Bewerken

Delen via

Infrastructuur voor hybride berichten met verbeterde beveiliging - mobiele toegang

Microsoft Entra ID
Microsoft 365
Office 365

In het artikel wordt beschreven hoe u meervoudige verificatie implementeert voor mobiele Outlook-clients die toegang hebben tot Microsoft Exchange. Er zijn twee architecturen die overeenkomen met twee verschillende mogelijkheden voor Microsoft Exchange met het gebruikerspostvak:

Architectuur (Exchange Online)

Diagram met een architectuur voor verbeterde beveiliging in een scenario voor mobiele toegang in Outlook. Het postvak van de gebruiker bevindt zich in Exchange Online.

In dit scenario moeten gebruikers een mobiele client gebruiken die moderne verificatie ondersteunt. We raden Outlook Mobile aan (Outlook voor iOS/Outlook voor Android), dat wordt ondersteund door Microsoft. De volgende werkstroom maakt gebruik van Outlook Mobile.

Download een Visio-bestand met alle diagrammen in dit artikel.

Werkstroom (Exchange Online)

  1. De gebruiker start de outlook-profielconfiguratie door een e-mailadres in te voeren. Outlook Mobile maakt verbinding met de AutoDetect-service.
  2. De AutoDetect-service doet een anonieme AutoDiscover V2-aanvraag naar Exchange Online om het postvak op te halen. Exchange Online-antwoorden met een 302-omleidingsantwoord dat het ActiveSync-URL-adres voor het postvak bevat, die verwijst naar Exchange Online. Hier ziet u een voorbeeld van dit type aanvraag.
  3. Nu de AutoDetect-service informatie heeft over het eindpunt van de postvakinhoud, kan deze ActiveSync zonder verificatie aanroepen.
  4. Zoals hier beschreven in de verbindingsstroom, reageert Exchange met een antwoord van 401-uitdagingen. Het bevat een autorisatie-URL die het Microsoft Entra-eindpunt identificeert dat de client moet gebruiken om een toegangstoken op te halen.
  5. De AutoDetect-service retourneert het Microsoft Entra-autorisatie-eindpunt naar de client.
  6. De client maakt verbinding met Microsoft Entra ID om de verificatie te voltooien en aanmeldingsgegevens (e-mail) in te voeren.
  7. Als het domein federatief is, wordt de aanvraag omgeleid naar web-toepassingsproxy.
  8. Web toepassingsproxy proxy's van de verificatieaanvraag voor AD FS. De gebruiker ziet een aanmeldingspagina.
  9. De gebruiker voert referenties in om de verificatie te voltooien.
  10. De gebruiker wordt omgeleid naar de Microsoft Entra-id.
  11. Microsoft Entra ID past een beleid voor voorwaardelijke toegang van Azure toe.
  12. Het beleid kan beperkingen afdwingen op basis van de apparaatstatus van de gebruiker als het apparaat is ingeschreven bij Microsoft Endpoint Manager, toepassingsbeveiligingsbeleid afdwingen en/of meervoudige verificatie afdwingen. U vindt een gedetailleerd voorbeeld van dit type beleid in de implementatiestappen die hier worden beschreven.
  13. De gebruiker implementeert beleidsvereisten en voltooit de aanvraag voor meervoudige verificatie.
  14. Microsoft Entra-id retourneert toegangs- en vernieuwingstokens naar de client.
  15. De client gebruikt het toegangstoken om verbinding te maken met Exchange Online en de postvakinhoud op te halen.

Configuratie (Exchange Online)

Als u pogingen wilt blokkeren om toegang te krijgen tot Exchange Online ActiveSync via verouderde verificatie (de rode stippellijn in het diagram), moet u een verificatiebeleid maken waarmee verouderde verificatie wordt uitgeschakeld voor protocollen die door de mobiele Outlook-service worden gebruikt. U moet met name AutoDiscover, ActiveSync en Outlook Service uitschakelen. Dit is de bijbehorende configuratie van het verificatiebeleid:

AllowBasicAuthAutodiscover: False

AllowBasicAuthActiveSync: False

AllowBasicAuthOutlookService: False

Nadat u het verificatiebeleid hebt gemaakt, kunt u dit toewijzen aan een testgroep gebruikers. Vervolgens kunt u na het testen het beleid voor alle gebruikers uitbreiden. Gebruik de Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> opdracht om het beleid toe te passen op organisatieniveau. U moet Exchange Online PowerShell gebruiken voor deze configuratie.

Voor federatieve domeinen kunt u AD FS configureren om meervoudige verificatie te activeren in plaats van een beleid voor voorwaardelijke toegang te gebruiken. We raden u echter aan om de verbinding te beheren en beperkingen toe te passen op beleidsniveau voor voorwaardelijke toegang.

Architectuur (Exchange on-premises)

Diagram met een architectuur voor verbeterde beveiliging in een scenario voor mobiele toegang in Outlook. Het postvak van de gebruiker bevindt zich in Exchange On-Premises.

Download een Visio-bestand met alle diagrammen in dit artikel.

In dit scenario moeten gebruikers een mobiele client gebruiken die moderne verificatie ondersteunt, zoals beschreven in Hybride moderne verificatie. We raden Outlook Mobile aan (Outlook voor iOS/Outlook voor Android), dat wordt ondersteund door Microsoft. De volgende werkstroom maakt gebruik van Outlook Mobile.

Werkstroom (Exchange on-premises)

  1. De gebruiker start de outlook-profielconfiguratie door een e-mailadres in te voeren. Outlook Mobile maakt verbinding met de AutoDetect-service.
  2. De AutoDetect-service doet een anonieme AutoDiscover V2-aanvraag naar Exchange Online om het postvak op te halen.
  3. Nadat het postvak zich on-premises bevindt, reageert Exchange Online met een omleidingsantwoord van 302 dat een on-premises AutoDiscover-URL bevat die AutoDetect kan gebruiken om het ActiveSync-URL-adres voor het postvak op te halen.
  4. AutoDetect gebruikt de on-premises URL die deze in de vorige stap heeft ontvangen om een anonieme AutoDiscover v2-aanvraag naar Exchange on-premises te maken om het postvak op te halen. Exchange On-premises retourneert een ActiveSync-URL-adres voor het postvak, dat verwijst naar Exchange On-Premises. Hier ziet u een voorbeeld van dit type aanvraag.
  5. Nu de AutoDetectie-service informatie heeft over het eindpunt van de postvakinhoud, kan het on-premises ActiveSync-eindpunt zonder verificatie worden aangeroepen. Zoals hier beschreven in de verbindingsstroom, reageert Exchange met een antwoord van 401-uitdagingen. Het bevat een autorisatie-URL die het Microsoft Entra-eindpunt identificeert dat de client moet gebruiken om een toegangstoken op te halen.
  6. De AutoDetect-service retourneert het Microsoft Entra-autorisatie-eindpunt naar de client.
  7. De client maakt verbinding met Microsoft Entra ID om de verificatie te voltooien en aanmeldingsgegevens (e-mail) in te voeren.
  8. Als het domein federatief is, wordt de aanvraag omgeleid naar web-toepassingsproxy.
  9. Web toepassingsproxy proxy's van de verificatieaanvraag voor AD FS. De gebruiker ziet een aanmeldingspagina.
  10. De gebruiker voert referenties in om de verificatie te voltooien.
  11. De gebruiker wordt omgeleid naar de Microsoft Entra-id.
  12. Microsoft Entra ID past een beleid voor voorwaardelijke toegang van Azure toe.
  13. Het beleid kan beperkingen afdwingen op basis van de apparaatstatus van de gebruiker als het apparaat is ingeschreven bij Microsoft Endpoint Manager, toepassingsbeveiligingsbeleid afdwingen en/of meervoudige verificatie afdwingen. U vindt een gedetailleerd voorbeeld van dit type beleid in de implementatiestappen die hier worden beschreven.
  14. De gebruiker implementeert beleidsvereisten en voltooit de aanvraag voor meervoudige verificatie.
  15. Microsoft Entra-id retourneert toegangs- en vernieuwingstokens naar de client.
  16. De client gebruikt het toegangstoken om verbinding te maken met Exchange Online en de inhoud van het on-premises postvak op te halen. De inhoud moet worden opgegeven vanuit de cache, zoals hier wordt beschreven. Hiervoor geeft de client een inrichtingsaanvraag uit die het toegangstoken van de gebruiker en het on-premises ActiveSync-eindpunt bevat.
  17. De inrichtings-API in Exchange Online neemt het opgegeven token als invoer. De API verkrijgt een tweede tokenpaar voor toegang en vernieuwing om toegang te krijgen tot het on-premises postvak via een aanroep namens Active Directory. Dit tweede toegangstoken is gericht op de client als Exchange Online en een doelgroep van het on-premises ActiveSync-naamruimte-eindpunt.
  18. Als het postvak niet is ingericht, maakt de inrichtings-API een postvak.
  19. De inrichtings-API brengt een beveiligde verbinding tot stand met het on-premises ActiveSync-eindpunt. De API synchroniseert de berichtengegevens van de gebruiker met behulp van het tweede toegangstoken als verificatiemechanisme. Het vernieuwingstoken wordt periodiek gebruikt om een nieuw toegangstoken te genereren, zodat gegevens op de achtergrond kunnen worden gesynchroniseerd zonder tussenkomst van de gebruiker.
  20. Gegevens worden geretourneerd naar de client.

Configuratie (Exchange on-premises)

Als u pogingen tot toegang tot Exchange on-premises ActiveSync via verouderde verificatie (de rode stippellijnen in het diagram) wilt blokkeren, moet u een verificatiebeleid maken waarmee verouderde verificatie wordt uitgeschakeld voor protocollen die door de mobiele Outlook-service worden gebruikt. U moet met name AutoDiscover en ActiveSync uitschakelen. Dit is de bijbehorende configuratie van het verificatiebeleid:

BlockLegacyAuthAutodiscover: Waar

BlockLegacyAuthActiveSync: True

Hier volgt een voorbeeld van een opdracht voor het maken van dit verificatiebeleid:

New-AuthenticationPolicy -Name BlockLegacyActiveSyncAuth -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover

Nadat u het verificatiebeleid hebt gemaakt, kunt u het eerst toewijzen aan een testgroep gebruikers met behulp van de Set-User user01 -AuthenticationPolicy <name_of_policy> opdracht. Na het testen kunt u het beleid uitbreiden om alle gebruikers op te nemen. Gebruik de Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> opdracht om het beleid toe te passen op organisatieniveau. U moet Exchange On-Premises PowerShell gebruiken voor deze configuratie.

U moet ook stappen ondernemen om consistentie te bereiken en alleen toegang vanaf de Outlook-client toe te staan. Als u Outlook Mobile wilt toestaan als de enige goedgekeurde client in de organisatie, moet u verbindingspogingen blokkeren van clients die geen mobiele Outlook-clients zijn die moderne verificatie ondersteunen. U moet deze pogingen blokkeren op exchange on-premises niveau door de volgende stappen uit te voeren:

  • Andere clients voor mobiele apparaten blokkeren:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block

  • Toestaan dat Exchange Online verbinding maakt met on-premises:

    If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}

  • Basisverificatie blokkeren voor Outlook voor iOS en Android:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Zie Hybride moderne verificatie gebruiken met Outlook voor iOS en Android voor meer informatie over deze stappen.

Voor federatieve domeinen kunt u AD FS configureren om meervoudige verificatie te activeren in plaats van een beleid voor voorwaardelijke toegang te gebruiken. We raden u echter aan om de verbinding te beheren en beperkingen toe te passen op beleidsniveau voor voorwaardelijke toegang.

Onderdelen

  • Microsoft Entra-id. Microsoft Entra ID is een cloudservice voor identiteits- en toegangsbeheer van Microsoft. Het biedt moderne verificatie die in feite is gebaseerd op EvoSTS (een beveiligingstokenservice die wordt gebruikt door Microsoft Entra ID). Deze wordt gebruikt als een verificatieserver voor Exchange Server on-premises.
  • Meervoudige verificatie van Microsoft Entra. Meervoudige verificatie is een proces waarbij gebruikers tijdens het aanmeldingsproces worden gevraagd om een andere vorm van identificatie, zoals een code op hun mobiele telefoon of een vingerafdrukscan.
  • Voorwaardelijke toegang van Microsoft Entra. Voorwaardelijke toegang is de functie die door Microsoft Entra ID wordt gebruikt om organisatiebeleid af te dwingen, zoals meervoudige verificatie.
  • AD FS. AD FS maakt federatief identiteits- en toegangsbeheer mogelijk door digitale identiteit en rechtenrechten te delen over de grenzen van beveiliging en ondernemingen met verbeterde beveiliging. In deze architecturen wordt het gebruikt om aanmelding voor gebruikers met federatieve identiteit mogelijk te maken.
  • Web toepassingsproxy. Web toepassingsproxy verifieert vooraf de toegang tot webtoepassingen met behulp van AD FS. Het werkt ook als een AD FS-proxy.
  • Microsoft Intune. Intune is ons geïntegreerde eindpuntbeheer in de cloud, het beheren van eindpunten in Windows-, Android-, Mac-, iOS- en Linux-besturingssystemen.
  • Exchange Server. Exchange Server host gebruikerspostvakken on-premises. In deze architecturen worden tokens gebruikt die zijn uitgegeven aan de gebruiker door Microsoft Entra ID om toegang tot postvakken te autoriseren.
  • Active Directory-services. Active Directory-services slaan informatie op over leden van een domein, inclusief apparaten en gebruikers. In deze architecturen behoren gebruikersaccounts tot Active Directory-services en worden ze gesynchroniseerd met Microsoft Entra-id.

Alternatieven

U kunt mobiele clients van derden gebruiken die moderne verificatie ondersteunen als alternatief voor Outlook Mobile. Als u dit alternatief kiest, is de externe leverancier verantwoordelijk voor de ondersteuning van de klanten.

Scenariodetails

Enterprise Messaging Infrastructure (EMI) is een belangrijke service voor organisaties. Overstappen van oudere, minder veilige verificatiemethoden en autorisatie naar moderne verificatie is een kritieke uitdaging in een wereld waarin werken op afstand gebruikelijk is. Het implementeren van meervoudige verificatievereisten voor toegang tot de berichtenservice is een van de meest effectieve manieren om aan die uitdaging te voldoen.

In dit artikel worden twee architecturen beschreven waarmee u uw beveiliging in een mobiel toegangsscenario van Outlook kunt verbeteren met behulp van meervoudige verificatie van Microsoft Entra.

Deze scenario's worden beschreven in dit artikel:

  • Outlook Mobile-toegang wanneer het postvak van de gebruiker zich in Exchange Online bevindt
  • Mobiele toegang van Outlook wanneer het postvak van de gebruiker zich in Exchange on-premises bevindt

Beide architecturen hebben betrekking op zowel Outlook voor iOS als Outlook voor Android.

Zie de volgende artikelen voor meer informatie over het toepassen van meervoudige verificatie in andere scenario's voor hybride berichten:

In dit artikel worden geen andere protocollen besproken, zoals IMAP of POP. Normaal gesproken gebruiken deze scenario's deze protocollen niet.

Algemene notities

  • Deze architecturen maken gebruik van het federatieve Microsoft Entra-identiteitsmodel. Voor de wachtwoord-hashsynchronisatie en passthrough-verificatiemodellen zijn de logica en stroom hetzelfde. Het enige verschil is gerelateerd aan het feit dat Microsoft Entra-id de verificatieaanvraag niet omleidt naar on-premises Active Directory Federation Services (AD FS).
  • In de diagrammen tonen zwarte stippellijnen basisinteracties tussen lokale Active Directory-, Microsoft Entra Connect-, Microsoft Entra ID-, AD FS- en web-toepassingsproxy onderdelen. U vindt meer informatie over deze interacties in vereiste poorten en protocollen voor hybride identiteiten.
  • Door Exchange on-premises bedoelen we Exchange 2019 met de nieuwste updates en een postvakrol.
  • In een echte omgeving hebt u niet slechts één server. U hebt een matrix met gelijke taakverdeling van Exchange-servers voor hoge beschikbaarheid. De scenario's die hier worden beschreven, zijn geschikt voor die configuratie.

Potentiële gebruikscases

Deze architectuur is relevant voor de volgende scenario's:

  • Verbeter de beveiliging van EMI.
  • Een Zero Trust-beveiligingsstrategie aannemen.
  • Pas uw standaard hoge beveiligingsniveau toe voor uw on-premises berichtenservice tijdens de overgang naar of co-existentie met Exchange Online.
  • Dwing strikte beveiligings- of nalevingsvereisten af in gesloten of zeer beveiligde organisaties, zoals organisaties in de financiële sector.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

Beschikbaarheid

De algehele beschikbaarheid is afhankelijk van de beschikbaarheid van de betrokken onderdelen. Zie deze resources voor meer informatie over beschikbaarheid:

De beschikbaarheid van on-premises oplossingsonderdelen is afhankelijk van het geïmplementeerde ontwerp, de beschikbaarheid van hardware en uw interne bewerkingen en onderhoudsroutines. Zie de volgende bronnen voor informatie over beschikbaarheid over sommige van deze onderdelen:

Als u hybride moderne verificatie wilt gebruiken, moet u ervoor zorgen dat alle clients in uw netwerk toegang hebben tot Microsoft Entra-id. U moet ook consistent office 365-firewallpoorten en IP-bereikopeningen onderhouden.

Zie 'Exchange-client- en protocolvereisten' in het overzicht van hybride moderne verificatie voor gebruik met on-premises Skype voor Bedrijven en Exchange-servers voor protocol- en poortvereisten voor Exchange Server.

Zie OFFICE 365-URL's en IP-adresbereiken voor OFFICE 365-IP-bereiken.

Lees voor informatie over hybride moderne verificatie en mobiele apparaten het AutoDetectie-eindpunt in Andere eindpunten die niet zijn opgenomen in het IP-adres en url-webservice van Office 365.

Tolerantie

Zie de volgende bronnen voor informatie over de tolerantie van de onderdelen in deze architectuur.

Beveiliging

Zie Gegevens en apparaten beveiligen met Microsoft Intune voor algemene richtlijnen over beveiliging op mobiele apparaten.

Zie Deep Dive: How Hybrid Authentication Really Works (Hybride verificatie werkt echt) voor informatie over beveiliging en hybride moderne verificatie.

Voor gesloten organisaties die traditionele sterke perimeterbeveiliging hebben, zijn er beveiligingsproblemen met betrekking tot hybride configuraties van Exchange. De Exchange Hybrid Modern-configuratie biedt geen ondersteuning voor hybride moderne verificatie.

Zie de handleiding microsoft Entra-beveiligingsbewerkingen voor informatie over Microsoft Entra-id.

Zie de volgende artikelen voor informatie over scenario's die ad FS-beveiliging gebruiken:

Kostenoptimalisatie

De kosten van uw implementatie zijn afhankelijk van uw Microsoft Entra-id en microsoft 365-licentiekosten. De totale kosten omvatten ook de kosten voor software en hardware voor on-premises onderdelen, IT-bewerkingen, training en onderwijs en projectuitvoering.

Voor deze oplossingen is ten minste Microsoft Entra ID P1 vereist. Zie Prijzen van Microsoft Entra voor meer informatie over prijzen.

Zie Prijzen en licenties voor Windows Server 2022 voor informatie over AD FS en web-toepassingsproxy.

Zie deze informatiebronnen voor meer informatie over prijzen:

Prestatie-efficiëntie

Prestaties zijn afhankelijk van de prestaties van de onderdelen die betrokken zijn en de netwerkprestaties van uw bedrijf. Zie De prestaties van Office 365 afstemmen met basislijnen en prestatiegeschiedenis voor meer informatie.

Zie de volgende bronnen voor informatie over on-premises factoren die van invloed zijn op de prestaties voor scenario's met AD FS-services:

Schaalbaarheid

Zie Planning voor AD FS-servercapaciteit voor informatie over de schaalbaarheid van AD FS.

Zie de voorkeursarchitectuur van Exchange 2019 voor informatie over de schaalbaarheid van Exchange Server on-premises.

Dit scenario implementeren

Als u deze infrastructuur wilt implementeren, moet u de stappen uitvoeren die worden beschreven in de richtlijnen in de volgende artikelen. Dit zijn de stappen op hoog niveau:

  1. Veilige toegang tot Outlook Mobile, zoals beschreven in deze implementatiestappen voor moderne verificatie.
  2. Blokkeer alle andere verouderde verificatiepogingen op het niveau van de Microsoft Entra-id.
  3. Blokkeer verouderde verificatiepogingen op het niveau van berichtenservices met behulp van verificatiebeleid.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen