W tym artykule pokazano, jak zaimplementować uwierzytelnianie wieloskładnikowe dla klientów mobilnych programu Outlook, którzy uzyskują dostęp do programu Microsoft Exchange. Istnieją dwie architektury, które odpowiadają dwóm różnym możliwościom programu Microsoft Exchange, który ma skrzynkę pocztową użytkownika:
Architektura (Exchange Online)
W tym scenariuszu użytkownicy muszą używać klienta mobilnego obsługującego nowoczesne uwierzytelnianie. Zalecamy program Outlook Mobile (Outlook dla systemu iOS/Outlook dla systemu Android), który jest obsługiwany przez firmę Microsoft. W poniższym przepływie pracy jest używany program Outlook Mobile.
Pobierz plik programu Visio ze wszystkich diagramów w tym artykule.
Przepływ pracy (Exchange Online)
- Użytkownik uruchamia konfigurację profilu programu Outlook, wprowadzając adres e-mail. Program Outlook Mobile łączy się z usługą Autowykrywania.
- Usługa Autowykrywania wysyła anonimowe żądanie wykrywania automatycznego w wersji 2 do usługi Exchange Online w celu pobrania skrzynki pocztowej. Usługa Exchange Online odpowiada z odpowiedzią przekierowania 302 zawierającą adres URL programu ActiveSync skrzynki pocztowej wskazującą usługę Exchange Online. W tym miejscu możesz zobaczyć przykład tego typu żądania.
- Teraz, gdy usługa AutoDetect zawiera informacje o punkcie końcowym zawartości skrzynki pocztowej, może wywołać narzędzie ActiveSync bez uwierzytelniania.
- Zgodnie z opisem w przepływie połączenia w tym miejscu program Exchange odpowiada za pomocą odpowiedzi na żądanie 401. Zawiera on adres URL autoryzacji, który identyfikuje punkt końcowy firmy Microsoft Entra, którego klient musi użyć do uzyskania tokenu dostępu.
- Usługa Autowykrywania zwraca punkt końcowy autoryzacji entra firmy Microsoft do klienta.
- Klient łączy się z identyfikatorem Entra firmy Microsoft w celu ukończenia uwierzytelniania i wprowadź informacje o logowaniu (e-mail).
- Jeśli domena jest federacyjna, żądanie jest przekierowywane do serwer proxy aplikacji sieci Web.
- Serwer proxy serwer proxy aplikacji sieci Web żądania uwierzytelniania do usług AD FS. Użytkownik widzi stronę logowania.
- Użytkownik wprowadza poświadczenia w celu ukończenia uwierzytelniania.
- Użytkownik jest przekierowywany z powrotem do identyfikatora Entra firmy Microsoft.
- Identyfikator entra firmy Microsoft stosuje zasady dostępu warunkowego platformy Azure.
- Zasady mogą wymuszać ograniczenia na podstawie stanu urządzenia użytkownika, jeśli urządzenie zostało zarejestrowane w programie Microsoft Endpoint Manager, wymuszać zasady ochrony aplikacji i/lub wymuszać uwierzytelnianie wieloskładnikowe. Szczegółowy przykład zasad tego typu można znaleźć w krokach implementacji opisanych tutaj.
- Użytkownik implementuje wszelkie wymagania dotyczące zasad i wykonuje żądanie uwierzytelniania wieloskładnikowego.
- Identyfikator Entra firmy Microsoft zwraca tokeny dostępu i odświeżania do klienta.
- Klient używa tokenu dostępu do nawiązywania połączenia z usługą Exchange Online i pobierania zawartości skrzynki pocztowej.
Konfiguracja (Exchange Online)
Aby zablokować próby uzyskania dostępu do programu Exchange Online ActiveSync za pośrednictwem starszego uwierzytelniania (czerwona linia przerywana na diagramie), należy utworzyć zasady uwierzytelniania, które wyłączają starsze uwierzytelnianie dla protokołów używanych przez usługę mobilną Outlook. W szczególności należy wyłączyć funkcję wykrywania automatycznego, usługę ActiveSync i usługę Outlook. Poniżej przedstawiono odpowiednią konfigurację zasad uwierzytelniania:
AllowBasicAuthAutodiscover: False
AllowBasicAuthActiveSync: False
AllowBasicAuthOutlookService: False
Po utworzeniu zasad uwierzytelniania można przypisać je do grupy pilotażowej użytkowników. Następnie po przetestowaniu można rozwinąć zasady dla wszystkich użytkowników. Aby zastosować zasady na poziomie organizacji, użyj Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy>
polecenia . Do tej konfiguracji należy użyć programu PowerShell usługi Exchange Online.
W przypadku domen federacyjnych można skonfigurować usługi AD FS do wyzwalania uwierzytelniania wieloskładnikowego zamiast przy użyciu zasad dostępu warunkowego. Zalecamy jednak kontrolowanie połączenia i stosowanie ograniczeń na poziomie zasad dostępu warunkowego.
Architektura (lokalny program Exchange)
Pobierz plik programu Visio ze wszystkich diagramów w tym artykule.
W tym scenariuszu użytkownicy muszą używać klienta mobilnego obsługującego nowoczesne uwierzytelnianie, zgodnie z opisem w temacie Korzystanie z nowoczesnego uwierzytelniania hybrydowego. Zalecamy program Outlook Mobile (Outlook dla systemu iOS/Outlook dla systemu Android), który jest obsługiwany przez firmę Microsoft. W poniższym przepływie pracy jest używany program Outlook Mobile.
Przepływ pracy (lokalny program Exchange)
- Użytkownik uruchamia konfigurację profilu programu Outlook, wprowadzając adres e-mail. Program Outlook Mobile łączy się z usługą Autowykrywania.
- Usługa Autowykrywania wysyła anonimowe żądanie wykrywania automatycznego w wersji 2 do usługi Exchange Online w celu pobrania skrzynki pocztowej.
- Po zlokalizowaniu skrzynki pocztowej lokalnie usługa Exchange Online odpowiada za pomocą odpowiedzi przekierowania 302, która zawiera lokalny adres URL wykrywania automatycznego wykrywania, którego autowykrywanie może użyć do pobrania adresu URL protokołu ActiveSync dla skrzynki pocztowej.
- Autowykrywanie używa lokalnego adresu URL otrzymanego w poprzednim kroku, aby uzyskać anonimowe żądanie wykrywania automatycznego w wersji 2 do lokalnego programu Exchange w celu pobrania skrzynki pocztowej. Lokalny program Exchange zwraca adres URL programu ActiveSync dla skrzynki pocztowej wskazujący na lokalny program Exchange. W tym miejscu możesz zobaczyć przykład tego typu żądania.
- Teraz, gdy usługa AutoDetect zawiera informacje o punkcie końcowym zawartości skrzynki pocztowej, może wywołać lokalny punkt końcowy programu ActiveSync bez uwierzytelniania. Zgodnie z opisem w przepływie połączenia w tym miejscu program Exchange odpowiada za pomocą odpowiedzi na żądanie 401. Zawiera on adres URL autoryzacji, który identyfikuje punkt końcowy firmy Microsoft Entra, którego klient musi użyć do uzyskania tokenu dostępu.
- Usługa Autowykrywania zwraca punkt końcowy autoryzacji entra firmy Microsoft do klienta.
- Klient łączy się z identyfikatorem Entra firmy Microsoft w celu ukończenia uwierzytelniania i wprowadź informacje o logowaniu (e-mail).
- Jeśli domena jest federacyjna, żądanie jest przekierowywane do serwer proxy aplikacji sieci Web.
- Serwer proxy serwer proxy aplikacji sieci Web żądania uwierzytelniania do usług AD FS. Użytkownik widzi stronę logowania.
- Użytkownik wprowadza poświadczenia w celu ukończenia uwierzytelniania.
- Użytkownik jest przekierowywany z powrotem do identyfikatora Entra firmy Microsoft.
- Identyfikator entra firmy Microsoft stosuje zasady dostępu warunkowego platformy Azure.
- Zasady mogą wymuszać ograniczenia na podstawie stanu urządzenia użytkownika, jeśli urządzenie zostało zarejestrowane w programie Microsoft Endpoint Manager, wymuszać zasady ochrony aplikacji i/lub wymuszać uwierzytelnianie wieloskładnikowe. Szczegółowy przykład zasad tego typu można znaleźć w krokach implementacji opisanych tutaj.
- Użytkownik implementuje wszelkie wymagania dotyczące zasad i wykonuje żądanie uwierzytelniania wieloskładnikowego.
- Identyfikator Entra firmy Microsoft zwraca tokeny dostępu i odświeżania do klienta.
- Klient używa tokenu dostępu do nawiązywania połączenia z usługą Exchange Online i pobierania lokalnej zawartości skrzynki pocztowej. Zawartość powinna być dostarczana z pamięci podręcznej , zgodnie z opisem w tym miejscu. Aby to osiągnąć, klient wysyła żądanie aprowizacji zawierające token dostępu użytkownika i lokalny punkt końcowy programu ActiveSync.
- Interfejs API aprowizacji w usłudze Exchange Online przyjmuje podany token jako dane wejściowe. Interfejs API uzyskuje drugą parę tokenów dostępu i odświeżania w celu uzyskania dostępu do lokalnej skrzynki pocztowej za pośrednictwem wywołania w imieniu usługi Active Directory. Ten drugi token dostępu jest zakresem klienta jako usługi Exchange Online i odbiorców lokalnego punktu końcowego przestrzeni nazw ActiveSync.
- Jeśli skrzynka pocztowa nie jest aprowizowana, interfejs API aprowizacji tworzy skrzynkę pocztową.
- Interfejs API aprowizacji ustanawia bezpieczne połączenie z lokalnym punktem końcowym programu ActiveSync. Interfejs API synchronizuje dane komunikatów użytkownika przy użyciu drugiego tokenu dostępu jako mechanizmu uwierzytelniania. Token odświeżania jest okresowo używany do generowania nowego tokenu dostępu, dzięki czemu dane mogą być synchronizowane w tle bez interwencji użytkownika.
- Dane są zwracane do klienta.
Konfiguracja (lokalny program Exchange)
Aby zablokować próby uzyskania dostępu do lokalnego programu Exchange ActiveSync za pośrednictwem starszego uwierzytelniania (czerwone linie przerywane na diagramie), należy utworzyć zasady uwierzytelniania, które wyłączają starsze uwierzytelnianie dla protokołów używanych przez usługę mobilną Outlook. W szczególności należy wyłączyć wykrywanie automatyczne i narzędzie ActiveSync. Poniżej przedstawiono odpowiednią konfigurację zasad uwierzytelniania:
BlockLegacyAuthAutodiscover: True
BlockLegacyAuthActiveSync: True
Oto przykład polecenia służącego do tworzenia tych zasad uwierzytelniania:
New-AuthenticationPolicy -Name BlockLegacyActiveSyncAuth -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover
Po utworzeniu zasad uwierzytelniania można najpierw przypisać je do grupy pilotażowej użytkowników przy użyciu Set-User user01 -AuthenticationPolicy <name_of_policy>
polecenia . Po przetestowaniu można rozwinąć zasady, aby uwzględnić wszystkich użytkowników. Aby zastosować zasady na poziomie organizacji, użyj Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy>
polecenia . Do tej konfiguracji należy użyć lokalnego programu PowerShell programu Exchange.
Należy również wykonać kroki, aby osiągnąć spójność i zezwolić na dostęp tylko z poziomu klienta programu Outlook. Aby umożliwić programowi Outlook Mobile jako jedynego zatwierdzonego klienta w organizacji, należy zablokować próby połączenia od klientów, którzy nie są klientami mobilnymi programu Outlook obsługującymi nowoczesne uwierzytelnianie. Należy zablokować te próby na poziomie lokalnym programu Exchange, wykonując następujące kroki:
Blokuj innych klientów urządzeń przenośnych:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
Zezwalaj usłudze Exchange Online na nawiązywanie połączenia ze środowiskiem lokalnym:
If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
Blokuj uwierzytelnianie podstawowe dla programu Outlook dla systemów iOS i Android:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
Aby uzyskać więcej informacji na temat tych kroków, zobacz Using hybrid Modern Authentication with Outlook for iOS and Android (Korzystanie z nowoczesnego uwierzytelniania hybrydowego w programie Outlook dla systemów iOS i Android).
W przypadku domen federacyjnych można skonfigurować usługi AD FS do wyzwalania uwierzytelniania wieloskładnikowego zamiast przy użyciu zasad dostępu warunkowego. Zalecamy jednak kontrolowanie połączenia i stosowanie ograniczeń na poziomie zasad dostępu warunkowego.
Składniki
- Microsoft Entra ID. Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft. Zapewnia nowoczesne uwierzytelnianie, które jest zasadniczo oparte na EvoSTS (usługa tokenu zabezpieczającego używana przez identyfikator Firmy Microsoft Entra). Jest on używany jako serwer uwierzytelniania dla lokalnego programu Exchange Server.
- Uwierzytelnianie wieloskładnikowe firmy Microsoft. Uwierzytelnianie wieloskładnikowe to proces, w którym użytkownicy są monitowani podczas procesu logowania o inną formę identyfikacji, na przykład kod na telefonie komórkowym lub skanowanie odcisku palca.
- Dostęp warunkowy firmy Microsoft Entra. Dostęp warunkowy jest funkcją używaną przez firmę Microsoft Entra ID do wymuszania zasad organizacji, takich jak uwierzytelnianie wieloskładnikowe.
- AD FS. Usługi AD FS umożliwiają zarządzanie tożsamościami federacyjnymi i dostępem przez udostępnianie tożsamości cyfrowej i praw uprawnień w granicach zabezpieczeń i przedsiębiorstwa z lepszymi zabezpieczeniami. W tych architekturach jest używana do ułatwienia logowania użytkowników z tożsamością federacyjną.
- Serwer proxy aplikacji sieci Web. Usługa Web serwer proxy aplikacji wstępnie uwierzytelnia dostęp do aplikacji internetowych przy użyciu usług AD FS. Działa również jako serwer proxy usług AD FS.
- Microsoft Intune. Usługa Intune to nasze oparte na chmurze ujednolicone zarządzanie punktami końcowymi, zarządzanie punktami końcowymi w systemach operacyjnych Windows, Android, Mac, iOS i Linux.
- Exchange Server. Program Exchange Server hostuje lokalne skrzynki pocztowe użytkowników. W tych architekturach używa tokenów wystawionych dla użytkownika przez firmę Microsoft Entra ID, aby autoryzować dostęp do skrzynek pocztowych.
- Usługi Active Directory. Usługi Active Directory przechowują informacje o elementach członkowskich domeny, w tym urządzeniach i użytkownikach. W tych architekturach konta użytkowników należą do usług Active Directory i są synchronizowane z identyfikatorem Entra firmy Microsoft.
Alternatywy
Możesz użyć klientów mobilnych innych firm, którzy obsługują nowoczesne uwierzytelnianie jako alternatywę dla aplikacji Outlook Mobile. Jeśli wybierzesz tę alternatywę, dostawca innej firmy jest odpowiedzialny za pomoc techniczną klientów.
Szczegóły scenariusza
Infrastruktura EMI (Enterprise Messaging Infrastructure) to kluczowa usługa dla organizacji. Przejście ze starszych, mniej bezpiecznych metod uwierzytelniania i autoryzacji do nowoczesnego uwierzytelniania jest krytycznym wyzwaniem w świecie, w którym praca zdalna jest powszechna. Implementowanie wymagań dotyczących uwierzytelniania wieloskładnikowego na potrzeby dostępu do usługi obsługi komunikatów jest jednym z najskuteczniejszych sposobów spełnienia tego wyzwania.
W tym artykule opisano dwie architektury ułatwiające zwiększenie bezpieczeństwa w scenariuszu dostępu do urządzeń przenośnych programu Outlook przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.
Te scenariusze opisano w tym artykule:
- Dostęp do urządzeń przenośnych programu Outlook, gdy skrzynka pocztowa użytkownika znajduje się w usłudze Exchange Online
- Dostęp do urządzeń przenośnych programu Outlook, gdy skrzynka pocztowa użytkownika znajduje się w lokalnym programie Exchange
Obie architektury obejmują zarówno programy Outlook dla systemów iOS, jak i Outlook dla systemu Android.
Aby uzyskać informacje na temat stosowania uwierzytelniania wieloskładnikowego w innych scenariuszach obsługi komunikatów hybrydowych, zobacz następujące artykuły:
- Infrastruktura obsługi komunikatów hybrydowych z rozszerzonymi zabezpieczeniami w scenariuszu dostępu do internetu
- Infrastruktura obsługi komunikatów hybrydowych z rozszerzonymi zabezpieczeniami w scenariuszu dostępu do klienta pulpitu
W tym artykule nie omówiono innych protokołów, takich jak IMAP lub POP. Zazwyczaj te scenariusze nie korzystają z tych protokołów.
Uwagi ogólne
- Te architektury korzystają z federacyjnego modelu tożsamości firmy Microsoft Entra. W przypadku modeli synchronizacji skrótów haseł i uwierzytelniania przekazywanego logika i przepływ są takie same. Jedyną różnicą jest fakt, że microsoft Entra ID nie przekierowuje żądania uwierzytelniania do lokalna usługa Active Directory Federation Services (AD FS).
- Na diagramach czarne linie przerywane pokazują podstawowe interakcje między lokalnymi składnikami active directory, Microsoft Entra Connect, Microsoft Entra ID, AD FS i Web serwer proxy aplikacji. Te interakcje można dowiedzieć się w temacie Wymagane porty i protokoły tożsamości hybrydowej.
- W środowisku lokalnym programu Exchange oznaczamy program Exchange 2019 z najnowszymi aktualizacjami i rolą Skrzynka pocztowa.
- W rzeczywistym środowisku nie będziesz mieć tylko jednego serwera. W celu zapewnienia wysokiej dostępności będzie dostępna tablica serwerów exchange o zrównoważonym obciążeniu. Scenariusze opisane tutaj są odpowiednie dla tej konfiguracji.
Potencjalne przypadki użycia
Ta architektura jest odpowiednia w następujących scenariuszach:
- Zwiększ bezpieczeństwo EMI.
- Przyjęcie strategii zabezpieczeń Zero Trust.
- Zastosuj standardowy wysoki poziom ochrony lokalnej usługi obsługi komunikatów podczas przejścia do usługi Exchange Online lub współistnienia z usługą Exchange Online.
- Wymuszanie rygorystycznych wymagań dotyczących zabezpieczeń lub zgodności w zamkniętych lub wysoce zabezpieczonych organizacjach, takich jak te w sektorze finansowym.
Kwestie wymagające rozważenia
Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.
Niezawodność
Niezawodność zapewnia, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Omówienie filaru niezawodności.
Dostępność
Ogólna dostępność zależy od dostępności składników, które są zaangażowane. Aby uzyskać informacje o dostępności, zobacz następujące zasoby:
- Zaawansowana dostępność firmy Microsoft
- Usługi w chmurze, którym można ufać: dostępność usługi Office 365
- Co to jest architektura firmy Microsoft Entra?
Dostępność składników rozwiązań lokalnych zależy od zaimplementowanego projektu, dostępności sprzętu oraz procedur wewnętrznej konserwacji i operacji. Aby uzyskać informacje o dostępności niektórych z tych składników, zobacz następujące zasoby:
- Konfigurowanie wdrożenia usług AD FS z zawsze włączonymi grupami dostępności
- Wdrażanie wysokiej dostępności i odporności lokacji w programie Exchange Server
- Serwer proxy aplikacji sieci Web w systemie Windows Server
Aby korzystać z nowoczesnego uwierzytelniania hybrydowego, należy upewnić się, że wszyscy klienci w sieci mogą uzyskiwać dostęp do identyfikatora Entra firmy Microsoft. Należy również spójnie obsługiwać porty zapory usługi Office 365 i otwieranie zakresów adresów IP.
Aby uzyskać informacje o wymaganiach dotyczących protokołu i portów dla programu Exchange Server, zobacz "Wymagania dotyczące klienta i protokołu programu Exchange" w temacie Omówienie nowoczesnego uwierzytelniania hybrydowego do użycia z lokalnymi Skype dla firm i serwerami exchange.
Zakresy i porty adresów IP usługi Office 365 można znaleźć w temacie Office 365 URL and IP address ranges (Zakresy adresów IP i zakresów adresów IP usługi Office 365).
Aby uzyskać informacje na temat nowoczesnego uwierzytelniania hybrydowego i urządzeń przenośnych, zapoznaj się z tematem AutoDetect endpoint in Other endpoints not included in the Office 365 IP Address and URL Web service (Punkt końcowy autowykrywania w innych punktach końcowych nieuwzględnianych w usłudze Sieci Web adresów IP i adresów URL usługi Office 365).
Odporność
Aby uzyskać informacje o odporności składników w tej architekturze, zobacz następujące zasoby.
- W przypadku identyfikatora Entra firmy Microsoft: rozwijanie dostępności entra firmy Microsoft
- W przypadku scenariuszy korzystających z usług AD FS: wdrożenie usług AD FS o wysokiej dostępności między geograficznymi usługami AD FS na platformie Azure za pomocą usługi Azure Traffic Manager
- W przypadku rozwiązania lokalnego programu Exchange: wysoka dostępność programu Exchange
Zabezpieczenia
Aby uzyskać ogólne wskazówki dotyczące zabezpieczeń na urządzeniach przenośnych, zobacz Ochrona danych i urządzeń za pomocą usługi Microsoft Intune.
Aby uzyskać informacje na temat zabezpieczeń i nowoczesnego uwierzytelniania hybrydowego, zobacz Szczegółowe omówienie: Jak działa uwierzytelnianie hybrydowe.
W przypadku zamkniętych organizacji, które mają tradycyjną silną ochronę obwodową, istnieją obawy dotyczące zabezpieczeń związane z konfiguracjami hybrydowymi programu Exchange. Konfiguracja nowoczesnego środowiska hybrydowego programu Exchange nie obsługuje nowoczesnego uwierzytelniania hybrydowego.
Aby uzyskać informacje o identyfikatorze Entra firmy Microsoft, zobacz Microsoft Entra security operations guide (Przewodnik po operacjach zabezpieczeń firmy Microsoft Entra).
Aby uzyskać informacje o scenariuszach korzystających z zabezpieczeń usług AD FS, zobacz następujące artykuły:
- Najlepsze rozwiązania dotyczące zabezpieczania usług AD FS i sieci Web serwer proxy aplikacji
- Konfigurowanie inteligentnej blokady ekstranetu usług AD FS
Optymalizacja kosztów
Koszt implementacji zależy od kosztów licencji microsoft Entra ID i Microsoft 365. Całkowity koszt obejmuje również koszty oprogramowania i sprzętu dla składników lokalnych, operacji IT, szkoleń i edukacji oraz implementacji projektu.
Te rozwiązania wymagają co najmniej identyfikatora Entra ID P1 firmy Microsoft. Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik firmy Microsoft Entra.
Aby uzyskać informacje na temat usług AD FS i sieci Web serwer proxy aplikacji, zobacz Cennik i licencjonowanie dla systemu Windows Server 2022.
Aby uzyskać więcej informacji o cenach, zobacz następujące zasoby:
Efektywność wydajności
Wydajność zależy od wydajności składników, które są zaangażowane i wydajności sieci firmy. Aby uzyskać więcej informacji, zobacz Dostosowywanie wydajności usługi Office 365 przy użyciu punktów odniesienia i historii wydajności.
Aby uzyskać informacje o czynnikach lokalnych mających wpływ na wydajność scenariuszy obejmujących usługi AD FS, zobacz następujące zasoby:
- Konfigurowanie monitorowania wydajności
- Dostrajanie bazy danych SQL i rozwiązywanie problemów z opóźnieniami w usługach AD FS
Skalowalność
Aby uzyskać informacje o skalowalności usług AD FS, zobacz Planowanie pojemności serwera usług AD FS.
Aby uzyskać informacje o skalowalności lokalnej programu Exchange Server, zobacz Preferowana architektura programu Exchange 2019.
Wdrażanie tego scenariusza
Aby zaimplementować tę infrastrukturę, należy wykonać kroki opisane w wytycznych zawartych w poniższych artykułach. Poniżej przedstawiono ogólne kroki:
- Zabezpieczanie dostępu do urządzeń przenośnych programu Outlook zgodnie z opisem w tych krokach implementacji nowoczesnego uwierzytelniania.
- Blokuj wszystkie inne starsze próby uwierzytelniania na poziomie identyfikatora Entra firmy Microsoft.
- Blokuj starsze próby uwierzytelniania na poziomie usług obsługi komunikatów przy użyciu zasad uwierzytelniania.
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Autorzy zabezpieczeń:
- Pavel Kondrashov | Architekt rozwiązań w chmurze
- Ella Parkm | Główny architekt rozwiązań klienta — inżynieria
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
- Ogłoszenie nowoczesnego uwierzytelniania hybrydowego dla lokalnego programu Exchange
- Omówienie nowoczesnego uwierzytelniania hybrydowego i wymagania wstępne dotyczące używania z lokalnymi serwerami Exchange
- Używanie uwierzytelniania opartego na oświadczeniach usług AD FS z Outlook w sieci Web
- Jak skonfigurować lokalny Exchange Server do używania nowoczesnego uwierzytelniania hybrydowego
- Preferowana architektura programu Exchange 2019
- Wdrażanie geograficznie rozproszonych usług AD FS o wysokiej dostępności na platformie Azure przy użyciu usługi Azure Traffic Manager
- Używanie hybrydowego nowoczesnego uwierzytelniania z programem Outlook dla systemów iOS i Android
- Konfiguracja konta z nowoczesnym uwierzytelnianiem w usłudze Exchange Online