Comment configurer l'authentification moderne hybride dans Exchange sur site

Avant de configurer HMA, confirmez que votre déploiement hybride est correctement configuré et vérifiez les méthodes d'authentification actuelles. Cette étape garantit que vous avez la base nécessaire pour l'authentification moderne.

Get-HybridConfiguration | Select-Object Identity, OnPremisesSmartHost, Domains
Get-OrganizationConfig | Select-Object OAuth2ClientProfileEnabled, DefaultAuthenticationPolicy

Vérifiez votre version d'Exchange et le niveau de mise à jour cumulative :

Get-ExchangeServer | Select-Object Name, AdminDisplayVersion, ServerRole

Vérifiez que les URL externes sont correctement configurées :

Get-WebServicesVirtualDirectory | Select-Object Server, ExternalUrl
Get-AutodiscoverVirtualDirectory | Select-Object Server, ExternalUrl
Get-OwaVirtualDirectory | Select-Object Server, ExternalUrl

Vérification : Toutes les URL externes doivent utiliser HTTPS et être accessibles depuis Internet. Testez en accédant à votre URL Autodiscover de l'extérieur.

HMA exige que vos URL Exchange sur site soient enregistrées en tant que noms principaux de service (SPN) dans Azure. Cela permet à Microsoft Entra ID de délivrer des jetons pour vos services sur site.

Tout d'abord, identifiez votre application EvoSTS dans Azure :

Connect-AzureAD
Get-AzureADServicePrincipal -Filter "DisplayName eq 'Microsoft Exchange Online'"

Obtenez vos URL actuelles de répertoire virtuel Exchange :

$OwaUrl = (Get-OwaVirtualDirectory | Where-Object {$_.ExternalUrl}).ExternalUrl.AbsoluteUri
$EwsUrl = (Get-WebServicesVirtualDirectory | Where-Object {$_.ExternalUrl}).ExternalUrl.AbsoluteUri
$AutodiscoverUrl = (Get-AutodiscoverVirtualDirectory | Where-Object {$_.ExternalUrl}).ExternalUrl.AbsoluteUri

Write-Host "OWA URL: $OwaUrl"
Write-Host "EWS URL: $EwsUrl" 
Write-Host "Autodiscover URL: $AutodiscoverUrl"

Ajoutez ces URL en tant que SPN au principal de service EvoSTS dans le portail Azure :

1. Accédez au portail Azure > Microsoft Entra ID > Applications d'entreprise
2. Recherchez "Microsoft Exchange Online" ou "EvoSTS"
3. Sélectionnez l'application et allez dans Propriétés
4. Ajoutez vos URL Exchange (OWA, EWS, Autodiscover) à la liste des noms principaux de service

Vérification : Exécutez Get-AzureADServicePrincipal -ObjectId [EvoSTS-ObjectId] | Select-Object ServicePrincipalNames pour confirmer que vos URL sont listées.

Configurez Exchange pour utiliser des jetons OAuth 2.0 de Microsoft Entra ID au lieu de l'authentification de base. C'est l'étape principale de la configuration HMA.

Définissez le serveur d'autorisation comme point de terminaison par défaut :

Get-AuthServer | Where-Object {$_.Name -like "EvoSts*"} | Set-AuthServer -IsDefaultAuthorizationEndpoint $true

Activez le profil client OAuth 2.0 pour l'organisation :

Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Pour Exchange 2016 CU18+ ou Exchange 2019 CU7+, configurez également le proxy entrant OAuth :

Set-OrganizationConfig -OAuth2OnPremisesInboundProxyEnabled $true

Si vous utilisez OWA, configurez les domaines de téléchargement pour inclure votre URL externe :

$ExternalDomain = ([System.Uri](Get-OwaVirtualDirectory | Where-Object {$_.ExternalUrl}).ExternalUrl).Host
Set-OrganizationConfig -DownloadDomains $ExternalDomain

Réinitialisez IIS sur tous les serveurs Exchange :

Get-ExchangeServer | Where-Object {$_.ServerRole -match "ClientAccess|Mailbox"} | ForEach-Object {Invoke-Command -ComputerName $_.Name -ScriptBlock {iisreset}}

Vérification : Exécutez Get-OrganizationConfig | Select-Object OAuth2ClientProfileEnabled, OAuth2OnPremisesInboundProxyEnabled pour confirmer que les deux paramètres affichent True.

Mettez à jour vos répertoires virtuels Exchange pour prendre en charge l'authentification moderne tout en désactivant les méthodes d'authentification héritées. Cette étape garantit que les clients utilisent des jetons OAuth au lieu de l'authentification de base.

Configurez les répertoires virtuels OWA pour l'authentification moderne :

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -LogonFormat Username -FormsAuthentication $false -BasicAuthEnabled $false -WindowsAuthentication $false -OAuthAuthentication $true

Configurez les répertoires virtuels EWS :

Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -BasicAuthEnabled $false -WindowsAuthentication $false -OAuthAuthentication $true

Configurez les répertoires virtuels ActiveSync (si utilisés) :

Get-ActiveSyncVirtualDirectory | Set-ActiveSyncVirtualDirectory -BasicAuthEnabled $false -WindowsAuthentication $false

Configurez les répertoires virtuels MAPI :

Get-MapiVirtualDirectory | Set-MapiVirtualDirectory -IISAuthenticationMethods @('OAuth')

Pour Autodiscover, assurez-vous qu'il prend en charge les deux méthodes pendant la transition :

Get-AutodiscoverVirtualDirectory | Set-AutodiscoverVirtualDirectory -BasicAuthEnabled $true -WindowsAuthentication $true -OAuthAuthentication $true

Vérification : Vérifiez les méthodes d'authentification sur tous les répertoires virtuels :

Get-OwaVirtualDirectory | Select-Object Server, BasicAuthEnabled, OAuthAuthentication
Get-WebServicesVirtualDirectory | Select-Object Server, BasicAuthEnabled, OAuthAuthentication

Vérifiez que l'authentification OAuth fonctionne correctement entre votre Exchange sur site et Microsoft Entra ID. Cette étape confirme le flux d'authentification avant l'activation pour les utilisateurs en production.

Testez la connectivité OAuth à EWS :

$TestMailbox = "testuser@yourdomain.com"
$EwsUrl = (Get-WebServicesVirtualDirectory | Where-Object {$_.ExternalUrl}).ExternalUrl.AbsoluteUri
Test-OAuthConnectivity -Service EWS -TargetUri $EwsUrl -Mailbox $TestMailbox -Verbose

Testez la connectivité OAuth à Autodiscover :

$AutodiscoverUrl = (Get-AutodiscoverVirtualDirectory | Where-Object {$_.ExternalUrl}).ExternalUrl.AbsoluteUri
Test-OAuthConnectivity -Service AutoDiscover -TargetUri $AutodiscoverUrl -Mailbox $TestMailbox -Verbose

Vérifiez la configuration du serveur d'authentification :

Get-AuthServer | Where-Object {$_.Name -like "EvoSts*"} | Select-Object Name, Enabled, IsDefaultAuthorizationEndpoint, AuthMetadataUrl

Vérifiez la configuration OAuth de l'organisation :

Get-OrganizationConfig | Select-Object OAuth2ClientProfileEnabled, OAuth2OnPremisesInboundProxyEnabled, DownloadDomains

Testez depuis une machine cliente en utilisant PowerShell avec une authentification moderne :

$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri "https://yourdomain.com/PowerShell/" -Authentication Basic -Credential $UserCredential -AllowRedirection
Import-PSSession $Session

Vérification : Les tests OAuth réussis devraient afficher le statut "PASS". Vérifiez le Visualiseur d'événements sur les serveurs Exchange pour les événements d'authentification (ID d'événement 1309 pour un OAuth réussi).

Avec HMA activé, configurez des stratégies d'accès conditionnel dans Microsoft Entra ID pour appliquer l'AMF pour l'accès à Exchange sur site. Cela fournit les avantages de sécurité qui ont motivé la mise en œuvre de HMA.

Créez une stratégie d'accès conditionnel dans le portail Azure :

1. Accédez à Microsoft Entra ID > Sécurité > Accès conditionnel
2. Cliquez sur "Nouvelle stratégie" et nommez-la "Exchange On-Premises MFA"
3. Sous Attributions > Utilisateurs, sélectionnez les groupes ou utilisateurs qui accèdent à Exchange sur site
4. Sous Applications cloud ou actions > Sélectionner des applications, choisissez "Office 365 Exchange Online"
5. Sous Conditions > Applications clientes, sélectionnez "Clients Exchange ActiveSync" et "Autres clients"
6. Sous Contrôles d'accès > Accorder, sélectionnez "Accorder l'accès" et cochez "Exiger l'authentification multifacteur"

Vérifiez que les méthodes AMF sont configurées pour les utilisateurs :

Connect-MsolService
Get-MsolUser -UserPrincipalName "testuser@yourdomain.com" | Select-Object UserPrincipalName, StrongAuthenticationMethods

Testez l'application de l'AMF en vous connectant à OWA :

Start-Process "https://yourdomain.com/owa"

Configurez des mots de passe spécifiques aux applications pour les clients hérités si nécessaire :

Set-MsolUser -UserPrincipalName "user@yourdomain.com" -StrongPasswordRequired $true

Surveillez l'authentification dans les journaux de connexion Azure :

1. Allez à Microsoft Entra ID > Journaux de connexion
2. Filtrez par Application : "Office 365 Exchange Online"
3. Cherchez "Authentification héritée" dans la colonne Application cliente

Vérification : Les utilisateurs devraient être invités à l'AMF lors de l'accès à OWA ou de la configuration d'Outlook. Vérifiez les journaux de connexion Azure pour confirmer que l'authentification moderne est utilisée (l'application cliente affiche "Navigateur" ou "Applications mobiles et clients de bureau" au lieu de "Authentification héritée").

Complétez la mise en œuvre de HMA en désactivant complètement les méthodes d'authentification héritées et en validant que tous les clients utilisent une authentification moderne. Cette étape maximise les avantages de sécurité.

Désactiver l'authentification de base sur Autodiscover (étape finale) :

Get-AutodiscoverVirtualDirectory | Set-AutodiscoverVirtualDirectory -BasicAuthEnabled $false -WindowsAuthentication $false

Créer une politique d'authentification pour bloquer l'authentification héritée :

New-AuthenticationPolicy -Name "Block Legacy Auth" -AllowBasicAuthActiveSync:$false -AllowBasicAuthAutodiscover:$false -AllowBasicAuthImap:$false -AllowBasicAuthMapi:$false -AllowBasicAuthOfflineAddressBook:$false -AllowBasicAuthOutlookService:$false -AllowBasicAuthPop:$false -AllowBasicAuthPowershell:$false -AllowBasicAuthReportingWebServices:$false -AllowBasicAuthRest:$false -AllowBasicAuthRpc:$false -AllowBasicAuthSmtp:$false -AllowBasicAuthWebServices:$false

Appliquer la politique d'authentification à toutes les boîtes aux lettres :

Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuthenticationPolicy "Block Legacy Auth"

Vérifiez qu'aucune méthode d'authentification héritée n'est activée :

Get-OwaVirtualDirectory | Select-Object Server, BasicAuthEnabled, WindowsAuthentication, OAuthAuthentication
Get-WebServicesVirtualDirectory | Select-Object Server, BasicAuthEnabled, WindowsAuthentication, OAuthAuthentication
Get-ActiveSyncVirtualDirectory | Select-Object Server, BasicAuthEnabled, WindowsAuthentication

Exécutez un test de connectivité complet :

$TestUsers = @("user1@yourdomain.com", "user2@yourdomain.com")
foreach ($User in $TestUsers) {
    Write-Host "Testing $User" -ForegroundColor Green
    Test-OAuthConnectivity -Service EWS -TargetUri $EwsUrl -Mailbox $User
    Test-OAuthConnectivity -Service AutoDiscover -TargetUri $AutodiscoverUrl -Mailbox $User
}

Générez un rapport de sécurité montrant les méthodes d'authentification :

Get-Mailbox -ResultSize Unlimited | Select-Object DisplayName, AuthenticationPolicy | Export-Csv "C:\Temp\HMA-Status.csv" -NoTypeInformation

Vérification : Tous les répertoires virtuels doivent afficher BasicAuthEnabled:False et OAuthAuthentication:True. Les journaux de connexion Azure ne doivent montrer aucune entrée "Authentification héritée" pour l'accès Exchange. Testez avec plusieurs types de clients (Outlook desktop, mobile, OWA) pour vous assurer que l'authentification moderne fonctionne dans tous les scénarios.