítést az Exchange Online-ban

További információ a Modern hitelesítés engedélyezése a Microsoft 365-ben című cikkben.

Az Exchange Online modern hitelesítésének engedélyezéséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen beMicrosoft 365 felügyeleti központ
  2. Bontsa kiBeállítások elemreés kattintson ráSzervezeti beállítások
  3. Kattintson ráSzolgáltatásoka felső sávban
  4. VálasszonModern hitelesítésa listáról
  5. Jelölje be a négyzetetKapcsolja be a modern hitelesítést az Outlook 2013 for Windows és újabb verzióihoz (ajánlott)
  6. Kattintson ráMegtakarítás

Jegyzet:A 2017. augusztus 1. előtt létrehozott bérlők esetében a modern hitelesítés alapértelmezés szerint ki van kapcsolva az Exchange Online és a Skype Vállalati verzió Online szolgáltatásban.

2. lépés: Szerezzen be virtuális címtár URL-eket

Indítsa el az Exchange Management Shell alkalmazást rendszergazdaként a helyszíni Exchange Server kiszolgálón. Futtassa anégy parancsmaga virtuális könyvtár URL-címeinek lekéréséhez.

Get-MapiVirtualDirectory | fl server,*url*
Get-WebServicesVirtualDirectory | fl server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | fl server,*url*

Az eredmények az alábbi kimenetben jelennek meg minden parancs futtatása után. Jegyezze fel az összes belső és külső URL-t, mert ezeket az URL-eket a következő lépések egyikében kell hozzáadnia.

Példánkban ugyanaz a neve a belső és külső URL-eknek. Javasoljuk, hogy így konfigurálja, mivel ez sokat egyszerűsít. Ha nem, akkor a kimenetben .local vagy .lan végű belső címek jelennek meg.

# Get-MapiVirtualDirectory | fl server,*url*

Server      : EX01-2019
InternalUrl : https://mail.exoip.com/mapi
ExternalUrl : https://mail.exoip.com/mapi

Server      : EX02-2019
InternalUrl : https://mail.exoip.com/mapi
ExternalUrl : https://mail.exoip.com/mapi

# Get-WebServicesVirtualDirectory | fl server,*url*

Server               : EX01-2019
InternalNLBBypassUrl :
InternalUrl          : https://mail.exoip.com/EWS/Exchange.asmx
ExternalUrl          : https://mail.exoip.com/EWS/Exchange.asmx

Server               : EX02-2019
InternalNLBBypassUrl :
InternalUrl          : https://mail.exoip.com/EWS/Exchange.asmx
ExternalUrl          : https://mail.exoip.com/EWS/Exchange.asmx

# Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri

WARNING:  The Get-ClientAccessServer cmdlet will be removed in a future version of Exchange. Use the
Get-ClientAccessService cmdlet instead. If you have any scripts that use the Get-ClientAccessServer cmdlet, update them
to use the Get-ClientAccessService cmdlet.  For more information, see https://go.microsoft.com/fwlink/p/?LinkId=254711.

Name                           : EX01-2019
AutoDiscoverServiceInternalUri : https://autodiscover.exoip.com/Autodiscover/Autodiscover.xml

Name                           : EX02-2019
AutoDiscoverServiceInternalUri : https://autodiscover.exoip.com/Autodiscover/Autodiscover.xml

# Get-OABVirtualDirectory | fl server,*url*

Server      : EX01-2019
InternalUrl : https://mail.exoip.com/OAB
ExternalUrl : https://mail.exoip.com/OAB

Server      : EX02-2019
InternalUrl : https://mail.exoip.com/OAB
ExternalUrl : https://mail.exoip.com/OAB

Futtassa a PowerShellt rendszergazdaként, és csatlakozzon a Microsoft Graph PowerShellhez. Jelentkezzen be Microsoft 365 globális rendszergazdai hitelesítő adataival.

