Infraestrutura de mensagens híbridas de segurança avançada – acesso móvel

Esse artigo mostra como implementar a autenticação multifator para clientes móveis do Outlook que acessam o Microsoft Exchange. Há duas arquiteturas que correspondem a duas possibilidades diferentes para o Microsoft Exchange que tem a caixa de correio do usuário:

• Exchange Online
• Exchange local

Arquitetura (Exchange Online)

Nesse cenário, os usuários precisam usar um cliente móvel que dê suporte à autenticação moderna. Recomendamos o Outlook Mobile (Outlook para iOS/Outlook para Android), que tem suporte da Microsoft. O fluxo de trabalho a seguir usa o Outlook Mobile.

Baixe um arquivo do Visio de todos os diagramas nesse artigo.

Fluxo de trabalho (Exchange Online)

1. O usuário inicia a configuração de perfil do Outlook inserindo um endereço de email. O Outlook Mobile conecta-se ao serviço AutoDetect.
2. O serviço AutoDetect faz uma solicitação anônima de Descoberta Automática V2 ao Exchange Online para obter a caixa de correio. O Exchange Online responde com uma resposta de redirecionamento 302 que contém o endereço de URL do ActiveSync para a caixa de correio, apontando para o Exchange Online. Você pode ver um exemplo desse tipo de solicitação aqui.
3. Agora que o serviço AutoDetect tem informações sobre o ponto de extremidade do conteúdo da caixa de correio, ele pode chamar o ActiveSync sem autenticação.
4. Conforme descrito no fluxo de conexão aqui, o Exchange responde com uma resposta de desafio 401. Ele inclui uma URL de autorização que identifica o ponto de extremidade do Microsoft Entra que o cliente precisa usar para obter um token de acesso.
5. O serviço AutoDetect retorna o ponto de extremidade de autorização do Microsoft Entra para o cliente.
6. O cliente se conecta ao Microsoft Entra ID para concluir a autenticação e inserir informações de entrada (email).
7. Se o domínio for federado, a solicitação será redirecionada para o Proxy de Aplicativo Web.
8. O Proxy de Aplicativo Web faz proxies da solicitação de autenticação para o AD FS. O usuário vê uma página de entrada.
9. O usuário insere credenciais para concluir a autenticação.
10. O usuário é redirecionado de volta para o Microsoft Entra ID.
11. O Microsoft Entra ID aplica uma política de Acesso Condicional do Azure.
12. A política pode impor restrições com base no estado do dispositivo do usuário se o dispositivo estiver registrado no Microsoft Endpoint Manager, impor políticas de proteção de aplicativo e/ou impor a autenticação multifator. Você pode encontrar um exemplo detalhado desse tipo de política nas etapas de implementação descritas aqui.
13. O usuário implementa todos os requisitos de política e conclui a solicitação de autenticação multifator.
14. O Microsoft Entra ID retorna tokens de acesso e atualização para o cliente.
15. O cliente usa o token de acesso para se conectar ao Exchange Online e recuperar o conteúdo da caixa de correio.

Configuração (Exchange Online)

Para bloquear tentativas de acessar o Exchange Online ActiveSync por meio da autenticação herdada (a linha tracejada vermelha no diagrama), você precisa criar uma política de autenticação que desabilite a autenticação herdada para protocolos que o serviço móvel do Outlook usa. Especificamente, você precisa desabilitar o AutoDiscover, o ActiveSync e o Outlook Service. Aqui está a configuração da política de autenticação correspondente:

AllowBasicAuthAutodiscover : False

AllowBasicAuthActiveSync : False

AllowBasicAuthOutlookService : False

Depois de criar a política de autenticação, você pode atribuí-la a um grupo piloto de usuários. Depois de testar, você pode expandir a política para todos os usuários. Para aplicar a política no nível da organização, use o comando Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy>. Você precisa usar o PowerShell do Exchange Online para essa configuração.

Para domínios federados, você pode configurar o AD FS para disparar a autenticação multifator em vez de usar uma política de Acesso Condicional. No entanto, recomendamos que você controle a conexão e aplique restrições no nível da política de Acesso Condicional.

Arquitetura (Exchange local)

Baixe um arquivo do Visio de todos os diagramas nesse artigo.

Nesse cenário, os usuários precisam usar um cliente móvel que dê suporte à autenticação moderna, conforme descrito no uso da autenticaçãomoderna híbrida. Recomendamos o Outlook Mobile (Outlook para iOS/Outlook para Android), que tem suporte da Microsoft. O fluxo de trabalho a seguir usa o Outlook Mobile.

Fluxo de trabalho (Exchange local)

1. O usuário inicia a configuração de perfil do Outlook inserindo um endereço de email. O Outlook Mobile conecta-se ao serviço AutoDetect.
2. O serviço AutoDetect faz uma solicitação anônima de Descoberta Automática V2 ao Exchange Online para obter a caixa de correio.
3. Depois que a caixa de correio estiver localizada localmente, o Exchange Online responderá com uma resposta de redirecionamento 302 que contém uma URL de AutoDiscover local que o AutoDetect pode usar para recuperar o endereço de URL do ActiveSync para a caixa de correio.
4. O AutoDetect usa a URL local que recebeu na etapa anterior para fazer uma solicitação de AutoDiscover anônima v2 para o Exchange local para obter a caixa de correio. O Exchange local retorna um endereço de URL ActiveSync para a caixa de correio, apontando para o Exchange local. Você pode ver um exemplo desse tipo de solicitação aqui.
5. Agora que o serviço AutoDetect tem informações sobre o ponto de extremidade do conteúdo da caixa de correio, ele pode chamar o ponto de extremidade ActiveSync local sem autenticação. Conforme descrito no fluxo de conexão aqui, o Exchange responde com uma resposta de desafio 401. Ele inclui uma URL de autorização que identifica o ponto de extremidade do Microsoft Entra que o cliente precisa usar para obter um token de acesso.
6. O serviço AutoDetect retorna o ponto de extremidade de autorização do Microsoft Entra para o cliente.
7. O cliente se conecta ao Microsoft Entra ID para concluir a autenticação e inserir informações de entrada (email).
8. Se o domínio for federado, a solicitação será redirecionada para o Proxy de Aplicativo Web.
9. O Proxy de Aplicativo Web faz proxies da solicitação de autenticação para o AD FS. O usuário vê uma página de entrada.
10. O usuário insere credenciais para concluir a autenticação.
11. O usuário é redirecionado de volta para o Microsoft Entra ID.
12. O Microsoft Entra ID aplica uma política de Acesso Condicional do Azure.
13. A política pode impor restrições com base no estado do dispositivo do usuário se o dispositivo estiver registrado no Microsoft Endpoint Manager, impor políticas de proteção de aplicativo e/ou impor a autenticação multifator. Você pode encontrar um exemplo detalhado desse tipo de política nas etapas de implementação descritas aqui.
14. O usuário implementa todos os requisitos de política e conclui a solicitação de autenticação multifator.
15. O Microsoft Entra ID retorna tokens de acesso e atualização para o cliente.
16. O cliente usa o token de acesso para se conectar ao Exchange Online e recuperar o conteúdo da caixa de correio local. O conteúdo deve ser fornecido do cache, conforme descrito aqui. Para fazer isso, o cliente emite uma solicitação de provisionamento que inclui o token de acesso do usuário e o ponto de extremidade ActiveSync local.
17. A API de provisionamento no Exchange Online usa o token fornecido como uma entrada. A API obtém um segundo par de tokens de acesso e atualização para acessar a caixa de correio local por meio de uma chamada em nome do Active Directory. Esse segundo token de acesso tem como escopo o cliente como Exchange Online e uma audiência do ponto de extremidade do namespace ActiveSync local.
18. Se a caixa de correio não for provisionada, a API de provisionamento criará uma caixa de correio.
19. A API de provisionamento estabelece uma conexão segura com o ponto de extremidade ActiveSync local. A API sincroniza os dados de mensagens do usuário usando o segundo token de acesso como o mecanismo de autenticação. O token de atualização é usado periodicamente para gerar um novo token de acesso para que os dados possam ser sincronizados em segundo plano sem intervenção do usuário.
20. Os dado são retornados ao cliente.

Configuração (Exchange local)

Para bloquear tentativas de acessar o ActiveSync local do Exchange por meio da autenticação herdada (as linhas tracejadas vermelhas no diagrama), você precisa criar uma política de autenticação que desabilite a autenticação herdada para protocolos que o serviço móvel do Outlook usa. Especificamente, você precisa desabilitar o AutoDiscover e o ActiveSync. Aqui está a configuração da política de autenticação correspondente:

BlockLegacyAuthAutodiscover: True

BlockLegacyAuthActiveSync: True

Aqui está um exemplo de um comando para criar essa política de autenticação:

New-AuthenticationPolicy -Name BlockLegacyActiveSyncAuth -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover

Depois de criar a política de autenticação, você pode atribuí-la primeiro a um grupo piloto de usuários usando o comando Set-User user01 -AuthenticationPolicy <name_of_policy>. Após o teste, você pode expandir a política para incluir todos os usuários. Para aplicar a política no nível da organização, use o comando Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy>. Você precisa usar o PowerShell local do Exchange para essa configuração.

Você também precisa tomar medidas para obter consistência e permitir o acesso somente do cliente do Outlook. Para permitir o Outlook Mobile como o único cliente aprovado na organização, você precisa bloquear tentativas de conexão de clientes que não são clientes móveis do Outlook compatíveis com a autenticação moderna. Você precisa bloquear essas tentativas no nível local do Exchange concluindo essas etapas:

• Bloquear outros clientes de dispositivo móvel:

  Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
  

• Permitir que o Exchange Online se conecte ao local:

  If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
  

• Bloquear a autenticação básica do Outlook para iOS e Android:

  New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
  

Para obter mais informações sobre essas etapas, consulte Como usar a Autenticação Moderna híbrida com o Outlook para iOS e Android.

Para domínios federados, você pode configurar o AD FS para disparar a autenticação multifator em vez de usar uma política de Acesso Condicional. No entanto, recomendamos que você controle a conexão e aplique restrições no nível da política de Acesso Condicional.

Componentes

• ID do Microsoft Entra. O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso multilocatário e baseado em nuvem. Ele fornece autenticação moderna que é essencialmente baseada no EvoSTS (um Serviço de Token de Segurança usado pelo Microsoft Entra ID). Ele é usado como um servidor de autenticação para o Exchange Server local.
• Autenticação multifator do Microsoft Entra. A autenticação multifator é um processo no qual os usuários são solicitados, durante o processo de entrada, a fornecer uma forma adicional de identificação, como um código no celular ou uma verificação de impressão digital.
• Acesso Condicional do Microsoft Entra. O Acesso Condicional é o recurso que a ID do Microsoft Entra usa para impor políticas organizacionais, como autenticação multifator.
• AD FS. O AD FS permite o gerenciamento federado de identidade e acesso compartilhando direitos de identidade digital e direitos entre os limites de segurança e empresa com segurança aprimorada. Nessas arquiteturas, ela é usada para facilitar a entrada de usuários com identidade federada.
• Proxy de Aplicativo Web. O Proxy de Aplicativo Web pré-autentica o acesso a aplicativos Web usando o AD FS. Ele também funciona como um proxy do AD FS.
• Microsoft Intune. O Intune é o nosso gerenciamento de ponto de extremidade unificado baseado em nuvem, gerenciando pontos de extremidade em sistemas operacionais Windows, Android, Mac, iOS e Linux.
• Exchange Server. O Exchange Server hospeda caixas de correio do usuário localmente. Nessas arquiteturas, ele usa tokens emitidos para o usuário pelo Microsoft Entra ID para autorizar o acesso às caixas de correio.
• Serviços do Active Directory. Os serviços do Active Directory armazenam informações sobre membros de um domínio, incluindo dispositivos e usuários. Nessas arquiteturas, as contas de usuário pertencem aos serviços do Active Directory e são sincronizadas com o Microsoft Entra ID.

Alternativas

Você pode usar clientes móveis de terceiros compatíveis com a autenticação moderna como uma alternativa ao Outlook Mobile. Se você escolher essa alternativa, o fornecedor terceirizado será responsável pelo suporte dos clientes.

Detalhes do cenário

A infraestrutura de mensagens corporativa (EMI) é um serviço fundamental para as organizações. Passar de métodos mais antigos e menos seguros de autenticação e autorização para autenticação moderna é um desafio crítico em um mundo onde o trabalho remoto é comum. Implementar requisitos de autenticação multifator para acesso ao serviço de mensagens é uma das maneiras mais eficazes de enfrentar esse desafio.

Esse artigo descreve duas arquiteturas para ajudá-lo a aprimorar sua segurança em um cenário de acesso móvel do Outlook usando a autenticação multifator do Microsoft Entra.

Esses cenários são descritos nesse artigo:

• Acesso móvel do Outlook quando a caixa de correio do usuário está no Exchange Online
• Acesso móvel do Outlook quando a caixa de correio do usuário está no Exchange local

Ambas as arquiteturas abrangem o Outlook para iOS e o Outlook para Android.

Para obter informações sobre como aplicar a autenticação multifator em outros cenários de mensagens híbridas, consulte esses artigos:

• Infraestrutura de mensagens híbridas com segurança aprimorada em um cenário de acesso à Web
• Infraestrutura de mensagens híbridas de segurança aprimorada em um cenário de acesso desktop-cliente

Esse artigo não aborda outros protocolos, como IMAP ou POP. Normalmente, esses cenários não usam esses protocolos.

Observações gerais

• Essas arquiteturas usam o modelo de identidade federado do Microsoft Entra. Para os modelos de sincronização de hash de senha e autenticação de passagem, a lógica e o fluxo são os mesmos. A única diferença está relacionada ao fato de que o Microsoft Entra ID não redirecionará a solicitação de autenticação para os Serviços de Federação do Active Directory (AD FS) local.
• Nos diagramas, as linhas tracejadas pretas mostram interações básicas entre os componentes do Active Directory local, do Microsoft Entra Connect, do Microsoft Entra ID, do AD FS e do Proxy de Aplicativo Web. Você pode aprender sobre essas interações em Portas e protocolos exigidos pela identidade híbrida.
• Quando falamos de Exchange local, nos referimos ao Exchange 2019 com as atualizações mais recentes e uma função de Caixa de Correio.
• Em um ambiente real, você não terá apenas um servidor. Você terá uma matriz com balanceamento de carga de servidores Exchange para alta disponibilidade. Os cenários descritos aqui são adequados para essa configuração.

Possíveis casos de uso

Essa arquitetura é relevante para os seguintes cenários:

• Aprimorar a segurança da EMI.
• Adotar uma estratégia de segurança de Confiança Zero.
• Aplicar seu alto nível de proteção padrão ao serviço de mensagens local durante a transição ou coexistência com o Exchange Online.
• Impor requisitos estritos de segurança ou conformidade nas organizações fechadas ou altamente protegidas, como as do setor financeiro.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.

Disponibilidade

A disponibilidade geral depende da disponibilidade dos componentes envolvidos. Para obter informações sobre disponibilidade, consulte esses recursos:

• Avanço na disponibilidade do Microsoft Entra
• Serviços de nuvem em que você pode confiar: disponibilidade do Office 365
• O que é a arquitetura do Microsoft Entra?

A disponibilidade dos componentes da solução local depende do design implementado, da disponibilidade de hardware e das suas operações internas e rotinas de manutenção. Para obter informações de disponibilidade sobre alguns desses componentes, consulte os seguintes recursos:

• Como configurar uma implantação do AD FS com grupos de disponibilidade Always On
• Como Implantar alta disponibilidade e resiliência de site no Exchange Server
• Proxy de aplicativo Web no Windows Server

Para usar a autenticação moderna híbrida, você precisa garantir que todos os clientes em sua rede possam acessar o Microsoft Entra ID. Você também precisa manter consistentemente as portas de firewall do Office 365 e as aberturas de intervalo de IP.

Para obter requisitos de protocolo e porta para o Exchange Server, consulte "Requisitos de cliente e protocolo do Exchange" na Visão geral da autenticação moderna híbrida para uso com servidores locais do Skype for Business e do Exchange.

Para intervalos de IP e portas do Office 365, consulte URLs do Office 365 e intervalos de endereços IP.

Para obter informações sobre a autenticação moderna híbrida e dispositivos móveis, leia sobre o ponto de extremidade AutoDetect em Outros pontos de extremidade não incluídos no endereço IP do Office 365 e no serviço Web de URL.

Resiliência

Para obter informações sobre a resiliência dos componentes nessa arquitetura, consulte os recursos a seguir.

• Para a ID do Microsoft Entra: Avanço da disponibilidade do Microsoft Entra
• Para os cenários que usam o AD FS: Implantação de alta disponibilidade entre fronteiras geográficas do AD FS no Azure com o Gerenciador de Tráfego do Azure
• Para a solução local do Exchange: Alta disponibilidade do Exchange

Segurança

Para obter orientações gerais sobre segurança em dispositivos móveis, consulte Proteger dados e dispositivos com o Microsoft Intune.

Para obter informações sobre segurança e autenticação moderna híbrida, consulte Aprofundamento: como a autenticação híbrida realmente funciona.

Para organizações fechadas que têm proteção de perímetro forte tradicional, há preocupações de segurança relacionadas às configurações Clássicas do Exchange Híbrido. A configuração Moderna Híbrida do Exchange não é compatível com a autenticação moderna híbrida.

Para obter informações sobre o Microsoft Entra ID, consulte o Guia de operações de segurança do Microsoft Entra.

Para obter informações sobre cenários que usam a segurança do AD FS, consulte estes artigos:

• Práticas recomendadas para proteger o AD FS e o Proxy de Aplicativo Web
• Configurar o bloqueio inteligente de extranet do AD FS

Otimização de custo

O custo da implementação depende dos custos de sua licença do Microsoft Entra ID e do Microsoft 365. O custo total também inclui custos para software e hardware para componentes locais, operações de TI, treinamento e educação e implementação de projeto.

Essas soluções exigem pelo menos o Microsoft Entra ID P1. Para obter detalhes sobre preços, consulte os preços do Microsoft Entra.

Para obter informações sobre o AD FS e o Proxy de Aplicativo Web, consulte Preços e licenciamento do Windows Server 2022.

Para obter mais informações sobre preços, consulte estes recursos:

• Preços do Microsoft Intune
• Planos do Exchange Online
• Preços do Exchange server

Eficiência de desempenho

O desempenho depende do desempenho dos componentes envolvidos e do desempenho de rede da sua empresa. Para obter mais informações, consulte Ajuste de desempenho do Office 365 usando linhas de base e histórico de desempenho.

Para obter informações sobre fatores locais que influenciam o desempenho dos cenários que incluem os serviços do AD FS, consulte estes recursos:

• Configurar o monitoramento de desempenho
• Ajustar o SQL e resolver problemas de latência com o AD FS

Escalabilidade

Para obter informações sobre a escalabilidade do AD FS, consulte Como planejar a capacidade do servidor do AD FS.

Para obter informações sobre a escalabilidade local do Exchange Server, consulte Arquitetura preferencial do Exchange 2019.

Implantar este cenário

Para implementar essa infraestrutura, você precisa concluir as etapas descritas nas diretrizes incluídas nos artigos a seguir. Aqui estão as etapas de alto nível:

1. Proteger o acesso móvel do Outlook, conforme descrito nessas etapas de implementação para autenticação moderna.
2. Bloquear todas as outras tentativas de autenticação herdadas no nível do Microsoft Entra ID.
3. Bloquear as tentativas de autenticação herdadas no nível dos serviços de mensagens usando a política de autenticação.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Principais autores:

• Pavel Kondrashov | Arquiteto de Soluções na Nuvem
• Ella Parkum | Arquiteto-Engenheiro Principal de Soluções para Clientes

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

• Anunciando a autenticação moderna híbrida para o Exchange local
• Visão geral e pré-requisitos de autenticação moderna híbrida para uso com servidores do Exchange locais
• Usar a autenticação baseada em declarações do AD FS com o Outlook na Web
• Como configurar o Exchange Server local para usar a Autenticação Moderna Híbrida
• Arquitetura preferencial do Exchange 2019
• Implantação do AD FS de alta disponibilidade entre fronteiras geográficas no Azure com o Gerenciador de Tráfego do Azure
• Como usar a Autenticação Moderna híbrida com o Outlook para iOS e Android
• Configuração da conta com autenticação moderna no Exchange Online

Recursos relacionados

• Infraestrutura de mensagens híbridas com segurança aprimorada em um cenário de acesso à Web
• Infraestrutura de mensagens híbridas de segurança aprimorada em um cenário de acesso desktop-cliente