Как настроить локальное развертывание Exchange Server для использования гибридной современной проверки подлинности

Обзор

Гибридная современная проверка подлинности (HMA) в Microsoft Exchange Server — это функция, которая позволяет пользователям получать доступ к почтовым ящикам, размещенным локально, с помощью маркеров авторизации, полученных из облака.

HMA позволяет Outlook получать маркеры доступа и обновления OAuth из Microsoft Entra ID напрямую для синхронизации хэша паролей или Pass-Through удостоверений проверки подлинности или из собственной службы безопасных маркеров (STS) для федеративных удостоверений. Локальная служба Exchange принимает эти маркеры и предоставляет доступ к почтовому ящику. Метод получения этих маркеров и необходимые учетные данные определяются возможностями поставщика удостоверений (iDP), которые могут варьироваться от простого имени пользователя и пароля до более сложных методов, таких как сертификаты, проверка подлинности по телефону или биометрические методы.

Для работы HMA удостоверение пользователя должно присутствовать в Microsoft Entra ID, и требуется некоторая конфигурация, которая обрабатывается мастером гибридной конфигурации Exchange (HCW).

По сравнению с устаревшими методами проверки подлинности, такими как NTLM, HMA предлагает ряд преимуществ. Он предоставляет более безопасный и гибкий метод проверки подлинности, используя возможности облачной проверки подлинности. В отличие от NTLM, который использует механизм ответа на запросы и не поддерживает современные протоколы проверки подлинности, HMA использует маркеры OAuth, которые являются более безопасными и обеспечивают лучшее взаимодействие.

HMA — это мощная функция, которая повышает гибкость и безопасность доступа к локальным приложениям, используя возможности облачной проверки подлинности. Он представляет собой значительное улучшение по сравнению с устаревшими методами проверки подлинности, обеспечивая повышенную безопасность, гибкость и удобство для пользователей.

Действия по настройке и включению гибридной современной проверки подлинности

Чтобы включить гибридную современную проверку подлинности (HMA), необходимо убедиться, что ваша организация соответствует всем необходимым требованиям. Кроме того, необходимо убедиться, что клиент Office совместим с современной проверкой подлинности. Дополнительные сведения см. в документации по принципу работы современной проверки подлинности для клиентских приложений Office 2013 и Office 2016.

1. Перед началом работы убедитесь, что выполнены предварительные требования .

2. Добавьте URL-адреса локальной веб-службы в Microsoft Entra ID. URL-адреса должны быть добавлены как Service Principal Names (SPNs). Если настройка Exchange Server находится в гибридной среде с несколькими клиентами, эти URL-адреса локальных веб-служб должны быть добавлены в качестве имен субъектов-служб в Microsoft Entra ID всех клиентов, которые находятся в гибридном режиме с Exchange Server локально.

3. Убедитесь, что все виртуальные каталоги включены для HMA. Если вы хотите настроить гибридную современную проверку подлинности для Outlook в Интернете (OWA) и Exchange панель управления (ECP), важно также проверить соответствующие каталоги.

4. Проверьте наличие объекта EvoSTS Auth Server.

5. Убедитесь, что сертификат OAuth Exchange Server действителен. Скрипт скрипта MonitorExchangeAuthCertificate можно использовать для проверки допустимости сертификата OAuth. В случае истечения срока действия скрипт помогает в процессе продления.

6. Убедитесь, что все удостоверения пользователей синхронизированы с Microsoft Entra ID, особенно со всеми учетными записями, которые используются для администрирования. В противном случае имя входа перестает работать до синхронизации. Учетные записи, такие как встроенный администратор, никогда не будут синхронизированы с Microsoft Entra ID и, следовательно, не могут использоваться для входа OAuth после включения HMA. Это связано с атрибутом isCriticalSystemObject , который имеет значение True для некоторых учетных записей, включая администратора по умолчанию.

7. (Необязательно) Если вы хотите использовать клиент Outlook для iOS и Android, убедитесь, что служба автоопределить подключение к Exchange Server.

8. Включите HMA в локальной среде Exchange.

Предварительные требования для включения гибридной современной проверки подлинности

В этом разделе приводятся сведения и действия, которые необходимо выполнить для успешной настройки и включения гибридной современной проверки подлинности в Microsoft Exchange Server.

Exchange Server определенных предварительных требований

Серверы Exchange должны соответствовать следующим требованиям, прежде чем можно будет настроить и включить гибридную современную проверку подлинности. Если у вас есть гибридная конфигурация, необходимо запустить последнее накопительное обновление (CU), чтобы находиться в поддерживаемом состоянии. Поддерживаемые версии Exchange Server и сборку можно найти в матрице поддержки Exchange Server. Гибридная современная проверка подлинности должна быть настроена на всех серверах Exchange в организации. Частичная реализация, в которой HMA включена только на подмножестве серверов, не поддерживается.

• Убедитесь, что в организации отсутствуют серверы Exchange с окончанием срока действия.
• Exchange Server 2016 должен работать с накопительным пакетом обновления 8 или более поздней версии.
• Exchange Server 2019 должен работать с накопительным пакетом обновления 1 или более поздней версии.
• Убедитесь, что все серверы могут подключаться к Интернету. Если требуется прокси-сервер, настройте его Exchange Server.
• Если у вас уже есть гибридная конфигурация, убедитесь, что это классическое гибридное развертывание, так как современная гибридная среда не поддерживает HMA.
• Убедитесь, что разгрузка SSL не используется (она не поддерживается). Однако мост ssl можно использовать и поддерживается.

Дополнительные сведения также см. в статье Общие сведения о гибридной современной проверке подлинности и предварительные требования для ее использования с локальными серверами Skype для бизнеса и Exchange Server.

Протоколы, работающие с гибридной современной проверкой подлинности

Гибридная современная проверка подлинности работает для следующих протоколов Exchange Server:

Добавление URL-адресов локальных веб-служб в качестве имен субъектов-служб в Microsoft Entra ID

Выполните команды, которые назначают URL-адреса локальной веб-службы как Microsoft Entra именам субъектов-служб. Имена субъектов-служб используются клиентскими компьютерами и устройствами во время проверки подлинности и авторизации. Все URL-адреса, которые могут использоваться для подключения из локальной среды к Microsoft Entra ID, должны быть зарегистрированы в Microsoft Entra ID (включая внутренние и внешние пространства имен).

1. Сначала выполните следующие команды на Microsoft Exchange Server:

   Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
   Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
   

   Убедитесь, что URL-адреса клиентов, к которому могут подключаться, перечислены в Microsoft Entra ID как имена субъектов-служб HTTPS. Если локальная среда Exchange находится в гибридной среде с несколькими клиентами, эти имена субъектов-служб HTTPS следует добавить в Microsoft Entra ID всех клиентов в гибридной среде с локальным exchange.

2. Установите модуль Microsoft Graph PowerShell:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Затем подключитесь к Microsoft Entra ID, следуя этим инструкциям. Чтобы предоставить согласие на необходимые разрешения, выполните следующую команду:

   Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
   

4. Для URL-адресов, связанных с Exchange, введите следующую команду:

   Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
   

   Запишите выходные данные этой команды, которые должны включать https://*autodiscover.yourdomain.com* URL-адрес и https://*mail.yourdomain.com* , но в основном состоят из имен субъектов-служб, которые начинаются с 00000002-0000-0ff1-ce00-000000000000/. https:// Если отсутствуют URL-адреса из локальной среды, эти конкретные записи должны быть добавлены в этот список.

5. Если в этом списке не отображаются внутренние и внешние MAPI/HTTPзаписи , EWS, ActiveSync, OABи AutoDiscover , необходимо добавить их. Используйте следующую команду, чтобы добавить все отсутствующие URL-адреса. В нашем примере добавляемые URL-адреса: mail.corp.contoso.com и owa.contoso.com. Убедитесь, что они заменены URL-адресами, настроенными в вашей среде.

   $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
   $x.ServicePrincipalNames += "https://owa.contoso.com/"
   Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
   

6. Убедитесь, что новые записи добавлены, снова выполнив Get-MgServicePrincipal команду из шага 4, и проверьте выходные данные. Сравните список с до с новым списком имен субъектов-служб. Вы также можете записать новый список для записей. В случае успеха в списке должны появиться два новых URL-адреса. В нашем примере список имен субъектов-служб теперь включает конкретные URL-адреса https://mail.corp.contoso.com и https://owa.contoso.com.

Проверка правильной настройки виртуальных каталогов

Теперь проверьте правильность включения OAuth в Exchange во всех виртуальных каталогах, которые может использовать Outlook, выполнив следующие команды:

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

Проверьте выходные данные, чтобы убедиться, что OAuth он включен для каждого из этих виртуальных каталогов. Он выглядит примерно так (и главное, на что следует обратить внимание, как OAuth упоминалось ранее):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

Если OAuth отсутствует на любом сервере и любом из пяти виртуальных каталогов, необходимо добавить его с помощью соответствующих команд, прежде чем продолжить (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) и Set-ActiveSyncVirtualDirectory.

Убедитесь, что объект сервера проверки подлинности EvoSTS присутствует

Теперь в Exchange Server локальной командной консоли (EMS) выполните последнюю команду. Вы можете проверить, что локальная Exchange Server возвращает запись для поставщика проверки подлинности evoSTS:

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

В выходных данных должен отображаться authServer с именем EvoSts - <GUID> , а Enabled состояние должно быть True. Если это не так, скачайте и запустите последнюю версию мастера гибридной конфигурации.

Если Exchange Server локальной среде выполняет гибридную конфигурацию с несколькими клиентами, в выходных данных отображается один authServer с именем EvoSts - <GUID> для каждого клиента в гибридном режиме с Exchange Server локально, а Enabled состояние должно быть True для всех этих объектов AuthServer. Запишите идентификатор EvoSts - <GUID>, так как он потребуется на следующем шаге.

Включение HMA

Выполните следующие команды в Exchange Server локальной командной консоли (EMS) и замените в командной строке <GUID> GUID из выходных данных последней выполненной команды. В более ранних версиях мастера гибридной конфигурации EvoSts AuthServer именовался EvoSTS без присоединенного GUID. Вам не нужно выполнять никаких действий, просто измените предыдущую командную строку, удалив часть команды GUID.

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Если Exchange Server локальной версии Exchange Server 2016 (CU18 или выше) или Exchange Server 2019 (CU7 или более поздней) и гибридная версия была настроена с помощью HCW, скачанная после сентября 2020 г., выполните следующую команду в Exchange Server локальной командной консоли (EMS). DomainName Для параметра используйте значение домена клиента, которое обычно имеет вид contoso.onmicrosoft.com:

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Если Exchange Server локальная среда находится в гибридной среде с несколькими клиентами, в Exchange Server локальных организаций присутствует несколько объектов AuthServer с доменами, соответствующими каждому клиенту. Флаг IsDefaultAuthorizationEndpoint должен иметь значение True для любого из этих объектов AuthServer. Флагу не может быть присвоено значение true для всех объектов AuthServer, и HMA будет включена, даже если для одного из этих флагов объектов IsDefaultAuthorizationEndpoint AuthServer задано значение true.

Проверять

После включения HMA следующий вход клиента будет использовать новый поток проверки подлинности. Простое включение HMA не вызовет повторную проверку подлинности для любого клиента, и для получения новых параметров Exchange Server может потребоваться некоторое время. Этот процесс не требует создания нового профиля.

Кроме того, удерживайте CTRL клавишу, одновременно щелкните правой кнопкой мыши значок клиента Outlook (также в области уведомлений Windows) и выберите .Connection Status Найдите SMTP-адрес клиента по типу AuthNBearer\*, который представляет маркер носителя, используемый в OAuth.

Включение гибридной современной проверки подлинности для OWA и ECP

Гибридная современная проверка подлинности теперь также может быть включена для OWA и ECP. Прежде чем продолжить, убедитесь, что выполнены необходимые условия .

После включения гибридной современной проверки подлинности для OWA и ECPкаждый пользователь и администратор, который пытается войти в OWA систему или ECP будет перенаправлен на страницу проверки подлинности Microsoft Entra ID. После успешной проверки подлинности пользователь будет перенаправлен на OWA или ECP.

Предварительные требования для включения гибридной современной проверки подлинности для OWA и ECP

Чтобы включить гибридную современную проверку подлинности для OWA и ECP, все удостоверения пользователей должны быть синхронизированы с Microsoft Entra ID. Кроме того, важно установить настройку OAuth между Exchange Server локальной и Exchange Online, прежде чем можно будет выполнить дальнейшие действия по настройке.

Клиенты, которые уже запускали мастер гибридной конфигурации (HCW) для настройки гибридной среды, имеют конфигурацию OAuth. Если OAuth не был настроен ранее, это можно сделать, запустив HCW или выполнив действия, описанные в документации по настройке проверки подлинности OAuth между Exchange и Exchange Online организациями.

Перед внесением OwaVirtualDirectory изменений рекомендуется документировать параметры и EcpVirtualDirectory . Эта документация позволяет восстановить исходные параметры при возникновении каких-либо проблем после настройки функции.

Действия по включению гибридной современной проверки подлинности для OWA и ECP

1. Запросите OWA URL-адреса иECP, настроенные в локальной Exchange Server. Это важно, так как они должны быть добавлены в качестве URL-адреса ответа в Microsoft Entra ID:

   Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
   Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
   

2. Установите модуль PowerShell Microsoft Graph, если он еще не установлен:

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. Подключитесь к Microsoft Entra ID с помощью этих инструкций. Чтобы предоставить согласие на необходимые разрешения, выполните следующую команду:

   Connect-Graph -Scopes User.Read, Application.ReadWrite.All
   

4. OWA Укажите URL-адреса и ECP и обновите приложение с помощью URL-адресов ответа:

   $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
   $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
   

5. Убедитесь, что URL-адреса ответа успешно добавлены:

   (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
   

6. Чтобы включить Exchange Server локальную возможность выполнять гибридную современную проверку подлинности, выполните действия, описанные в разделе Включение HMA.

7. (Необязательно) Требуется только в том случае, если используются домены загрузки :

   Создайте переопределение глобального параметра, выполнив следующие команды из командной консоли Exchange с повышенными привилегиями (EMS). Выполните следующие команды на одном Exchange Server:

   New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

8. (Необязательно) Требуется только в сценариях топологии леса ресурсов Exchange :

   Добавьте следующие ключи в <appSettings> узел <ExchangeInstallPath>\ClientAccess\Owa\web.config файла. Выполните это на каждой Exchange Server:

   <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
   <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
   

   Создайте переопределение глобального параметра, выполнив следующие команды из командной консоли Exchange с повышенными привилегиями (EMS). Выполните следующие команды на одном Exchange Server:

   New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

9. Чтобы включить гибридную современную проверку подлинности для OWA и ECP, необходимо сначала отключить любой другой метод проверки подлинности в этих виртуальных каталогах. Важно выполнить настройку в заданном порядке. В противном случае во время выполнения команды может появиться сообщение об ошибке.
   
   Выполните следующие команды для каждого OWA и ECP виртуального каталога на каждом Exchange Server, чтобы отключить все другие методы проверки подлинности:

   Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
   

   Важно!

   Убедитесь, что все учетные записи синхронизированы с Microsoft Entra ID, особенно все учетные записи, которые используются для администрирования. В противном случае имя входа перестает работать до синхронизации. Учетные записи, такие как встроенный администратор, не будут синхронизированы с Microsoft Entra ID и, следовательно, не могут использоваться для администрирования после включения HMA для OWA и ECP. Это связано с атрибутом isCriticalSystemObject , который для некоторых учетных записей имеет значение True .

10. Включите OAuth для виртуального OWA каталога и ECP . Важно выполнить настройку в заданном порядке. В противном случае во время выполнения команды может появиться сообщение об ошибке. Для каждого OWA и ECP виртуального каталога на каждом Exchange Server необходимо выполнить следующие команды:

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
    

Использование гибридной современной проверки подлинности с Outlook для iOS и Android

Если вы хотите использовать клиент Outlook для iOS и Android вместе с гибридной современной проверкой подлинности, убедитесь, что служба автоопределить подключение к Exchange Server (TCP 443HTTPS):

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

Диапазоны IP-адресов также можно найти в документации по дополнительным конечным точкам, не включенным в веб-службу Office 365 IP-адреса и URL-адреса.

Статьи по теме

Требования к конфигурации современной проверки подлинности для перехода с Office 365 Dedicated/ITAR на vNext