Comment configurer Exchange Server en local pour utiliser l’authentification moderne hybride
Vue d’ensemble
L’authentification moderne hybride (HMA) dans Microsoft Exchange Server est une fonctionnalité qui permet aux utilisateurs d’accéder aux boîtes aux lettres hébergées localement à l’aide de jetons d’autorisation obtenus à partir du cloud.
HMA permet à Outlook d’obtenir des jetons OAuth Access et Actualiser à partir de Microsoft Entra ID, soit directement pour la synchronisation de hachage de mot de passe ou Pass-Through identités d’authentification, soit à partir de leur propre service STS (Secure Token Service) pour les identités fédérées. Exchange local accepte ces jetons et fournit l’accès aux boîtes aux lettres. La méthode d’obtention de ces jetons et les informations d’identification requises sont déterminées par les fonctionnalités du fournisseur d’identité (iDP), qui peuvent aller d’un nom d’utilisateur et d’un mot de passe simples à des méthodes plus complexes telles que les certificats, l’authentification par téléphone ou les méthodes biométriques.
Pour que HMA fonctionne, l’identité de l’utilisateur doit être présente dans Microsoft Entra ID et une configuration est requise, qui est gérée par l’Assistant Configuration hybride Exchange (HCW).
Par rapport aux méthodes d’authentification héritées telles que NTLM, HMA offre plusieurs avantages. Il fournit une méthode d’authentification plus sécurisée et flexible, tirant parti de la puissance de l’authentification basée sur le cloud. Contrairement à NTLM, qui s’appuie sur un mécanisme de défi-réponse et ne prend pas en charge les protocoles d’authentification modernes, HMA utilise des jetons OAuth, qui sont plus sécurisés et offrent une meilleure interopérabilité.
HMA est une fonctionnalité puissante qui améliore la flexibilité et la sécurité de l’accès aux applications locales, en tirant parti de la puissance de l’authentification basée sur le cloud. Il représente une amélioration significative par rapport aux méthodes d’authentification héritées, offrant une sécurité, une flexibilité et une commodité accrues pour l’utilisateur.
Étapes à suivre pour configurer et activer l’authentification moderne hybride
Pour activer l’authentification moderne hybride (HMA), vous devez vous assurer que votre organization remplit toutes les conditions préalables nécessaires. En outre, vous devez vérifier que votre client Office est compatible avec l’authentification moderne. Pour plus d’informations, reportez-vous à la documentation sur le fonctionnement de l’authentification moderne pour les applications clientes Office 2013 et Office 2016.
Vérifiez que vous remplissez les conditions préalables avant de commencer.
Ajoutez des URL de service web local à Microsoft Entra ID. Les URL doivent être ajoutées en tant que
Service Principal Names (SPNs)
. Si votre configuration de Exchange Server est en mode hybride avec plusieurs locataires, ces URL de service web locales doivent être ajoutées en tant que SPN dans le Microsoft Entra ID de tous les locataires, qui sont en mode hybride avec Exchange Server localement.Vérifiez que tous les répertoires virtuels sont activés pour HMA. Si vous souhaitez configurer l’authentification moderne hybride pour Outlook sur le web (OWA) et Exchange Panneau de configuration (ECP), il est également important de vérifier les répertoires respectifs.
Vérifiez que le certificat OAuth Exchange Server est valide. Le script MonitorExchangeAuthCertificate peut être utilisé pour vérifier la validité du certificat OAuth. En cas d’expiration, le script facilite le processus de renouvellement.
Assurez-vous que toutes les identités des utilisateurs sont synchronisées avec les Microsoft Entra ID, en particulier tous les comptes, qui sont utilisés pour l’administration. Sinon, la connexion cesse de fonctionner tant qu’elle n’est pas synchronisée. Les comptes, tels que l’administrateur intégré, ne seront jamais synchronisés avec Microsoft Entra ID et, par conséquent, ne peuvent pas être utilisés sur une connexion OAuth une fois que HMA a été activé. Ce comportement est dû à l’attribut
isCriticalSystemObject
, qui est défini surTrue
pour certains comptes, y compris l’administrateur par défaut.(Facultatif) Si vous souhaitez utiliser le client Outlook pour iOS et Android, veillez à autoriser le service de détection automatique à se connecter à votre Exchange Server.
Prérequis pour activer l’authentification moderne hybride
Dans cette section, nous fournissons des informations et des étapes qui doivent être effectuées pour configurer et activer l’authentification moderne hybride dans Microsoft Exchange Server.
Exchange Server prérequis spécifiques
Vos serveurs Exchange doivent remplir les conditions suivantes pour que l’authentification moderne hybride puisse être configurée et activée. Si vous avez une configuration hybride, vous devez exécuter la dernière mise à jour cumulative (CU) pour être dans un état pris en charge. Vous trouverez les versions Exchange Server prises en charge et la build dans la matrice de prise en charge Exchange Server. L’authentification moderne hybride doit être configurée uniformément sur tous les serveurs Exchange au sein de votre organization. L’implémentation partielle, où HMA est activé uniquement sur un sous-ensemble de serveurs, n’est pas prise en charge.
- Assurez-vous qu’il n’existe aucun serveur Exchange en fin de vie dans le organization.
- Exchange Server 2016 doit exécuter CU8 ou une version ultérieure.
- Exchange Server 2019 doit exécuter CU1 ou une version ultérieure.
- Assurez-vous que tous les serveurs peuvent se connecter à Internet. Si un proxy est requis, configurez Exchange Server pour l’utiliser.
- Si vous disposez déjà d’une configuration hybride, vérifiez qu’il s’agit d’un déploiement hybride classique, car l’hybride moderne ne prend pas en charge HMA.
- Assurez-vous que le déchargement SSL n’est pas utilisé (il n’est pas pris en charge). Toutefois, le pontage SSL peut être utilisé et est pris en charge.
Vous trouverez également plus d’informations dans la vue d’ensemble de l’authentification moderne hybride et les conditions préalables à son utilisation avec des Skype Entreprise locaux et des serveurs Exchange.
Protocoles qui fonctionnent avec l’authentification moderne hybride
L’authentification moderne hybride fonctionne pour les protocoles Exchange Server suivants :
Protocole | Authentification moderne hybride prise en charge |
---|---|
MAPI sur HTTP (MAPI/HTTP) | Oui |
Outlook Anywhere (RPC/HTTP) | Non |
Exchange Active Sync (EAS) | Oui |
Services Web Exchange (EWS) | Oui |
Outlook sur le web (OWA) | Oui |
Exchange Administration Center (ECP) | Oui |
Carnet d’adresses en mode hors connexion | Oui |
IMAP | Non |
POP | Non |
Ajouter des URL de service web locales en tant que SPN dans Microsoft Entra ID
Exécutez les commandes qui attribuent les URL de votre service web local en tant que Microsoft Entra SPN. Les spN sont utilisés par les ordinateurs et appareils clients lors de l’authentification et de l’autorisation. Toutes les URL qui peuvent être utilisées pour se connecter à partir d’un emplacement local vers Microsoft Entra ID doivent être inscrites dans Microsoft Entra ID (y compris les espaces de noms internes et externes).
Tout d’abord, exécutez les commandes suivantes sur votre Microsoft Exchange Server :
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*
Vérifiez que les URL à laquelle les clients peuvent se connecter sont répertoriées en tant que noms de principal de service HTTPS dans Microsoft Entra ID. Si Exchange local est en mode hybride avec plusieurs locataires, ces SPN HTTPS doivent être ajoutés dans la Microsoft Entra ID de tous les locataires dans un environnement hybride avec Exchange local.
Installez le module Microsoft Graph PowerShell :
Install-Module Microsoft.Graph -Scope AllUsers
Ensuite, connectez-vous à Microsoft Entra ID en suivant ces instructions. Pour donner votre consentement aux autorisations requises, exécutez la commande suivante :
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Pour vos URL liées à Exchange, tapez la commande suivante :
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
Notez la sortie de cette commande, qui doit inclure une
https://*autodiscover.yourdomain.com*
URL ethttps://*mail.yourdomain.com*
, mais qui se compose principalement de noms de service qui commencent par00000002-0000-0ff1-ce00-000000000000/
.https://
Si des URL de votre site local sont manquantes, ces enregistrements spécifiques doivent être ajoutés à cette liste.Si vous ne voyez pas vos enregistrements internes et externes
MAPI/HTTP
,EWS
,ActiveSync
,OAB
etAutoDiscover
dans cette liste, vous devez les ajouter. Utilisez la commande suivante pour ajouter toutes les URL manquantes. Dans notre exemple, les URL ajoutées sontmail.corp.contoso.com
etowa.contoso.com
. Assurez-vous qu’elles sont remplacées par les URL configurées dans votre environnement.$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $x.ServicePrincipalNames += "https://mail.corp.contoso.com/" $x.ServicePrincipalNames += "https://owa.contoso.com/" Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames
Vérifiez que vos nouveaux enregistrements ont été ajoutés en exécutant à nouveau la
Get-MgServicePrincipal
commande de l’étape 4, puis validez la sortie. Comparez la liste précédente à la nouvelle liste de spn. Vous pouvez également noter la nouvelle liste de vos enregistrements. Si vous réussissez, vous devriez voir les deux nouvelles URL dans la liste. Dans notre exemple, la liste des noms de principal du service inclut désormais les URLhttps://mail.corp.contoso.com
spécifiques ethttps://owa.contoso.com
.
Vérifier que les répertoires virtuels sont correctement configurés
Vérifiez maintenant qu’OAuth est correctement activé dans Exchange sur tous les répertoires virtuels qu’Outlook peut utiliser en exécutant les commandes suivantes :
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*
Vérifiez la sortie pour vous assurer que OAuth
est activé pour chacun de ces répertoires virtuels, qu’il ressemble à ceci (et la chose clé à examiner est OAuth
comme mentionné précédemment) :
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
Si OAuth est absent d’un serveur et d’un des cinq répertoires virtuels, vous devez l’ajouter à l’aide des commandes appropriées avant de continuer (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-AutodiscoverVirtualDirectory) et Set-ActiveSyncVirtualDirectory.
Vérifier que l’objet de serveur d’authentification EvoSTS est présent
Maintenant, sur le Exchange Server environnement de ligne de commande EMS (Management Shell) local, exécutez cette dernière commande. Vous pouvez vérifier que votre Exchange Server local retourne une entrée pour le fournisseur d’authentification evoSTS :
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
Votre sortie doit afficher authServer le nom EvoSts - <GUID>
et l’état Enabled
doit être True
. Si ce n’est pas le cas, vous devez télécharger et exécuter la version la plus récente de l’Assistant Configuration hybride.
Si Exchange Server local exécute une configuration hybride avec plusieurs locataires, votre sortie affiche un serveur AuthServer avec le nom EvoSts - <GUID>
de chaque locataire dans hybride avec Exchange Server local et l’état Enabled
doit être True
pour tous ces objets AuthServer. Notez l’identificateur EvoSts - <GUID>
, car il sera nécessaire à l’étape suivante.
Activer HMA
Exécutez les commandes suivantes dans le Exchange Server environnement de ligne de commande EMS (Local Management Shell) et remplacez le <GUID>
dans la ligne de commande par le GUID de la sortie de la dernière commande que vous avez exécutée. Dans les versions antérieures de l’Assistant Configuration hybride, le serveur d’authentification EvoSts a été nommé EvoSTS
sans GUID attaché. Vous n’avez pas besoin d’effectuer d’action, il vous suffit de modifier la ligne de commande précédente en supprimant la partie GUID de la commande.
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Si la version locale Exchange Server est Exchange Server 2016 (CU18 ou version ultérieure) ou Exchange Server 2019 (CU7 ou version ultérieure) et que la version hybride a été configurée à l’aide du hcW téléchargé après septembre 2020, exécutez la commande suivante dans le Exchange Server Management Shell (EMS) local. Pour le DomainName
paramètre , utilisez la valeur de domaine de locataire, qui se présente généralement sous la forme contoso.onmicrosoft.com
:
Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Si Exchange Server local est hybride avec plusieurs locataires, plusieurs objets AuthServer sont présents dans le Exchange Server organisations locales avec des domaines correspondant à chaque locataire. L’indicateur IsDefaultAuthorizationEndpoint
doit être défini sur True
pour l’un de ces objets AuthServer. L’indicateur ne peut pas être défini sur true pour tous les objets AuthServer et HMA est activé même si l’un de ces indicateurs d’objet IsDefaultAuthorizationEndpoint
AuthServer a la valeur true.
Importante
Lorsque vous travaillez avec plusieurs locataires , ils doivent tous se trouver dans le même environnement cloud, par exemple tout dans Global
ou tout dans GCC
. Ils ne peuvent pas exister dans des environnements mixtes tels qu’un locataire dans Global
et un autre dans GCC
.
Vérifier
Une fois que vous avez activé HMA, la prochaine connexion d’un client utilise le nouveau flux d’authentification. Le simple fait d’activer HMA ne déclenche pas de réauthentification pour n’importe quel client, et Exchange Server peut prendre un certain temps pour récupérer les nouveaux paramètres. Ce processus ne nécessite pas la création d’un nouveau profil.
Vous devez également maintenir la CTRL
touche enfoncée en même temps que vous cliquez avec le bouton droit sur l’icône du client Outlook (également dans la barre d’état Notifications Windows), puis sélectionnez Connection Status
. Recherchez l’adresse SMTP du client par rapport à un AuthN
type de Bearer\*
, qui représente le jeton du porteur utilisé dans OAuth.
Activer l’authentification moderne hybride pour OWA et ECP
L’authentification moderne hybride peut désormais également être activée pour OWA
et ECP
. Assurez-vous que les conditions préalables sont remplies avant de continuer.
Une fois l’authentification moderne hybride activée pour OWA
et ECP
, chaque utilisateur final et administrateur qui tente de se connecter OWA
à ou ECP
est redirigé vers la page d’authentification Microsoft Entra ID en premier. Une fois l’authentification réussie, l’utilisateur est redirigé vers OWA
ou ECP
.
Prérequis pour activer l’authentification moderne hybride pour OWA et ECP
Importante
Tous les serveurs doivent avoir au moins la mise à jour Exchange Server CU14 2019 installée. Ils doivent également exécuter l’Exchange Server 2019 CU14 April 2024 HU ou une mise à jour ultérieure.
Pour activer l’authentification moderne hybride pour OWA
et ECP
, toutes les identités utilisateur doivent être synchronisées avec Microsoft Entra ID.
En outre, il est important que la configuration d’OAuth entre Exchange Server local et Exchange Online ait été établie avant que d’autres étapes de configuration puissent être effectuées.
Les clients qui ont déjà exécuté l’Assistant Configuration hybride (HCW) pour configurer hybride disposent d’une configuration OAuth en place. Si OAuth n’a pas été configuré auparavant, vous pouvez le faire en exécutant hcW ou en suivant les étapes décrites dans la documentation Configurer l’authentification OAuth entre Exchange et Exchange Online organisations.
Il est recommandé de documenter les OwaVirtualDirectory
paramètres et EcpVirtualDirectory
avant d’apporter des modifications. Cette documentation vous permet de restaurer les paramètres d’origine si des problèmes surviennent après la configuration de la fonctionnalité.
Étapes d’activation de l’authentification moderne hybride pour OWA et ECP
Avertissement
La publication d’Outlook Web App (OWA) et d’Exchange Panneau de configuration (ECP) via Microsoft Entra proxy d’application n’est pas prise en charge.
Interrogez les
OWA
URL etECP
configurées sur votre Exchange Server locale. Ceci est important, car ils doivent être ajoutés en tant qu’URL de réponse à Microsoft Entra ID :Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
Installez le module Microsoft Graph PowerShell s’il n’a pas encore été installé :
Install-Module Microsoft.Graph -Scope AllUsers
Connectez-vous à Microsoft Entra ID en suivant ces instructions. Pour donner votre consentement aux autorisations requises, exécutez la commande suivante :
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
Spécifiez vos
OWA
URL et etECP
mettez à jour votre application avec les URL de réponse :$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp" Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
Vérifiez que les URL de réponse ont été ajoutées avec succès :
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
Pour activer Exchange Server capacité locale à effectuer l’authentification moderne hybride, suivez les étapes décrites dans la section Activer HMA.
(Facultatif) Obligatoire uniquement si les domaines de téléchargement sont utilisés :
Créez un remplacement de paramètre global en exécutant les commandes suivantes à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges. Exécutez ces commandes sur une Exchange Server :
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(Facultatif) Requis uniquement dans les scénarios de topologie de forêt de ressources Exchange :
Ajoutez les clés suivantes au
<appSettings>
nœud du<ExchangeInstallPath>\ClientAccess\Owa\web.config
fichier. Procédez comme suit sur chaque Exchange Server :<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
Créez un remplacement de paramètre global en exécutant les commandes suivantes à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges. Exécutez ces commandes sur une Exchange Server :
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
Pour activer l’authentification moderne hybride pour
OWA
etECP
, vous devez d’abord désactiver toute autre méthode d’authentification sur ces répertoires virtuels. Il est important d’effectuer la configuration dans l’ordre donné. Si vous ne le faites pas, un message d’erreur peut s’afficher pendant l’exécution de la commande.
Exécutez ces commandes pour chaqueOWA
répertoire virtuel etECP
sur chaque Exchange Server pour désactiver toutes les autres méthodes d’authentification :Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Importante
Assurez-vous que tous les comptes sont synchronisés avec Microsoft Entra ID, en particulier tous les comptes, qui sont utilisés pour l’administration. Sinon, la connexion cesse de fonctionner tant qu’elle n’est pas synchronisée. Les comptes, tels que l’administrateur intégré, ne sont pas synchronisés avec Microsoft Entra ID et, par conséquent, ne peuvent pas être utilisés pour l’administration une fois HMA pour OWA et ECP activés. Ce comportement est dû à l’attribut
isCriticalSystemObject
, qui est défini surTrue
pour certains comptes.Activez OAuth pour le
OWA
répertoire virtuel etECP
. Il est important d’effectuer la configuration dans l’ordre donné. Si vous ne le faites pas, un message d’erreur peut s’afficher pendant l’exécution de la commande. Pour chaqueOWA
répertoire virtuel etECP
sur chaque Exchange Server, ces commandes doivent être exécutées :Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
Utilisation de l’authentification moderne hybride avec Outlook pour iOS et Android
Si vous souhaitez utiliser le client Outlook pour iOS et Android avec l’authentification moderne hybride, veillez à autoriser le service de détection automatique à se connecter à votre Exchange Server sur TCP 443
(HTTPS) :
<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23
Les plages d’adresses IP sont également disponibles dans la documentation sur les points de terminaison supplémentaires non inclus dans la documentation du service Web adresse IP et URL Office 365.