Implementación de una aplicación híbrida de Exchange dedicada

Información general

Las características híbridas de Exchange, como disponibilidad, información sobre correo y fotos, requieren una aplicación dedicada en Entra id. para una comunicación segura entre Exchange Server y Exchange Online. En este artículo se explica cómo crear, configurar y administrar la aplicación híbrida de Exchange dedicada.

Antecedentes: Por qué se realizó este cambio

Anteriormente, Exchange Server usaba una entidad de servicio compartida con Exchange Online para una comunicación segura y el Asistente para configuración híbrida (HCW) cargó el certificado de autenticación actual en la entidad de servicio compartida para habilitar este proceso. Debido a la retirada de los servicios web de Exchange en Exchange Online y la eliminación de dependencias de EWS de aplicaciones y servicios de primera entidad, Exchange Server ahora usa una aplicación dedicada en Entra identificador para escenarios híbridos en lugar de la entidad de servicio compartida.

Esta aplicación dedicada se usa exclusivamente por Exchange Server para la comunicación híbrida y no tiene dependencias en la entidad de servicio compartida. De forma predeterminada, se configura con permisos de API de EWS. A partir de la actualización de revisiones de mayo de 2026, los permisos de Graph API también se pueden configurar como reemplazo de los permisos de la API de EWS en la mayoría de los escenarios híbridos. Para obtener más información, consulte Configuración de permisos de Graph API.

Para más información sobre este cambio y sus implicaciones, lea la entrada de blog cambios de seguridad de Exchange Server para implementaciones híbridas.

Si ya ha configurado la aplicación híbrida de Exchange dedicada o ya ha tenido una configuración híbrida, se recomienda ejecutar el script en la entidad de servicio Clean-Up modo para quitar los certificados que se cargaron en la entidad de servicio de keyCredentials primera entidad de servicio y no se limpiaron.

Antes de empezar

Antes de configurar la aplicación híbrida de Exchange dedicada, primero debe configurar híbrido completo clásico o completo moderno mediante el Asistente para configuración híbrida.

Versiones de Exchange Server admitidas

Las siguientes compilaciones de Exchange Server admiten la aplicación híbrida de Exchange dedicada:

Permisos necesarios

En la tabla siguiente se resumen los permisos necesarios para cada tarea:

Para obtener más información sobre Entra roles de identificador, consulte la documentación Microsoft Entra roles integrados. Para obtener Exchange Server roles, consulte la documentación de Administración de la organización.

Ejecute el script en un servidor con el rol Buzón instalado y una compilación que admita esta característica para configurar el servidor de autenticación y crear la invalidación de configuración.

Requisitos de conectividad de red

El script usa el Graph API de Microsoft para crear y administrar aplicaciones en Entra identificador. El sistema que ejecuta el script requiere conectividad saliente a Graph API y Entra puntos de conexión de identificador.

• En el modo de configuración todo en uno, el servidor exchange que ejecuta el script necesita esta conectividad saliente.
• En el modo de configuración de ejecución dividida, el sistema que se usa para crear o administrar la aplicación en Entra identificador necesita esta conectividad saliente (este sistema no tiene que ser un servidor exchange).

Elija el punto de conexión que coincida con el lugar donde reside el inquilino, como Global. Para obtener más información, consulte la documentación de puntos de conexión nacionales de Microsoft Entra ID y puntos de conexión nacionales de Microsoft Graph.

Para comprobar la conectividad con graph y Entra puntos de conexión de identificador, use el cmdlet Test-NetConnection. En este ejemplo se valida la conexión mediante los puntos de Global conexión:

Test-NetConnection -ComputerName login.microsoftonline.com -Port 443
Test-NetConnection -ComputerName graph.microsoft.com -Port 443

Si tiene previsto usar el flujo híbrido basado en Graph API, asegúrese de que los servidores de Exchange tengan conectividad saliente con el punto de conexión de Graph API.

Configuración de la aplicación híbrida de Exchange dedicada

Microsoft proporciona el ConfigureExchangeHybridApplication.ps1 script para configurar la aplicación híbrida de Exchange dedicada. La documentación detallada del script y sus parámetros está disponible en la documentación deConfigureExchangeHybridApplication.ps1 script.

