Infraestrutura de mensagens híbridas de segurança avançada – acesso à Web

A solução neste artigo fornece uma maneira de ajudar a proteger seu serviço de mensagens (Outlook na Web ou Painel de Controle do Exchange) quando as caixas de correio estiverem hospedadas no Exchange Online ou no Exchange local.

Arquitetura

Nesta arquitetura, dividimos a solução em duas áreas, descrevendo a segurança do:

• Exchange Online, no lado direito do diagrama.
• Exchange local em um cenário híbrido ou não híbrido, no lado esquerdo do diagrama.

Baixe um Arquivo Visio dessa arquitetura.

Observações gerais

• Essas arquiteturas usam o modelo de identidade federado do Microsoft Entra. Nos modelos de autenticação de passagem e sincronização de hash de senha, a lógica e o fluxo são os mesmos. A única diferença está relacionada ao fato de que o Microsoft Entra ID não redirecionará a solicitação de autenticação para os Serviços de Federação do Active Directory (AD FS) local.
• O diagrama mostra o acesso ao Outlook no serviço Web que corresponde a um caminho .../owa. O acesso do usuário ao Centro de administração do Exchange (ou Painel de Controle do Exchange) que corresponde a um caminho …/ecp segue o mesmo fluxo.
• No diagrama, as linhas tracejadas mostram as interações básicas entre os componentes do Active Directory local, Microsoft Entra Connect, ID do Microsoft Entra, AD FS e do Proxy de Aplicativo Web. Você pode aprender sobre essas interações em Portas e protocolos exigidos pela identidade híbrida.
• Quando falamos de Exchange local, nos referimos ao Exchange 2019 com as atualizações mais recentes e função de Caixa de Correio. Quando falamos do Exchange Edge local, nos referimos ao Exchange 2019 com as atualizações mais recentes e função do Transporte do Edge. Incluímos o servidor Edge no diagrama para destacar que você pode usá-lo nesses cenários. Ele não está envolvido no trabalho com os protocolos de cliente discutidos aqui.
• Em um ambiente real, você não terá apenas um servidor. Você terá uma matriz com balanceamento de carga de servidores Exchange para alta disponibilidade. Os cenários descritos aqui são adequados para essa configuração.

Fluxo do usuário do Exchange Online

1. Um usuário tenta acessar o Outlook no serviço Web pelo https://outlook.office.com/owa.

2. O Exchange Online redireciona o usuário para a ID do Microsoft Entra para autenticação.

   Se o domínio for federado, a ID do Microsoft Entra redirecionará o usuário para a instância local do AD FS para autenticação. Se a autenticação for bem-sucedida, o usuário será redirecionado de volta para a ID do Microsoft Entra. (Para manter o diagrama simples, deixamos de fora este cenário federado.)

3. Para impor a autenticação multifator, a ID do Microsoft Entra aplica uma política de Acesso Condicional do Azure com um requisito de autenticação multifator do aplicativo cliente do navegador. Consulte a seção de implantação deste artigo para obter informações sobre como configurar essa política.

4. A política de Acesso Condicional chama a autenticação multifator do Microsoft Entra. O usuário recebe uma solicitação para concluir a autenticação multifator.

5. O usuário conclui a autenticação multifator.

6. A ID do Microsoft Entra redireciona a sessão da Web autenticada no Exchange Online e o usuário pode acessar o Outlook.

Fluxo do usuário local do Exchange

1. Um usuário tenta acessar o Outlook no serviço Web por uma URL https://mail.contoso.com/owa que aponta para um servidor Exchange para acesso interno ou para um servidor Proxy de Aplicativo Web para acesso externo.

2. O Exchange local (para acesso interno) ou o Proxy de Aplicativo Web (para acesso externo) redireciona o usuário para o AD FS para autenticação.

3. O AD FS usa a autenticação Integrada do Windows para acesso interno ou fornece um formulário da Web no qual o usuário pode inserir credenciais para acesso externo.

4. Respondendo a uma política de controle de acesso do AF DS, o AD FS chama a autenticação multifator do Microsoft Entra para concluir a autenticação. Aqui está um exemplo desse tipo de política de controle de acesso do AD FS:

   

   O usuário recebe uma solicitação para concluir a autenticação multifator.

