將 AD FS 宣告式驗證用於 Outlook Web App 和 EAC

  • 發行項

適用于:Exchange Server 2013 SP1

摘要

針對內部部署 Exchange 2013 Service Pack 1 (SP1) 部署,安裝和設定 Active Directory Federation Services (AD FS) 表示您現在可以使用 AD FS 宣告式驗證連線到 Outlook Web App 和 EAC。 您可以整合 AD FS 和宣告型驗證與 Exchange 2013 SP1。 使用宣告式驗證時會取代傳統驗證方法,這些方法包括:

  • Windows 驗證
  • 表單驗證
  • 摘要驗證
  • 基本驗證
  • Active Directory 用戶端憑證驗證

驗證程序可確認使用者的身分。 進行驗證可確認使用者是否為其聲稱的身分。 宣告式身分識別是另一種驗證方式。 在此情況下,宣告型驗證會移除應用程式 (的驗證管理,Outlook Web App和 EA) ,藉由集中驗證來更輕鬆地管理帳戶。 Outlook Web App 和 EAC 不負責驗證使用者、儲存使用者帳戶和密碼、查閱使用者身分識別詳細資料,或與其他身分識別系統整合。 集中進行驗證可讓日後要升級為其他驗證方法時更為方便。

注意事項

裝置的 OWA 不支援 AD FS 宣告式驗證。

AD FS 有多個版本可供使用 (如下表所彙總)。

Windows Server 版本 安裝 AD FS 版本
Windows Server 2008 R2 下載並安裝 AD FS 2.0,這是附加元件 Windows 元件。 AD FS 2.0
Windows Server 2012 安裝 內建 AD FS 伺服器角色。 AD FS 2.1
Windows Server 2012 R2 安裝 內建 AD FS 伺服器角色。 AD FS 3.0

您將在此處執行的工作取決於含有 AD FS 角色服務的 Windows Server 2012 R2。

必要步驟的概觀

步驟 1 - 檢閱 AD FS 的憑證需求

步驟 2 - 安裝並設定 Active Directory Federation Services (AD FS)

步驟 3 - 為 Outlook Web App 和 EAC 建立信賴憑證者信任和自訂宣告規則

步驟 4 - 安裝 Web 應用程式 Proxy 角色服務 (選用)

步驟 5 - 設定 Web 應用程式 Proxy 角色服務 (選擇性)

步驟 6 - 使用 Web 應用程式 Proxy (選擇性) 發佈Outlook Web App和 EAC

步驟 7 - 設定 Exchange 2013 使用 AD FS 驗證

步驟 8 - 在 OWA 和 ECP 虛擬目錄上啟用 AD FS 驗證

步驟 9 - 重新開機或回收 INTERNET Information Services (IIS)

步驟 10 - 測試 Outlook Web App 和 EAC 的 AD FS 宣告

您可能想要知道的其他資訊

開始前需要瞭解什麼?

  • 您至少需要安裝不同的 Windows Server 2012 R2 伺服器:一部作為使用 Active Directory 網域服務 (AD DS) 的網域控制站、一部作為 Exchange 2013 伺服器、一部作為 Web 應用程式 Proxy 伺服器、一部作為 Active Directory Federation Services (AD FS) 伺服器。 確認已安裝所有更新。

  • 在您組織中適當數目的 Windows Server 2012 R2 伺服器上安裝 AD DS。 您也可以使用伺服器管理員>Dashboard的通知,將此伺服器升級為網域控制站

  • 為您的組織安裝適當數目的 Client Access Server 和 Mailbox Server。 確認已在您組織中的所有 Exchange 2013 伺服器上安裝所有更新 (包括 SP1)。 若要下載 SP1,請參閱 更新 Exchange 2013

  • 在伺服器上部署 Web 應用程式 Proxy 時,需要本機系統管理員權限。 您必須先在組織中執行 Windows Server 2012 R2 的伺服器上部署 AD FS,才能部署 Web 應用程式 Proxy。

  • 安裝並設定 AD FS 角色,以及在 Windows Server 2012 R2 上建立信賴憑證者信任和宣告規則。 若要進行這項作業,您需要使用屬於 Domain Admins、Enterprise Admins 或本機 Administrators 群組成員的使用者帳戶進行登入。

  • 參閱功能權限,以判斷 Exchange 2013 的必要權限。

  • 您必須獲指派 Outlook Web App 的管理權限。 若要查看您需要哪些許可權,請參閱用戶端和行動裝置許可權主題中的「Outlook Web App許可權」專案。

  • 您必須獲指派 EAC 的管理權限。 To see what permissions you need, see the "Exchange admin center connectivity" entry in the Exchange and Shell infrastructure permissions topic.

  • 您可能只能使用命令介面來執行某些程序。 若要了解如何在內部部署 Exchange 組織中開啟命令介面,請參閱Open the Shell

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。

步驟 1 - 檢閱 AD FS 的憑證需求

憑證扮演保護 Exchange 2013 SP1 伺服器、網頁用戶端 (例如 Outlook Web App) 與 EAC、Windows Server 2012 R2 伺服器 (包括 Active Directory Federation Services (AD FS) 伺服器和 Web 應用程式 Proxy 伺服器) 之間通訊安全性的重要角色。 憑證需求會視您要設定 AD FS 伺服器、AD FS Proxy 還是 Web 應用程式 Proxy 伺服器而不同。 用於 AD FS 服務的憑證 (包括 SSL 和權杖簽署憑證) 必須匯入至所有 Exchange、AD FS 和 Web 應用程式 Proxy 伺服器上的信任根憑證授權單位存放區。 當您使用 Set-OrganizationConfig Cmdlet 時,所匯入憑證的指紋也會用於 Exchange 2013 SP1 伺服器。

在任何 AD FS 設計中,必須使用各種憑證來保護網際網路和 AD FS 伺服器上使用者之間的通訊安全。 每個同盟伺服器都必須要有服務通訊憑證或安全通訊端層 (SSL) 憑證和權杖簽署憑證,AD FS 伺服器、Active Directory 網域控制站和 Exchange 2013 伺服器才能進行通訊和驗證。 請根據安全性和預算需求,謹慎考慮公用 CA 或企業 CA 將取得您的哪種憑證。 如果您想要安裝和設定企業根 CA 或從屬 CA,則可以使用 Active Directory 憑證服務 (AD CS)。 如果您想要深入了解 AD CS,請參閱 Active Directory 憑證服務概觀

雖然 AD FS 不需要 CA 所發行的憑證,但是 AD FS 用戶端必須信任 SSL 憑證 (預設也用作服務通訊憑證的 SSL 憑證)。 建議您不要使用自我簽署憑證。 同盟伺服器會使用 SSL 憑證來保護與網頁用戶端和同盟伺服器 Proxy 之 SSL 通訊的 Web 服務流量。 因為用戶端電腦必須信任 SSL 憑證,所以建議您使用信任 CA 所簽署的憑證。 您選取的所有憑證都必須有對應的私密金鑰。 在您接收到來自 CA (企業或公用) 的憑證之後,請確定所有憑證都是匯入至所有伺服器上的信任根憑證授權單位存放區。 您可以使用 [憑證] MMC 嵌入式管理單元將憑證匯入至存放區,或使用 Active Directory 憑證服務來發佈憑證。 重要的是,如果您匯入的憑證過期,則請手動匯入另一個有效的憑證。

重要事項

如果您使用來自 AD FS 的自我簽署權杖簽署憑證,必須在所有 Exchange 2013 伺服器上將此憑證匯入至信任根憑證授權單位存放區。 如果未使用自我簽署權杖簽署憑證,並部署 Web 應用程式 Proxy,則您必須更新 Web 應用程式 Proxy 組態和所有 AD FS 信賴憑證者信任中的公開金鑰。

設定 Exchange 2013 SP1、AD FS 和 Web 應用程式 Proxy 時,請遵循下列憑證建議:

  • 信箱伺服器:安裝 Exchange 2013 時,信箱伺服器上使用的憑證是自我簽署憑證。 因為所有用戶端都是透過 Exchange 2013 Client Access Server 連線到 Exchange 2013 Mailbox Server,所以唯一需要管理的憑證就是 Client Access Server 上的憑證。

  • 用戶端存取伺服器:需要用於服務通訊的 SSL 憑證。 如果現有 SSL 憑證已包括用來設定信賴憑證者信任端點的 FQDN,則不需要其他憑證。

  • AD FS:AD FS 需要兩種類型的憑證:

    • 用於服務通訊的 SSL 憑證

      • 主體名稱: adfs.contoso.com (AD FS 部署名稱)
      • 主體替代名稱 (SAN):無

    • 權杖簽署憑證

      • 主體名稱: tokensigning.contoso.com
      • 主體替代名稱 (SAN):無

    注意事項

    當您取代 AD FS 上的權杖簽署憑證時,必須更新任何現有信賴憑證者信任,以使用新的權杖簽署憑證。

  • Web 應用程式 Proxy

    • 用於服務通訊的 SSL 憑證

      • 主體名稱: owa.contoso.com
      • 主體替代名稱 (SAN):無

      注意事項

      如果您的 Web 應用程式 Proxy 外部 URL 與內部 URL 相同,則可以在此重複使用 Exchange 的 SSL 憑證。

      • AD FS Proxy SSL 憑證

        • 主體名稱: adfs.contoso.com (AD FS 部署名稱)
        • 主體替代名稱 (SAN):無

      • 權杖簽署憑證 - 這會在下列步驟時從 AD FS 自動複製過來。 如果使用此憑證,則您組織中的 Exchange 2013 伺服器必須信任它。

如需憑證的詳細資訊,請參閱 AD FS 需求 中的憑證需求一節。

注意事項

即使您有 AD FS 的 SSL 憑證,Outlook Web App 和 EAC 還是需要 SSL 加密憑證。 SSL 憑證會用於 OWA 和 ECP 虛擬目錄上。

步驟 2 - 安裝並設定 Active Directory Federation Services (AD FS)

Windows Server 2012 R2 中的 AD FS 提供簡化、安全的身分識別同盟和網頁單一登入 (SSO) 功能。 AD FS 包括一種啟用瀏覽器型 Web SSO、多重要素和宣告式驗證的同盟服務。 AD FS 使用宣告式驗證和存取授權機制來維護應用程式安全性,以簡化系統和應用程式存取。

若要在 Windows Server 2012 R2 上安裝 AD FS:

  1. 開啟 [開始] 畫面上的 [伺服器管理員],或桌面的工作列上的 [伺服器管理員]。 按一下 [管理] 功能表上的 [新增角色及功能]

  2. [開始之前] 頁面上,按 [下一步]

  3. [選取安裝類型] 頁面上,按一下 [角色型或功能型安裝],然後按 [下一步]

  4. [選取目的地伺服器] 頁面上,按一下 [從伺服器集區選取伺服器],並驗證已選取本機電腦,然後按 [下一步]

  5. [選取伺服器角色] 頁面上,按一下 [Active Directory Federation Services],然後按 [下一步]

  6. [選取功能] 頁面上,按 [下一步]。 已為您選取需要的必要條件或功能。 您不需要選取其他任何功能。

  7. [Active Directory Federation Service (AD FS)] 頁面上,按 [下一步]

  8. [確認安裝選項] 頁面上,核取 [必要時自動重新啟動目的地伺服器],然後按一下 [安裝]

    注意事項

    請不要在安裝程序期間關閉精靈。

安裝所需的 AD FS 伺服器並產生所需的憑證之後,必須設定 AD FS,然後測試 AD FS 的運作是否正確。 您也可以使用這裡的檢查清單,協助您設定 AD FS:檢查清單:設定同盟伺服器

若要設定 Active Directory Federation Services:

  1. [安裝進度] 頁面上,於 [Active Directory Federation Services] 下的視窗中,按一下 [設定此伺服器上的同盟服務]。 [Active Directory Federation Service 組態精靈] 隨即開啟。

  2. [歡迎使用] 頁面上,按一下 [在同盟伺服器陣列中建立第一部同盟伺服器],然後按 [下一步]

  3. [連線至 AD DS] 頁面上,指定具有此電腦所加入之正確 Active Directory 網域的網域系統管理員權限的帳戶,然後按 [下一步]。 如果您需要選取不同的使用者,請按一下 [變更]

  4. [指定服務屬性] 頁面上執行下列動作,然後按 [下一步]

    • 匯入先前取自 AD CS 或公用 CA 的 SSL 憑證。 此憑證是必要的服務驗證憑證。 請瀏覽至 SSL 憑證的位置。 如需建立和匯入 SSL 憑證的詳細資料,請參閱伺服器憑證

    • 輸入同盟服務的名稱 (例如,輸入 adfs.contoso.com) 。

    • 若要提供同盟服務的顯示名稱,請輸入您的組織名稱 (例如 Contoso, Ltd.) 。

  5. [指定服務帳戶] 頁面上,選取 [使用現有網域使用者帳戶或群組受管理服務帳戶],然後指定在建立網域控制站時所建立的 GMSA 帳戶 (FsGmsa)。 請包括帳戶密碼,然後按 [下一步]

    注意事項

    全域受管理服務帳戶 (GMSA) 是設定網域控制站時必須建立的帳戶。 在 AD FS 安裝和組態期間需要 GMSA 帳戶。 如果您尚未建立此帳戶,請執行下列 Windows PowerShell 命令。 它會建立 contoso.com 網域和 AD FS 伺服器的帳戶:

  6. 執行下列指令:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

  7. 此範例會為名為 adfs.contoso.com 的同盟服務建立名為 FsGmsa 的新 GMSA 帳戶。 同盟服務名稱是用戶端可見的值。

    New-ADServiceAccount FsGmsa -DNSHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com

  8. [指定組態資料庫] 頁面上,選取 [使用 Windows Internal Database 在此伺服器上建立資料庫],然後按 [下一步]

  9. [檢閱選項] 頁面上,驗證組態選取項目。 您可以選擇性地使用 [檢視指令碼] 按鈕來自動進行其他 AD FS 安裝。 按 [下一步]

  10. [必要條件檢查] 頁面上,確認已順利完成所有必要條件檢查,然後按一下 [設定]

  11. [安裝進度] 頁面上,確認已正確安裝所有項目,然後按一下 [關閉]

  12. [結果] 頁面上檢閱結果,並檢查是否順利完成組態,然後按一下 [完成同盟服務部署所需的後續步驟]

下列Windows PowerShell命令會執行與前述步驟相同的動作。

Import-Module ADFS

Install-AdfsFarm -CertificateThumbprint 0E0C205D252002D535F6D32026B6AB074FB840E7 -FederationServiceDisplayName "Contoso Corporation" -FederationServiceName adfs.contoso.com -GroupServiceAccountIdentifier "contoso\FSgmsa`$"

如需詳細資料和語法,請參閱 Install-AdfsFarm

若要確認安裝:在 AD FS 伺服器上開啟網頁瀏覽器,然後流覽至同盟中繼資料的 URL (例如, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml) 。

步驟 3 - 為 Outlook Web App 和 EAC 建立信賴憑證者信任和自訂宣告規則

對於您想要透過 Web 應用程式 Proxy發佈的所有應用程式和服務,您必須在 AD FS 伺服器上設定信賴憑證者信任。 如果部署具有多個使用不同命名空間的 Active Directory 網站,則必須為每個命名空間新增 Outlook Web App 和 EAC 的信賴憑證者信任。

EAC 會使用 ECP 虛擬目錄。 您可以使用 Get-EcpVirtualDirectorySet-EcpVirtualDirectory Cmdlet,來檢視或設定 EAC 的設定。 若要存取 EAC,您必須使用網頁瀏覽器,並移至 http://server1.contoso.com/ecp

注意事項

在以下顯示的 URL 範例中包含尾端斜線 / 是刻意的。 請務必確保 AD FS 信賴憑證者信任和 Exchange 物件 URI 的完全相同。 這表示 AD FS 信賴憑證者信任和 Exchange 物件 URI 都應該在其 URL 中 同時發出同時發出 結尾斜線。 本節中的範例包含 / 以 /owa/) 或 「ecp」 結尾為 /ecp/) (的任何 URL 之後 (的結尾 。

針對 Outlook Web App,若要使用 Windows Server 2012 R2 中的 [AD FS 管理] 嵌入式管理單元來建立信賴憑證者信任:

  1. [伺服器管理員] 中,按一下 [工具],然後選取 [AD FS 管理]

  2. [AD FS 嵌入式管理單元][AD FS\信任關係] 中,於 [信賴憑證者信任] 上按一下滑鼠右鍵,然後按一下 [新增信賴憑證者信任] 以開啟 [新增信賴憑證者信任] 精靈。

  3. [歡迎使用] 頁面上,按一下 [開始]

  4. [選取資料來源] 頁面上,按一下 [手動輸入信賴憑證者相關資料],然後按 [下一步]

  5. 在 [指定顯示名稱]頁面的 [顯示名稱] 方塊中,輸入Outlook Web App,然後在 [附注] 底下,輸入此信賴憑證者信任的描述 (例如這是) 的信任 https://mail.contoso.com/owa/,然後按 [下一步]

  6. [選擇設定檔] 頁面上,按一下 [AD FS 設定檔],然後按 [下一步]

  7. [設定憑證] 頁面上,按 [下一步]

  8. [設定 URL] 頁面上,按一下 [啟用 WS-同盟被動通訊協定的支援],然後按一下 [信賴憑證者 WS-同盟被動通訊協定 URL] ( type https://mail.contoso.com/owa/ 下的 [下一步]

  9. [設定識別碼] 頁面上,指定此信賴憑證者的一個或多個識別碼,並按一下 [新增] 將它們新增至清單,然後按 [下一步]

  10. [是否立即設定多重要素驗證?] 頁面上,選取 [設定此信賴憑證者信任的多重要素驗證設定]

  11. [設定多重要素驗證] 頁面上,確認已選取 [目前不想要設定此信賴憑證者信任的多重要素驗證設定],然後按 [下一步]

  12. [選擇發行授權規則] 頁面上,選取 [允許所有使用者存取此信賴憑證者],然後按 [下一步]

  13. [準備好新增信任] 頁面上檢閱設定,然後按 [下一步] 儲存信賴憑證者信任資訊。

  14. [完成] 頁面上,確認未選取 [在關閉精靈時開啟此信賴憑證者信任的編輯宣告規則對話方塊],然後按一下 [關閉]

若要為 EAC 建立信賴憑證者信任,您必須再次執行這些步驟,並建立第二個信賴憑證者信任,但不要將Outlook Web App放在顯示名稱中,而是輸入EAC。 針對描述,輸入 這是 Exchange 系統管理中心的信任,而信賴 憑證者WS-Federation被動通訊協定 URLhttps://mail.contoso.com/ecp

在宣告式身分識別模型中,作為同盟服務的 Active Directory Federation Services (AD FS) 的功能是發出含有一組宣告的權杖。 宣告規則可控管與 AD FS 所發出宣告相關的決策。 宣告規則和所有伺服器組態資料都是儲存在 AD FS 組態資料庫中。

您必須建立兩個宣告規則:

  • Active Directory 使用者 SID
  • Active Directory UPN

若要新增必要的宣告規則:

  1. [伺服器管理員] 中,按一下 [工具],然後按一下 [AD FS 管理]

  2. 在主控台樹狀目錄的 [AD FS\信任關係] 下,按一下 [宣告提供者信任][信賴憑證者信任],然後按一下 Outlook Web App 的信賴憑證者信任。

  3. [信賴憑證者信任] 視窗中,於 Outlook Web App 信任上按一下滑鼠右鍵,然後按一下 [編輯宣告規則]

  4. [編輯宣告規則] 視窗的 [發行轉換規則] 索引標籤上,按一下 [新增規則] 啟動 [新增轉換宣告規則精靈]。

  5. [選取規則範本] 頁面的 [宣告規則範本] 下,選取清單中的 [使用自訂規則傳送宣告],然後按 [下一步]

  6. [設定規則] 頁面的 [選擇規則類型] 步驟中,於 [宣告規則名稱] 下輸入宣告規則的名稱。 使用宣告規則的描述性名稱 (例如 ActiveDirectoryUserSID) 。 在 [自訂規則] 下,為此規則輸入下列宣告規則語言語法:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

  7. [設定規則] 頁面上,按一下 [完成]

  8. [編輯宣告規則] 視窗的 [發行轉換規則] 索引標籤上,按一下 [新增規則] 啟動 [新增轉換宣告規則精靈]。

  9. [選取規則範本] 頁面的 [宣告規則範本] 下,選取清單中的 [使用自訂規則傳送宣告],然後按 [下一步]

  10. [設定規則] 頁面的 [選擇規則類型] 步驟上,於 [宣告規則名稱] 下輸入宣告規則的名稱。 使用宣告規則的描述性名稱 (例如 ActiveDirectoryUPN) 。 在 [自訂規則] 下,為此規則輸入下列宣告規則語言語法:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

  11. 按一下 [完成]

  12. [編輯宣告規則] 視窗中,按一下 [套用],然後按一下 [確定]

  13. 針對 EAC 信賴憑證者信任,重複此程式的步驟 3-12。

或者,您可以使用下Windows PowerShell建立轉送方信任和宣告規則:

  1. 建立兩個 .txt 檔案 IssuanceAuthorizationRules.txt 和 IssuanceTransformRules.txt。

  2. 將其內容匯入至兩個變數。

  3. 執行下列兩個 Cmdlet,以建立信賴憑證者信任。 在此範例中,這也會設定宣告規則。

IssuanceAuthorizationRules.txt 包含:

@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");

IssuanceTransformRules.txt 包含:

@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

@RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

執行下列命令:

[string]$IssuanceAuthorizationRules=Get-Content -Path C:\IssuanceAuthorizationRules.txt

[string]$IssuanceTransformRules=Get-Content -Path c:\IssuanceTransformRules.txt

Add-ADFSRelyingPartyTrust -Name "Outlook Web App" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/owa/" -WSFedEndpoint https://mail.contoso.com/owa/ -Identifier https://mail.contoso.com/owa/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

Add-ADFSRelyingPartyTrust -Name "Exchange admin center (EAC)" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/ecp/" -WSFedEndpoint https://mail.contoso.com/ecp/ -Identifier https://mail.contoso.com/ecp/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

步驟 4 - 安裝 Web 應用程式 Proxy 角色服務 (選用)

注意事項

步驟 4、步驟 5 和步驟 6 適用于想要使用 Web 應用程式 Proxy發佈 Exchange OWA 和 ECP,以及想要讓 Web 應用程式 Proxy執行 AD FS 驗證的使用者。 不過,不需要發佈具有 Web 應用程式 Proxy的 Exchange,因此如果您不使用 Web 應用程式 Proxy,而且您想要 Exchange 自行執行 AD FS 驗證,則可以跳至步驟 7。

Web 應用程式 Proxy 是 Windows Server 2012 R2 中的新遠端存取角色服務。 Web 應用程式 Proxy 可為企業網路內的 Web 應用程式提供反向 Proxy 功能,以允許使用者透過多種裝置從企業網路外部存取這些應用程式。 Web 應用程式 Proxy 會使用 Active Directory Federation Services (AD FS) 來預先驗證 Web 應用程式存取,並當成 AD FS Proxy 來運作。 雖然不需要 Web 應用程式 Proxy,但是若外部用戶端可存取 AD FS 則建議使用。 不過,透過 Web 應用程式 Proxy 使用 AD FS 驗證時,Outlook Web App 中不支援離線存取。 參閱安裝和設定用於發佈內部應用程式的 Web 應用程式 Proxy,即可尋找與 Web 應用程式 Proxy 進行整合有關的詳細資訊。

警告

您無法在已安裝 AD FS 的相同伺服器上安裝 Web 應用程式 Proxy。

若要部署 Web 應用程式 Proxy,您必須在將用作 Web 應用程式 Proxy 伺服器的伺服器上,安裝具有 Web 應用程式 Proxy 角色服務的遠端存取伺服器角色。 若要安裝 Web 應用程式 Proxy 角色服務:

  1. 在 Web 應用程式 Proxy 伺服器上,於 [伺服器管理員] 中按一下 [管理],然後按一下 [新增角色及功能]

  2. 在 [新增角色及功能精靈] 中,按三次 [下一步],以到達 [伺服器角色] 頁面。

  3. [伺服器角色] 頁面上,選取清單中的 [遠端存取],然後按 [下一步]

  4. [功能] 頁面上,按 [下一步]

  5. 閱讀 [遠端存取] 頁面上的資訊,然後按 [下一步]

  6. [角色服務] 頁面上,選取 [Web 應用程式 Proxy]。 然後,在 [新增角色及功能精靈] 視窗中按一下 [新增功能],接著再按 [下一步]

  7. [確認] 視窗中,按一下 [安裝]。 您也可以核取 [必要時自動重新啟動目的地伺服器]

  8. [安裝進度] 對話方塊中,確認安裝成功,然後按一下 [關閉]

下列 Windows PowerShell Cmdlet 的作用與先前的步驟相同。

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

步驟 5 - 設定 Web 應用程式 Proxy 角色服務 (選擇性)

您必須將 Web 應用程式 Proxy 設定為連線到 AD FS 伺服器。 請針對想要部署為 Web 應用程式 Proxy 伺服器的所有伺服器重複此程序。

若要設定 Web 應用程式角色服務:

  1. 在 Web 應用程式 Proxy 伺服器上,於 [伺服器管理員] 中按一下 [工具],然後按一下 [遠端存取管理]

  2. [組態] 窗格中,按一下 [Web 應用程式 Proxy]

  3. [遠端存取管理] 主控台的中間窗格中,按一下 [執行 Web 應用程式 Proxy 組態精靈]

  4. 在 [Web 應用程式 Proxy 組態精靈] 的 [歡迎使用] 對話方塊中,按 [下一步]

  5. [同盟伺服器] 頁面上執行下列動作,然後按 [下一步]

    • 在 [ 同盟服務名稱] 方塊中,輸入 AD FS 伺服器 (的完整功能變數名稱 (FQDN) ,例如 ,adfs.contoso.com) 。

    • [使用者名稱][密碼] 方塊中,輸入 AD FS 伺服器上本機系統管理員帳戶的認證。

  6. [AD FS Proxy 憑證] 對話方塊中,於目前安裝於 Web 應用程式 Proxy 伺服器之憑證的清單中,選取 Web 應用程式 Proxy 要用於 AD FS Proxy 功能的憑證,然後按 [下一步]。 您在這裡選擇的憑證應該是主旨為同盟服務名稱的憑證,例如, adfs.contoso.com) (。

  7. [確認] 對話方塊中檢閱設定。 必要時,您可以複製 Windows PowerShell Cmdlet,以自動進行其他安裝。 按一下 [設定]

  8. [結果] 對話方塊中,確認組態成功,然後按一下 [關閉]

下列 Windows PowerShell Cmdlet 的作用與先前的步驟相同。

Install-WebApplicationProxy -CertificateThumprint 1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b -FederationServiceName adfs.contoso.com

步驟 6 - 使用 Web 應用程式 Proxy (選用) 發佈Outlook Web App和 EAC

在步驟 3 中,您已建立適用于 Outlook Web App 和 EAC 的宣告轉送合作物件信任,而您現在需要發佈這兩個應用程式。 但是在發佈這兩個應用程式之前,請確認已為它們建立信賴憑證者信任,並確認您在 Web 應用程式 Proxy 伺服器上的憑證適用於 Outlook Web App 和 EAC。 針對需要由 Web 應用程式 Proxy 發佈的所有 AD FS 端點,您必須在 [AD FS 管理] 主控台中將端點設為 [Proxy 啟用]

依照步驟,使用 Web 應用程式 Proxy 來發佈 Outlook Web App。 對 EAC 重複這些步驟。 當您發佈 EAC 時,需要變更名稱、外部 URL、外部憑證和後端 URL。

若要使用 Web 應用程式 Proxy 來發佈 Outlook Web App 和 EAC:

  1. 在 Web 應用程式 Proxy 伺服器上,於 [遠端存取管理] 主控台的 [瀏覽] 窗格中,按一下 [Web 應用程式 Proxy],然後按一下 [工作] 窗格中的 [發佈]

  2. 在 [發佈新的應用程式精靈] 的 [歡迎使用] 頁面上,按 [下一步]

  3. [預先驗證] 頁面上,按一下 [Active Directory Federation Services (AD FS)],然後按 [下一步]

  4. [信賴憑證者] 頁面上,於信賴憑證者清單中選取想要發佈之應用程式的信賴憑證者,然後按 [下一步]

  5. [發佈設定] 頁面上,執行下列動作,然後按 [下一步]

    1. [名稱] 方塊中,輸入易記的應用程式名稱。 此名稱只用於 [遠端存取管理主控台] 的已發佈應用程式清單中。 您可以使用 OWAEAC 作為名稱。

    2. 在 [外部 URL]方塊中,輸入此應用程式的外部 URL (例如, https://external.contoso.com/owa/ Outlook Web App和 https://external.contoso.com/ecp/ EAC) 。

    3. [外部憑證] 清單中,選取其主體名稱符合外部 URL 之主機名稱的憑證。

    4. [後端伺服器 URL] 方塊中,輸入後端伺服器的 URL。 請注意,當您輸入外部 URL 時,會自動輸入此值,而且只有在後端伺服器 URL 不同 (,例如 https://mail.contoso.com/owa/ ,針對 Outlook Web App 和 https://mail.contoso.com/ecp/ EAC) ,才應該變更它。

    注意事項

    Web Application Proxy can translate host names in URLs but cannot translate paths. Therefore, you can enter different host names, but you must enter the same path. 例如,您可以輸入 的 https://external.contoso.com/app1/ 外部 URL 和 的 https://mail.contoso.com/app1/ 後端伺服器 URL。 不過,您無法輸入 的 https://external.contoso.com/app1/ 外部 URL 和 的 https://mail.contoso.com/internal-app1/ 後端伺服器 URL。

  6. [確認] 頁面上檢閱設定,然後按一下 [發佈]。 您可以複製 Windows PowerShell 命令來設定其他已發佈的應用程式。

  7. [結果] 頁面上,確定已順利發佈應用程式,然後按一下 [關閉]

下列 Windows PowerShell Cmdlet 所執行的工作與先前的 Outlook Web App 程序相同。

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/owa/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/owa/' -Name 'OWA' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Outlook Web App'

下列 Windows PowerShell Cmdlet 所執行的工作與先前的 EAC 程序相同。

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/ecp/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/ecp/' -Name 'EAC' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Exchange admin center'

完成這些步驟之後,Web 應用程式 Proxy會為Outlook Web App和 EAC 用戶端執行 AD FS 驗證,而且也會代表他們 Proxy 連線至 Exchange。 您不需要設定 Exchange 本身進行 AD FS 驗證,因此請繼續進行步驟 10 以測試您的設定。

步驟 7 - 設定 Exchange 2013 使用 AD FS 驗證

在設定要對 Exchange 2013 中的 Outlook Web App 和 EAC 的宣告式驗證使用 AD FS 時,您必須針對 Exchange 組織啟用 AD FS。 您必須使用 Set-OrganizationConfig Cmdlet 設定組織的 AD FS 設定:

  • 將 AD FS 簽發者設為 https://adfs.contoso.com/adfs/ls/

  • 將 AD FS URI 設為 https://mail.contoso.com/owa/https://mail.contoso.com/ecp/

  • 在 AD FS 伺服器上使用 Windows PowerShell 並輸入 Get-ADFSCertificate -CertificateType "Token-signing" ,以尋找 AD FS 權杖簽署憑證指紋。 然後,指派找到的權杖簽署憑證指紋。 如果 AD FS 權杖簽署憑證已過期,則必須使用 Set-OrganizationConfig Cmdlet 更新來自新 AD FS 權杖簽署憑證的指紋。

在 Exchange 管理命令介面中執行下列命令。

$uris = @("https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/")
Set-OrganizationConfig -AdfsIssuer "https://adfs.contoso.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"

注意事項

這些案例不支援 -AdfsEncryptCertificateThumbprint 參數。

如需詳細資料和語法,請參閱 Set-OrganizationConfigGet-ADFSCertificate

步驟 8 - 在 OWA 和 ECP 虛擬目錄上啟用 AD FS 驗證

針對 OWA 和 ECP 虛擬目錄,啟用 AD FS 驗證作為唯一的驗證方法,並停用其他所有形式的驗證。

警告

您必須先設定 ECP 虛擬目錄,再設定 OWA 虛擬目錄。

使用 Exchange 管理命令介面,設定 ECP 虛擬目錄。 在 Shell 視窗中,執行下列命令。

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

使用 Exchange 管理命令介面,設定 OWA 虛擬目錄。 在 Shell 視窗中,執行下列命令。

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

注意事項

先前的 Exchange 管理命令介面命令會在組織的每個 Client Access Server 上設定 OWA 和 ECP 虛擬目錄。 如果您不想將這些設定套用至所有用戶端存取伺服器,請使用 -Identity 參數並指定 Client Access 伺服器。 您可能只想要將這些設定套用至組織中網際網路對向的 Client Access Server。

如需詳細資料和語法,請參閱 Get-OwaVirtualDirectorySet-OwaVirtualDirectoryGet-EcpVirtualDirectorySet-EcpVirtualDirectory

步驟 9 - 重新開機或回收 INTERNET Information Services (IIS)

在您完成所有必要步驟之後 (包括變更 Exchange 虛擬目錄),便需要重新啟動 Internet Information Services。 若要進行這項作業,您可以使用下列其中一種方法:

  • 使用 Windows PowerShell:

    Restart-Service W3SVC,WAS -force

  • 使用命令列:按一下 [ 開始],按一下 [ 執行],輸入 IISReset /noforce ,然後按一下 [ 確定]

  • 使用 Internet Information Server (IIS) Manager:在[伺服器管理員>IIS] 中,按一下 [工具],然後按一下 [INTERNET Information Services (IIS) Manager]。 在 [Internet Information Servers (IIS) 管理員] 視窗中,於 [管理伺服器] 下的動作窗格中,按一下 [重新啟動]

步驟 10 - 測試 Outlook Web App 和 EAC 的 AD FS 宣告

若要測試 Outlook Web App 的 AD FS 宣告:

  • 在網頁瀏覽器中,登入Outlook Web App (例如) https://mail.contoso.com/owa

  • 在瀏覽器視窗中,如果您收到憑證錯誤,請仍繼續前往 Outlook Web App 網站。 您應該重新導向至 ADFS 登入頁面或 ADFS 提示輸入認證。

  • 輸入您的使用者名稱 (網域\使用者) 和密碼,然後按一下 [ 登入]

Outlook Web App會載入視窗中。

若要測試 EAC 的 AD FS 宣告:

  1. 在您的網頁瀏覽器中,移至 https://mail.contoso.com/ecp

  2. 在瀏覽器視窗中,如果您收到憑證錯誤,請仍繼續前往 ECP 網站。 您應該重新導向至 ADFS 登入頁面或 ADFS 提示輸入認證。

  3. 輸入您的使用者名稱 (網域\使用者) 和密碼,然後按一下 [ 登入]

  4. EAC 應該就會在視窗中載入。

您可能想要知道的其他資訊

多重要素驗證

針對內部部署 Exchange 2013 SP1 部署,使用宣告來部署和設定 Active Directory Federation Services (AD FS) 2.0,即表示 Exchange 2013 SP1 中的 Outlook Web App 和 EAC 可以支援多重要素驗證方法 (例如憑證型驗證、驗證或安全性權杖,以及指紋驗證)。 雙重要素驗證常與其他形式的驗證混淆。 多重要素驗證需要使用三種驗證要素的其中兩個。 這些要素如下:

  • 使用者才會知道的資訊 (例如,密碼、PIN 或模式)

  • 使用者才會擁有的物件 (例如,ATM 卡、安全性權杖、智慧卡或行動電話)

  • 使用者才會有的特質 (例如,指紋等生物特徵)

如需 Windows Server 2012 R2 中多重要素驗證的詳細資料,請參閱概觀:透過其他多重要素驗證管理機密應用程式的風險逐步解說指南:透過其他多重要素驗證管理機密應用程式的風險

在 Windows Server 2012 R2 AD FS 角色服務中,同盟服務會作為安全性權杖服務、提供與宣告搭配使用的安全性權杖,以及可讓您支援多重要素驗證。 同盟服務會根據現有的認證來發出權杖。 帳戶存放區驗證使用者的認證之後,會根據信任原則規則來產生使用者的宣告,並將此宣告新增至向用戶端簽發的安全性權杖。 如需宣告的詳細資訊,請參閱了解宣告

Co-Existing其他版本的 Exchange

當您在組織中部署多個版本的 Exchange 時,可以針對Outlook Web App和 EAC 使用 AD FS 驗證。 只有 Exchange 2010 和 Exchange 2013 部署才支援此案例,而且只有在所有用戶端都透過 Exchange 2013 伺服器連線, 且這些 Exchange 2013 伺服器已設定 AD FS 驗證時才支援。

在 Exchange 2010 Server 上具有信箱的使用者,可以透過設定 AD FS 驗證的 Exchange 2013 伺服器來存取其信箱。 Exchange 2013 伺服器的初始用戶端連線將會使用 AD FS 驗證。 不過,與 Exchange 2010 伺服器的 Proxy 連線將會使用 Kerberos。 沒有支援的方法可設定 2010 Exchange Server直接 AD FS 驗證。