Elija la ruta de configuración que coincida con el entorno:

Si la organización local tiene relaciones híbridas con varios inquilinos (1:N), ejecute el script una vez para cada inquilino mediante una cuenta de ese inquilino. Si tiene previsto cambiar al flujo de trabajo basado en Graph API, prepare la aplicación híbrida de Exchange dedicada en cada inquilino antes de habilitar el flujo de trabajo basado en Graph API mediante la invalidación de configuración. La habilitación del flujo de trabajo antes de que se concedan los permisos de Graph API y se dé su consentimiento en cada inquilino hace que las características híbridas dejen de funcionar para los inquilinos sin los permisos de Graph API configurados correctamente.

En función del tamaño de la organización, los procesos de Exchange Server responsables pueden tardar hasta 60 minutos en reconocer la configuración de la aplicación híbrida de Exchange dedicada. Durante este tiempo, es posible que características como Disponibilidad, Información sobre correo y Fotos no estén disponibles temporalmente.

La versión más reciente del Asistente para configuración híbrida (HCW) también admite la configuración de la aplicación híbrida de Exchange dedicada con permisos de API de EWS. Sin embargo, HCW no habilita la característica automáticamente. Si usó HCW, siga los pasos descritos en Habilitar la característica después de usar HCW para activarla. HCW tampoco limpia automáticamente los certificados cargados anteriormente en la entidad de servicio de primera entidad de keyCredentialsservicio. Para realizar esta limpieza y mitigar CVE-2025-53786, ejecute el script en modo de Clean-Up de entidad de servicio.

Modo de configuración todo en uno

Para la mayoría de los clientes, el modo de configuración todo en uno es la manera recomendada de configurar esta característica. Ejecute el script en un servidor de buzón de correo con conectividad saliente, como se describe en la sección Requisitos de conectividad de red. El servidor debe ejecutar una compilación de Exchange Server que admita esta característica.

Ejecute el siguiente comando:

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

De forma predeterminada, el script se ejecuta en la Microsoft 365 Worldwide nube. Si el inquilino de Microsoft 365 está en otra nube, use el AzureEnvironment parámetro . En el ejemplo siguiente, la aplicación se crea en la Microsoft 365 operated by 21Vianet nube:

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -AzureEnvironment "ChinaCloud"

El script realiza todos los pasos necesarios: crear la aplicación en Entra identificador, configurar el servidor de autenticación y habilitar la característica mediante la invalidación de configuración. Durante la ejecución, el script pregunta si desea configurar los permisos de Graph API además de los permisos de la API de EWS. Si decide configurar Graph API permisos, el script también habilita el flujo híbrido basado en Graph API a través de una invalidación de configuración después de una confirmación adicional.

Si desea crear la aplicación híbrida de Exchange dedicada sin permisos de API de EWS, use el UseGraphApiOnly parámetro :

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -UseGraphApiOnly

Modo de configuración de ejecución dividida

Use este modo si el servidor de buzones de correo no tiene conectividad saliente con Microsoft Graph o Entra identificador, o si el administrador de Exchange Server no tiene permisos suficientes para crear y configurar la aplicación en Entra identificador.

Si realiza cualquiera de los pasos en un Exchange Server, asegúrese de que el equipo está unido al mismo bosque donde reside la organización de Exchange.

Paso 1: Exportar el certificado de autenticación

Exporte el certificado de autenticación (y, si está disponible, el siguiente certificado de autenticación) con su clave pública. No exporte la clave privada del certificado. Ejecute el siguiente script desde un Shell de administración de Exchange (EMS) con privilegios elevados:

En este ejemplo, el certificado se exporta a C:\AuthCertExport. Para exportar a otra ubicación, modifique la $exportFilePath variable.

# Change the path if you want to export the certificates to a different location
$exportFilePath = "C:\AuthCertExport"

$authConfig = Get-AuthConfig

New-Item -Type Directory -Path C:\AuthCertExport -Force | Out-Null

if (-not([System.String]::IsNullOrEmpty($authConfig.CurrentCertificateThumbprint))) {
    $thumbprint = $authConfig.CurrentCertificateThumbprint
    Write-Host "[+] Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

if (-not([System.String]::IsNullOrEmpty($authConfig.NextCertificateThumbprint))) {
    $thumbprint = $authConfig.NextCertificateThumbprint
    Write-Host "[+] Next Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

Paso 2: Creación de la aplicación en Entra id.

Copie los certificados exportados en una máquina con conectividad de salida, como se describe en la sección Requisitos de conectividad de red. Ejecute el script en esa máquina para crear la aplicación en Entra identificador. El script muestra el Tenant ID y el appId de la aplicación recién creada. Tenga en cuenta ambos valores porque los necesitará en un paso posterior.

.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"

Para configurar la aplicación solo con permisos de Graph API, use el UseGraphApiOnly parámetro :

.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UseGraphApiOnly -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"

Si se exportaron varios certificados de autenticación en el paso 1, vuelva a ejecutar el script para cargar el certificado adicional. El CreateApplication paso no es necesario para la segunda ejecución:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewNextAuthCertificate.cer"

Paso 3: Configurar Exchange Server

Ejecute este paso en un servidor de buzón de correo. El script configura el servidor de autenticación, actualiza las relaciones de la organización existentes entre Exchange Server y Exchange Online y habilita la característica de aplicación híbrida de Exchange dedicada. Proporcione el identificador del inquilino, el appId de la aplicación recién creada en Entra id. y el dominio de enrutamiento remoto:

.\ConfigureExchangeHybridApplication.ps1 -ConfigureAuthServer -ConfigureTargetSharingEpr -EnableExchangeHybridApplicationOverride -CustomAppId "<appId>" -TenantId "<tenantId>" -RemoteRoutingDomain "<organization>.mail.onmicrosoft.com"

Habilitación de la característica después de usar HCW

Si usó el Asistente para configuración híbrida (HCW) para configurar la aplicación híbrida de Exchange dedicada, debe ejecutar el cmdlet New-SettingOverride para habilitar la característica para la organización de Exchange Server local. Ejecute el siguiente comando desde un Shell de administración de Exchange (EMS) con privilegios elevados:

New-SettingOverride -Name "EnableExchangeHybrid3PAppFeature" -Component "Global" -Section "ExchangeOnpremAsThirdPartyAppId" -Parameters @("Enabled=true") -Reason "Enable dedicated Exchange hybrid app feature"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Configuración de permisos de Graph API

A partir de la actualización de revisiones de mayo de 2026, Exchange Server admite el flujo híbrido basado en Graph API para la mayoría de los escenarios. Microsoft ha actualizado el ConfigureExchangeHybridApplication.ps1 script para configurar los permisos de Graph API en aplicaciones recién creadas y existentes y para habilitar el flujo híbrido basado en Graph API mediante una invalidación de configuración.

Microsoft está implementando compatibilidad con el flujo híbrido basado en Graph API entre nubes en fases. En la tabla siguiente se muestra la disponibilidad actual. Este artículo se actualiza a medida que la compatibilidad se expande a nubes adicionales.

Escenarios admitidos

En la tabla siguiente se muestra qué características híbridas admite cada API:

Microsoft está trabajando activamente para expandir Graph API compatibilidad con escenarios adicionales. Esta documentación se actualiza a medida que se admiten nuevos escenarios. Exchange Server sigue usando EWS para cualquier escenario que aún no se admita con Graph API, incluso si el flujo híbrido basado en Graph API está habilitado.

Habilitación del flujo híbrido basado en Graph API

Durante el modo de configuración todo en uno, el script le pide que configure los permisos de Graph API. Si ya ha configurado la aplicación y desea agregar permisos de Graph API más adelante, vuelva a ejecutar el script:

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

Para el modo de ejecución dividida, use el UseGraphApiOnly parámetro como se describe en Modo de configuración de ejecución dividida.

Quitar permisos de API de EWS

Si no usa ninguna característica que requiera la API de EWS y quiera usar solo Graph API permisos, ejecute el script para quitar el permiso de la full_access_as_app API de EWS:

.\ConfigureExchangeHybridApplication.ps1 -RemoveApiPermissions "EWS"

Este comando se puede ejecutar en un servidor que no sea de Exchange.

Comprobación de la configuración

Para confirmar que la autenticación de OAuth funciona correctamente entre Exchange Server y Exchange Online, use el cmdlet Test-OAuthConnectivity del Shell de administración de Exchange en el Exchange Server local.

Si es ResultTypeSuccess y la Detail sección incluye el de la appId aplicación híbrida de Exchange dedicada, Exchange Server adquirido correctamente un token de OAuth. El servidor en el que se ejecuta la sesión del Shell de administración de Exchange (EMS) inicia la solicitud de OAuth. Si el buzón especificado a través del -Mailbox parámetro reside en un servidor diferente que no admite la aplicación híbrida de Exchange dedicada, pero el servidor host ems lo hace, ResultType todavía muestra Success. Este comportamiento es una característica del diseño de la aplicación.

Ejecute el siguiente comando (reemplace la dirección de correo electrónico por un buzón local en su entorno):

$OnPremisesMailbox = "[email protected]"

$result = Test-OAuthConnectivity -Service EWS -TargetUri https://outlook.office365.com -Mailbox $OnPremisesMailbox
Write-Host $result.ResultType
if (($result.Detail.FullId) -match 'L:(?<guid>[0-9a-fA-F-]{36})-AS:') {
    $appid = $matches['guid']
    Write-Output "Extracted appId: $appid"
} else {
    Write-Output "appId not found"
}

Administración de la aplicación

En esta sección se tratan las tareas de administración comunes de la aplicación híbrida de Exchange dedicada después de la configuración inicial.

Actualización del certificado de autenticación

Siga estos pasos cuando el certificado de autenticación expire o se reemplace. Estos pasos no son necesarios durante la configuración inicial. Para obtener más información sobre cómo mantener el certificado de autenticación, consulte la documentación del certificado Exchange Server OAuth.

Si el servidor de buzón de correo tiene conectividad saliente como se describe en la sección Requisitos de conectividad de red, ejecute:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate

Si el servidor de buzón de correo no tiene conectividad de salida, exporte el nuevo certificado de autenticación siguiendo los pasos descritos en Paso 1: Exportar el certificado de autenticación. Copie el certificado en una máquina con conectividad saliente y, a continuación, ejecute:

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewAuthCertificate.cer"

Limpieza de la entidad de servicio compartida

Después de habilitar la característica de aplicación híbrida de Exchange dedicada y de que todos los servidores de Exchange ejecuten una compilación de Exchange que admita esta característica, limpie los certificados que se cargaron anteriormente en la entidad de servicio de primera entidad de servicio. Como parte del diseño híbrido de Exchange anterior, hcw cargó el certificado de autenticación en la entidad de servicio de primera entidad de servicio. Esta práctica ya no se recomienda y no se debe realizar. El certificado de autenticación ahora debe cargarse exclusivamente en la aplicación híbrida de Exchange dedicada.

Los comandos de esta sección se pueden ejecutar en cualquier equipo con conectividad saliente a Internet. Los servidores de Exchange que ejecutan compilaciones anteriores a las enumeradas en la sección Versiones de Exchange Server admitidas no pueden usar características híbridas de coexistencia enriquecida independientemente de si existen certificados en la entidad de servicio compartida, ya que el acceso de EWS a través de la entidad de servicio compartido se ha bloqueado permanentemente desde el 31 de octubre de 2025. Actualice estos servidores a una compilación compatible y configure la aplicación híbrida de Exchange dedicada para restaurar la funcionalidad híbrida.

Para purgar toda keyCredentials la entidad de servicio de primera, ejecute:

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials

Para purgar un certificado específico y todos los certificados expirados de keyCredentials, proporcione la huella digital del certificado que se va a eliminar:

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials -CertificateInformation "1234567890ABCDEF1234567890ABCDEF12345678"

Eliminación de permisos de API

Para quitar permisos de API específicos de la aplicación híbrida de Exchange dedicada en Entra identificador, use el RemoveApiPermissions parámetro . Este comando se puede ejecutar en un servidor que no sea de Exchange. Los valores admitidos para el RemoveApiPermissions parámetro son EWS y Graph. El EWS valor quita el full_access_as_app permiso, mientras que el Graph valor quita los permisos de Graph API.

Para quitar el permiso de api full_access_as_app de EWS, ejecute:

.\ConfigureExchangeHybridApplication.ps1 -RemoveApiPermissions "EWS"

Eliminar la aplicación

Si es necesario, use el siguiente comando para eliminar la aplicación creada en Entra identificador. Este comando se puede ejecutar en un servidor que no sea de Exchange. Use este comando solo al revertir el cambio o solucionar problemas de creación de una nueva aplicación. La eliminación de la aplicación mediante el script no revierte la configuración de la aplicación híbrida de Exchange en su entorno. Para revertir completamente, siga los pasos descritos en Revertir la configuración de la aplicación híbrida de Exchange dedicada.

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

Supervisión y protección de la aplicación

Auditar el uso de la aplicación en Entra id.

Después de configurar la aplicación híbrida de Exchange dedicada y habilitar la característica, audite su uso mediante el identificador Sign-in logsde Entra :

1. Vaya al portal de identificadores de Entra e inicie sesión con sus credenciales.
2. Seleccione o busque Microsoft Entra ID.
3. En el panel de navegación, vaya a Supervisión y seleccione Registros de inicio de sesión.
4. Seleccione Inicios de sesión de entidad de servicio para ver registros detallados.

En la siguiente imagen se muestra una solicitud de inicio de sesión correcta:

Al seleccionar la entrada, se abre el control flotante Detalles de la actividad: Inicios de sesión , que proporciona más información sobre la actividad de inicio de sesión:

Restricción del acceso con acceso condicional

Es posible que algunas organizaciones quieran restringir el acceso a la entidad de servicio de aplicación híbrida de Exchange dedicada a un subconjunto de intervalos IP públicos usados por Exchange Server. Use el acceso condicional para las identidades de carga de trabajo para lograr esto. Esta característica amplía la compatibilidad con directivas de acceso condicional a las entidades de servicio que pertenecen a la organización. Las licencias premium de identidades de carga de trabajo son necesarias para crear o modificar directivas de acceso condicional con ámbito de entidades de servicio. Para obtener más información, consulte Id. de carga de trabajo de Microsoft Entra.

Reversión de la configuración de la aplicación híbrida de Exchange dedicada

Los pasos siguientes revierten la configuración aplicada por el ConfigureExchangeHybridApplication.ps1 script.

Paso 1: Volver a configurar la entidad de servicio de primera entidad

Ejecute HCW y seleccione la opción Oauth, Intra Organization Connector y Organization Relationship para volver a configurar la entidad de servicio de primera entidad de servicio.

Paso 2: Quitar la invalidación de configuración

Quite la invalidación de configuración que habilita la característica de aplicación híbrida de Exchange dedicada. Ejecute el siguiente comando desde un Shell de administración de Exchange (EMS) con privilegios elevados:

Get-SettingOverride | Where-Object {$_.ComponentName -eq "Global" -and $_.SectionName -eq "ExchangeOnpremAsThirdPartyAppId"} | Remove-SettingOverride
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Paso 3: Revertir la configuración del servidor de autenticación

Ejecute el siguiente comando desde un Shell de administración de Exchange (EMS) con privilegios elevados para revertir el cambio del servidor de autenticación:

# Replace this id with the id of your tenant
$tenantId = "123e4567-e89b-12d3-a456-426614174000"

(Get-AuthServer | Where-Object {$_.Name -like "*evoSTS*" -and $_.Realm -eq $tenantId}) | Set-AuthServer -ApplicationIdentifier $null -DomainName $null

Paso 4: Eliminación de la aplicación en Entra id.

Use el script para eliminar la aplicación que se creó en Entra identificador:

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

Pasos siguientes

Después de configurar la aplicación híbrida de Exchange dedicada, tenga en cuenta lo siguiente:

• Mantenga el Exchange Server certificado de OAuth para garantizar una funcionalidad híbrida ininterrumpida cuando los certificados expiren o giren.
• Configure los permisos de Graph API para realizar la transición de características híbridas de EWS a Graph API.
• Supervise y proteja la aplicación mediante la auditoría de la actividad de inicio de sesión y la restricción del acceso con directivas de acceso condicional.
• Limpie la entidad de servicio compartida para quitar certificados heredados y proteger la configuración híbrida.

Referencia: Operaciones de script

El ConfigureExchangeHybridApplication.ps1 script realiza varias operaciones en función de la opción seleccionada. En la sección siguiente se proporciona una referencia detallada de las operaciones específicas ejecutadas por el script para cada modo.

CreateApplication

• Creación de una nueva aplicación con el nombre ExchangeServerApp-{Guid of the organization} en Entra id.
• Asignar al usuario que se usó para ejecutar el script como propietario de la aplicación en Entra identificador
• Asignar los permisos de la full_access_as_app API de EWS (que se usan en el flujo híbrido basado en EWS)
• (Opcional) Asignar los MailboxSettings.Readpermisos , MailTips.ReadBasic.All, Calendars.Read, ProfilePhoto.Read.All Graph API (que se usan en el flujo híbrido basado en Graph API)
• Concesión de consentimiento de administrador para todo el inquilino
  • Este cambio debe confirmarse durante el tiempo de ejecución del script.
  • El script no habilita la característica a través de la invalidación de configuración si no se concede el consentimiento del administrador en todo el inquilino

UpdateCertificate

• Cargue el certificado de autenticación actual en la aplicación en Entra id.
• Cargue el nuevo certificado de autenticación siguiente (si existe) en la aplicación en Entra id.
• Eliminación de cualquier certificado de la aplicación que haya expirado

ConfigureAuthServer

• Actualizar el EvoSTS objeto de servidor de autenticación o EvoSTS - {Guid}
  • Establezca en ApplicationIdentifier de appId la aplicación en Entra id.
  • Establezca en GraphBaseUrl el punto de conexión de Graph API correspondiente a la nube donde se crea la aplicación (por ejemplo, https://graph.microsoft.com para la Global nube).
  • Agregar el dominio de enrutamiento remoto SMTP a la DomainName propiedad

ConfigureTargetSharingEpr

• Identificar los habilitados OrganizationRelationship configurados entre Exchange Server y Exchange Online
• Uso de detección automática para consultar el punto de servicios Web Exchange (EWS) conexión
• Establezca en TargetSharingEpr el punto de conexión de EWS devuelto por detección automática.

EnableExchangeHybridApplicationOverride

• Si el script se ejecuta en modo de configuración todo en uno:
  • Validar que la aplicación en Entra id. tiene los permisos de API correctos y el consentimiento del administrador en todo el inquilino concedido
• Cree una nueva invalidación de configuración para habilitar la característica local mediante los siguientes parámetros y valores:
  • Nombre: EnableExchangeHybrid3PAppFeature
  • Componente: Global
  • Sección: ExchangeOnpremAsThirdPartyAppId
  • Parámetros: Enabled=true
  • Motivo: "Created by {Name of the Script} on {timestamp}"
• (Opcional) Cree una nueva invalidación de configuración para habilitar el uso de Graph API para las características híbridas mediante los siguientes parámetros y valores:
  • Nombre: EnableRouteThroughMSGraphFeature
  • Componente: SettingOverride
  • Sección: RouteThroughMSGraph
  • Parámetros: Enabled=true
  • Motivo: "Created by {Name of the Script} on {timestamp}"

DeleteApplication

• Eliminación de la aplicación de Exchange dedicada en Entra id.

ResetFirstPartyServicePrincipalKeyCredentials

• Quitar todos los existentes keyCredentials de la Office 365 Exchange Online entidad de servicio de la aplicación de primera entidad de servicio
• Si se proporcionó una huella digital a través de CertificateInformation un parámetro, purgue solo el certificado que coincida con la huella digital y todos los certificados que ya hayan expirado.

RemoveApiPermissionsFromAzureApplication

• Eliminación de permisos de API específicos de la aplicación en Entra identificador según la lista de permisos proporcionada a través RemoveApiPermissions del parámetro

preguntas más frecuentes