Connect-MgGraph -Scopes "Application.Read.All", "Application.ReadWrite.All"

Futtassa aGet-MgServicePrincipalparancsmagot, hogy az Exchange-hez kapcsolódó URL-címeket a felhőben kapja meg a 00000002-0000-0ff1-ce00-000000000000 alkalmazáshoz.

Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

Vegye figyelembe (és a későbbi összehasonlításhoz egy képernyőképet) ennek a parancsnak a kimenetét, amelynek tartalmaznia kell egy https://autodiscover.yourdomain.com és https://mail.yourdomain.com URL-t, de többnyire 00000002-0000-0ff1-ce00-000000000000/ előtaggal kezdődő SPN-ekből áll.

00000002-0000-0ff1-ce00-000000000000/mail.exoip.com
00000002-0000-0ff1-ce00-000000000000/autodiscover.exoip365.mail.onmicrosoft.com
00000002-0000-0ff1-ce00-000000000000/exoip365.mail.onmicrosoft.com
00000002-0000-0ff1-ce00-000000000000/autodiscover.exoip.com
00000002-0000-0ff1-ce00-000000000000/exoip.com
00000002-0000-0ff1-ce00-000000000000/autodiscover.exoip.local
00000002-0000-0ff1-ce00-000000000000/exoip.local
00000002-0000-0ff1-ce00-000000000000/outlook.office365.com
00000002-0000-0ff1-ce00-000000000000/mail.office365.com
00000002-0000-0ff1-ce00-000000000000/outlook.com
00000002-0000-0ff1-ce00-000000000000/*.outlook.com
00000002-0000-0ff1-ce00-000000000000
https://ps.compliance.protection.outlook.com
https://outlook-sdf.office.com/
https://outlook-sdf.office365.com/
https://outlook.office365.com:443/
https://outlook.office.com/
https://outlook.office365.com/
https://outlook.com/
https://ps.protection.outlook.com/
https://outlook-tdf.office.com/
https://outlook-tdf-2.office.com/
https://ps.outlook.com

Valószínűleg ahttps:// URL-eka helyszíni helyről (2. lépés) hiányoznak. Ezért a következő lépésben hozzá kell adnunk az adott rekordokat ehhez a listához.

4. lépés: Adja hozzá a helyszíni webszolgáltatás URL-címeit SPN-ként

Ha nem látja a belső és külső MAPI/HTTP, EWS, ActiveSync, OAB és Autodiscover rekordokat ebben a listában, fel kell vennie őket az alábbi paranccsal a Microsoft Graph PowerShellben.

Ebben a példában az URL-ek https://mail.exoip.com/ és https://autodiscover.exoip.com/. Cserélje ki az URL-eket a sajátjával.

$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$x.ServicePrincipalNames += "https://mail.exoip.com/"
$x.ServicePrincipalNames += "https://autodiscover.exoip.com/"
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames

Tegyük fel, hogy vissza akarja állítani a változtatást. Módosítsa az alábbi URL-eket, és futtassa a parancsokat.

$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$x.ServicePrincipalNames = $x.ServicePrincipalNames | Where-Object { $_ -ne "https://mail.exoip.com/" -and $_ -ne "https://autodiscover.exoip.com/" }
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames

Ellenőrizze, hogy hozzáadta-e az új rekordokat a következő futtatásávalGet-MgServicePrincipalparancsmag a Microsoft Graph PowerShellben.

Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

Nézze meg a kimenetet. Hasonlítsa össze az előző listát/képernyőképet az új SPN-listával. Készíthet egy képernyőképet is az új listáról. Ha sikeres, akkor a két új URL-t láthatja a listában.

Példánk szerint az SPN-ek listája mostantól tartalmazza a https://mail.exoip.com/ és a https://autodiscover.exoip.com/ konkrét URL-eket. Lásd a lista tetején.

https://autodiscover.exoip.com/
https://mail.exoip.com/
00000002-0000-0ff1-ce00-000000000000/mail.exoip.com
00000002-0000-0ff1-ce00-000000000000/autodiscover.exoip365.mail.onmicrosoft.com
00000002-0000-0ff1-ce00-000000000000/exoip365.mail.onmicrosoft.com
00000002-0000-0ff1-ce00-000000000000/autodiscover.exoip.com
00000002-0000-0ff1-ce00-000000000000/exoip.com
00000002-0000-0ff1-ce00-000000000000/autodiscover.exoip.local
00000002-0000-0ff1-ce00-000000000000/exoip.local
00000002-0000-0ff1-ce00-000000000000/outlook.office365.com
00000002-0000-0ff1-ce00-000000000000/mail.office365.com
00000002-0000-0ff1-ce00-000000000000/outlook.com
00000002-0000-0ff1-ce00-000000000000/*.outlook.com
00000002-0000-0ff1-ce00-000000000000
https://ps.compliance.protection.outlook.com
https://outlook-sdf.office.com/
https://outlook-sdf.office365.com/
https://outlook.office365.com:443/
https://outlook.office.com/
https://outlook.office365.com/
https://outlook.com/
https://ps.protection.outlook.com/
https://outlook-tdf.office.com/
https://outlook-tdf-2.office.com/
https://ps.outlook.com

6. lépés: Ellenőrizze az OAuth virtuális könyvtárakat

Most ellenőrizze, hogy az OAuth (modern hitelesítés) megfelelően engedélyezve van-e a helyszíni Exchange szolgáltatásban az Outlook által használt összes virtuális könyvtárban. Futtassa a parancsmagokat az Exchange Management Shellben.

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*

Az eredmények az alábbi kimenetben jelennek meg minden parancs futtatása után.

# Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX01-2019
InternalUrl                   : https://mail.exoip.com/mapi
ExternalUrl                   : https://mail.exoip.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Server                        : EX02-2019
InternalUrl                   : https://mail.exoip.com/mapi
ExternalUrl                   : https://mail.exoip.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

# Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*

Server               : EX01-2019
InternalNLBBypassUrl :
InternalUrl          : https://mail.exoip.com/EWS/Exchange.asmx
ExternalUrl          : https://mail.exoip.com/EWS/Exchange.asmx
OAuthAuthentication  : True

Server               : EX02-2019
InternalNLBBypassUrl :
InternalUrl          : https://mail.exoip.com/EWS/Exchange.asmx
ExternalUrl          : https://mail.exoip.com/EWS/Exchange.asmx
OAuthAuthentication  : True

# Get-OABVirtualDirectory | fl server,*url*,*oauth*

Server              : EX01-2019
InternalUrl         : https://mail.exoip.com/OAB
ExternalUrl         : https://mail.exoip.com/OAB
OAuthAuthentication : True

Server              : EX02-2019
InternalUrl         : https://mail.exoip.com/OAB
ExternalUrl         : https://mail.exoip.com/OAB
OAuthAuthentication : True

# Get-AutoDiscoverVirtualDirectory | fl server,*oauth*

Server              : EX01-2019
OAuthAuthentication : True

Server              : EX02-2019
OAuthAuthentication : True

Ha az OAuth hiányzik bármelyik szerverről és a négy virtuális könyvtár bármelyikéről, akkor a folytatás előtt hozzá kell adnia a megfelelő parancsokkal:

7. lépés: Győződjön meg arról, hogy az EvoSTS hitelesítési szerver objektum jelen van

Térjen vissza a helyszíni Exchange Management Shellhez. Futtassa a parancsmagot, és ellenőrizze, hogy a helyszíni rendelkezik-e bejegyzéssel az evoSTS (a Microsoft Entra ID által használt biztonsági token szolgáltatás) hitelesítési szolgáltatóhoz.

Get-AuthServer | Where-Object {$_.Name -like "EvoSts*"} | fl Name,DomainName,IssuerIdentifier,Realm,TokenIssuingEndpoint,Enabled,IsDefault*

A kimeneten egy AuthServernek kell megjelennie aNévami azzal kezdődikEvoSts, és aEngedélyezveállami érték legyenIgaz. Ha nem látja ezt, töltse le és futtassa a Hibrid konfigurációs varázsló legújabb verzióját.

A kimenetünkben két evoSts hitelesítési szerverünk van. Ennek az az oka, hogy a helyszíni helyiségeinket két bérlővel konfiguráltuk.

Name                           : EvoSts - 5af53ad5-4ce1-4406-bf3f-b8c796cf17b8
DomainName                     : {exoip365.onmicrosoft.com}
IssuerIdentifier               : https://sts.windows.net/fe15bfe6-36b2-4c9d-bf42-51b995f8e9af/
Realm                          : fe15bfe6-36b2-4c9d-bf42-51b995f8e9af
TokenIssuingEndpoint           : https://login.windows.net/common/oauth2/token
Enabled                        : True
IsDefaultAuthorizationEndpoint : False

Name                           : EvoSts - d1c9beac-0655-48e7-9949-5e497af1d38d
DomainName                     : {exoip.com}
IssuerIdentifier               : https://sts.windows.net/d032a20d-16c9-4e5b-87c3-30b055ded8cc/
Realm                          : d032a20d-16c9-4e5b-87c3-30b055ded8cc
TokenIssuingEndpoint           : https://login.windows.net/common/oauth2/token
Enabled                        : True
IsDefaultAuthorizationEndpoint : False

8. lépés: Engedélyezze a hibrid modern hitelesítést

Ha egynél több evoSts hitelesítési szervere van, tudnia kell, hogy melyiket szeretné alapértelmezettként beállítani. A Microsoft Graph PowerShellben futtassa a parancsmagot a szervezet azonosítójának lekéréséhez.

Get-MgOrganization | select DisplayName, Id

Példánkban a szervezeti azonosító d8cc-re végződik. Az EvoSts – d1c9beac-0655-48e7-9949-5e497af1d38d értéket kell beállítanunk alapértelmezett engedélyezési végpontként.

DisplayName Id
----------- --
EXOIP       d032a20d-16c9-4e5b-87c3-30b055ded8cc

Az Exchange Management Shellben futtassa a két parancsmagot, hogy lehetővé tegye a modern hitelesítést az Exchange helyszíni szervezetén.

Set-AuthServer -Identity "EvoSts - d1c9beac-0655-48e7-9949-5e497af1d38d" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Ha az Exchange helyszíni verziója Exchange 2016 (CU18 vagy újabb) vagy Exchange 2019 (CU7 vagy újabb), és a hibrid a 2020 szeptembere után letöltött HCW-vel lett konfigurálva, futtassa a következő parancsot a helyszíni Exchange Management Shellben.

Módosítsa az identitást (másolat a 7. lépésről) és a domain nevet a sajátjára.

Set-AuthServer -Identity "EvoSts - d1c9beac-0655-48e7-9949-5e497af1d38d" -DomainName "exoip.com" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

9. lépés: Indítsa újra az Internet Information Services szolgáltatást

A folyamat felgyorsítása érdekében újraindíthatja az Internet Information Services (IIS) szolgáltatást az Exchange-kiszolgálókon.

iisreset

10. lépés: Az Outlook rendszerleíró adatbázis követelményei

Győződjön meg arról, hogy az alábbi Outlook-kliensek egyike fut, amely támogatja a modern hitelesítést. Az Outlook 2010 nem támogatott, és nem fog működni. Frissítse Outlook-kliensét egy olyan verzióra, amely támogatja a modern hitelesítést.

