Развертывание выделенного гибридного приложения Exchange

Обзор

При развертывании Exchange Server в гибридной конфигурации такие функции, как "Свободная или занятая", "Подсказки почты" и "Фотографии", становятся доступными между Exchange Server и Exchange Online, обеспечивая удобный интерфейс для пользователей. Эти функции настраиваются автоматически при первом запуске мастера гибридной конфигурации (HCW).

Чтобы включить гибридное использование функций, Exchange Server использует общий субъект-службу с Exchange Online для безопасного взаимодействия. HCW отправляет текущий сертификат проверки подлинности из организации Exchange в общий субъект-службу, чтобы упростить этот процесс.

Как было объявлено в записи блога о прекращении использования веб-служб Exchange в Exchange Online, веб-службы Exchange (EWS) будут полностью устарели в Exchange Online в октябре 2026 г. для приложений и служб сторонних производителей. В записи блога Обновления по вопросам безопасности в Exchange Online мы объявили, что мы также удаляем зависимости EWS из наших собственных (сторонних) приложений и служб, и это изменение ожидается до октября 2026 г.

это изменение влияет на Exchange Server, используемое в гибридной конфигурации, так как используется общий субъект-служба из Exchange Online (от первого поставщика). Чтобы учесть это изменение, Exchange Server заменяет вызовы API EWS вызовами API Graph на основе REST в гибридных сценариях в ближайшем будущем. Это изменение структуры включает в себя несколько этапов, причем первым шагом является использование отдельного приложения в Microsoft Entra ID вместо общего субъекта-службы.

В этой документации описаны шаги, необходимые для создания выделенного приложения Exchange в entra ID для гибридных конфигураций Exchange в рамках обновленного проекта. Exchange Server продолжает использовать EWS после создания и настройки выделенного приложения Exchange. Переход на API Graph на основе REST в качестве замены для EWS будет выполнен с обновлением, которое, как ожидается, будет опубликовано в ближайшем будущем.

Чтобы узнать больше об этом изменении и его последствиях, рекомендуем ознакомиться с записью блога Exchange Server изменения системы безопасности для гибридных развертываний, в которой содержится подробный контекст и рекомендации.

Предварительные условия

Перед настройкой и использованием выделенного гибридного приложения Exchange необходимо сначала настроить классическую полную или современную гибридную среду с помощью мастера гибридной конфигурации.

Выделенная функция гибридного приложения Exchange поддерживается начиная со следующих Exchange Server сборок:

Корпорация Майкрософт предоставляет скрипт для создания выделенного гибридного приложения Exchange в entra ID и настройки функции. Существует два разных сценария, в которых можно выполнить скрипт, каждый из которых имеет собственный набор предварительных требований. Эти режимы описаны в разделе Конфигурация этой документации.

Режим конфигурации "все в одном":

Этот режим предназначен для простоты и подходит для большинства клиентов. Это позволяет упростить процесс настройки, что делает его идеальным для сред, где простота настройки является приоритетом.

Режим конфигурации разделенного выполнения:

Этот режим предназначен для более сложных сценариев. Это полезно, если сервер Exchange Server не имеет исходящего подключения к конечным точкам API Graph или Entra ID, или если администратор Exchange Server не имеет достаточных разрешений для создания и настройки приложения в Идентификаторе Entra.

Если вы выполняете какое-либо из действий на Exchange Server, убедитесь, что компьютер присоединен к тому же лесу, где находится ваша организация Exchange.

Соединение

Скрипт использует API Graph Майкрософт для создания приложений и управления ими в Microsoft Entra ID. При выполнении скрипта в All-in-one Configuration Modeсистеме, выполняющей скрипт, требуется исходящее подключение к указанным конечным точкам. В Split Execution Configuration Modeсистеме, используемой для создания приложения в Entra ID или управления им, требуется исходящий доступ к этим конечным точкам. Следует выбрать конечную точку, в которой находится клиент, например Global. Дополнительные сведения см. в документации по национальным конечным точкам Microsoft Entra ID и национальным конечным точкам Microsoft Graph.

Чтобы проверить возможность подключения сервера к конечным точкам Graph и Entra ID, можно использовать командлет PowerShell Test-NetConnection . В этом примере показано, как проверить подключение к этим конечным точкам Global с помощью конечных точек:

Test-NetConnection -ComputerName login.microsoftonline.com -Port 443
Test-NetConnection -ComputerName graph.microsoft.com -Port 443

Разрешения

Учетная запись, используемая для создания приложения в Microsoft Entra ID, должна обладать следующими разрешениями:

Дополнительные сведения о ролях в Entra ID см. в документации по Microsoft Entra встроенным ролям.

Учетная запись, используемая для настройки объекта сервера проверки подлинности и создания переопределения параметра для включения функции в Exchange Server, должна иметь следующие разрешения в локальной организации:

Подробные сведения о различных ролях в Exchange Server см. в документации по управлению организацией.

Чтобы настроить сервер проверки подлинности и создать переопределение параметров, убедитесь, что скрипт выполняется на сервере с установленной ролью почтового ящика и сборкой, поддерживающей эту функцию.

Чтобы использовать скрипт для сброса keyCredentials общего субъекта-службы, как описано в разделе Режим Clean-Up субъекта-службы , убедитесь, что учетная запись, на которой выполняется скрипт, имеет следующие разрешения:

Сертификат проверки подлинности

Сертификат проверки подлинности является ключевым компонентом в Microsoft Exchange Server, поддерживающим различные сценарии безопасности и проверки подлинности. Правильное управление сертификатом проверки подлинности имеет важное значение для обеспечения безопасности и надежности Exchange Server операций.

В выделенном варианте использования гибридного приложения Exchange он упрощает проверку подлинности на основе утверждений json Web Token (JWT) для обмена данными между серверами (S2S). Это позволяет Exchange Server проходить проверку подлинности, предоставляя подписанный JWT вместо того, чтобы полагаться на пароль или интерактивное имя входа. JWT, выданный и подписанный доверенным центром, содержит утверждения, которые проверяют удостоверение и разрешения Exchange Server, обеспечивая безопасный доступ к ресурсам на основе маркеров.

В некоторых сценариях, описанных в этой документации, необходимо экспортировать сертификат проверки подлинности. Не экспортируйте закрытый ключ сертификата. Чтобы экспортировать открытый ключ сертификата, можно использовать следующий сценарий PowerShell.

В этом примере сертификат экспортируется в C:\AuthCertExport. Если вы хотите экспортировать сертификат в другое расположение, измените $exportFilePath переменную по нужному пути. Убедитесь, что скрипт выполняется из командной консоли Exchange с повышенными привилегиями (EMS):

# Change the path if you want to export the certificates to a different location
$exportFilePath = "C:\AuthCertExport"

$authConfig = Get-AuthConfig

New-Item -Type Directory -Path C:\AuthCertExport -Force | Out-Null

if (-not([System.String]::IsNullOrEmpty($authConfig.CurrentCertificateThumbprint))) {
    $thumbprint = $authConfig.CurrentCertificateThumbprint
    Write-Host "[+] Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

if (-not([System.String]::IsNullOrEmpty($authConfig.NextCertificateThumbprint))) {
    $thumbprint = $authConfig.NextCertificateThumbprint
    Write-Host "[+] Next Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

Изменения, внесенные скриптом

Скрипт ConfigureExchangeHybridApplication.ps1 выполняет различные операции на основе выбранного параметра. Эти операции включают настройку и включение выделенной функции гибридного приложения Exchange, а также удаление или изменение существующего Exchange Online субъекта-службы. В этом разделе описываются конкретные операции, выполняемые скриптом.

CreateApplication

• Создание приложения с именем ExchangeServerApp-{Guid of the organization} в идентификаторе Entra
• Назначьте пользователя, который использовался для запуска сценария, в качестве владельца приложения в идентификаторе Entra
• full_access_as_app Назначение разрешений API EWS (будет заменено разрешением API Graph в ближайшем будущем)
• Предоставление согласия администратора на уровне клиента
  • Это изменение должно быть подтверждено во время выполнения скрипта.
  • Сценарий не включает функцию с помощью параметра Переопределение, если не предоставлено согласие администратора на уровне клиента.

UpdateCertificate

• Отправка текущего сертификата проверки подлинности в приложение с помощью идентификатора Entra
• Отправьте новый следующий сертификат проверки подлинности (если он существует) в приложение с идентификатором Entra
• Удаление любого сертификата из приложения, срок действия которого истек

ConfigureAuthServer

• EvoSTS Обновление объекта или EvoSTS - {Guid} auth Server
  • Задайте для ApplicationIdentifier параметра значение для appId приложения в идентификаторе Entra.
  • Добавление домена удаленной маршрутизации SMTP в DomainName свойство

ConfigureTargetSharingepr

• Определите все включенные параметрыOrganizationRelationship, настроенные между Exchange Server и Exchange Online
• Использование автообнаружения для запроса конечной Exchange Web Services (EWS) точки
• Задайте для TargetSharingEpr конечной точки EWS, возвращаемой автообнаружения.

EnableExchangeHybridApplicationOverride

• Если скрипт выполняется в режиме конфигурации "все в одном"
  • Проверьте, имеет ли приложение в идентификаторе Entra правильные разрешения API и предоставлено ли согласие администратора на уровне клиента.
• Создайте переопределение параметра, чтобы включить функцию в локальной среде, используя следующие параметры и значения:
  • Имя: EnableExchangeHybrid3PAppFeature
  • Компонент: Global
  • Разделе: ExchangeOnpremAsThirdPartyAppId
  • Параметры: Enabled=true
  • Причина: "Created by {Name of the Script} on {timestamp}"

DeleteApplication

• Удаление выделенного приложения Exchange в entra ID

ResetFirstPartyServicePrincipalKeyCredentials

• Удаление всех существующих keyCredentials из стороннего Office 365 Exchange Online субъекта-службы приложения
• Если отпечаток был предоставлен с помощью CertificateInformation параметра, очистите только сертификат, соответствующий отпечатку, и все сертификаты, срок действия которых уже истек.

Настройка с помощью скрипта

Корпорация Майкрософт предоставляет ConfigureExchangeHybridApplication.ps1 скрипт для настройки выделенной функции гибридного приложения Exchange. В этом разделе описываются наиболее распространенные сценарии, описанные в скрипте. Подробную документацию по скрипту и его параметрам можно найти в документации по скриптуConfigureExchangeHybridApplication.ps1.

Если в вашей локальной организации есть гибридные связи с несколькими клиентами (1:N), необходимо выполнить сценарий несколько раз. Каждый раз используйте учетную запись клиента, для которого нужно настроить выделенную функцию гибридного приложения Exchange. Это гарантирует, что скрипт создаст и настроит приложение в каждом из ваших клиентов.

В зависимости от размера организации для распознавания выделенной конфигурации гибридного приложения Exchange ответственными процессами Exchange Server может потребоваться до 60 минут. В течение этого времени вы можете заметить, что такие функции, как "Свободный/занят", "Подсказки почты" и "Фотографии", временно недоступны.

Режим конфигурации "все в одном"

Для большинства клиентов All-in-one Configuration Mode рекомендуется настроить эту функцию. Чтобы использовать этот режим, запустите скрипт на сервере почтовых ящиков с исходящим подключением, как описано в разделе Подключение . На сервере должна выполняться сборка Exchange Server, которая поддерживает выделенный компонент гибридного приложения Exchange. Кроме того, убедитесь, что у вас есть необходимые разрешения.

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

По умолчанию скрипт выполняется в Microsoft 365 Worldwide облаке. Если клиент Microsoft 365 находится в другом облаке, используйте AzureEnvironment параметр . В следующем примере приложение создается в Microsoft 365 operated by 21Vianet облаке:

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -AzureEnvironment "ChinaCloud"

Режим конфигурации разделенного выполнения

Если сервер почтовых ящиков, например, не имеет исходящего подключения к Microsoft Graph или Идентификатору Entra, скрипт можно запустить в несколько шагов. Некоторые из этих действий не требуется выполнять на сервере Exchange Server.

Сначала экспортируйте сертификат проверки подлинности (и, если он доступен, следующий сертификат проверки подлинности) с его открытым ключом. Используйте скрипт, указанный в разделе Сертификат проверки подлинности , для выполнения экспорта. Не экспортируйте закрытый ключ сертификата.

Затем скопируйте экспортированные сертификаты на компьютер с исходящим подключением, как описано в разделе Подключение . На этом компьютере запустите скрипт, чтобы создать приложение с идентификатором Entra. В скрипте отображаются объекты Tenant ID и appId для созданного приложения. Обязательно запишите оба значения, так как они потребуются на следующем шаге:

.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"

Если на предыдущем шаге было экспортировано несколько сертификатов проверки подлинности, необходимо выполнить сценарий дважды. Шаг CreateApplication не требуется для второго запуска:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewNextAuthCertificate.cer"

Этот шаг необходимо выполнить на сервере почтовых ящиков. Во время этого процесса настраивается сервер проверки подлинности, обновляются существующие организационные связи между Exchange Server и Exchange Online, а также включена выделенная функция гибридного приложения Exchange. Необходимо указать идентификатор клиента, appId созданного приложения в файле Entra ID и домен удаленной маршрутизации:

.\ConfigureExchangeHybridApplication.ps1 -ConfigureAuthServer -ConfigureTargetSharingEpr -EnableExchangeHybridApplicationOverride -CustomAppId "<appId>" -TenantId "<tenantId>" -RemoteRoutingDomain "<organization>.mail.onmicrosoft.com"

Обновление режима сертификата

Действия, описанные в этом разделе, не требуются при первой настройке и включении выделенной функции гибридного приложения Exchange. Эти действия можно использовать для обновления сертификата, если срок действия сертификата проверки подлинности истек или был заменен. Дополнительные сведения о поддержании сертификата проверки подлинности см. в документации по обслуживанию сертификата OAuth Exchange Server.

Если сервер почтовых ящиков имеет исходящее подключение, как описано в разделе Подключение , выполните сценарий следующим образом:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate

Если сервер почтовых ящиков не имеет исходящего подключения к Microsoft Graph и Entra ID, следуйте инструкциям в разделе Режим конфигурации раздельного выполнения , чтобы экспортировать новый сертификат проверки подлинности. Скопируйте сертификат на компьютер с исходящим подключением (который не обязательно должен быть сервером Exchange Server), как описано в разделе Подключение . Затем выполните сценарий следующим образом:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewAuthCertificate.cer"

Удаление режима приложения

Этот шаг не требуется при настройке и включении выделенной функции гибридного приложения Exchange. Однако при необходимости можно удалить приложение, созданное в идентификаторе Entra, с помощью следующей команды. Эту команду можно выполнить на сервере, отличном от Exchange.

Удаление приложения с помощью скрипта ConfigureExchangeHybridApplication.ps1 не отменить изменения конфигурации гибридного приложения Exchange в вашей среде. Если вам нужно переключиться назад, выполните действия, описанные в разделе Как откатить из выделенного гибридного приложения Exchange этой документации.

Чтобы удалить приложение с идентификатором Entra (это действие выполняется только при откате изменения или при устранении неполадок при создании нового приложения в Идентификаторе Entra), выполните сценарий следующим образом:

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

Режим Clean-Up субъекта-службы

В рамках предыдущей гибридной разработки Exchange мастер гибридной конфигурации (HCW) загрузил текущий сертификат проверки подлинности из организации Exchange стороннему субъекту-службе. Эта практика больше не рекомендуется и не должна выполняться. Теперь сертификат проверки подлинности должен передаваться исключительно в выделенное гибридное приложение Exchange.

После включения выделенной функции гибридного приложения Exchange и обеспечения того, что все серверы Exchange работают со сборкой Exchange, поддерживающей эту функцию, настоятельно рекомендуется очистить сертификаты, которые ранее были отправлены в стороннюю субъект-службу. Команды, описанные в этом разделе, можно выполнять на любом компьютере с исходящим подключением к Интернету.

Очистка keyCredentials первого стороннего субъекта-службы в то время как все серверы Exchange по-прежнему выполняют сборки старше, чем те, которые перечислены в разделе сборки Exchange, поддерживающей эту функцию , прерывает расширенное сосуществование гибридных функций для этих серверов.

Чтобы очистить все keyCredentials сторонние субъекты-службы, выполните сценарий следующим образом:

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials

Чтобы очистить определенный сертификат и все просроченные сертификаты из keyCredentials, выполните сценарий следующим образом и укажите отпечаток сертификата, который требуется удалить:

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials -CertificateInformation "1234567890ABCDEF1234567890ABCDEF12345678"

Проверка успешности обновления проверки подлинности

Чтобы убедиться, что изменения вступили в силу и правильно ли работает проверка подлинности OAuth между Exchange Server и Exchange Online, используйте командлет Test-OAuthConnectivity из командной консоли Exchange на локальном сервере Exchange.

ResultType Если параметр is Success и Detail раздел включает в себя appId выделенное гибридное приложение Exchange, это означает, что Exchange Server успешно получил маркер OAuth. Запрос OAuth инициируется сервером, на котором выполняется сеанс командной консоли Exchange (EMS). Если почтовый ящик, указанный -Mailbox с помощью параметра, находится на другом сервере, который не поддерживает выделенное гибридное приложение Exchange, но сервер узла EMS это делает, по-прежнему ResultType отображается Success. Такое поведение является особенностью данного продукта.

