Distribuire un'app ibrida di Exchange dedicata

Panoramica

Quando Exchange Server viene distribuito in una configurazione ibrida, funzionalità come Disponibilità, Suggerimenti messaggio e Foto diventano disponibili tra Exchange Server e Exchange Online, offrendo agli utenti un'esperienza facile. Queste funzionalità vengono configurate automaticamente quando si esegue la Configurazione guidata ibrida (HCW) per la prima volta.

Per abilitare l'uso delle funzionalità ibride, Exchange Server usa un'entità servizio condivisa con Exchange Online per la comunicazione sicura. L'HCW carica il certificato di autenticazione corrente dall'organizzazione di Exchange all'entità servizio condivisa per facilitare questo processo.

Come annunciato nel post di blog Ritiro di Servizi Web Exchange in Exchange Online, Exchange Web Services (EWS) è impostato per essere completamente deprecato in Exchange Online nell'ottobre 2026 per applicazioni e servizi non Microsoft (di terze parti). Nel post di blog Security Related Aggiornamenti in Exchange Online è stato annunciato che verranno rimosse anche le dipendenze EWS dalle app e dai servizi (di prima parte) e questa modifica è prevista prima di ottobre 2026.

Exchange Server, usata in una configurazione ibrida, è interessata da questa modifica perché usa l'entità servizio condivisa di Exchange Online (prima parte). Per soddisfare questa modifica, Exchange Server sostituisce le chiamate API EWS con chiamate API Graph basate su REST negli scenari ibridi entro la fine dell'anno. Questa modifica di progettazione prevede più passaggi, con il primo passaggio che consiste nell'uso di un'applicazione separata in Microsoft Entra ID anziché nell'entità servizio condivisa.

Questa documentazione descrive i passaggi necessari per creare un'applicazione Exchange dedicata in Entra ID per le configurazioni ibride di Exchange come parte della progettazione aggiornata. Exchange Server continua a usare EWS dopo la creazione e la configurazione dell'applicazione Exchange dedicata. Il passaggio alla API Graph basata su REST come sostituzione per EWS verrà eseguito con un aggiornamento che dovrebbe essere pubblicato entro la fine dell'anno.

Prerequisiti

Prima di configurare e usare l'applicazione ibrida di Exchange dedicata, è necessario configurare l'ibrido classico completo o moderno con la Configurazione guidata ibrida.

La funzionalità dell'applicazione ibrida di Exchange dedicata è supportata a partire dalle build di Exchange Server seguenti:

Microsoft fornisce uno script per creare l'applicazione ibrida di Exchange dedicata in Entra ID e per configurare la funzionalità. Esistono due scenari distinti in cui è possibile eseguire lo script, ognuno con il proprio set di prerequisiti. Le modalità sono illustrate nella sezione Configurazione di questa documentazione.

Modalità di configurazione all-in-one:

Questa modalità è progettata per la semplicità ed è adatta per la maggior parte dei clienti. Consente un processo di configurazione semplificato, che lo rende ideale per gli ambienti in cui la facilità di configurazione è una priorità.

Modalità di configurazione Dividi esecuzione:

Questa modalità è destinata a scenari più avanzati. È utile se il server Exchange non dispone di connettività in uscita agli endpoint API Graph o Entra ID o se l'amministratore Exchange Server non dispone di autorizzazioni sufficienti per creare e configurare l'applicazione in Entra ID.

Se si esegue uno dei passaggi in un non Exchange Server, assicurarsi che il computer sia aggiunto alla stessa foresta in cui risiede l'organizzazione di Exchange.

Connettività

Lo script usa microsoft API Graph per creare e gestire applicazioni in Microsoft Entra ID. Quando si esegue lo script in All-in-one Configuration Mode, il sistema che esegue lo script richiede la connettività in uscita agli endpoint specificati. In Split Execution Configuration Modeil sistema usato per creare o gestire l'applicazione in Entra ID richiede l'accesso in uscita a questi endpoint. È consigliabile scegliere l'endpoint in cui risiede il tenant, ad Globalesempio . Per altre informazioni, vedere la documentazione national Microsoft Entra ID endpoints e National Microsoft Graph Endpoints.For more information, see the National Microsoft Entra ID Endpoints and National Microsoft Graph Endpoints documentation.

Per verificare la capacità del server di connettersi agli endpoint Graph e Entra ID, è possibile usare il cmdlet Di PowerShell Test-NetConnection. Questo esempio illustra come convalidare la connessione a questi endpoint usando gli Global endpoint:

Test-NetConnection -ComputerName login.microsoftonline.com -Port 443
Test-NetConnection -ComputerName graph.microsoft.com -Port 443

Autorizzazioni

L'account usato per la creazione dell'applicazione in Microsoft Entra ID deve disporre delle autorizzazioni seguenti:

Per altre informazioni sui ruoli in Entra ID, vedere la documentazione sui ruoli predefiniti Microsoft Entra.

L'account usato per configurare l'oggetto Auth Server e creare l'override dell'impostazione per abilitare la funzionalità in Exchange Server deve disporre delle autorizzazioni seguenti all'interno dell'organizzazione locale:

Per informazioni dettagliate sui vari ruoli in Exchange Server, vedere la documentazione relativa alla gestione dell'organizzazione.

Per configurare il server di autenticazione e creare l'override dell'impostazione, assicurarsi che lo script venga eseguito in un server con il ruolo Cassetta postale installato e una compilazione che supporti questa funzionalità.

Per usare lo script per reimpostare l'oggetto keyCredentials dell'entità servizio condivisa, come descritto nella sezione Modalità Clean-Up dell'entità servizio , assicurarsi che l'account che esegue lo script disponga delle autorizzazioni seguenti:

Certificato di autenticazione

Il certificato di autenticazione è un componente chiave in Microsoft Exchange Server, che supporta vari scenari di sicurezza e autenticazione. La corretta gestione del certificato di autenticazione è essenziale per mantenere la sicurezza e l'affidabilità delle operazioni di Exchange Server.

Nel caso d'uso dell'applicazione ibrida di Exchange dedicata, facilita l'autenticazione basata su asserzioni JSON Web Token (JWT) per la comunicazione da server a server (S2S). Ciò consente a un Exchange Server di eseguire l'autenticazione presentando un JWT firmato anziché basarsi su una password o un account di accesso interattivo. JWT, emesso e firmato da un'autorità attendibile, contiene attestazioni che verificano l'identità e le autorizzazioni del Exchange Server, abilitando l'accesso sicuro basato su token alle risorse.

In alcuni scenari descritti in questa documentazione è necessario esportare il certificato di autenticazione. Assicurarsi di non esportare la chiave privata del certificato. Per esportare la chiave pubblica del certificato, è possibile usare lo script di PowerShell seguente.

In questo esempio il certificato viene esportato in C:\AuthCertExport. Se si desidera esportare il certificato in un percorso diverso, modificare la variabile nel $exportFilePath percorso desiderato. Assicurarsi di eseguire lo script da Exchange Management Shell (EMS) con privilegi elevati:

# Change the path if you want to export the certificates to a different location
$exportFilePath = "C:\AuthCertExport"

$authConfig = Get-AuthConfig

New-Item -Type Directory -Path C:\AuthCertExport -Force | Out-Null

if (-not([System.String]::IsNullOrEmpty($authConfig.CurrentCertificateThumbprint))) {
    $thumbprint = $authConfig.CurrentCertificateThumbprint
    Write-Host "[+] Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

if (-not([System.String]::IsNullOrEmpty($authConfig.NextCertificateThumbprint))) {
    $thumbprint = $authConfig.NextCertificateThumbprint
    Write-Host "[+] Next Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

Modifiche apportate dallo script

Lo ConfigureExchangeHybridApplication.ps1 script esegue varie operazioni in base all'opzione selezionata. Queste operazioni includono la configurazione e l'abilitazione della funzionalità dell'applicazione ibrida di Exchange dedicata o l'eliminazione o la modifica dell'entità servizio Exchange Online esistente. Questa sezione descrive le operazioni specifiche eseguite dallo script.

CreateApplication

• Creare una nuova applicazione con il nome ExchangeServerApp-{Guid of the organization} in Entra ID
• Assegnare l'utente usato per eseguire lo script come proprietario dell'applicazione in Entra ID
• Assegnare le autorizzazioni dell'API full_access_as_app EWS (da sostituire con API Graph autorizzazioni in un prossimo futuro)
• Concedere il consenso amministratore a livello di tenant
  • Questo deve essere confermato durante il runtime dello script
  • Lo script non abilita la funzionalità tramite l'impostazione override se non è stato concesso il consenso amministratore a livello di tenant

UpdateCertificate

• Caricare il certificato di autenticazione corrente nell'applicazione in Entra ID
• Caricare il nuovo certificato di autenticazione successivo (se esistente) nell'applicazione in Entra ID
• Eliminare qualsiasi certificato dall'applicazione scaduto

ConfigureAuthServer

• Aggiornare l'oggetto EvoSTS o EvoSTS - {Guid} Auth Server
  • Impostare sull'oggetto ApplicationIdentifierappId dell'applicazione in Entra ID
  • Aggiungere il dominio di routing remoto SMTP alla DomainName proprietà

ConfigureTargetSharingEpr

• Identificare eventuali abilitati OrganizationRelationship configurati tra Exchange Server e Exchange Online
• Usare l'individuazione automatica per eseguire query sull'endpoint Exchange Web Services (EWS)
• Impostare l'oggetto TargetSharingEpr sull'endpoint EWS restituito da Individuazione automatica

EnableExchangeHybridApplicationOverride

• Se lo script viene eseguito in modalità di configurazione All-in-one
  • Verificare se l'applicazione in Entra ID dispone delle autorizzazioni API corrette e del consenso amministratore a livello di tenant concesso
• Creare un nuovo override dell'impostazione per abilitare la funzionalità in locale usando i parametri/valori seguenti:
  • Nome: EnableExchangeHybrid3PAppFeature
  • Componente: Global
  • Sezione: ExchangeOnpremAsThirdPartyAppId
  • Parametri: Enabled=true
  • Ragione: "Created by {Name of the Script} on {timestamp}"

DeleteApplication

• Eliminare l'applicazione Exchange dedicata in Entra ID

ResetFirstPartyServicePrincipalKeyCredentials

• Rimuovere tutti gli elementi esistenti keyCredentials dall'entità Office 365 Exchange Online servizio dell'applicazione di prima parte
• Se è stata fornita un'identificazione personale tramite CertificateInformation il parametro , eliminare solo il certificato corrispondente all'identificazione personale e tutti i certificati che sono già scaduti

Configurazione tramite lo script

Microsoft fornisce lo ConfigureExchangeHybridApplication.ps1 script per configurare la funzionalità dell'applicazione ibrida di Exchange dedicata. Questa sezione illustra gli scenari più comuni trattati dallo script. La documentazione dettagliata per lo script e i relativi parametri è disponibile nella documentazione relativa agli scriptConfigureExchangeHybridApplication.ps1.

Se l'organizzazione locale ha relazioni ibride con più tenant (1:N), è necessario eseguire lo script più volte. Ogni volta, usare un account del tenant per cui si vuole configurare la funzionalità dell'applicazione ibrida di Exchange dedicata. Ciò garantisce che lo script crei e configuri l'applicazione in ogni tenant.

A seconda delle dimensioni dell'organizzazione, potrebbero essere necessari fino a 60 minuti prima che la configurazione dell'applicazione ibrida di Exchange dedicata venga riconosciuta dai processi di Exchange Server responsabili. Durante questo periodo, si potrebbe notare che funzionalità come Disponibilità, Suggerimenti messaggio e Foto sono temporaneamente non disponibili.

Modalità di configurazione all-in-one

Per la All-in-one Configuration Mode maggior parte dei clienti, è il modo consigliato per configurare questa funzionalità. Per usare questa modalità, eseguire lo script in un server Cassette postali con connettività in uscita, come descritto nella sezione Connettività . Il server deve eseguire una compilazione Exchange Server che supporti la funzionalità dedicata dell'applicazione ibrida di Exchange. Assicurarsi inoltre di disporre delle autorizzazioni necessarie.

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

Per impostazione predefinita, lo script viene eseguito nel Microsoft 365 Worldwide cloud. Se il tenant di Microsoft 365 si trova in un cloud diverso, usare il AzureEnvironment parametro . Nell'esempio seguente l'applicazione viene creata nel Microsoft 365 operated by 21Vianet cloud:

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -AzureEnvironment "ChinaCloud"

Modalità di configurazione Dividi esecuzione

Se il server Cassette postali, ad esempio, non dispone di connettività in uscita a Microsoft Graph o Entra ID, è possibile eseguire lo script in più passaggi. Alcuni di questi passaggi non devono essere eseguiti in un server Exchange.

Prima di tutto, esportare il certificato di autenticazione (e, se disponibile, il certificato di autenticazione successivo) con la relativa chiave pubblica. Usare lo script fornito nella sezione Certificato di autenticazione per eseguire l'esportazione. Non esportare la chiave privata del certificato.

Copiare quindi i certificati esportati in un computer con connettività in uscita, come descritto nella sezione Connettività . In tale computer eseguire lo script per creare l'applicazione in Entra ID. Lo script visualizza l'oggetto Tenant IDappId e dell'applicazione appena creata. Assicurarsi di prendere nota di entrambi i valori, perché saranno necessari in un passaggio successivo:

.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"

Se nel passaggio precedente sono stati esportati più certificati di autenticazione, è necessario eseguire lo script due volte. Il CreateApplication passaggio non è necessario per la seconda esecuzione:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewNextAuthCertificate.cer"

Questo passaggio deve essere eseguito su un server Cassette postali. Durante questo processo viene configurato il server di autenticazione, vengono aggiornate le relazioni dell'organizzazione esistenti tra Exchange Server e Exchange Online e viene abilitata la funzionalità dell'applicazione ibrida di Exchange dedicata. È necessario specificare l'ID del tenant, l'applicazione appId appena creata in Entra ID e il dominio di routing remoto:

.\ConfigureExchangeHybridApplication.ps1 -ConfigureAuthServer -ConfigureTargetSharingEpr -EnableExchangeHybridApplicationOverride -CustomAppId "<appId>" -TenantId "<tenantId>" -RemoteRoutingDomain "<organization>.mail.onmicrosoft.com"

Aggiornare la modalità certificato

I passaggi descritti in questa sezione non sono necessari per la prima volta durante la configurazione e l'abilitazione della funzionalità dedicata dell'applicazione ibrida di Exchange. I passaggi possono essere usati per aggiornare il certificato se il certificato di autenticazione è scaduto o è stato sostituito. Per altre informazioni sulla gestione del certificato di autenticazione, vedere la documentazione Gestire il certificato OAuth Exchange Server.

Se il server Cassette postali dispone della connettività in uscita, come descritto nella sezione Connettività , eseguire lo script come indicato di seguito:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate

Se il server Cassette postali non dispone di connettività in uscita a Microsoft Graph e Entra ID, seguire le istruzioni nella sezione Modalità di configurazione di esecuzione divisa per esportare il nuovo certificato di autenticazione. Copiare il certificato in un computer con connettività in uscita (che non deve essere un server Exchange), come descritto nella sezione Connettività . Eseguire quindi lo script come indicato di seguito:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewAuthCertificate.cer"

Elimina modalità applicazione

Questo passaggio non è necessario quando si configura e si abilita la funzionalità dell'applicazione ibrida di Exchange dedicata. Se necessario, tuttavia, è possibile usare il comando seguente per eliminare l'applicazione creata in Entra ID. Questo comando può essere eseguito in un server non Exchange.

L'eliminazione dell'applicazione tramite lo ConfigureExchangeHybridApplication.ps1 script non ripristina la configurazione dell'applicazione ibrida di Exchange nell'ambiente. Se è necessario tornare indietro, seguire la procedura descritta nella sezione Come eseguire il rollback dall'applicazione ibrida di Exchange dedicata di questa documentazione.

Per eliminare l'applicazione in Entra ID (eseguire questa operazione solo quando si esegue il rollback della modifica o la risoluzione dei problemi di creazione di una nuova applicazione in Entra ID), eseguire lo script come indicato di seguito:

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

Modalità Clean-Up entità servizio

I comandi in questa sezione non sono necessari quando si esegue la configurazione iniziale per creare e abilitare la funzionalità dell'applicazione ibrida di Exchange dedicata.

Come parte della progettazione ibrida di Exchange precedente, la Configurazione guidata ibrida (HCW) ha caricato il certificato di autenticazione corrente dall'organizzazione di Exchange in un'entità servizio condivisa. Questo passaggio non è più necessario perché il certificato di autenticazione viene ora caricato nell'applicazione ibrida di Exchange dedicata.

Dopo aver abilitato la funzionalità dell'applicazione ibrida di Exchange dedicata e aver verificato che tutti i server Exchange eseguano una build di Exchange che supporta questa funzionalità, è consigliabile pulire i certificati caricati in precedenza nell'entità servizio condivisa. I comandi possono essere eseguiti in un server non Exchange.

Si noti che se si esegue HCW dopo aver configurato la funzionalità dell'applicazione ibrida di Exchange dedicata e si seleziona l'opzione di configurazione Oauth, Intra Organization Connector e Organization Relationship , il certificato di autenticazione verrà caricato nuovamente nell'entità servizio condivisa.

Per eliminare tutte le keyCredentials entità servizio di prima parte, eseguire lo script come indicato di seguito:

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials

Per eliminare un certificato specifico e tutti i certificati scaduti da keyCredentials, eseguire lo script come indicato di seguito e specificare l'identificazione personale del certificato da eliminare:

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials -CertificateInformation "1234567890ABCDEF1234567890ABCDEF12345678"

Controllo dell'utilizzo di applicazioni ibride di Exchange in Entra ID

Dopo aver configurato l'applicazione ibrida di Exchange dedicata e aver abilitato la funzionalità nel Exchange Server, è possibile controllarne l'utilizzo tramite il Entra ID Sign-in logs. attenersi alla seguente procedura:

1. Accedere al portale di Entra ID:

   Passare al portale di Entra ID e accedere con le credenziali.

2. Accesso Microsoft Entra ID:

   Nel portale selezionare o cercare Microsoft Entra ID.

3. Passare a Log di accesso:

   Nel riquadro di spostamento passare a Monitoring e selezionare Sign-in logs.

4. Visualizzare gli accessi dell'entità servizio:

   Selezionare quindi Service principal sign-ins per visualizzare i log dettagliati.

L'immagine seguente illustra una richiesta di accesso riuscita:

Quando si fa clic sulla voce, viene visualizzato il Activity Details: Sign-ins riquadro a comparsa, che fornisce altre informazioni sull'attività di accesso:

Limitare l'accesso all'entità servizio dell'applicazione ibrida di Exchange dedicata

Alcune organizzazioni potrebbero voler limitare l'accesso all'entità servizio dell'applicazione ibrida di Exchange dedicata a un subset di intervalli IP pubblici noti usati da Exchange Server. A tale scopo, è possibile usare l'accesso condizionale per le identità del carico di lavoro. Questa funzionalità estende il supporto per i criteri di accesso condizionale alle entità servizio di proprietà dell'organizzazione. Si noti che le licenze Di carico di lavoro Premium sono necessarie per creare o modificare i criteri di accesso condizionale con ambito per le entità servizio. Per altre informazioni, visitare ID dei carichi di lavoro di Microsoft Entra.

Come eseguire il rollback dall'applicazione ibrida di Exchange dedicata

Finché l'applicazione ibrida di Exchange dedicata non diventa l'impostazione predefinita in HCW e EWS non è deprecata per le applicazioni di prima parte, è possibile eseguire il rollback della configurazione applicata dallo ConfigureExchangeHybridApplication.ps1 script. È consigliabile eseguire un rollback solo se si verificano problemi dopo la configurazione della funzionalità.

Come primo passaggio, eseguire HCW per riconfigurare l'entità servizio di prima parte. Assicurarsi di selezionare l'opzione Oauth, Intra Organization Connector e Organization Relationship , poiché questa impostazione esegue i passaggi necessari per riconfigurare l'entità servizio di prima parte.

Rimuovere quindi l'override dell'impostazione che abilita la funzionalità dell'applicazione ibrida di Exchange dedicata. A tale scopo, eseguire il comando seguente da Exchange Management Shell (EMS) con privilegi elevati:

Get-SettingOverride | Where-Object {$_.ComponentName -eq "Global" -and $_.SectionName -eq "ExchangeOnpremAsThirdPartyAppId"} | Remove-SettingOverride
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Per ripristinare la modifica del server di autenticazione applicata dallo script, eseguire il comando seguente da Exchange Management Shell (EMS) con privilegi elevati:

# Replace this id with the id of your tenant
$tenantId = "123e4567-e89b-12d3-a456-426614174000"

(Get-AuthServer | Where-Object {$_.Name -like "*evoSTS*" -and $_.Realm -eq $tenantId}) | Set-AuthServer -ApplicationIdentifier $null -DomainName $null

Come passaggio finale, è possibile usare lo ConfigureExchangeHybridApplication.ps1 script per eliminare l'applicazione creata in Entra ID:

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

Domande frequenti

Un elenco di domande frequenti è disponibile nel post di blog Exchange Server Modifiche alla sicurezza per le distribuzioni ibride. Le domande frequenti verranno spostate in questa documentazione dopo aver risposto alle domande più importanti.