Usar a autenticação baseada em declarações do AD FS com Outlook na Web

Instalar e configurar Serviços de Federação do Active Directory (AD FS) (AD FS) em organizações Exchange Server permite que os clientes usem a autenticação baseada em declarações do AD FS para se conectar a Outlook na Web (anteriormente conhecida como Outlook Web App) e o Centro de administração do Exchange (EAC). A identidade baseada em declarações é outra abordagem para a autenticação que remove o gerenciamento de autenticação do aplicativo e facilita o gerenciamento de contas centralizando a autenticação. Quando a autenticação baseada em declarações está habilitada, Outlook na Web e o EAC não são responsáveis por autenticar usuários, armazenar contas de usuário e senhas, pesquisar detalhes da identidade do usuário ou integrar-se a outros sistemas de identidade. Centralizar a autenticação ajuda a facilitar a atualização dos métodos de autenticação no futuro.

A autenticação baseada em declarações do AD FS substitui os métodos tradicionais de autenticação disponíveis para Outlook na Web e o EAC. Por exemplo:

  • Autenticação de certificados de cliente
  • Autenticação básica
  • Autenticação resumida
  • Autenticação de formulários
  • autenticação

Configurar a autenticação baseada em declarações do AD FS para Outlook na Web e o EAC no Exchange Server envolve os seguintes servidores adicionais:

  • Um controlador de domínio do Windows Server 2012 ou posterior (Active Directory Domain Services função de servidor).

  • Um servidor AD FS do Windows Server 2012 ou posterior (Serviços de Federação do Active Directory (AD FS) função de servidor). O Windows Server 2012 usa o AD FS 2.1 e o Windows Server 2012 R2 usa o AD FS 3.0. Você precisa ser membro do grupo de segurança administradores de domínio, administradores corporativos ou administradores locais para instalar o AD FS e criar as regras de declaração e confiança de parte confiável necessárias no servidor do AD FS.

  • Opcionalmente, um servidor web Proxy de Aplicativo do Windows Server 2012 R2 ou posterior (função de servidor de acesso remoto, serviço de função Proxy de Aplicativo Web).

    • Web Proxy de Aplicativo é um servidor proxy reverso para aplicativos Web que estão dentro da rede corporativa. O web Proxy de Aplicativo permite que usuários em muitos dispositivos acessem aplicativos Web publicados de fora da rede corporativa. Para obter mais informações, consulte Instalando e configurando Proxy de Aplicativo Web para publicar aplicativos internos.

    • Embora o Proxy de Aplicativo da Web normalmente seja recomendado quando o AD FS está acessível a clientes externos, o acesso offline no Outlook na Web não tem suporte ao usar a autenticação do AD FS por meio da Web Proxy de Aplicativo.

    • Instalar Proxy de Aplicativo Web em um servidor Windows Server 2012 R2 requer permissões de administrador local.

    • Você precisa implantar e configurar o servidor do AD FS antes de configurar o servidor web Proxy de Aplicativo e não é possível instalar o Web Proxy de Aplicativo no mesmo servidor em que o AD FS está instalado.

Do que você precisa saber para começar?

  • Tempo estimado para concluir este procedimento: 45 minutos.

  • Os procedimentos neste tópico são baseados no Windows Server 2012 R2.

  • O Outlook na Web para dispositivos não é compatível com a autenticação baseada em declarações.

  • Para os procedimentos na organização exchange, você precisa ter permissões de Gerenciamento de Organização.

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Etapa 1: examinar os requisitos de certificado do AD FS

O AD FS requer dois tipos básicos de certificados:

  • Um certificado SSL (Camada de Soquetes Seguros) de comunicação de serviço para tráfego de serviços Web criptografados entre o servidor do AD FS, clientes, servidores exchange e o servidor Proxy de Aplicativo Web opcional. Recomendamos que você use um certificado emitido por uma autoridade de certificação interna ou comercial (AC), pois todos os clientes precisam confiar nesse certificado.

  • Um certificado de assinatura de token para comunicação criptografada e autenticação entre o servidor AD FS, controladores de domínio do Active Directory e servidores do Exchange. Recomendamos que você use o certificado de assinatura de token AD FS autoassinado padrão.

Para obter mais informações sobre como criar e importar certificados SSL no Windows, consulte Certificados do Servidor.

Aqui está um resumo dos certificados que usaremos neste cenário:

Nome comum (CN) no certificado (no Assunto, Nome Alternativo do Assunto ou uma correspondência de certificado curinga) Tipo Obrigatório em servidores Comments
adfs.contoso.com Emitido por uma AC Servidor AD FS

Servidor Proxy de Aplicativo Web

Esse é o nome do host que está visível para os clientes, portanto, os clientes precisam confiar no emissor desse certificado.
ADFS Signing - adfs.contoso.com Autoassinado Servidor AD FS

Servidores do Exchange

Servidor Proxy de Aplicativo Web

O certificado autoassinado padrão é copiado automaticamente durante a configuração do servidor Proxy de Aplicativo Web opcional, mas você precisará importá-lo manualmente para o repositório certificado raiz confiável em todos os servidores do Exchange em sua organização.

Por padrão, os certificados de assinatura de token autoassinado são válidos por um ano. O servidor AD FS está configurado para renovar automaticamente (substituir) seus certificados autoassinados antes de expirarem, mas você precisará importar novamente o certificado nos servidores do Exchange.

Você pode aumentar o período de expiração de certificado padrão executando esse comando em Windows PowerShell no servidor AD FS: Set-AdfsProperties -CertificateDuration <Days> (o valor padrão é 365). Para obter mais informações, consulte Set-AdfsProperties.

Para exportar o certificado do console de Gerenciamento do AD FS, selecioneCertificados> de Serviço> com o botão direito do mouse no certificado > de assinatura de token, selecione Exibir Certificado> clique na guia >Detalhes clique em Copiar para Arquivo.

mail.contoso.com Emitido por uma AC Servidores do Exchange

Servidor Proxy de Aplicativo Web

Esse é o certificado típico usado para criptografar conexões externas do cliente com Outlook na Web (e provavelmente outros serviços do Exchange IIS). Para saber mais, confira Requisitos de certificado para serviços Exchange.