5. O usuário conclui a autenticação multifator. O AD FS redireciona a sessão da Web autenticada para o Exchange local.

6. O usuário pode acessar o Outlook.

Para implementar esse cenário para um usuário local, você precisa configurar o Exchange e o AD FS para configurar o AD FS para pré-autenticar as solicitações de acesso à Web. Para obter mais informações, consulte Usar a autenticação baseada nas declarações do AD FS com o Outlook na web.

Você também precisa habilitar a integração da autenticação multifator do AD FS e do Microsoft Entra. Para obter mais informações, consulte Configurar o Azure MFA como provedor de autenticação com o AD FS. (Essa integração requer o AD FS 2016 ou 2019.) Por fim, você precisa sincronizar os usuários com a ID do Microsoft Entra e atribuir-lhes licenças para autenticação multifator do Microsoft Entra.

Componentes

• ID do Microsoft Entra. A ID do Microsoft Entra é um serviço de gerenciamento de identidade e acesso multilocatário e baseado na nuvem. Ele fornece autenticação moderna baseada no EvoSTS (um Serviço de Token de Segurança usado pela ID do Microsoft Entra). Ele é usado como um servidor de autenticação para o Exchange Server local.

• Autenticação multifator do Microsoft Entra. A autenticação multifator é um processo no qual os usuários são solicitados, durante o processo de entrada, a fornecer uma forma adicional de identificação, como um código no celular ou uma verificação de impressão digital.

• Acesso Condicional do Microsoft Entra. O Acesso Condicional é o recurso que a ID do Microsoft Entra usa para impor políticas organizacionais, como autenticação multifator.

• AD FS. O AD FS permite o gerenciamento federado de identidade e acesso compartilhando direitos de identidade digital e direitos entre os limites de segurança e empresa com segurança aprimorada. Nessa arquitetura, ela é usada para facilitar a entrada de usuários com identidade federada.

• Proxy de Aplicativo Web. O Proxy de Aplicativo Web pré-autentica o acesso a aplicativos Web usando o AD FS. Ele também funciona como um proxy do AD FS.

• Exchange Server. O Exchange Server hospeda as caixas de correio do usuário localmente. Nessa arquitetura, ele usa tokens emitidos ao usuário pela ID do Microsoft Entra para autorizar o acesso às caixas de correio.

• Serviços do Active Directory. Os serviços do Active Directory armazenam informações sobre membros de um domínio, incluindo dispositivos e usuários. Nessa arquitetura, as contas de usuário pertencem aos serviços do Active Directory e são sincronizadas com a ID do Microsoft Entra.

Detalhes do cenário

A infraestrutura de mensagens corporativa (EMI) é um serviço fundamental para as organizações. Passar de métodos mais antigos e menos seguros de autenticação e autorização para autenticação moderna é um desafio crítico em um mundo onde o trabalho remoto é comum. Implementar os requisitos de autenticação multifator para acesso ao serviço de mensagens é uma das maneiras mais eficazes de enfrentar esse desafio.

Este artigo descreve uma arquitetura para aprimorar sua segurança em um cenário de acesso à Web usando a autenticação multifator do Microsoft Entra.

As arquiteturas aqui descrevem cenários para ajudá-lo a proteger seu serviço de mensagens (Outlook na Web ou Painel de Controle do Exchange) quando as caixas de correio são hospedadas no Exchange Online ou Exchange local.

Para obter informações sobre como aplicar a autenticação multifator em outros cenários de mensagens híbridas, consulte estes artigos:

• Infraestrutura de mensagens híbridas de segurança aprimorada em um cenário de acesso desktop-cliente
• Infraestrutura de mensagens híbridas com segurança aprimorada em um cenário de acesso móvel

Este artigo não aborda outros protocolos, como IMAP ou POP. Não recomendamos que você os use para fornecer acesso ao usuário.

Possíveis casos de uso

Essa arquitetura é relevante para os seguintes cenários:

• Aprimorar a segurança da EMI.
• Adotar uma estratégia de segurança de Confiança Zero.
• Aplicar seu alto nível de proteção padrão ao serviço de mensagens local durante a transição ou coexistência com o Exchange Online.
• Impor requisitos estritos de segurança ou conformidade nas organizações fechadas ou altamente protegidas, como as do setor financeiro.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com os seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.

Disponibilidade

A disponibilidade geral depende da disponibilidade dos componentes envolvidos. Para obter informações sobre disponibilidade, consulte estes recursos:

• Avanço na disponibilidade do Microsoft Entra
• Serviços de nuvem em que você pode confiar: disponibilidade do Office 365
• O que é a arquitetura do Microsoft Entra?

A disponibilidade dos componentes da solução local depende do design implementado, da disponibilidade de hardware e das suas operações internas e rotinas de manutenção. Para obter informações de disponibilidade sobre alguns desses componentes, consulte os seguintes recursos:

• Como configurar uma implantação do AD FS com grupos de disponibilidade Always On
• Como Implantar alta disponibilidade e resiliência de site no Exchange Server
• Proxy de aplicativo Web no Windows Server

Resiliência

Para obter informações sobre a resiliência dos componentes nessa arquitetura, consulte os recursos a seguir.

• Para a ID do Microsoft Entra: Avanço da disponibilidade do Microsoft Entra
• Para os cenários que usam o AD FS: Implantação de alta disponibilidade entre fronteiras geográficas do AD FS no Azure com o Gerenciador de Tráfego do Azure
• Para a solução local do Exchange: Alta disponibilidade do Exchange

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

Para obter informações sobre a segurança dos componentes nesta arquitetura, consulte os seguintes recursos:

• guia de operações de segurança do Microsoft Entra
• Práticas recomendadas para proteger o AD FS e o Proxy de Aplicativo Web
• Configurar a proteção de bloqueio inteligente da extranet do AD FS

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

O custo da implementação depende dos custos da sua licença da ID do Microsoft Entra e do Microsoft 365. O custo total também inclui custos para software e hardware para componentes locais, operações de TI, treinamento e educação, e implementação de projeto.

A solução requer pelo menos a ID do Microsoft Entra P1. Para obter detalhes sobre preços, consulte os Preços do Microsoft Entra.

Para obter informações sobre o Exchange, consulte Preços do Exchange Server.

Para obter informações sobre o AD FS e o Proxy de Aplicativo Web, consulte Preços e licenciamento do Windows Server 2022.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar a carga de trabalho de maneira eficiente para atender às demandas exigidas pelos usuários. Para saber mais, confira Visão geral do pilar de eficiência de desempenho.

O desempenho depende do desempenho dos componentes envolvidos e do desempenho de rede da sua empresa. Para obter mais informações, consulte Ajuste de desempenho do Office 365 usando linhas de base e histórico de desempenho.

Para obter informações sobre fatores locais que influenciam o desempenho dos cenários que incluem os serviços do AD FS, consulte estes recursos:

• Configurar o monitoramento de desempenho
• Ajustar o SQL e resolver problemas de latência com o AD FS

Escalabilidade

Para obter informações sobre a escalabilidade do AD FS, consulte Como planejar a capacidade do servidor do AD FS.

Para obter informações sobre a escalabilidade local do Exchange Server, consulte Arquitetura preferencial do Exchange 2019.

Implantar este cenário

Para implantar esse cenário, conclua estas etapas de alto nível:

1. Comece com o serviço de acesso à Web. Aprimore sua segurança usando uma Política de Acesso Condicional do Azure para o Exchange Online.
2. Aprimore a segurança do acesso à Web da EMI local usando a autenticação baseada na declaração do AD FS.

Configurar uma política de Acesso Condicional

Para configurar uma política de Acesso Condicional do Microsoft Entra que imponha a autenticação multifator, conforme descrito na Etapa 3 do fluxo do usuário online anteriormente neste artigo:

1. Configure Office 365 Exchange Online ou Office 365 como um aplicativo de nuvem:

   

2. Configure o navegador como um aplicativo cliente:

   

3. Aplique o requisito de autenticação multifator na janela Concessão:

   

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Principais autores:

• Pavel Kondrashov | Arquiteto de Soluções na Nuvem
• Ella Parkum | Arquiteto-Engenheiro Principal de Soluções para Clientes

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

• Anunciando a Autenticação Moderna Híbrida do Exchange local
• Visão geral e pré-requisitos de autenticação moderna híbrida para serem usados com os servidores locais do Skype for Business e Exchange
• Usar a autenticação baseada nas declarações do AD FS com o Outlook na Web
• Arquitetura preferencial do Exchange 2019
• Implantação do AD FS de alta disponibilidade entre fronteiras geográficas no Azure com o Gerenciador de Tráfego do Azure

Recursos relacionados

• Infraestrutura de mensagens híbridas de segurança aprimorada em um cenário de acesso desktop-cliente
• Infraestrutura de mensagens híbridas com segurança aprimorada em um cenário de acesso móvel