Upravit

Sdílet prostřednictvím

Infrastruktura hybridního zasílání zpráv s rozšířeným zabezpečením – webový přístup

Microsoft Entra ID
Microsoft 365
Office 365

Řešení v tomto článku poskytuje způsob, jak chránit službu zasílání zpráv (Outlook na webu nebo Exchange Ovládací panely), když jsou poštovní schránky hostované v Exchangi Online nebo místním Exchangi.

Architektura

V této architektuře rozdělíme řešení do dvou oblastí, které popisují zabezpečení pro:

  • Exchange Online, na pravé straně diagramu.
  • Místní Exchange v hybridním nebo ne hybridním scénáři na levé straně diagramu

Snímek obrazovky znázorňující architekturu pro lepší zabezpečení ve scénáři přístupu k webu

Stáhněte si soubor aplikace Visio s touto architekturou.

Obecné poznámky

  • Tato architektura používá model federované identity Microsoft Entra. Pro synchronizaci hodnot hash hesel a předávací modely ověřování jsou logika a tok stejné. Jediný rozdíl souvisí se skutečností, že ID Microsoft Entra nepřesměruje žádost o ověření na službu místní Active Directory Federation Services (AD FS).
  • Diagram znázorňuje přístup ke službě Outlook na webu, která odpovídá cestě .../owa. Uživatelský přístup k Centru pro správu Exchange (nebo Exchange Ovládací panely), který odpovídá cestě .../ecp, se řídí stejným tokem.
  • V diagramu přerušované čáry zobrazují základní interakce mezi místními komponentami Active Directory, Microsoft Entra Connect, Microsoft Entra ID, AD FS a Web proxy aplikací. Další informace o těchto interakcích najdete v portech a protokolech požadovaných pro hybridní identitu.
  • Místní Exchange znamená, že Exchange 2019 s nejnovějšími aktualizacemi, rolí poštovní schránky. Místní Exchange Edge znamená, že Exchange 2019 s nejnovějšími aktualizacemi, rolí přenosu Edge. Do diagramu zahrneme server Edge, který zvýrazní, že ho můžete použít v těchto scénářích. Není zapojen do práce s klientskými protokoly, které jsou zde popsány.
  • Ve skutečném prostředí nebudete mít jenom jeden server. Budete mít pole serverů Exchange s vyrovnáváním zatížení pro zajištění vysoké dostupnosti. Zde popsané scénáře jsou vhodné pro danou konfiguraci.

Tok uživatele Exchange Online

  1. Uživatel se pokusí o přístup ke službě Outlook na webu prostřednictvím https://outlook.office.com/owa.

  2. Exchange Online přesměruje uživatele na MICROSOFT Entra ID pro ověřování.

    Pokud je doména federovaná, Microsoft Entra ID přesměruje uživatele na místní instanci služby AD FS k ověření. Pokud ověřování proběhne úspěšně, uživatel se přesměruje zpět na ID Microsoft Entra. (Abychom diagram zachovali jednoduchý, ponecháme tento federovaný scénář.)

  3. Pokud chcete vynutit vícefaktorové ověřování, použije Microsoft Entra ID zásady podmíněného přístupu Azure s požadavkem na vícefaktorové ověřování pro klientskou aplikaci prohlížeče. Informace o nastavení této zásady najdete v části nasazení tohoto článku.

  4. Zásada podmíněného přístupu volá vícefaktorové ověřování Microsoft Entra. Uživatel získá požadavek na dokončení vícefaktorového ověřování.

  5. Uživatel dokončí vícefaktorové ověřování.

  6. Microsoft Entra ID přesměruje ověřenou webovou relaci na Exchange Online a uživatel má přístup k Outlooku.

Tok místního uživatele Exchange

  1. Uživatel se pokusí o přístup ke službě Outlook na webu prostřednictvím https://mail.contoso.com/owa adresy URL odkazující na server Exchange pro interní přístup nebo k serveru webového proxy aplikací pro externí přístup.

  2. Místní Exchange (pro interní přístup) nebo webovou proxy aplikací (pro externí přístup) přesměruje uživatele na službu AD FS za účelem ověřování.