Para obter mais informações, consulte a seção "Requisitos de certificado" nos Requisitos do AD FS.

Observação

Estamos substituindo o protocolo SSL pelo protocolo TLS como o protocolo usado para criptografar dados enviados entre os sistemas de computador. Eles estão estreitamente relacionados, de modo que os termos "SSL" e "TLS" (sem versões) geralmente são intercambiáveis. Devido a essa semelhança, as referências ao "SSL" em tópicos do Exchange, o Centro de administração do Exchange e o Shell de Gerenciamento do Exchange tem sido usados frequentemente para abranger os protocolos SSL e TLS. Normalmente, o "SSL" se refere ao protocolo SSL real somente quando uma versão também é fornecida (por exemplo, SSL 3.0). Para descobrir porque você deve desabilitar o protocolo SSL e alternar para TLS, confira o artigo Proteger você contra a vulnerabilidade do SSL 3.0.

Etapa 2: Implantar um servidor do AD FS

Você pode usar Gerenciador do Servidor ou Windows PowerShell para instalar o serviço de função Serviços de Federação do Active Directory (AD FS) no servidor de destino.

Para usar Gerenciador do Servidor para instalar o AD FS, siga estas etapas:

  1. No servidor de destino, abra Gerenciador do Servidor, clique em Gerenciar e selecione Adicionar Funções e Recursos.

    Em Gerenciador do Servidor, clique em Gerenciar para chegar a Adicionar Funções e Recursos.

  2. O Assistente de Adicionar Funções e Recursos é aberto. Você começará na página Antes de começar , a menos que tenha selecionado ignorar essa página por padrão. Clique em Próximo.

    A página

  3. Na página Selecionar tipo de instalação , verifique se a instalação baseada em função ou de recurso está selecionada e clique em Avançar.

    A página 'Selecionar servidor de destino' no Assistente de Adicionar Funções e Recursos.

  4. Na página Selecionar servidor de destino , verifique a seleção do servidor e clique em Avançar.

    A página 'Selecionar servidor de destino' no Assistente de Adicionar Funções e Recursos.

  5. Na página Selecionar funções de servidor, selecione Serviços de Federação do Active Directory (AD FS) na lista e clique em Avançar.

    Selecione 'Serviços de Federação do Active Directory (AD FS)' na página 'Selecionar funções de servidor' no Assistente adicionar funções e recursos.

  6. Na página Selecionar recursos , clique em Avançar (aceite as seleções de recursos padrão).

    Clique em Avançar na página 'Selecionar recursos' no Assistente de Adicionar Funções e Recursos.

  7. Na página Serviços de Federação do Active Directory (AD FS) (AD FS), clique em Avançar.

    A página 'Serviços de Federação do Active Directory (AD FS)' no Assistente de Adicionar Funções e Recursos.

  8. Somente no Windows Server 2012: na página Selecionar serviços de função , clique em Avançar (aceite as seleções padrão do serviço de função).

  9. Na página Confirmar seleções de instalação , clique em Instalar.

    A página 'Confirmar seleções de instalação' no Assistente de Adicionar Funções e Recursos.

  10. Na página Progresso da instalação, você pode watch a barra de progresso para verificar se a instalação foi bem-sucedida. Quando a instalação for concluída, deixe o assistente aberto para que você possa clicar em Configurar o serviço de federação neste servidor na Etapa 3b: configurar o servidor AD FS.

Assista ao progresso na página

Para usar Windows PowerShell para instalar o AD FS, execute o seguinte comando:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Etapa 3: configurar e testar o servidor AD FS

Você também pode consultar esta lista de verificação para ajudá-lo a configurar o AD FS: Checklist: Configurando um servidor de federação.

Etapa 3a: criar um gMSA em um controlador de domínio

Antes de configurar o servidor do AD FS, você precisa criar uma gMSA (conta de serviço gerenciada) em um controlador de domínio do Windows Server 2012 ou posterior. Você faz isso em uma janela de Windows PowerShell elevada no controlador de domínio (uma janela Windows PowerShell que você abre selecionando Executar como administrador).

  1. Execute o seguinte comando:

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    

    Se o comando for bem-sucedido, um valor GUID será retornado. Por exemplo:

    Guid
    ----
    2570034b-ab50-461d-eb80-04e73ecf142b

  2. Para criar uma nova conta gMSA para o servidor AD FS, use a seguinte sintaxe:

    New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
    

    Este exemplo cria uma nova conta gMSA chamada FSgMSA para o Serviço de Federação chamado adfs.contoso.com. O nome do Serviço de Federação é o valor visível para os clientes.

    New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
    

Etapa 3b: configurar o servidor AD FS

Para configurar o servidor do AD FS, você pode usar Gerenciador do Servidor ou Windows PowerShell.

Para usar Gerenciador do Servidor, siga estas etapas:

  1. Se você deixou o Assistente de Adicionar Funções e Recursos aberto no servidor AD FS da Etapa 2: Implantar um servidor do AD FS, você poderá clicar em Configurar o serviço de federação neste link do servidor na página Progresso da instalação .

    Clique em

    Se você fechou o Assistente de Adicionar Funções e Recursos ou usou Windows PowerShell para instalar o AD FS, você poderá chegar ao mesmo lugar em Gerenciador do Servidor clicando em Notificações e, em seguida, clicar em Configurar o serviço de federação neste servidor no aviso configuração pós-implantação.

    Em Gerenciador do Servidor, clique em Notificações para ver o aviso que contém o link para Configurar o serviço de fedration neste servidor.

  2. O Assistente de Serviços de Federação do Active Directory (AD FS) é aberto. Na página Bem-vindo , verifique Se criar o primeiro servidor de federação em um farm de servidores de federação está selecionado e clique em Avançar.

    A página Bem-vindo no Assistente de Configuração Serviços de Federação do Active Directory (AD FS).

  3. Na página Conectar a Serviços de Federação do Active Directory (AD FS), selecione uma conta de administrador de domínio no domínio em que reside o servidor do AD FS (suas credenciais atuais são selecionadas por padrão). Se precisar selecionar um usuário diferente, clique em Alterar. Ao terminar, clique em Avançar.

    A página Conectar-se ao AD DS no Assistente de Configuração do Serviços de Federação do Active Directory (AD FS).

  4. Na página Especificar Propriedades de Serviço , configure as seguintes configurações:

    • Certificado SSL: importar ou selecionar o certificado SSL que contém o nome do serviço de federação configurado na Etapa 3a: criar um gMSA em um controlador de domínio (por exemplo adfs.contoso.com). Quando você importa um certificado que ainda não está instalado no servidor, você precisa importar um arquivo .pfx (provavelmente, um arquivo protegido por senha que contém a chave privada do certificado). O valor cn (nome comum) no campo Assunto do certificado é exibido aqui.

    • Nome do Serviço de Federação: esse campo é preenchido automaticamente com base no tipo de certificado SSL que você seleciona ou importa:

      • Certificado de assunto único: o valor CN do campo Assunto do certificado é exibido e você não pode alterá-lo (por exemplo, adfs.contoso.com).

      • Certificado SAN: se o certificado contiver o nome do serviço de federação necessário, esse valor será exibido (por exemplo, adfs.contoso.com). Você pode usar a lista suspensa para ver outros valores CN no certificado.

      • Certificado curinga: o valor CN do campo Assunto do certificado é exibido (por exemplo, *.contoso.com), mas você precisa alterá-lo para o nome do serviço de federação necessário (por exemplo, adfs.contoso.com).

      Observação: se o certificado selecionado não contiver o nome do serviço de federação necessário (o campo Nome do Serviço de Federação não contém o valor necessário), você receberá o seguinte erro:

      The federation service name does not match any of the subject names found in the certificate.

    • Nome da Exibição do Serviço de Federação: insira o nome da sua organização. Por exemplo, Contoso, Ltd..

    Ao terminar, clique em Avançar.

    A página Especificar Propriedades de Serviço no Assistente de Configuração Serviços de Federação do Active Directory (AD FS).

  5. Na página Especificar Conta de Serviço , configure as seguintes configurações:

    • Selecione Usar uma conta de usuário de domínio existente ou uma conta de serviço gerenciada de grupo.

    • Nome da conta: clique em Selecionar e insira a conta gMSA que você criou na Etapa 3a: Criar um gMSA em um controlador de domínio (por exemplo, FSgMSA). Observe que, depois de selecioná-lo, o valor exibido é <Domain>\<gMSAAccountName>$ (por exemplo, CONTOSO\FSgMSA$).

    Ao terminar, clique em Avançar.

    A página Especificar Conta de Serviço no Assistente de Configuração Serviços de Federação do Active Directory (AD FS).

  6. Na página Especificar Banco de Dados de Configuração , verifique se Criar um banco de dados neste servidor usando o Banco de Dados Interno do Windows está selecionado e clique em Avançar.

    A página Especificar Banco de Dados de Configuração no Assistente de Configuração Serviços de Federação do Active Directory (AD FS).

  7. Na página Opções de Revisão , verifique suas seleções. Você pode clicar no botão Exibir Script para copiar o Windows PowerShell equivalente às seleções que você fez para uso futuro. Ao terminar, clique em Avançar.

    A página Opções de Revisão no Assistente de Configuração Serviços de Federação do Active Directory (AD FS).

  8. Na página Verificações de pré-requisito , verifique se todas as verificações de pré-requisito foram concluídas com êxito e clique em Configurar.

    A página Verificação de pré-requisito no Assistente de Configuração do Serviços de Federação do Active Directory (AD FS).

  9. Na página Resultados , examine os resultados, verifique se a configuração foi concluída com êxito. Você pode clicar nas próximas etapas necessárias para concluir a implantação do serviço de federação se quiser ler sobre as próximas etapas (por exemplo, configurar o DNS). Quando terminar, clique em Fechar.

    A página Resultados no Assistente de Configuração Serviços de Federação do Active Directory (AD FS).

Para usar Windows PowerShell para configurar o AD FS, siga estas etapas:

  1. Execute o seguinte comando no servidor do AD FS para localizar o valor da impressão digital do certificado instalado que contém adfs.contoso.com:

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Execute o seguinte comando:

    Import-Module ADFS
    
  3. Use a seguinte sintaxe:

    Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>
    

Este exemplo configura o AD FS com as seguintes configurações:

  • adfs.contoso.com impressão digital do certificado: o *.contoso.com certificado que tem o valor 5AE82C737900B29C2BAC3AB6D8C44D249EE05609da impressão digital .

  • Nome do serviço de federação: adfs.contoso.com

  • Nome da exibição do serviço de federação: Contoso, Ltd.

  • Nome e domínio da conta sam gMSA de federação: por exemplo, para a conta gMSA nomeada FSgMSA no contoso.com domínio, o valor necessário é contoso\FSgMSA$.

Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"

Observações:

  • Quando você cria o gMSA, o $ é acrescentado automaticamente ao valor Name para criar o valor SamAccountName , que é necessário aqui.

  • O caractere de escape (''') é necessário para o $ no SamAccountName.

Para obter detalhes e saber sobre a sintaxe, consulte Install-AdfsFarm.

Etapa 3c: testar o servidor do AD FS

Depois de configurar o AD FS, você pode verificar a instalação no servidor do AD FS abrindo com êxito a URL dos metadados de federação em um navegador da Web. A URL usa a sintaxe https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml. Por exemplo, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

Etapa 4: criar uma confiança de parte confiável e regras de declaração personalizadas no AD FS para Outlook na Web e no EAC

  • No servidor exchange, Outlook na Web usa o diretório virtual nomeado owa e o EAC usa o diretório virtual chamado ecp.

  • A barra à direita (/) usada nos valores de URL de Outlook na Web e EAC é intencional. É importante que os fundos de parte confiável do AD FS e os do URI do Exchange Audience sejam idênticos. Ambos devem ter ou ambos devem omitir as barras à direita em suas URLs. Os exemplos nesta seção contêm as barras à direita após as URLs owa e ecp (owa/ e ecp/).

  • Em organizações com vários sites do Active Directory que usam namespaces separados (por exemplo, eu.contoso.com e na.contoso.com), você precisa configurar confianças de partes confiáveis para cada namespace para Outlook na Web e o EAC.

Etapa 4a: criar trusts de partes confiáveis no AD FS para Outlook na Web e o EAC

Para criar as confianças de parte confiável no servidor do AD FS, você pode usar o console de gerenciamento do AD FS ou Windows PowerShell.

Para usar o console de Gerenciamento do AD FS para criar os trusts de parte confiável, siga estas etapas:

Observação: você precisa passar por essas etapas duas vezes: uma para Outlook na Web e outra para o EAC. A única diferença são os valores que você insere nas etapas 5 e 8 ( especificar nome de exibição e configurar páginas de URL no assistente).

  1. Em Gerenciador de Servidor, clique em Ferramentas e, em seguida, selecione Gerenciamento do AD FS.

    Em Gerenciador do Servidor, selecione Gerenciamento de Ferramentas > do AD FS.

  2. No console de Gerenciamento do AD FS, expanda Relações de Confiança e selecione Confiabilidade de Parte Confiável. No painel Ações , selecione Adicionar Confiança de Parte Confiável.

    No console de Gerenciamento do AD FS, expanda Relações de Confiança e selecione Adicionar Confiança de Parte Confiável no painel Ação.

  3. O Assistente de Confiança da Parte Confiável é aberto. Na página Bem-vindo, clique em Iniciar.

    A página De boas-vindas no Assistente de Confiança da Parte Confiável.

  4. Na página Selecionar Fonte de Dados , selecione Inserir dados sobre a parte confiável manualmente e clique em Avançar.

    Detalhes para Outlook na Web na página Selecionar Fonte de Dados no Assistente de Confiança da Parte Confiável.

  5. Na página Especificar Nome de Exibição , configure as seguintes configurações:

    • Para Outlook na Web:

    • Nome de exibição: digite Outlook na Web.

    • Notas: insira uma descrição. Por exemplo, essa é uma confiança para https://mail.contoso.com/owa/.

      A página Especificar Nome de Exibição no Assistente de Confiança da Parte Confiável.

    • Para o EAC:

    • Nome de exibição: Digite EAC.

    • Notas: insira uma descrição. Por exemplo, essa é uma confiança para https://mail.contoso.com/ecp/.

    Detalhes para o EAC na página Selecionar Fonte de Dados no Assistente de Confiança da Parte Confiável.

    Ao terminar, clique em Avançar.

  6. Na página Escolher Perfil , verifique se o perfil do AD FS está selecionado e clique em Avançar.

    A página Escolher Perfil no Assistente de Confiança da Parte Confiável.

  7. Na página Configurar Certificado , clique em Avançar (não especifique um certificado de criptografia de token opcional).

    A página Configurar Certificado no Assistente de Confiança da Parte Confiável.

  8. Na página Configurar URL, selecioneHabilitar suporte para o protocolo passivo WS-Federation e, na URL de protocolo passivo WS-Federation de parte confiável, insira as seguintes informações:

    Ao terminar, clique em Avançar.

    As configurações para o EAC na página Configurar URL no Assistente de Confiança de Parte Confiável.

  9. Na página Configurar Identificadores , clique em Avançar (a URL da etapa anterior está listada em Identificadores de confiança de parte confiável confiável).

    As configurações para Outlook na Web na página Configurar Identificadores no Assistente de Confiança de Parte Confiável.

  10. Na página Configurar Autenticação Multifator Agora? verifique se não quero configurar as configurações de autenticação multifator para essa confiança de parte confiável neste momento e clique em Avançar.

    A Configuração da Autenticação Multifator Agora? página no Assistente de Confiança de Parte Confiável.

  11. Na página Escolher Regras de Autorização de Emissão , verifique Se permitir que todos os usuários acessem essa parte confiável está selecionado e clique em Avançar.

    A página Escolher Regras de Autorização de Emissão no Assistente de Confiança de Parte Confiável.

  12. Na página Pronto para Adicionar Confiança, analise as configurações e clique em Seguinte para salvar as informações da confiança de terceiros confiáveis.

    A página Pronto para Adicionar Confiança no Assistente de Confiança da Parte Confiável.

  13. Na página Concluir , desmarque Abrir a caixa de diálogo Editar Regras de Declaração para essa confiança de parte confiável quando o assistente fechar e clique em Fechar.

    A página Concluir no Assistente de Confiança da Parte Confiável.

Para usar Windows PowerShell prompt para criar os trusts de parte confiável, siga estas etapas:

  1. Em uma janela de Windows PowerShell elevada, execute o seguinte comando:

    Import-Module ADFS
    
  2. Use a seguinte sintaxe:

    Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL | EACURL> -WSFedEndpoint <OotwURL | EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
    

Este exemplo cria uma confiança de parte confiável para Outlook na Web usando os seguintes valores:

Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

Este exemplo cria uma confiança de parte confiável para o EAC usando os seguintes valores:

Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

Etapa 4b: criar regras de declaração personalizadas no AD FS para Outlook na Web e no EAC

Para Outlook na Web e o EAC, você precisa criar duas regras de declaração:

  • SID de usuário

  • UPN

Para criar as regras de declaração no servidor do AD FS, você pode usar o console de Gerenciamento do AD FS ou Windows PowerShell.

Para usar o console de Gerenciamento do AD FS para criar as regras de declaração, siga estas etapas:

Observação: você precisa passar por essas etapas duas vezes: uma para Outlook na Web e outra para eAC. A única diferença é a confiança da parte confiável que você seleciona na primeira etapa. Todos os outros valores no procedimento são idênticos.