Эта команда указывает, успешно ли установлено подключение, и отображает используемый идентификатор приложения (не забудьте изменить первую строку):

$OnPremisesMailbox = "userMailboxOnprem@contoso.com"

$result = Test-OAuthConnectivity -Service EWS -TargetUri https://outlook.office365.com -Mailbox $OnPremisesMailbox
Write-Host $result.ResultType
if (($result.Detail.FullId) -match 'L:(?<guid>[0-9a-fA-F-]{36})-AS:') {
    $appid = $matches['guid']
    Write-Output "Extracted appId: $appid"
} else {
    Write-Output "appId not found"
}

Аудит использования гибридных приложений Exchange в Идентификаторе Entra

После настройки выделенного гибридного приложения Exchange и включения функции на Exchange Server вы можете провести аудит его использования с помощью идентификатора Sign-in logsEntra . Выполните следующие действия:

1. Войдите на портал Entra ID:

   Перейдите на портал Entra ID и войдите с учетными данными.

2. Доступ к Microsoft Entra ID:

   На портале выберите или найдите .Microsoft Entra ID

3. Перейдите к разделу Журналы входа.

   В области навигации перейдите к Monitoring и выберите .Sign-in logs

4. Просмотр входов субъекта-службы:

   Затем выберите Service principal sign-ins для просмотра подробных журналов.

   На следующем рисунке показан успешный запрос на вход.

   

   Щелкнув запись, откроется всплывающее Activity Details: Sign-ins окно с дополнительными сведениями о действии входа:

   

Ограничение доступа к выделенному субъекту-службе гибридного приложения Exchange

В некоторых организациях может потребоваться ограничить доступ к выделенному субъекту-службе гибридного приложения Exchange подмножеством диапазонов общедоступных IP-адресов, используемых Exchange Server. Это можно сделать, используя условный доступ для удостоверений рабочей нагрузки. Эта функция расширяет поддержку политик условного доступа для субъектов-служб, принадлежащих организации. Лицензии удостоверений рабочей нагрузки уровня "Премиум" необходимы для создания или изменения политик условного доступа, ограниченных субъектами-службами. Дополнительные сведения см. на Идентификация рабочей нагрузки Microsoft Entra.

Включение выделенной функции гибридного приложения Exchange с помощью переопределения

Если вы использовали мастер гибридной конфигурации (HCW) для настройки выделенного гибридного приложения Exchange, необходимо выполнить командлет New-SettingOverride, чтобы включить эту функцию для локальной Exchange Server организации. Выполните следующую команду из командной консоли Exchange с повышенными привилегиями (EMS):

New-SettingOverride -Name "EnableExchangeHybrid3PAppFeature" -Component "Global" -Section "ExchangeOnpremAsThirdPartyAppId" -Parameters @("Enabled=true") -Reason "Enable dedicated Exchange hybrid app feature"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Откат от выделенного гибридного приложения Exchange

Пока выделенное гибридное приложение Exchange не станет по умолчанию в HCW, а EWS не станет нерекомендуемым для сторонних приложений, можно откатить конфигурацию, применяемую скриптом ConfigureExchangeHybridApplication.ps1 . Откат следует выполнять только в том случае, если после настройки функции возникают проблемы.

В качестве первого шага запустите HCW, чтобы перенастроить стороннего субъекта-службы. Обязательно выберите параметр Oauth, Intra Organization Connector and Organization Relationship ,так как этот параметр выполняет необходимые действия для перенастройки стороннего субъекта-службы.

Затем удалите параметр Переопределение, которое включает выделенную функцию гибридного приложения Exchange. Для этого выполните следующую команду из командной консоли Exchange с повышенными привилегиями (EMS):

Get-SettingOverride | Where-Object {$_.ComponentName -eq "Global" -and $_.SectionName -eq "ExchangeOnpremAsThirdPartyAppId"} | Remove-SettingOverride
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Чтобы отменить изменения изменения сервера проверки подлинности, примененные скриптом, выполните следующую команду из командной консоли Exchange с повышенными привилегиями (EMS):

# Replace this id with the id of your tenant
$tenantId = "123e4567-e89b-12d3-a456-426614174000"

(Get-AuthServer | Where-Object {$_.Name -like "*evoSTS*" -and $_.Realm -eq $tenantId}) | Set-AuthServer -ApplicationIdentifier $null -DomainName $null

В качестве последнего шага можно использовать ConfigureExchangeHybridApplication.ps1 скрипт для удаления приложения, созданного с помощью идентификатора Entra:

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

Вопросы и ответы