Outlook verzióModern hitelesítési támogatásEnableADAL reg kulcs szükségesAlwaysUseMSOAuthForAutodiscover reg kulcs szükséges
Outlook 2010NemNem elérhetőNem elérhető
Outlook 2013IgenIgenIgen
Outlook 2016IgenNemIgen
Outlook 2019IgenNemIgen
Outlook 365IgenNemIgen

A Microsoft azt javasolja, hogy a felhasználók kényszerítsék az Outlookot a modern hitelesítés használatára aDWORDa következő rendszerleíró kulcs értékét1.

HKEY_CURRENT_USERSoftwareMicrosoftExchangeAlwaysUseMSOAuthForAutoDiscover

Ha Outlook 2013-at használ, hozzá kell adnia még kettőtDWORDértékeket. Add hozzá aDWORDértéket1a következő beállításkulcsokban:

HKEY_CURRENT_USERSOFTWAREMicrosoftOffice15.0CommonIdentityEnableADAL
HKEY_CURRENT_USERSOFTWAREMicrosoftOffice15.0CommonIdentityVersion

11. lépés: Ellenőrizze a munkáját

Miután engedélyezte a hibrid modern hitelesítést, az ügyfél következő bejelentkezése az új hitelesítési folyamatot fogja használni. Vegye figyelembe, hogy pusztán a hibrid modern hitelesítés bekapcsolása egyetlen ügyfélnél sem indítja el az újrahitelesítést, és eltarthat egy ideig, amíg az Exchange átveszi az új beállításokat. Ezért anjég visszaállításaaz Exchange Server(ek)en az előző lépésben felgyorsítja.

Lenyomva tarthatja aCTRL billentyűéskattintson jobb gombbalaz Outlook ügyfél a Windows rendszertálcán. KattintsonKapcsolat állapota. Keresse meg az ügyfél SMTP-címét az Authn típussal összehasonlítvaVivő*, amely az OAuth-ban használt vivőtokent képviseli.

Sikeresen konfigurálta a hibrid modern hitelesítést a helyszíni Exchange szervezetben.

A hibrid modern hitelesítés konfigurálása az OWA és az ECP számára

Fontos, hogy elvégezze az előző lépést, és minden működjön, mielőtt elkezdi konfigurálni a hibrid modern hitelesítést az OWA és az ECP számára.

Fontos:Az Exchange OWA (Outlook Web Access) és az ECP (Exchange Control Panel) modern hitelesítéssel működik. Szüksége van azonban az Exchange Server 2019 CU14-re 2024. áprilisi Exchange Server gyorsjavítási frissítésekkel vagy újabb verzióval.

Így néz ki, amikor a helyszíni Exchange OWA-hoz navigál. Ez azt jelenti, hogy a HMA nincs konfigurálva OWA-hoz és ECP-hez.

Az OWA és az ECP oldalakon meg kell jelennie a Microsoft Outlookba való bejelentkezési képernyőjének. Ekkor tudja, hogy a modern hitelesítést használják.

Végigvesszük az alábbi lépéseket, és megbizonyosodunk arról, hogy minden a helyén van, mielőtt engedélyeznénk a hibrid modern hitelesítést az OWA és az ECP számára.

Kérjük, minden alkalommal alaposan nézze meg, amikor futtatja a parancsmagokat. Ennek az az oka, hogy a következő adminisztratív feladatokat kell végrehajtania:

  • Exchange Management Shell (helyszíni Exchange Server)
  • PowerShell (Microsoft Graph PowerShell)

1. lépés: Szerezzen be OWA és ECP URL-eket

Indítsa el az Exchange Management Shell alkalmazást rendszergazdaként a helyszíni Exchange Server kiszolgálón. Futtassa a két parancsmagot az OWA és az ECP virtuális könyvtár URL-címének lekéréséhez.

Get-OwaVirtualDirectory -ADPropertiesOnly | fl server, name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl server, name, *url*

Az eredmények az alábbi kimenetben jelennek meg minden parancs futtatása után. Jegyezze fel az összes belső és külső URL-t, mert ezeket az URL-eket a következő lépések egyikében kell hozzáadnia.

Példánkban ugyanaz a neve a belső és külső URL-eknek. Javasoljuk, hogy így konfigurálja, mivel ez sokat egyszerűsít. Ha nem, akkor a kimenetben .local vagy .lan végű belső címek jelennek meg.

# Get-OwaVirtualDirectory -ADPropertiesOnly | fl server, name, *url*

Server                  : EX01-2019
Name                    : owa (Default Web Site)
Url                     : {}
InternalSPMySiteHostURL :
ExternalSPMySiteHostURL :
SetPhotoURL             :
Exchange2003Url         :
FailbackUrl             :
InternalUrl             : https://mail.exoip.com/owa
ExternalUrl             : https://mail.exoip.com/owa

Server                  : EX02-2019
Name                    : owa (Default Web Site)
Url                     : {}
InternalSPMySiteHostURL :
ExternalSPMySiteHostURL :
SetPhotoURL             :
Exchange2003Url         :
FailbackUrl             :
InternalUrl             : https://mail.exoip.com/owa
ExternalUrl             : https://mail.exoip.com/owa

# Get-EcpVirtualDirectory -ADPropertiesOnly | fl server, name, *url*

Server      : EX01-2019
Name        : ecp (Default Web Site)
InternalUrl : https://mail.exoip.com/ecp
ExternalUrl : https://mail.exoip.com/ecp

Server      : EX02-2019
Name        : ecp (Default Web Site)
InternalUrl : https://mail.exoip.com/ecp
ExternalUrl : https://mail.exoip.com/ecp

2. lépés: Adja hozzá a helyszíni OWA és ECP URL-eket válasz URL-ként

Futtassa a PowerShellt rendszergazdaként, és csatlakozzon a Microsoft Graph PowerShellhez. Jelentkezzen be Microsoft 365 globális rendszergazdai hitelesítő adataival.

Connect-MgGraph -Scopes "User.Read", "Application.ReadWrite.All"

Adja hozzá az Exchange Server helyszíni OWA- és ECP-URL-címeit az alkalmazásválasz URL-címeihez az alábbi paranccsal a Microsoft Graph PowerShellben.

Ebben a példában az URL-ek https://mail.exoip.com/owa és https://mail.exoip.com/ecp. Cserélje ki az URL-eket a sajátjával.

Lásd még:Hiba javítása: Hibrid Agent for Exchange használatának ellenőrzése

$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += "https://mail.exoip.com/owa"
$servicePrincipal.ReplyUrls += "https://mail.exoip.com/ecp"
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

Tegyük fel, hogy vissza akarja állítani a változtatást. Módosítsa az alábbi URL-eket, és futtassa a parancsokat.

$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls = $servicePrincipal.ReplyUrls | Where-Object { $_ -ne "https://mail.exoip.com/owa" -and $_ -ne "https://mail.exoip.com/ecp" }
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -ReplyUrls $servicePrincipal.ReplyUrls

3. lépés: Ellenőrizze az Exchange válasz URL-címeit

Ellenőrizze, hogy hozzáadta-e az Exchange Server OWA és ECP URL-címét az alkalmazás válasz URL-címeihez. Futtassa aGet-MgServicePrincipalparancsmag a Microsoft Graph PowerShellben.

(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

Példánkat követve az URL-ek listája mostantól tartalmazza a https://mail.exoip.com/owa és https://mail.exoip.com/ecp konkrét URL-eket. Lásd a lista tetején.

https://mail.exoip.com/ecp
https://mail.exoip.com/owa
https://outlook.cloud.microsoft
https://outlook-sdf.cloud.microsoft
https://sdfpilot.outlook.com/owa

4. lépés: Állítsa be a Letöltési tartományok globális felülbírálását

Ha beállította a Letöltési tartományokat az Exchange kiszolgálón, akkor csak egy Exchange kiszolgálón futtassa az alábbiakat az Exchange Management Shellben. Ha nem, hagyja ki ezt a lépést.

New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

5. lépés: A virtuális címtár-hitelesítési módszerek állapotának lekérése

Futtassa a parancsmagokat az Exchange Management Shellben az OWA és az ECP virtuális címtár-hitelesítési módszerek állapotának lekéréséhez.

Get-OwaVirtualDirectory -Server "EX01-2019" | fl server, *auth*
Get-EcpVirtualDirectory -Server "EX02-2019" | fl server, *auth*

Az eredmények az alábbi kimenetben jelennek meg minden parancs futtatása után.

# Get-OwaVirtualDirectory -Server "EX01-2019" | fl server, *auth*

Server                        : EX01-2019
ClientAuthCleanupLevel        : High
InternalAuthenticationMethods : {Basic, Fba, Adfs}
BasicAuthentication           : True
WindowsAuthentication         : False
DigestAuthentication          : False
FormsAuthentication           : True
LiveIdAuthentication          : False
AdfsAuthentication            : False
OAuthAuthentication           : False
ExternalAuthenticationMethods : {Fba}

# Get-EcpVirtualDirectory -Server "EX01-2019" | fl server, *auth*

Server                        : EX01-2019
InternalAuthenticationMethods : {Basic, Fba, Adfs}
BasicAuthentication           : True
WindowsAuthentication         : False
DigestAuthentication          : False
FormsAuthentication           : True
LiveIdAuthentication          : False
AdfsAuthentication            : True
OAuthAuthentication           : False
ExternalAuthenticationMethods : {Fba}

6. lépés: Tiltsa le a hitelesítési módszert az OWA-n és az ECP-n

Tiltson le minden más hitelesítési módszert az OWA és az ECP virtuális címtárhoz minden Exchange-kiszolgálón. Futtassa a parancsokat az Exchange Management Shellben.

Get-OwaVirtualDirectory -Server "EX01-2019" | Set-OwaVirtualDirectory -AdfsAuthentication $false -BasicAuthentication $false -FormsAuthentication $false -DigestAuthentication $false
Get-EcpVirtualDirectory -Server "EX01-2019" | Set-EcpVirtualDirectory -AdfsAuthentication $false -BasicAuthentication $false -FormsAuthentication $false -DigestAuthentication $false
Get-OwaVirtualDirectory -Server "EX02-2019" | Set-OwaVirtualDirectory -AdfsAuthentication $false -BasicAuthentication $false -FormsAuthentication $false -DigestAuthentication $false
Get-EcpVirtualDirectory -Server "EX02-2019" | Set-EcpVirtualDirectory -AdfsAuthentication $false -BasicAuthentication $false -FormsAuthentication $false -DigestAuthentication $false

7. lépés: Engedélyezze a hibrid modern hitelesítést az OWA és az ECP számára

Engedélyezze az OAuth-t az OWA és az ECP virtuális címtárhoz minden Exchange-kiszolgálón. Futtassa a parancsokat az Exchange Management Shellben.

Get-EcpVirtualDirectory -Server "EX01-2019" | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server "EX01-2019" | Set-OwaVirtualDirectory -OAuthAuthentication $true
Get-EcpVirtualDirectory -Server "EX02-2019" | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server "EX02-2019" | Set-OwaVirtualDirectory -OAuthAuthentication $true

8. lépés: Ellenőrizze a munkáját

A fenti konfiguráció alkalmazása után nem kell újraindítania az IIS-t vagy az Exchange Servert, hogy a változtatások érvénybe lépjenek.

Jegyzet:Győződjön meg arról, hogy rendszergazdai fiókjai szinkronizálva vannak a Microsoft Entra ID-vel; ellenkező esetben nem tud bejelentkezni az ECP-be. Az alapértelmezett adminisztrátori fiók nem szinkronizálódik a Microsoft Entra ID-vel, és nem tudja használni a bejelentkezéshez. Mindenesetre TILTJA LE az alapértelmezett rendszergazdai fiókot az éles környezetben, hogy csökkentse a támadási felületeket.

Nyisson meg egy webböngészőt, és írja be az Exchange Server OWA vagy ECP URL-jét. Azonnal látni fogja a Microsoft bejelentkezési képernyőjét az Outlookba.

A hitelesítési adatok megadása után a rendszer átirányítja az Exchange Server helyszíni OWA vagy ECP URL-címére.

Sikeresen konfigurálta a hibrid modern hitelesítést az OWA és az ECP számára a helyszíni Exchange szervezetben.

Ennyi!

Következtetés

Megtanulta, hogyan konfigurálhatja a hibrid modern hitelesítést a helyszíni Exchange-ben. Kövesse a lépéseket az OAuth konfigurálásához az Exchange Online és az Exchange on-premises között. A beállítást követően mind az Outlook-kliensek, mind az OWA/ECP védett.

Tetszett ez a cikk? Előfordulhat, hogy az Office 365-re való migráció után az Outlook jelszót kér. Ne felejtsen el követni minket, és megosztani ezt a cikket.

Related Posts

A QuickStep alkalmazás kém alkalmazás

A QuickStep alkalmazás kém alkalmazás

2024-12-20
Ingyenes módszerek a meghajtók optimalizálására és legyőzésére a Windows 10

Ingyenes módszerek a meghajtók optimalizálására és legyőzésére a Windows 10

2025-05-07
Hogyan írjon alá egy dokumentumot a telefonján vagy a számítógépen

Hogyan írjon alá egy dokumentumot a telefonján vagy a számítógépen

2025-07-22
A sérült fájl FAA repülési késéseket okozott

A sérült fájl FAA repülési késéseket okozott

2025-04-30
Hogyan állítsuk be a VPN

Hogyan állítsuk be a VPN

2022-08-29
A Microsoft bejelenti a szigorú DMARC végrehajtást

A Microsoft bejelenti a szigorú DMARC végrehajtást

2025-04-08
A 7 legjobb Pokemon GO Auto Walker alkalmazás [a legtöbb ember nem tudja]

A 7 legjobb Pokemon GO Auto Walker alkalmazás [a legtöbb ember nem tudja]

2024-09-23
5 egyszerű módszer a vivo hardver visszaállításához jelszóval vagy jelszó nélkül [Új]

5 egyszerű módszer a vivo hardver visszaállításához jelszóval vagy jelszó nélkül [Új]

2024-10-16
Fájlok átvitele iPhone-ról PC-re vezeték nélkül [Teljes útmutató]

Fájlok átvitele iPhone-ról PC-re vezeték nélkül [Teljes útmutató]

2024-10-07
Az UniFi VPN Server konfigurálása és használata

Az UniFi VPN Server konfigurálása és használata

2024-09-06
A RedBox javítása folyamatosan pufferolást vagy fagyasztást folytat

A RedBox javítása folyamatosan pufferolást vagy fagyasztást folytat

2023-12-22
Hogyan lehet javítani a 0x800f0905 hibát a Windows 11

Hogyan lehet javítani a 0x800f0905 hibát a Windows 11

2025-04-17
A „Windows Installer szolgáltatás nem lehetett hozzáférni” javításának 8 módja

A „Windows Installer szolgáltatás nem lehetett hozzáférni” javításának 8 módja

2025-08-01
A Galaxy Tab S10+ még melegebb alternatívává válik a TAB S11 sorozathoz, a Samsung legújabb üzletének köszönhetően

A Galaxy Tab S10+ még melegebb alternatívává válik a TAB S11 sorozathoz, a Samsung legújabb üzletének köszönhetően

2025-09-05
Az új képernyők engedélyezése és testreszabása a MACOS

Az új képernyők engedélyezése és testreszabása a MACOS

2025-03-21