Para adicionar as regras de declaração necessárias:

  1. No console de Gerenciamento do AD FS, expanda Relações de Confiançaselecione Confiabilidade de Partes Confiáveis e selecione o Outlook na Web ou a confiança da parte confiável do EAC. No painel Ações , selecione Editar Regras de Declaração.

    No console de Gerenciamento do AD FS, expanda Relações de Confiança, selecione Confiabilidade de Parte Confiável, selecione a confiança da parte confiável e, no painel Ação, clique em Editar Regras de Declaração.

  2. Na janela Editar Regras de Declaração para <RuleName> que é aberta, verifique se a guia Regras de Transformação de Emissão está selecionada e clique em Adicionar Regra.

    Na janela Editar Regras de Declaração, selecione Adicionar Regra na guia Regras de Transformação de Emissão.

  3. O Assistente de Regra de Declaração de Transformação de Adição é aberto. Na página Selecionar Modelo de Regra , clique na lista suspensa Modelo de regra de declaração e selecione Enviar Declarações usando uma regra personalizada. Ao terminar, clique em Avançar.

    Na página Selecionar Modelo de Regra no assistente Adicionar Regra de Declaração de Transformação, selecione Enviar Declarações usando uma regra personalizada.

  4. Na página Configurar Regra , insira as seguintes informações:

    • Nome da regra de declaração: insira um nome descritivo para a regra de declaração. Por exemplo, ActiveDirectoryUserSID.

    • Regra personalizada: copie e cole o seguinte texto:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
      

    Na página Configurar Regra no assistente Adicionar Regra de Declaração de Transformação, configure as configurações de regra de declaração para o SID do Usuário do Active Directory.

    Quando terminar, clique em Concluir.

  5. De volta à janela Editar Regras de Declaração para <RuleName> , verifique se a guia Regras de Transformação de Emissão está selecionada e clique em Adicionar Regra.

    Na janela Editar Regras de Declaração, selecione Adicionar Regra na guia Regras de Transformação de Emissão.

  6. O Assistente de Regra de Declaração de Transformação de Adição é aberto. Na página Selecionar Modelo de Regra , clique na lista suspensa Modelo de regra de declaração e selecione Enviar Declarações usando uma regra personalizada. Ao terminar, clique em Avançar.

    Na página Selecionar Modelo de Regra no assistente Adicionar Regra de Declaração de Transformação, selecione Enviar Declarações usando uma regra personalizada.

  7. Na página Configurar Regra , insira as seguintes informações:

    • Nome da regra de declaração: insira um nome descritivo para a regra de declaração. Por exemplo, ActiveDirectoryUPN.

    • Regra personalizada: copie e cole o seguinte texto:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
      

    Na página Configurar Regra no assistente Adicionar Regra de Declaração de Transformação, configure as configurações de regra de declaração para o UPN do Active Directory.

    Quando terminar, clique em Concluir.

  8. De volta à janela Editar Regras de Declaração para <RuleName> , clique em OK.

    Quando terminar de adicionar regras de declaração, clique em OK.

Para usar Windows PowerShell para criar as regras de declaração personalizadas, siga estas etapas:

  1. Abra uma janela de Windows PowerShell elevada e execute o seguinte comando:

    Import-Module ADFS
    
  2. Use a seguinte sintaxe:

    Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
    

Para criar as regras de declaração personalizadas na confiança de parte confiável existente chamada Outlook na Web, execute o seguinte comando:

Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Para criar as regras de declaração personalizadas na confiança de parte confiável existente chamada EAC, execute o seguinte comando:

Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Etapa 5: (Opcional) Implantar e configurar um servidor Proxy de Aplicativo Web do Windows Server 2012 R2

As etapas nesta seção são necessárias somente se você quiser publicar Outlook na Web e o EAC usando o Web Proxy de Aplicativo, e você deseja que o Web Proxy de Aplicativo execute a autenticação do AD FS. Lembre-se:

  • Você não pode usar o acesso offline no Outlook na Web se usar a autenticação do AD FS por meio do Web Proxy de Aplicativo.

  • Você não pode instalar o Proxy de Aplicativo Web no mesmo servidor em que o AD FS está instalado.

Se você não usar o Proxy de Aplicativo web, pule para a Etapa 6.

Etapa 5a: instalar Proxy de Aplicativo Web

Para usar Gerenciador do Servidor para instalar o Web Proxy de Aplicativo, siga estas etapas:

  1. No servidor de destino, abra Gerenciador do Servidor, clique em Gerenciar e selecione Adicionar Funções e Recursos.

    Em Gerenciador do Servidor, clique em Gerenciar para chegar a Adicionar Funções e Recursos.

  2. O Assistente de Adicionar Funções e Recursos é aberto. Você começará na página Antes de começar , a menos que tenha selecionado ignorar essa página por padrão. Clique em Próximo.

    A página

  3. Na página Selecionar tipo de instalação , verifique se a instalação baseada em função ou de recurso está selecionada e clique em Avançar.

    A página 'Selecionar servidor de destino' no Assistente de Adicionar Funções e Recursos.

  4. Na página Selecionar servidor de destino , verifique a seleção do servidor e clique em Avançar.

    A página 'Selecionar servidor de destino' no Assistente de Adicionar Funções e Recursos.

  5. Na página Selecionar funções de servidor , selecione Acesso Remoto na lista de funções e clique em Avançar.

    Selecione 'Acesso Remoto' na página 'Selecionar funções de servidor' no Assistente de Adicionar Funções e Recursos.

  6. Na página Recursos , clique em Avançar (aceite as seleções de recursos padrão).

    A página 'Selecionar recursos' no Assistente de Adicionar Funções e Recursos.

  7. Na página Acesso Remoto, leia as informações e depois clique em Seguinte.

    Leia as informações na página 'Acesso Remoto' no Assistente de Adicionar Funções e Recursos.

  8. Na página Selecionar serviços de função, selecione Web Proxy de Aplicativo. Na caixa de diálogo adicionar recursos que é aberta, clique em Adicionar Recursos para aceitar os valores padrão e fechar a caixa de diálogo. De volta à página Selecionar serviços de função , clique em Avançar.

    Depois de selecionar o Web Proxy de Aplicativo, a caixa de diálogo 'Adicionar recursos necessários para o Proxy web Applicaiton?' será exibida.

    Selecione Web Proxy de Aplicativo na página

  9. Na página Confirmar seleções de instalação , clique em Instalar.

    X.

  10. Na página Progresso da instalação, watch a barra de progresso para verificar se a instalação foi bem-sucedida. Quando a instalação estiver concluída, deixe o assistente aberto para que você possa clicar em Abrir o Assistente de Proxy de Aplicativo da Web na próxima etapa (5b).

    Clique em

Para usar Windows PowerShell para instalar o Web Proxy de Aplicativo, execute o seguinte comando:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Etapa 5b: configurar o servidor Proxy de Aplicativo Web

Depois de implantar o servidor Proxy de Aplicativo Web, você precisará configurar as seguintes configurações de Proxy de Aplicativo Web:

  • Nome do serviço de federação: por exemplo, adfs.contoso.com.

  • Credencial de confiança do serviço de federação: o nome de usuário e a senha de uma conta de administrador local no servidor do AD FS.

  • Certificado proxy do AD FS: um certificado instalado no servidor web Proxy de Aplicativo que identifica o servidor para clientes como um proxy para o Serviço de Federação e, portanto, contém o nome do serviço de federação (por exemplo, adfs.contoso.com). Além disso, o nome do serviço de federação deve estar acessível ao servidor web Proxy de Aplicativo (resolvível no DNS).

Você pode usar Gerenciador do Servidor ou Windows PowerShell para configurar o servidor Proxy de Aplicativo Web.

Para usar Gerenciador do Servidor para configurar o web Proxy de Aplicativo, siga estas etapas:

  1. Se você deixou o Assistente de Adicionar Funções e Recursos aberto no servidor web Proxy de Aplicativo da etapa anterior, você poderá clicar no link Abrir o Assistente de Proxy de Aplicativo Web na página Progresso da instalação.

    Selecione

    Se você fechou o Assistente de Adicionar Funções e Recursos ou usou Windows PowerShell para instalar o Web Proxy de Aplicativo, você poderá chegar ao mesmo lugar clicando em Notificações e, em seguida, clicar em Abrir o Assistente de Proxy de Aplicativo da Web no aviso de Configuração pós-implantação.

    Em Gerenciador do Servidor, clique em Notificações para ver o aviso que contém o link para Abrir assistente de Proxy de Aplicativo Web.

  2. O Assistente de Configuração do Proxy de Aplicativo Web é aberto. Na página Bem-vindo, clique em Avançar.

    A página Bem-vindo no Assistente de Configuração do Proxy de Aplicativo Web.

  3. Na página Servidor de Federação , insira as seguintes informações:

    • Nome do serviço de federação: por exemplo, adfs.contoso.com.

    • Nome de usuário e Senha: digite as credenciais de uma conta de administrador local no servidor AD FS.

    Ao terminar, clique em Avançar.

    Insira as credenciais do servidor AD FS na página Servidor de Federação no Assistente de Configuração do Proxy de Aplicativo Web.

  4. Na página Certificado de Proxy do AD FS , selecione um certificado instalado que contém o nome do serviço de federação (por exemplo adfs.contoso.com). Você pode selecionar um certificado na lista suspensa e, em seguida, clicar em Exibir>Detalhes para ver mais informações sobre o certificado. Ao terminar, clique em Avançar.

    Selecione o certificado proxy do AD FS na página Certificado de Proxy do AD FS no Assistente de Configuração de Proxy do AD FS.

  5. Na página Confirmação , examine as configurações. Você pode copiar o comando Windows PowerShell para automatizar instalações adicionais (em particular, o valor da impressão digital do certificado). Quando terminar, clique em Configurar.

    A página Confirmação no Assistente de Configuração do Proxy de Aplicativo Web.

  6. Na página Resultados , verifique se a configuração foi bem-sucedida e clique em Fechar.

    A página Resultados no Assistente de Configuração do Proxy de Aplicativo Web.

Para usar Windows PowerShell para configurar Proxy de Aplicativo Web, siga estas etapas:

  1. Execute o seguinte comando no servidor web Proxy de Aplicativo para localizar o valor da impressão digital do certificado instalado que contém adfs.contoso.com:

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Execute o comando a seguir e insira o nome de usuário e a senha de uma conta de administrador local no servidor AD FS.

    $ADFSServerCred = Get-Credential
    
  3. Use a seguinte sintaxe:

    Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>
    

    Este exemplo configura o servidor Proxy de Aplicativo Web com as seguintes configurações:

    • Nome do serviço de federação: adfs.contoso.com

    • Impressão digital do certificado SSL do AD FS: o *.contoso.com certificado que tem o valor 5AE82C737900B29C2BAC3AB6D8C44D249EE05609da impressão digital .

    Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
    

Etapa 5c: publicar as declarações que dependem de fundos partidários para Outlook na Web e o EAC na Web Proxy de Aplicativo

Para publicar os trusts de parte confiável no Web Proxy de Aplicativo, você pode usar o console ou o Windows PowerShell de Gerenciamento de Acesso Remoto.

Para usar o console de Gerenciamento de Acesso Remoto, siga estas etapas:

Observação: você precisa passar por essas etapas duas vezes: uma para Outlook na Web e outra para eAC. As configurações necessárias são descritas no procedimento.

  1. Abra o console de Gerenciamento de Acesso Remoto no servidor web Proxy de Aplicativo: em Gerenciador do Servidor, clique emGerenciamento de Acesso Remotode Ferramentas>.

  2. No console de Gerenciamento de Acesso Remoto, em Configuração, clique em Web Proxy de Aplicativo e, em seguida, no painel Tarefas, clique em Publicar.

    Selecione Publicar no painel Tarefas no Console de Gerenciamento de Acesso Remoto.

  3. O Assistente de Publicação de Novo Aplicativo é aberto. Na página Bem-vindo, clique em Avançar.

    A página Bem-vindo no Assistente de Publicação de Novo Aplicativo no servidor web Proxy de Aplicativo.

  4. Na página Pré-autenticação, verifique se Serviços de Federação do Active Directory (AD FS) (AD FS) está selecionado e clique em Avançar.

    A página Pré-autenticação no Assistente de Publicação de Novo Aplicativo no servidor web Proxy de Aplicativo.

  5. Na página Parte Confiável, selecione a parte confiável que você criou no servidor do AD FS na Etapa 4: Criar uma confiança de parte confiável e regras de declaração personalizadas no AD FS para Outlook na Web e o EAC:

    Selecione a parte confiável na página Da Parte Confiável no Assistente de Publicação de Novo Aplicativo no servidor web Proxy de Aplicativo.

    • Para Outlook na Web: selecione Outlook na Web.

    • Para o EAC: selecione EAC.

    Ao terminar, clique em Avançar.

  6. Na página Configurações de Publicação, insira as seguintes informações:

    • Para Outlook na Web

      • Nome: Por exemplo, Outlook on the web. Esse nome só está visível no console do Gerenciamento de Acesso Remoto.

      • URL externa: por exemplo, https://mail.contoso.com/owa/.

      • Certificado externo: selecione um certificado instalado que contém o nome do host da URL externa para Outlook na Web (por exemplo, mail.contoso.com). Você pode selecionar um certificado na lista suspensa e, em seguida, clicar em Exibir>Detalhes para ver mais informações sobre o certificado.

      • URL do servidor de back-end: esse valor é preenchido automaticamente pela URL Externa. Você só precisará alterá-la se a URL do servidor de back-end for diferente da URL externa. Por exemplo, https://server01.contoso.com/owa/. Observe que os caminhos na URL externa e na URL do servidor de back-end devem corresponder (/owa/), mas os valores do nome do host podem ser diferentes (por exemplo, mail.contoso.com e server01.contoso.com).

      Configurações de publicação para Outlook na Web na página Da Parte Confiável no Assistente de Publicação de Novo Aplicativo no servidor web Proxy de Aplicativo.

    • Para o EAC

      • Nome: Por exemplo, EAC. Esse nome só está visível no console do Gerenciamento de Acesso Remoto.

      • URL externa: a URL externa para o EAC. Por exemplo, https://mail.contoso.com/ecp/.

      • Certificado externo: selecione um certificado instalado que contém o nome do host da URL externa para o EAC (por exemplo, mail.contoso.com). O certificado provavelmente é um certificado curinga ou certificado SAN. Você pode selecionar um certificado na lista suspensa e, em seguida, clicar em Exibir>Detalhes para ver mais informações sobre o certificado.

      • URL do servidor de back-end: esse valor é preenchido automaticamente pela URL Externa. Você só precisará alterá-la se a URL do servidor de back-end for diferente da URL externa. Por exemplo, https://server01.contoso.com/ecp/. Observe que os caminhos na URL externa e na URL do servidor de back-end devem corresponder (/ecp/), mas os valores do nome do host podem ser diferentes (por exemplo, mail.contoso.com e server01.contoso.com).

    Ao terminar, clique em Avançar.

    Configurações de publicação para o EAC na página Da Parte Confiável no Assistente de Publicação de Novo Aplicativo no servidor web Proxy de Aplicativo.

  7. Na página Confirmação , examine as configurações. Você pode copiar o comando Windows PowerShell para automatizar instalações adicionais (em particular, o valor da impressão digital do certificado). Quando terminar, clique em Publicar.

    A página Confirmação no Assistente de Publicação de Novo Aplicativo no servidor Proxy de Aplicativo Web.

  8. Na página Resultados , verifique se o aplicativo foi publicado com êxito e clique em Fechar.

    A página Resultados no Assistente de Publicação de Novo Aplicativo no servidor web Proxy de Aplicativo.

Para usar Windows PowerShell para publicar os trusts da parte confiável, siga estas etapas:

  1. Execute o comando a seguir no servidor web Proxy de Aplicativo para localizar a impressão digital do certificado instalado que contém o nome do host das URLs Outlook na Web e EAC (por exemplo, mail.contoso.com):

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Use a seguinte sintaxe:

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web  | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>
    

    Este exemplo publica Outlook na Web no Web Proxy de Aplicativo com as seguintes configurações:

    • Parte confiável do AD FS: Outlook na Web
    • Nome: Outlook na Web
    • URL externa: https://mail.contoso.com/owa/
    • Impressão digital do certificado externo: o *.contoso.com certificado que tem o valor 5AE82C737900B29C2BAC3AB6D8C44D249EE05609da impressão digital .
    • URL do servidor de back-end: https://mail.contoso.com/owa/
    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/
    

    Este exemplo publica o EAC no Web Proxy de Aplicativo com as seguintes configurações:

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
    

Observação: todos os pontos de extremidade do AD FS que você deseja publicar por meio da Web Proxy de Aplicativo precisam estar habilitados para proxy. Você faz isso no console de Gerenciamento do AD FS emPontos de Extremidade deServiço> (verifique se o Proxy Habilitado é Sim para o ponto de extremidade especificado).

Etapa 6: configurar a organização do Exchange para usar a autenticação do AD FS

Para configurar a organização do Exchange para usar a autenticação do AD FS, você precisa usar o Shell de Gerenciamento do Exchange. Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.

  1. Execute o seguinte comando para localizar o valor da impressão digital do certificado de assinatura de token do AD FS importado:

    Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
    

    Procure o valor CN=ADFS Signing - <FederationServiceName> do Assunto (por exemplo, CN=ADFS Signing - adfs.contoso.com).

    Você pode confirmar esse valor de impressão digital no servidor do AD FS em uma janela de Windows PowerShell elevada executando o comando Import-Module ADFSe executando o comando Get-AdfsCertificate -CertificateType Token-Signing.

  2. Use a seguinte sintaxe:

    Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"
    

    Este exemplo usa os seguintes valores:

    • URL do AD FS: https://adfs.contoso.com/adfs/ls/

    • OUTLOOK NA WEB URL:https://mail.contoso.com/owa/

    • URL do EAC: https://mail.contoso.com/ecp/

    • Impressão digital do certificado de assinatura de token do AD FS: o ADFS Signing - adfs.contoso.com certificado que tem o valor 88970C64278A15D642934DC2961D9CCA5E28DA6Bda impressão digital .

    Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
    

    Observação: não há suporte para o parâmetro AdfsEncryptCertificateThumbprint nesses cenários.

Etapa 7: configurar a autenticação do AD FS nos diretórios virtuais Outlook na Web e EAC

Para os diretórios virtuais Outlook na Web e EAC, você precisa configurar a autenticação do AD FS como o único método de autenticação disponível desabilitando todos os outros métodos de autenticação.

  • Você precisa configurar o diretório virtual do EAC antes de configurar o Outlook na Web diretório virtual.

  • É provável que você queira configurar a autenticação do AD FS somente em servidores do Exchange voltados para a Internet que os clientes usam para se conectar ao Outlook na Web e ao EAC.

  • Por padrão, somente a autenticação Básica e Forms estão habilitadas para os diretórios virtuais Outlook na Web e EAC.

Para usar o Shell de Gerenciamento do Exchange para configurar um EAC ou Outlook na Web diretório virtual para aceitar apenas a autenticação do AD FS, use a seguinte sintaxe:

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Este exemplo configura o diretório virtual do EAC no site padrão no servidor chamado Mailbox01:

Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Este exemplo configura o Outlook na Web diretório virtual no site padrão no servidor chamado Mailbox01:

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Observação: para configurar todos os diretórios virtuais EAC e Outlook na Web em cada servidor do Exchange em sua organização, execute os seguintes comandos:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Etapa 8: reiniciar o IIS no servidor exchange

  1. Abra o Gerenciador do IIS no servidor exchange. Uma maneira fácil de fazer isso no Windows Server 2012 ou posterior é pressionar a tecla do Windows + Q, digitar inetmgr e selecionar o Gerenciador de Serviços de Informações da Internet (IIS) nos resultados.

  2. No Gerenciador do IIS, selecione o servidor.

  3. No painel Ações , clique em Reiniciar.

    No Gerenciador do IIS, selecione o servidor e, no painel Ações, clique em Reiniciar.

Observação: para executar esse procedimento na linha de comando, abra um prompt de comando elevado no servidor exchange (uma janela de Prompt de Comando que você abre selecionando Executar como administrador) e execute os seguintes comandos:

net stop w3svc /y
net start w3svc

Como saber se funcionou?

Para testar as declarações do AD FS para Outlook na Web:

  1. Em um navegador da Web, abra Outlook na Web (por exemplo, https://mail.contoso.com/owa).

  2. Se você receber um erro de certificado no navegador da Web, basta continuar no site Outlook na Web. Você deve ser redirecionado para a página de entrada do AD FS ou para o prompt do AD FS para obter credenciais.

  3. Digite seu nome de usuário (domínio\usuário) e senha e clique em Entrar.

  4. Outlook na Web carregará na janela.

Para testar as declarações do AD FS para o EAC:

  1. Em um navegador da Web, abra o EAC (por exemplo, https://mail.contoso.com/ecp).

  2. Se você receber um erro de certificado no navegador da Web, basta continuar no site do EAC. Você deve ser redirecionado para a página de entrada do AD FS ou para o prompt do AD FS para obter credenciais.

  3. Digite seu nome de usuário (domínio\usuário) e senha e clique em Entrar.

  4. O EAC será carregado na janela.

Considerações adicionais

Autenticação de vários fatores

Implantar e configurar o AD FS para autenticação baseada em declarações permite que Outlook na Web e o EAC dêem suporte à autenticação multifator, como autenticação baseada em certificado, autenticação ou tokens de segurança e autenticação de impressão digital. A autenticação multifator requer dois desses três fatores de autenticação:

  • Algo que só o usuário sabe (por exemplo, a senha, PIN ou padrão).

  • Algo que somente o usuário tem (por exemplo, um cartão de caixa eletrônico, token de segurança, cartão inteligente ou telefone celular).

  • Algo que somente o usuário é (por exemplo, uma característica biométrica, como uma impressão digital).

Por exemplo, uma senha e um código de segurança que é enviado para um telefone celular, ou um PIN e uma impressão digital.

Para obter detalhes sobre a autenticação de vários fatores no Windows Server 2012 R2, consulte Visão geral: gerencie riscos com autenticação multifator adicional para aplicativos confidenciais e Guia passo a passo: gerencie riscos com autenticação de vários fatores adicional para aplicativos confidenciais.

No servidor do AD FS, o serviço de federação funciona como um serviço de token de segurança e fornece os tokens de segurança que são usados com declarações. O serviço de federação emite tokens baseados nas credenciais apresentadas. Depois que o repositório da conta verificar as credenciais de um usuário, as declarações para o usuário são geradas de acordo com as regras da política de confiança e, em seguida, adicionadas ao token de segurança emitido para o cliente. Para obter mais informações sobre declarações, consulte Noções básicas sobre declarações.

Coexistência com outras versões do Exchange

Você pode usar a autenticação do AD FS para Outlook na Web e o EAC quando tiver mais de uma versão do Exchange implantada em sua organização. Esse cenário só terá suporte se todos os clientes estiverem se conectando por meio de servidores do Exchange e todos esses servidores tiverem sido configurados para autenticação do AD FS.

Nas organizações do Exchange 2016, usuários com caixas de correio em servidores do Exchange 2010 podem acessar suas caixas de correio por meio de um servidor do Exchange 2016 configurado para autenticação do AD FS. A conexão inicial do cliente com o servidor do Exchange 2016 usa a autenticação do AD FS. No entanto, a conexão proxied com o Exchange 2010 usa Kerberos. Não há uma maneira compatível de configurar o Exchange 2010 para autenticação direta do AD FS.