  3. Služba AD FS používá integrované ověřování systému Windows pro interní přístup nebo poskytuje webový formulář, ve kterém může uživatel zadat přihlašovací údaje pro externí přístup.

  4. Reagování na zásady řízení přístupu AF DS služba AD FS volá vícefaktorové ověřování Microsoft Entra k dokončení ověřování. Tady je příklad tohoto typu zásad řízení přístupu služby AD FS:

    Snímek obrazovky znázorňující příklad zásad řízení přístupu služby AD FS

    Uživatel získá požadavek na dokončení vícefaktorového ověřování.

  5. Uživatel dokončí vícefaktorové ověřování. Služba AD FS přesměruje ověřenou webovou relaci na místní Exchange.

  6. Uživatel má přístup k Outlooku.

Pokud chcete tento scénář implementovat pro místního uživatele, musíte nakonfigurovat Exchange a AD FS tak, aby služba AD FS nastavila předběžné ověření požadavků na webový přístup. Další informace najdete v tématu Použití ověřování na základě deklarací identity služby AD FS s Outlook na webu.

Musíte také povolit integraci služby AD FS a vícefaktorového ověřování Microsoft Entra. Další informace najdete v tématu Konfigurace Azure MFA jako zprostředkovatele ověřování ve službě AD FS. (Tato integrace vyžaduje službu AD FS 2016 nebo 2019.) Nakonec musíte synchronizovat uživatele s ID Microsoft Entra a přiřadit jim licence pro vícefaktorové ověřování Microsoft Entra.

Komponenty

  • Microsoft Entra ID. Microsoft Entra ID je cloudová služba pro správu identit a přístupu Od Microsoftu. Poskytuje moderní ověřování založené na EvoSTS (služba tokenů zabezpečení, kterou používá Microsoft Entra ID). Používá se jako ověřovací server pro místní Exchange Server.

  • Vícefaktorové ověřování Microsoft Entra Vícefaktorové ověřování je proces, při kterém se uživatelům během procesu přihlašování zobrazí výzva k zadání jiné formy identifikace, například kódu na mobilním telefonu nebo při skenování otisku prstu.

  • Podmíněný přístup Microsoft Entra. Podmíněný přístup je funkce, kterou Microsoft Entra ID používá k vynucení zásad organizace, jako je vícefaktorové ověřování.

  • AD FS. Služba AD FS umožňuje správu federovaných identit a přístupu sdílením práv k digitálním identitám a nárokům napříč hranicemi zabezpečení a podniku s lepším zabezpečením. V této architektuře se používá k usnadnění přihlašování uživatelů s federovanou identitou.

  • Webová proxy aplikací Webové proxy aplikací předem ověří přístup k webovým aplikacím pomocí služby AD FS. Funguje také jako proxy služby AD FS.

  • Exchange Server. Exchange Server hostuje místní poštovní schránky uživatelů. V této architektuře používá tokeny vystavené uživateli microsoft Entra ID k autorizaci přístupu k poštovním schránkám.

  • Služby Active Directory. Služba Active Directory services ukládá informace o členech domény, včetně zařízení a uživatelů. V této architektuře uživatelské účty patří ke službám Active Directory a jsou synchronizovány s ID Microsoft Entra.

Podrobnosti scénáře

Podniková infrastruktura zasílání zpráv (EMI) je klíčovou službou pro organizace. Přechod ze starších, méně zabezpečených metod ověřování a autorizace na moderní ověřování je zásadní výzvou na světě, kde je běžná vzdálená práce. Implementace požadavků na vícefaktorové ověřování pro přístup ke službě zasílání zpráv je jedním z nejúčinnějších způsobů, jak tuto výzvu splnit.

Tento článek popisuje architekturu pro vylepšení zabezpečení ve scénáři webového přístupu pomocí vícefaktorového ověřování Microsoft Entra.

Zde uvedené architektury popisují scénáře, které vám pomůžou chránit službu zasílání zpráv (Outlook na webu nebo Exchange Ovládací panely), když jsou poštovní schránky hostované v Exchangi Online nebo místním Exchangi.

Informace o použití vícefaktorového ověřování v jiných scénářích hybridního zasílání zpráv najdete v těchto článcích:

Tento článek se nezabírá o jiných protokolech, jako je IMAP nebo POP. Nedoporučujeme, abyste je používali k poskytování přístupu uživatelů.

Potenciální případy použití

Tato architektura je relevantní pro následující scénáře:

  • Vylepšení zabezpečení EMI
  • Přijměte strategii zabezpečení nulová důvěra (Zero Trust).
  • Během přechodu na exchange Online nebo koexistence použijte standardní vysokou úroveň ochrany pro místní službu zasílání zpráv.
  • V uzavřených nebo vysoce zabezpečených organizacích, jako jsou ty z finančního sektoru, vynucujte přísné požadavky na zabezpečení nebo dodržování předpisů.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Spolehlivost

Spolehlivost zajišťuje, aby vaše aplikace splňovala závazky, které jste udělali pro své zákazníky. Další informace najdete v tématu Přehled pilíře spolehlivosti.

Dostupnost

Celková dostupnost závisí na dostupnosti zahrnutých komponent. Informace o dostupnosti najdete v těchto zdrojích informací:

Dostupnost místních komponent řešení závisí na implementovaném návrhu, dostupnosti hardwaru a vašich interních operacích a rutinách údržby. Informace o dostupnosti některých z těchto komponent najdete v následujících zdrojích informací:

Odolnost

Informace o odolnosti komponent v této architektuře najdete v následujících zdrojích informací.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

Informace o zabezpečení komponent v této architektuře najdete v následujících zdrojích informací:

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

Náklady na implementaci závisí na nákladech na licence Microsoft Entra ID a Microsoft 365. Celkové náklady zahrnují také náklady na software a hardware pro místní komponenty, provoz IT, školení a vzdělávání a implementaci projektů.

Řešení vyžaduje alespoň Microsoft Entra ID P1. Podrobnosti o cenách najdete na stránce s cenami Microsoft Entra.

Informace o Exchangi najdete v tématu Ceny systému Exchange Server.

Informace o službě AD FS a webové proxy aplikací naleznete v tématu Ceny a licencování systému Windows Server 2022.

Efektivita výkonu

Efektivita výkonu je schopnost vaší úlohy efektivně škálovat, aby splňovala požadavky, které na ni uživatelé umístí. Další informace najdete v tématu Přehled pilíře efektivity výkonu.

Výkon závisí na výkonu zahrnutých komponent a výkonu sítě vaší společnosti. Další informace najdete v tématu Ladění výkonu Office 365 pomocí standardních hodnot a historie výkonu.

Informace o místních faktorech, které ovlivňují výkon ve scénářích, které zahrnují služby AD FS, najdete v těchto zdrojích informací:

Škálovatelnost

Informace o škálovatelnosti služby AD FS najdete v tématu Plánování kapacity serveru služby AD FS.

Informace o místní škálovatelnosti Exchange Serveru najdete v tématu Upřednostňovaná architektura Exchange 2019.

Nasazení tohoto scénáře

Pokud chcete tento scénář nasadit, proveďte tyto základní kroky:

  1. Začněte se službou webového přístupu. Vylepšete zabezpečení pomocí zásad podmíněného přístupu Azure pro Exchange Online.
  2. Zlepšení zabezpečení webového přístupu pro místní EMI pomocí ověřování založeného na deklarací identity služby AD FS

Nastavení zásad podmíněného přístupu

Nastavení zásad podmíněného přístupu Microsoft Entra, které vynucuje vícefaktorové ověřování, jak je popsáno v kroku 3 toku online uživatele výše v tomto článku:

  1. Konfigurace Office 365 Exchange Online nebo Office 365 jako cloudové aplikace:

    Snímek obrazovky, který ukazuje, jak nakonfigurovat Office jako cloudovou aplikaci

  2. Nakonfigurujte prohlížeč jako klientskou aplikaci:

    Snímek obrazovky znázorňující použití zásad v prohlížeči

  3. V okně Udělení použijte požadavek na vícefaktorové ověřování:

    Snímek obrazovky znázorňující použití požadavku na vícefaktorové ověřování

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autoři:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky