Edytuj

Udostępnij za pośrednictwem

Infrastruktura obsługi komunikatów hybrydowych z rozszerzonymi zabezpieczeniami — dostęp do komputerów klienckich

Identyfikator Microsoft Entra
Microsoft 365
Office 365

W tym artykule pokazano, jak zaimplementować uwierzytelnianie wieloskładnikowe dla klientów klasycznych programu Outlook, którzy uzyskują dostęp do programu Microsoft Exchange. Istnieją cztery architektury, które odpowiadają czterem różnym możliwościom programu Microsoft Exchange, który ma skrzynkę pocztową użytkownika:

Uwaga

Na diagramach czarne linie przerywane pokazują podstawowe interakcje między lokalnymi składnikami active directory, Microsoft Entra Connect, Microsoft Entra ID, AD FS i Web serwer proxy aplikacji. Te interakcje można dowiedzieć się w temacie Wymagane porty i protokoły tożsamości hybrydowej.

Architektura (Exchange Online)

Diagram przedstawiający architekturę dla zwiększonych zabezpieczeń w scenariuszu dostępu klienta programu Outlook. Skrzynka pocztowa użytkownika znajduje się w usłudze Exchange Online.

Pobierz plik programu Visio ze wszystkich diagramów w tym artykule.

W tym scenariuszu użytkownicy muszą używać wersji klienta programu Outlook obsługującego nowoczesne uwierzytelnianie. Aby uzyskać więcej informacji, zobacz Jak działa nowoczesne uwierzytelnianie dla aplikacji klienckich pakietu Office 2013, pakietu Office 2016 i pakietu Office 2019. Ta architektura obejmuje zarówno program Outlook dla systemu Windows, jak i Outlook dla komputerów Mac.

Przepływ pracy (Exchange Online)

  1. Użytkownik próbuje uzyskać dostęp do usługi Exchange Online za pośrednictwem programu Outlook.
  2. Usługa Exchange Online udostępnia adres URL punktu końcowego usługi Microsoft Entra na potrzeby pobierania tokenu dostępu w celu uzyskania dostępu do skrzynki pocztowej.
  3. Program Outlook łączy się z identyfikatorem Entra firmy Microsoft przy użyciu tego adresu URL.
  4. Gdy tylko domena jest federacyjna, identyfikator Entra firmy Microsoft przekierowuje żądanie do lokalnych usług AD FS.
  5. Użytkownik wprowadza poświadczenia na stronie logowania usług AD FS.
  6. Usługi AD FS przekierowuje sesję z powrotem do identyfikatora Entra firmy Microsoft.
  7. Microsoft Entra ID stosuje zasady dostępu warunkowego platformy Azure z wymaganiami uwierzytelniania wieloskładnikowego dla aplikacji mobilnych i klientów stacjonarnych. Zapoznaj się z sekcją dotyczącą wdrażania tego artykułu, aby uzyskać informacje na temat konfigurowania tych zasad.
  8. Zasady dostępu warunkowego wywołuje uwierzytelnianie wieloskładnikowe firmy Microsoft. Użytkownik otrzymuje żądanie ukończenia uwierzytelniania wieloskładnikowego.
  9. Użytkownik ukończy uwierzytelnianie wieloskładnikowe.
  10. Identyfikator entra firmy Microsoft wystawia tokeny dostępu i odświeżania oraz zwraca je do klienta.
  11. Za pomocą tokenu dostępu klient nawiązuje połączenie z usługą Exchange Online i pobiera zawartość.

Konfiguracja (Exchange Online)

Aby zablokować próby uzyskania dostępu do usługi Exchange Online za pośrednictwem starszego uwierzytelniania (czerwona linia przerywana na diagramie), należy utworzyć zasady uwierzytelniania, które wyłączają starsze uwierzytelnianie dla protokołów używanych przez usługę Outlook. Są to konkretne protokoły, które należy wyłączyć: wykrywanie automatyczne, MAPI, książki adresowe trybu offline i EWS. Oto odpowiednia konfiguracja:

AllowBasicAuthAutodiscover: False

AllowBasicAuthMapi: False

AllowBasicAuthOfflineAddressBook: False

AllowBasicAuthWebServices: False

AllowBasicAuthRpc: False

Protokół Zdalnego wywołania procedury (RPC) nie jest już obsługiwany dla usługi Office 365, więc ostatni parametr nie ma wpływu na klientów.

Oto przykład polecenia służącego do tworzenia tych zasad uwierzytelniania:

New-AuthenticationPolicy -Name BlockLegacyOutlookAuth -AllowBasicAuthRpc:$false -AllowBasicAuthMapi:$false -AllowBasicAuthAutodiscover:$false
-AllowBasicAuthWebServices:$false -AllowBasicAuthOfflineAddressBook:$false

Uwaga

Domyślnie po utworzeniu zasad starsze uwierzytelnianie dla wszystkich innych protokołów (takich jak IMAP, POP i ActiveSync) jest również wyłączone. Aby zmienić to zachowanie, możesz włączyć protokoły przy użyciu polecenia programu PowerShell, takiego jak ten:

Set-AuthenticationPolicy -Identity BlockOutlook -AllowBasicAuthImap:$true

Po utworzeniu zasad uwierzytelniania można najpierw przypisać je do grupy pilotażowej użytkowników przy użyciu Set-User user01 -AuthenticationPolicy <name_of_policy> polecenia . Po przetestowaniu można rozszerzyć zasady, aby uwzględnić je dla wszystkich użytkowników. Aby zastosować zasady na poziomie organizacji, użyj Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> polecenia . Do tej konfiguracji należy użyć programu PowerShell usługi Exchange Online.

Architektura (Exchange Online, AD FS)

Diagram przedstawiający alternatywną architekturę dla zwiększonych zabezpieczeń w scenariuszu dostępu klienta programu Outlook.

Pobierz plik programu Visio ze wszystkich diagramów w tym artykule.

Ten scenariusz jest taki sam jak poprzedni, z tą różnicą, że używa innego wyzwalacza do uwierzytelniania wieloskładnikowego. W poprzednim scenariuszu używaliśmy lokalnych usług AD FS do uwierzytelniania. Następnie przekierowaliśmy informacje o pomyślnym uwierzytelnianiu do identyfikatora Entra firmy Microsoft, gdzie zasady dostępu warunkowego wymuszały uwierzytelnianie wieloskładnikowe. W tym scenariuszu zamiast używania dostępu warunkowego do wymuszania uwierzytelniania wieloskładnikowego tworzymy zasady kontroli dostępu na poziomie usług AD FS i wymuszają tam uwierzytelnianie wieloskładnikowe. Pozostała część architektury jest taka sama jak poprzednia.

Uwaga

Zalecamy ten scenariusz tylko wtedy, gdy nie możesz użyć poprzedniego scenariusza.

W tym scenariuszu użytkownicy muszą używać wersji klienta programu Outlook obsługującego nowoczesne uwierzytelnianie. Aby uzyskać więcej informacji, zobacz Jak działa nowoczesne uwierzytelnianie dla aplikacji klienckich pakietu Office 2013, pakietu Office 2016 i pakietu Office 2019. Ta architektura obejmuje zarówno program Outlook dla systemu Windows, jak i Outlook dla komputerów Mac.

Przepływ pracy (Exchange Online, AD FS)

  1. Użytkownik próbuje uzyskać dostęp do usługi Exchange Online za pośrednictwem programu Outlook.

  2. Usługa Exchange Online udostępnia adres URL punktu końcowego usługi Microsoft Entra na potrzeby pobierania tokenu dostępu w celu uzyskania dostępu do skrzynki pocztowej.

  3. Program Outlook łączy się z identyfikatorem Entra firmy Microsoft przy użyciu tego adresu URL.

  4. Jeśli domena jest federacyjna, identyfikator Entra firmy Microsoft przekierowuje żądanie do lokalnych usług AD FS.

  5. Użytkownik wprowadza poświadczenia na stronie logowania usług AD FS.

  6. W odpowiedzi na zasady kontroli dostępu usług AF DS usługi AD FS wywołuje uwierzytelnianie wieloskładnikowe firmy Microsoft w celu ukończenia uwierzytelniania. Oto przykład zasad kontroli dostępu usług AD FS tego typu:

    Zrzut ekranu przedstawiający przykład zasad kontroli dostępu usług AD FS.

    Użytkownik otrzymuje żądanie ukończenia uwierzytelniania wieloskładnikowego.

  7. Użytkownik ukończy uwierzytelnianie wieloskładnikowe.

  8. Usługi AD FS przekierowuje sesję z powrotem do identyfikatora Entra firmy Microsoft.

  9. Identyfikator entra firmy Microsoft wystawia tokeny dostępu i odświeżania oraz zwraca je do klienta.

  10. Za pomocą tokenu dostępu klient nawiązuje połączenie z usługą Exchange Online i pobiera zawartość.

Konfiguracja (Exchange Online, AD FS)

Uwaga

Zasady kontroli dostępu zaimplementowane w kroku 6 są stosowane na poziomie zaufania jednostki uzależnionej, więc ma wpływ na wszystkie żądania uwierzytelniania dla wszystkich usług Office 365, które przechodzą przez usługi AD FS. Aby zastosować dodatkowe filtrowanie, można użyć reguł uwierzytelniania usług AD FS. Zalecamy jednak użycie zasad dostępu warunkowego (opisanych w poprzedniej architekturze) zamiast używania zasad kontroli dostępu usług AD FS dla usług Microsoft 365. Poprzedni scenariusz jest bardziej typowy i dzięki niej można osiągnąć lepszą elastyczność.

Aby zablokować próby uzyskania dostępu do usługi Exchange Online za pośrednictwem starszego uwierzytelniania (czerwona linia przerywana na diagramie), należy utworzyć zasady uwierzytelniania, które wyłączają starsze uwierzytelnianie dla protokołów używanych przez usługę Outlook. Są to konkretne protokoły, które należy wyłączyć: wykrywanie automatyczne, MAPI, książki adresowe trybu offline i EWS. Oto odpowiednia konfiguracja:

AllowBasicAuthAutodiscover: False

AllowBasicAuthMapi: False

AllowBasicAuthOfflineAddressBook: False

AllowBasicAuthWebServices: False

AllowBasicAuthRpc: False

Protokół RPC nie jest już obsługiwany dla usługi Office 365, więc ostatni parametr nie ma wpływu na klientów.

Oto przykład polecenia służącego do tworzenia tych zasad uwierzytelniania:

New-AuthenticationPolicy -Name BlockLegacyOutlookAuth -AllowBasicAuthRpc:$false -AllowBasicAuthMapi:$false -AllowBasicAuthAutodiscover:$false
-AllowBasicAuthWebServices:$false -AllowBasicAuthOfflineAddressBook:$false

Architektura (lokalny program Exchange)

Diagram przedstawiający rozszerzoną architekturę zabezpieczeń w lokalnym scenariuszu dostępu klienta programu Outlook.

Pobierz plik programu Visio ze wszystkich diagramów w tym artykule.

Ta architektura obejmuje zarówno program Outlook dla systemu Windows, jak i Outlook dla komputerów Mac.

Przepływ pracy (lokalny program Exchange)

  1. Użytkownik ze skrzynką pocztową w programie Exchange Server uruchamia klienta programu Outlook. Klient programu Outlook łączy się z programem Exchange Server i określa, że ma nowoczesne możliwości uwierzytelniania.
  2. Program Exchange Server wysyła odpowiedź do klienta, żądając, aby uzyskać token z identyfikatora Entra firmy Microsoft.
  3. Klient programu Outlook łączy się z adresem URL usługi Microsoft Entra udostępnianym przez program Exchange Server.
  4. Platforma Azure identyfikuje, że domena użytkownika jest federacyjna, dlatego wysyła żądania do usług AD FS (za pośrednictwem serwer proxy aplikacji sieci Web).
  5. Użytkownik wprowadza poświadczenia na stronie logowania usług AD FS.
  6. Usługi AD FS przekierowuje sesję z powrotem do identyfikatora Entra firmy Microsoft.
  7. Microsoft Entra ID stosuje zasady dostępu warunkowego platformy Azure z wymaganiami uwierzytelniania wieloskładnikowego dla aplikacji mobilnych i klientów stacjonarnych. Zapoznaj się z sekcją dotyczącą wdrażania tego artykułu, aby uzyskać informacje na temat konfigurowania tych zasad.
  8. Zasady dostępu warunkowego wywołuje uwierzytelnianie wieloskładnikowe firmy Microsoft. Użytkownik otrzymuje żądanie ukończenia uwierzytelniania wieloskładnikowego.
  9. Użytkownik ukończy uwierzytelnianie wieloskładnikowe.
  10. Identyfikator entra firmy Microsoft wystawia tokeny dostępu i odświeżania oraz zwraca je do klienta.
  11. Użytkownik przedstawia token dostępu do programu Exchange Server, a program Exchange autoryzuje dostęp do skrzynki pocztowej.

Konfiguracja (lokalny program Exchange)

Aby zablokować próby uzyskania dostępu do lokalnego programu Exchange za pośrednictwem starszego uwierzytelniania (czerwona linia przerywana na diagramie), należy utworzyć zasady uwierzytelniania, które wyłączają starsze uwierzytelnianie dla protokołów używanych przez usługę Outlook. Są to konkretne protokoły, które należy wyłączyć: wykrywanie automatyczne, MAPI, książki adresowe trybu offline, EWS i RPC. Oto odpowiednia konfiguracja:

BlockLegacyAuthAutodiscover: True

BlockLegacyAuthMapi: True

BlockLegacyAuthOfflineAddressBook: True

BlockLegacyAuthRpc: True

BlockLegacyAuthWebServices: True

Protokół RPC nie obsługuje nowoczesnego uwierzytelniania, dlatego nie obsługuje uwierzytelniania wieloskładnikowego firmy Microsoft. Firma Microsoft zaleca protokół MAPI dla klientów programu Outlook dla systemu Windows.

Oto przykład polecenia służącego do tworzenia tych zasad uwierzytelniania:

New-AuthenticationPolicy -Name BlockLegacyOutlookAuth -BlockLegacyAuthAutodiscover -BlockLegacyAuthMapi -BlockLegacyAuthOfflineAddressBook -BlockLegacyAuthRpc

Po utworzeniu zasad uwierzytelniania można najpierw przypisać je do grupy pilotażowej użytkowników przy użyciu Set-User user01 -AuthenticationPolicy <name_of_policy> polecenia . Po przetestowaniu można rozwinąć zasady, aby uwzględnić wszystkich użytkowników. Aby zastosować zasady na poziomie organizacji, użyj Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> polecenia . Do tej konfiguracji należy użyć lokalnego programu PowerShell programu Exchange.

Architektura (lokalny program Exchange, usługi AD FS)

Diagram przedstawiający alternatywną rozszerzoną architekturę zabezpieczeń w lokalnym scenariuszu dostępu klienta programu Outlook.

Pobierz plik programu Visio ze wszystkich diagramów w tym artykule.

Ten scenariusz jest podobny do poprzedniego. Jednak w tym scenariuszu uwierzytelnianie wieloskładnikowe jest wyzwalane przez usługi AD FS. Ta architektura obejmuje zarówno program Outlook dla systemu Windows, jak i Outlook dla komputerów Mac.

Uwaga

Zalecamy ten scenariusz tylko wtedy, gdy nie możesz użyć poprzedniego scenariusza.

Przepływ pracy (lokalny program Exchange, usługi AD FS)

  1. Użytkownik uruchamia klienta programu Outlook. Klient łączy się z programem Exchange Server i określa, że ma nowoczesne możliwości uwierzytelniania.

  2. Program Exchange Server wysyła odpowiedź do klienta, żądając, aby uzyskać token z identyfikatora Entra firmy Microsoft. Program Exchange Server udostępnia klientowi adres URL identyfikatora entra firmy Microsoft.

  3. Klient używa adresu URL do uzyskiwania dostępu do identyfikatora Entra firmy Microsoft.

  4. W tym scenariuszu domena jest federacyjna. Microsoft Entra ID przekierowuje klienta do usług AD FS za pośrednictwem serwer proxy aplikacji sieci Web.

  5. Użytkownik wprowadza poświadczenia na stronie logowania usług AD FS.

  6. Usługi AD FS wyzwalają uwierzytelnianie wieloskładnikowe. Oto przykład zasad kontroli dostępu usług AD FS tego typu:

    Zrzut ekranu przedstawiający zasady kontroli dostępu usług AD FS.

    Użytkownik otrzymuje żądanie ukończenia uwierzytelniania wieloskładnikowego.

  7. Użytkownik ukończy uwierzytelnianie wieloskładnikowe.

  8. Usługi AD FS przekierowuje sesję z powrotem do identyfikatora Entra firmy Microsoft.

  9. Identyfikator entra firmy Microsoft wystawia użytkownikowi tokeny dostępu i odświeżania.

  10. Klient przedstawia token dostępu do serwera lokalnego programu Exchange. Program Exchange autoryzuje dostęp do skrzynki pocztowej użytkownika.

Konfiguracja (lokalny program Exchange, usługi AD FS)

Uwaga

Zasady kontroli dostępu zaimplementowane w kroku 6 są stosowane na poziomie zaufania jednostki uzależnionej, więc ma wpływ na wszystkie żądania uwierzytelniania dla wszystkich usług Office 365, które przechodzą przez usługi AD FS. Aby zastosować dodatkowe filtrowanie, można użyć reguł uwierzytelniania usług AD FS. Zalecamy jednak użycie zasad dostępu warunkowego (opisanych w poprzedniej architekturze) zamiast używania zasad kontroli dostępu usług AD FS dla usług Microsoft 365. Poprzedni scenariusz jest bardziej typowy i dzięki niej można osiągnąć lepszą elastyczność.

Aby zablokować próby uzyskania dostępu do lokalnego programu Exchange za pośrednictwem starszego uwierzytelniania (czerwona linia przerywana na diagramie), należy utworzyć zasady uwierzytelniania, które wyłączają starsze uwierzytelnianie dla protokołów używanych przez usługę Outlook. Są to konkretne protokoły, które należy wyłączyć: wykrywanie automatyczne, MAPI, książki adresowe trybu offline, EWS i RPC. Oto odpowiednia konfiguracja:

BlockLegacyAuthAutodiscover: True

BlockLegacyAuthMapi: True

BlockLegacyAuthOfflineAddressBook: True

BlockLegacyAuthRpc: True

BlockLegacyAuthWebServices: True

Protokół RPC nie obsługuje nowoczesnego uwierzytelniania, dlatego nie obsługuje uwierzytelniania wieloskładnikowego firmy Microsoft. Firma Microsoft zaleca protokół MAPI dla klientów programu Outlook dla systemu Windows.

Oto przykład polecenia służącego do tworzenia tych zasad uwierzytelniania:

New-AuthenticationPolicy -Name BlockLegacyOutlookAuth -BlockLegacyAuthAutodiscover -BlockLegacyAuthMapi -BlockLegacyAuthOfflineAddressBook -BlockLegacyAuthRpc

Po utworzeniu zasad uwierzytelniania można najpierw przypisać je do grupy pilotażowej użytkowników przy użyciu Set-User user01 -AuthenticationPolicy <name_of_policy> polecenia . Po przetestowaniu można rozwinąć zasady, aby uwzględnić wszystkich użytkowników. Aby zastosować zasady na poziomie organizacji, użyj Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> polecenia . Do tej konfiguracji należy użyć lokalnego programu PowerShell programu Exchange.

Składniki

  • Microsoft Entra ID. Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft. Zapewnia nowoczesne uwierzytelnianie, które jest zasadniczo oparte na EvoSTS (usługa tokenu zabezpieczającego używana przez identyfikator Firmy Microsoft Entra). Jest on używany jako serwer uwierzytelniania dla lokalnego programu Exchange Server.
  • Uwierzytelnianie wieloskładnikowe firmy Microsoft. Uwierzytelnianie wieloskładnikowe to proces, w którym użytkownicy są monitowani podczas procesu logowania o inną formę identyfikacji, na przykład kod na telefonie komórkowym lub skanowanie odcisku palca.
  • Dostęp warunkowy firmy Microsoft Entra. Dostęp warunkowy jest funkcją używaną przez firmę Microsoft Entra ID do wymuszania zasad organizacji, takich jak uwierzytelnianie wieloskładnikowe.
  • AD FS. Usługi AD FS umożliwiają zarządzanie tożsamościami federacyjnymi i dostępem przez udostępnianie tożsamości cyfrowej i praw uprawnień w granicach zabezpieczeń i przedsiębiorstwa z lepszymi zabezpieczeniami. W tych architekturach jest używana do ułatwienia logowania użytkowników z tożsamością federacyjną.
  • Serwer proxy aplikacji sieci Web. Usługa Web serwer proxy aplikacji wstępnie uwierzytelnia dostęp do aplikacji internetowych przy użyciu usług AD FS. Działa również jako serwer proxy usług AD FS.
  • Microsoft Intune. Usługa Intune to nasze oparte na chmurze ujednolicone zarządzanie punktami końcowymi, zarządzanie punktami końcowymi w systemach operacyjnych Windows, Android, Mac, iOS i Linux.
  • Exchange Server. Program Exchange Server hostuje lokalne skrzynki pocztowe użytkowników. W tych architekturach używa tokenów wystawionych dla użytkownika przez firmę Microsoft Entra ID, aby autoryzować dostęp do skrzynek pocztowych.
  • Usługi Active Directory. Usługi Active Directory przechowują informacje o elementach członkowskich domeny, w tym urządzeniach i użytkownikach. W tych architekturach konta użytkowników należą do usług Active Directory i są synchronizowane z identyfikatorem Entra firmy Microsoft.
  • Outlook dla firm. Outlook to aplikacja kliencka, która obsługuje nowoczesne uwierzytelnianie.

Szczegóły scenariusza

Infrastruktura EMI (Enterprise Messaging Infrastructure) to kluczowa usługa dla organizacji. Przejście ze starszych, mniej bezpiecznych metod uwierzytelniania i autoryzacji do nowoczesnego uwierzytelniania jest krytycznym wyzwaniem w świecie, w którym praca zdalna jest powszechna. Implementowanie wymagań dotyczących uwierzytelniania wieloskładnikowego na potrzeby dostępu do usługi obsługi komunikatów jest jednym z najskuteczniejszych sposobów spełnienia tego wyzwania.

W tym artykule opisano cztery architektury w celu zwiększenia bezpieczeństwa w scenariuszu dostępu do komputerów stacjonarnych programu Outlook przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.

Są to cztery architektury zgodnie z czterema różnymi możliwościami programu Microsoft Exchange:

Wszystkie cztery architektury obejmują zarówno program Outlook dla systemu Windows, jak i Outlook dla komputerów Mac.

Aby uzyskać informacje na temat stosowania uwierzytelniania wieloskładnikowego w innych scenariuszach obsługi komunikatów hybrydowych, zobacz następujące artykuły:

W tym artykule nie omówiono innych protokołów, takich jak IMAP lub POP. Zazwyczaj te scenariusze nie korzystają z tych protokołów.

Uwagi ogólne

  • Te architektury korzystają z federacyjnego modelu tożsamości firmy Microsoft Entra. W przypadku modeli synchronizacji skrótów haseł i uwierzytelniania przekazywanego logika i przepływ są takie same. Jedyną różnicą jest fakt, że microsoft Entra ID nie przekierowuje żądania uwierzytelniania do lokalna usługa Active Directory usług federacyjnych (AD FS).
  • W środowisku lokalnym programu Exchange oznaczamy program Exchange 2019 z najnowszymi aktualizacjami i rolą Skrzynka pocztowa.
  • W rzeczywistym środowisku nie będziesz mieć tylko jednego serwera. W celu zapewnienia wysokiej dostępności będzie dostępna tablica serwerów exchange o zrównoważonym obciążeniu. Scenariusze opisane tutaj są odpowiednie dla tej konfiguracji.

Potencjalne przypadki użycia

Ta architektura jest odpowiednia w następujących scenariuszach:

  • Zwiększ bezpieczeństwo EMI.
  • Przyjęcie strategii zabezpieczeń Zero Trust.
  • Zastosuj standardowy wysoki poziom ochrony lokalnej usługi obsługi komunikatów podczas przejścia do usługi Exchange Online lub współistnienia z usługą Exchange Online.
  • Wymuszanie rygorystycznych wymagań dotyczących zabezpieczeń lub zgodności w zamkniętych lub wysoce zabezpieczonych organizacjach, takich jak te w sektorze finansowym.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

Niezawodność gwarantuje, że aplikacja może spełnić zobowiązania, które należy wykonać dla klientów. Aby uzyskać więcej informacji, zobacz Omówienie filaru niezawodności.

Dostępność

Ogólna dostępność zależy od dostępności składników, które są zaangażowane. Aby uzyskać informacje o dostępności, zobacz następujące zasoby:

Dostępność składników rozwiązań lokalnych zależy od zaimplementowanego projektu, dostępności sprzętu oraz procedur wewnętrznej konserwacji i operacji. Aby uzyskać informacje o dostępności niektórych z tych składników, zobacz następujące zasoby:

Aby korzystać z nowoczesnego uwierzytelniania hybrydowego, należy upewnić się, że wszyscy klienci w sieci mogą uzyskiwać dostęp do identyfikatora Entra firmy Microsoft. Należy również spójnie obsługiwać porty zapory usługi Office 365 i otwieranie zakresów adresów IP.

Aby uzyskać informacje o wymaganiach dotyczących protokołu i portów dla programu Exchange Server, zobacz "Wymagania dotyczące klienta i protokołu programu Exchange" w temacie Omówienie nowoczesnego uwierzytelniania hybrydowego do użycia z lokalnymi Skype dla firm i serwerami exchange.

Zakresy i porty adresów IP usługi Office 365 można znaleźć w temacie Office 365 URL and IP address ranges (Zakresy adresów IP i zakresów adresów IP usługi Office 365).

Aby uzyskać informacje na temat nowoczesnego uwierzytelniania hybrydowego i urządzeń przenośnych, zapoznaj się z tematem AutoDetect endpoint in Other endpoints not included in the Office 365 IP Address and URL Web service (Punkt końcowy autowykrywania w innych punktach końcowych nieuwzględnianych w usłudze Sieci Web adresów IP i adresów URL usługi Office 365).

Odporność

Aby uzyskać informacje o odporności składników w tej architekturze, zobacz następujące zasoby.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

Aby uzyskać informacje na temat zabezpieczeń i nowoczesnego uwierzytelniania hybrydowego, zobacz Szczegółowe omówienie: Jak działa uwierzytelnianie hybrydowe.

W przypadku zamkniętych organizacji, które mają tradycyjną silną ochronę obwodową, istnieją obawy dotyczące zabezpieczeń związane z konfiguracjami hybrydowymi programu Exchange. Konfiguracja nowoczesnego środowiska hybrydowego programu Exchange nie obsługuje nowoczesnego uwierzytelniania hybrydowego.

Aby uzyskać informacje o identyfikatorze Entra firmy Microsoft, zobacz Microsoft Entra security operations guide (Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra).

Aby uzyskać informacje o scenariuszach korzystających z zabezpieczeń usług AD FS, zobacz następujące artykuły:

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

Koszt implementacji zależy od kosztów licencji microsoft Entra ID i Microsoft 365. Całkowity koszt obejmuje również koszty oprogramowania i sprzętu dla składników lokalnych, operacji IT, szkoleń i edukacji oraz implementacji projektu.

Te rozwiązania wymagają co najmniej identyfikatora Entra ID P1 firmy Microsoft. Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik firmy Microsoft Entra.

Aby uzyskać informacje na temat usług AD FS i sieci Web serwer proxy aplikacji, zobacz Cennik i licencjonowanie dla systemu Windows Server 2022.

Aby uzyskać więcej informacji o cenach, zobacz następujące zasoby:

Efektywność wydajności

Wydajność to możliwość skalowania obciążenia w wydajny sposób w celu spełnienia wymagań, które użytkownicy umieszczają na nim. Aby uzyskać więcej informacji, zobacz Omówienie filaru wydajności.

Wydajność obciążenia zależy od wydajności składników, które są zaangażowane i wydajności sieci. Aby uzyskać więcej informacji, zobacz Dostosowywanie wydajności usługi Office 365 przy użyciu punktów odniesienia i historii wydajności.

Aby uzyskać informacje o czynnikach lokalnych mających wpływ na wydajność scenariuszy obejmujących usługi AD FS, zobacz następujące zasoby:

Aby uzyskać informacje o skalowalności usług AD FS, zobacz Planowanie pojemności serwera usług AD FS.

Aby uzyskać informacje o skalowalności lokalnej programu Exchange Server, zobacz Preferowana architektura programu Exchange 2019.

Wdrażanie tego scenariusza

Poniżej przedstawiono ogólne kroki:

  1. Ochrona dostępu do pulpitu programu Outlook przez skonfigurowanie konfiguracji hybrydowej programu Exchange i włączenie nowoczesnego uwierzytelniania hybrydowego.
  2. Blokuj wszystkie starsze próby uwierzytelniania na poziomie identyfikatora entra firmy Microsoft. Blokuj starsze próby uwierzytelniania na poziomie usług obsługi komunikatów przy użyciu zasad uwierzytelniania.

Konfigurowanie zasad dostępu warunkowego

Aby skonfigurować zasady dostępu warunkowego firmy Microsoft Entra, które wymuszają uwierzytelnianie wieloskładnikowe, zgodnie z opisem w niektórych architekturach w tym artykule:

  1. W oknie Aplikacje klienckie wybierz pozycję Aplikacje mobilne i klienci klasyczni:

    Zrzut ekranu przedstawiający okno Aplikacje klienckie.

  2. Zastosuj wymaganie uwierzytelniania wieloskładnikowego w oknie Udzielanie :

    Zrzut ekranu przedstawiający okno Udzielanie.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Autorzy zabezpieczeń:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki