Configuration requise pour un déploiement hybride

Résumé: Préparation de votre environnement Exchange pour pouvoir configurer un déploiement hybride.

Avant de créer et de configurer un déploiement hybride à l'aide de l'Assistant Configuration hybride, vous devez vous assurer que votre organisation Exchange locale remplit certaines conditions préalables. Dans le cas contraire, vous ne pourrez ni exécuter la procédure de l'Assistant Configuration hybride, ni configurer un déploiement hybride entre votre organisation Exchange locale et Exchange Online.

Conditions préalables à un déploiement hybride

Les conditions préalables suivantes doivent être réunies pour la configuration d'un déploiement hybride :

  • Exchange local organization : la version d’Exchange que vous avez installée dans votre organization locale détermine la version de déploiement hybride que vous pouvez installer. Vous devez généralement configurer la version de déploiement hybride la plus récente prise en charge dans votre organization, comme décrit dans le tableau suivant :
Environnement local Déploiement hybride basé sur Exchange 2019 Déploiement hybride d’Exchange 2016 déploiement hybride d’Exchange 2013 déploiement hybride d'Exchange 2010
Exchange 2019 Pris en charge Non pris en charge Non pris en charge Non pris en charge
Exchange 2016 Pris en charge Pris en charge Non pris en charge Non pris en charge
Exchange 2013 Pris en charge Pris en charge Pris en charge Non pris en charge
Exchange 2010 Non pris en charge Pris en charge Pris en charge Pris en charge
  • Versions du serveur Exchange : les déploiements hybrides nécessitent la dernière mise à jour cumulative (CU) ou le dernier correctif cumulatif (RU) disponible pour votre version d’Exchange. Si vous ne pouvez pas installer la dernière mise à jour, la version immédiatement précédente est également prise en charge.

    Les unités de certification Exchange étant publiées tous les trimestres, la mise à jour de vos serveurs Exchange vous offre une certaine flexibilité supplémentaire si vous avez besoin régulièrement de temps supplémentaire pour effectuer les mises à niveau.

  • Rôles serveur Exchange : les rôles de serveur que vous devez installer dans votre organization localement dépendent de la version d’Exchange que vous avez installée.

    • Exchange 2016 et versions ultérieures : au moins un serveur de boîtes aux lettres.

    • Exchange 2013 : Au moins un instance de rôles serveur de boîte aux lettres et d’accès au client installés (séparément ou sur un serveur ; nous vous recommandons vivement d’utiliser un serveur).

    • Exchange 2010 : Au moins un instance de rôles serveur de boîte aux lettres, de transport hub et d’accès au client installés (séparément ou sur un serveur ; nous vous recommandons vivement d’utiliser un serveur).

      Les déploiements hybrides prennent également en charge les serveurs Exchange exécutant le rôle serveur de transport Edge. Les serveurs de transport Edge doivent également être mis à jour vers la dernière cu ou RU. Nous vous recommandons vivement de déployer les serveurs de transport Edge dans un réseau de périmètre. Vous ne pouvez pas déployer de serveurs de boîte aux lettres ou d’accès au client dans un réseau de périmètre.

    Remarque

    Si vous avez déjà démarré un processus de migration avec des points de terminaison Exchange 2010 hybrides et que vous n’envisagez pas de conserver les boîtes aux lettres locales, poursuivez votre migration telle quelle. Si vous envisagez de conserver certaines boîtes aux lettres locales, nous vous recommandons vivement d’introduire des points de terminaison Exchange 2016 hybrides (car Exchange 2010 a atteint sa fin de cycle de vie de support). Poursuivez la migration des boîtes aux lettres Exchange 2010 vers Office 365, puis déplacez les boîtes aux lettres qui resteront locales vers des serveurs Exchange 2016. Une fois que vous avez supprimé tous vos serveurs Exchange 2010, vous pouvez introduire les serveurs Exchange 2019 comme nouveaux points de terminaison hybrides et déplacer vos boîtes aux lettres locales restantes vers les serveurs Exchange 2019.

  • Microsoft 365 ou Office 365 : les déploiements hybrides sont pris en charge dans tous les plans Microsoft 365 et Office 365 qui prennent en charge la synchronisation Microsoft Entra. Tous les plans Microsoft 365 Business Standard, Business Basic, Enterprise, Government, Academic et Midsize prennent en charge les déploiements hybrides. les plans Applications Microsoft 365 pour les PME et Famille ne prennent pas en charge les déploiements hybrides.

    Pour en savoir plus, consultez Microsoft 365.

  • Domaines personnalisés : inscrivez tous les domaines personnalisés que vous souhaitez utiliser dans votre déploiement hybride avec Microsoft 365 ou Office 365. Pour ce faire, utilisez le portail Microsoft 365 ou configurez éventuellement Services ADFS (AD FS) dans votre organization local.

    Pour en savoir plus, consultez Ajouter votre domaine à Microsoft 365 ou Office 365.

  • Synchronisation Active Directory : déployez l’outil de synchronisation cloud Microsoft Entra Connect pour activer la synchronisation Active Directory avec votre organization local.

    Pour plus d’informations, consultez Options d’authentification utilisateur Microsoft Entra Connect et Qu’est-ce que Microsoft Entra Cloud Sync ?.

  • Enregistrements DNS de découverte automatique : configurez l’enregistrement de découverte automatique pour vos domaines SMTP existants dans votre DNS public afin qu’il pointe vers vos serveurs Exchange locaux (un serveur d’accès au client Exchange 2010/2013 ou un serveur de boîtes aux lettres Exchange 2016/2019).

  • Certificats : attribuez des services Exchange à un certificat numérique valide que vous avez acheté auprès d’une autorité de certification publique approuvée. Même si vous devez utiliser des certificats auto-signés pour l’approbation de fédération locale avec le Microsoft Federation Gateway, vous ne pouvez pas utiliser de certificats auto-signés pour les services Exchange dans un déploiement hybride.

    Les instance iis (Internet Information Services) sur les serveurs Exchange configurés dans le déploiement hybride nécessitent un certificat numérique valide acheté auprès d’une autorité de certification approuvée.

    L’URL externe EWS et le point de terminaison de découverte automatique que vous avez spécifiés dans votre DNS public doivent être répertoriés dans le champ Autre nom de l’objet (SAN) du certificat. Les certificats que vous installez sur les serveurs Exchange pour le flux de messagerie dans le déploiement hybride doivent tous être émis par la même autorité de certification et avoir le même objet.

    Pour plus d'informations, consultez la rubrique Conditions requises pour les certificats dans le cadre de déploiements hybrides.

  • EdgeSync : si vous avez déployé des serveurs de transport Edge dans votre organization local et que vous souhaitez configurer les serveurs de transport Edge pour le transport de courrier sécurisé hybride, vous devez configurer EdgeSync avant d’utiliser l’Assistant Configuration hybride. Vous devez également exécuter EdgeSync chaque fois que vous appliquez une nouvelle cu à un serveur de transport Edge.

    Importante

    Bien qu’EdgeSync soit une exigence dans les déploiements avec des serveurs de transport Edge, des paramètres de configuration supplémentaires sont requis lorsque vous configurez des serveurs de transport Edge pour le transport de courrier sécurisé hybride.

    Pour plus d'informations, consultez la rubrique Serveurs de transport Edge avec déploiements hybrides.

  • Microsoft .NET Framework : pour vérifier les versions qui peuvent être utilisées avec votre version spécifique d’Exchange, consultez Exchange Server matrice de prise en charge - Microsoft .NET Framework.

  • Boîtes aux lettres avec messagerie unifiée : si vous avez des boîtes aux lettres prenant en charge la messagerie unifiée et que vous souhaitez les déplacer vers Microsoft 365 ou Office 365, vous devez respecter les exigences suivantes avant de les déplacer :

Ports, points de terminaison et protocoles de déploiement hybride

Vous devez configurer les protocoles, ports et points de terminaison de connexion suivants dans le pare-feu qui protège vos organization locales, comme décrit dans le tableau suivant.

Importante

Les points de terminaison Microsoft 365 et Office 365 associés sont vastes et en constante évolution et ne sont pas répertoriés ici. Au lieu de cela, consultez les sections Exchange Online et Microsoft 365 Commun et Office Online dans Microsoft 365 et Office 365 URL et plages d’adresses IP pour identifier les points de terminaison pour chaque port répertorié ici.

Remarque

Les ports requis pour le flux de messagerie et la connectivité client dans vos organization Exchange locaux qui ne sont pas liés à la configuration hybride sont décrits dans Ports réseau pour les clients et flux de messagerie dans Exchange.

Source Protocole/Port Target Comments
Exchange Online points de terminaison TCP/25 (SMTP/TLS) Boîte aux lettres/Edge Exchange 2019/2016

Serveur CAS/EDGE Exchange 2013

Exchange 2010 Hub/Edge

Serveurs Exchange locaux configurés pour héberger des connecteurs de réception pour le transport de courrier sécurisé avec Exchange Online dans l’Assistant Configuration hybride
Boîte aux lettres/Edge Exchange 2019/2016

Serveur CAS/EDGE Exchange 2013

Exchange 2010 Hub/Edge

TCP/25 (SMTP/TLS) Exchange Online points de terminaison Serveurs Exchange locaux configurés pour héberger des connecteurs d’envoi pour le transport de courrier sécurisé avec Exchange Online dans l’Assistant Configuration hybride
Exchange Online points de terminaison TCP/443 (HTTPS) Boîte aux lettres Exchange 2019/2016

Exchange 2013/2010 CAS

Serveurs Exchange locaux utilisés pour publier les services web Exchange et la découverte automatique sur Internet
Boîte aux lettres Exchange 2019/2016

Exchange 2013/2010 CAS

TCP/443 (HTTPS) Exchange Online points de terminaison Serveurs Exchange locaux utilisés pour publier les services web Exchange et la découverte automatique sur Internet
Boîte aux lettres/Edge Exchange 2019/2016

Serveur CAS/EDGE Exchange 2013

Exchange 2010 Hub/Edge

80 ctldl.windowsupdate.com/* Pour les fonctionnalités hybrides, les serveurs Exchange ont besoin d’une connectivité sortante aux différents points de terminaison de liste de révocation de certificats mentionnés ici. Nous vous recommandons vivement de laisser Windows gérer la liste d’approbation de certificats (CTL) sur votre ordinateur. Dans le cas contraire, cette opération doit être conservée manuellement régulièrement. Pour permettre à Windows de conserver la CTL, l’URL doit être accessible à partir de l’ordinateur sur lequel Exchange Server est installé.

Le tableau suivant fournit des informations plus détaillées sur les points de terminaison locaux impliqués :

Description Port et protocole Point de terminaison local Fournisseur d’authentification Méthode d’autorisation Authentification préalable prise en charge ?
Flux de messagerie SMTP entre Microsoft 365 ou Office 365 et Exchange local TCP 25 (SMTP/TLS) Boîte aux lettres/Edge Exchange 2019/2016

Serveur CAS/EDGE Exchange 2013

Exchange 2010 Hub/Edge

S/O Basée sur les certificats Non
Découverte automatique TCP 443 (HTTPS) Serveur de boîtes aux lettres Exchange 2019/2016 : /autodiscover/autodiscover.svc/wssecurity

Cas Exchange 2013/2010 : /autodiscover/autodiscover.svc

système d’authentification Microsoft Entra Authentification WS-Security Non
Disponibilité, info-courrier et suivi des messages (EWS) TCP 443 (HTTPS) Boîte aux lettres Exchange 2019/2016
ou
Exchange 2013/2010 CAS :

/ews/exchange.asmx/wssecurity

système d’authentification Microsoft Entra Authentification WS-Security Non
Recherche de boîtes aux lettres multiples (EWS) TCP 443 (HTTPS) Boîte aux lettres Exchange 2019/2016
ou
Exchange 2013/2010 CAS :

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

Serveur d'authentification Authentification WS-Security Non
Migrations de boîtes aux lettres (EWS) TCP 443 (HTTPS) Boîte aux lettres Exchange 2019/2016
ou
Exchange 2013/2010 CAS :

/ews/mrsproxy.svc

NTLM Basic Non
OAuth (découverte automatique et EWS) TCP 443 (HTTPS) Boîte aux lettres Exchange 2019/2016
ou
Exchange 2013/2010 CAS :

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

Serveur d'authentification Authentification WS-Security Non
AD FS (Windows Server) TCP 443 (HTTPS) Serveur Windows 2012 R2/2016 : /adfs/* système d’authentification Microsoft Entra Varie en fonction de la configuration 2 facteurs
Microsoft Entra Connect TCP 443 (HTTPS) Serveur Windows 2012 R2/2016 (AD FS) : /adfs/* système d’authentification Microsoft Entra Varie en fonction de la configuration 2 facteurs

Pour plus d’informations sur ces informations, consultez Présentation approfondie : Fonctionnement de l’authentification hybride, Démystification et résolution des problèmes de flux de messagerie hybride : quand un message est-il interne ?, Routage de transport dans les déploiements hybrides Exchange, Configurer le flux de courrier à l’aide de connecteurs et Gérer le flux de courrier avec des boîtes aux lettres dans plusieurs emplacements (Exchange Online et localement).

Les outils et services suivants sont utiles lorsque vous configurez des déploiements hybrides avec l’Assistant Configuration hybride :

  • Conseiller de migration de messagerie : fournit des instructions pas à pas pour configurer un déploiement hybride entre votre organization local et Microsoft 365 ou Office 365, ou migrer complètement vers Microsoft 365 ou Office 365.

    Pour plus d’informations , consultez Utiliser le conseiller de migration de messagerie.

  • Outil Analyseur de connectivité à distance : l’outil Analyseur de connectivité à distance Microsoft vérifie la connectivité externe de votre organization Exchange local et vérifie que vous êtes prêt à configurer votre déploiement hybride. Nous vous recommandons vivement de vérifier votre organisation locale à l'aide de l'outil Analyseur de connectivité à distance avant de configurer votre déploiement hybride via l'Assistant Configuration hybride.

    Pour plus d'informations, consultez la rubrique Analyseur de connectivité à distance Microsoft

  • Authentification unique : l’authentification unique permet aux utilisateurs d’accéder aux organisations locales et Exchange Online avec un nom d’utilisateur et un mot de passe uniques. Elle offre aux utilisateurs une expérience d'authentification familière et permet aux administrateurs de contrôler facilement les stratégies de compte pour les boîtes aux lettres de l'organisation Exchange Online à l'aide des outils de gestion Active Directory locaux.

    Vous disposez de deux options lors du déploiement de l'authentification unique : la synchronisation de mot de passe et les services ADFS (Active Directory Federation Services). Les deux options sont fournies par Microsoft Entra Connect. La synchronisation de mot de passe permet à pratiquement n'importe quelle organisation, indépendamment de sa taille, d'implémenter facilement l'authentification unique. Pour cette raison, et étant donné que l’expérience utilisateur dans un déploiement hybride est nettement meilleure avec l’authentification unique activée, nous vous recommandons vivement de l’implémenter. Pour les très grandes organisations, telles que celles comportant plusieurs forêts Active Directory devant rejoindre le déploiement hybride, ADFS (Active Directory Federation Services) est requis.

    Pour plus d'informations, voir : Authentification unique avec les déploiements hybrides.