Redigera

Dela via

Förbättrad infrastruktur för hybridmeddelanden – mobil åtkomst

Microsoft Entra ID
Microsoft 365
Office 365

Artikeln visar hur du implementerar multifaktorautentisering för Outlook-mobila klienter som har åtkomst till Microsoft Exchange. Det finns två arkitekturer som motsvarar två olika möjligheter för Microsoft Exchange som har användarpostlådan:

Arkitektur (Exchange Online)

Diagram som visar en arkitektur för förbättrad säkerhet i ett outlook-scenario för mobil åtkomst. Användarens postlåda finns i Exchange Online.

I det här scenariot måste användarna använda en mobil klient som stöder modern autentisering. Vi rekommenderar Outlook Mobile (Outlook för iOS/Outlook för Android), som stöds av Microsoft. Följande arbetsflöde använder Outlook Mobile.

Ladda ned en Visio-fil med alla diagram i den här artikeln.

Arbetsflöde (Exchange Online)

  1. Användaren startar Outlook-profilkonfigurationen genom att ange en e-postadress. Outlook Mobile ansluter till tjänsten AutoDetect.
  2. AutoDetect-tjänsten gör en anonym AutoDiscover V2-begäran till Exchange Online för att hämta postlådan. Exchange Online svarar med ett 302-omdirigeringssvar som innehåller ActiveSync-URL-adressen för postlådan och pekar på Exchange Online. Du kan se ett exempel på den här typen av begäran här.
  3. Nu när AutoDetect-tjänsten har information om postlådeinnehållets slutpunkt kan den anropa ActiveSync utan autentisering.
  4. Som beskrivs i anslutningsflödet här svarar Exchange med ett 401-utmaningssvar. Den innehåller en auktoriserings-URL som identifierar den Microsoft Entra-slutpunkt som klienten behöver använda för att hämta en åtkomsttoken.
  5. Tjänsten AutoDetect returnerar Microsoft Entra-auktoriseringsslutpunkten till klienten.
  6. Klienten ansluter till Microsoft Entra-ID för att slutföra autentiseringen och ange inloggningsinformation (e-post).
  7. Om domänen är federerad omdirigeras begäran till webbaserade Programproxy.
  8. Web Programproxy skickar autentiseringsbegäran till AD FS. Användaren ser en inloggningssida.
  9. Användaren anger autentiseringsuppgifter för att slutföra autentiseringen.
  10. Användaren omdirigeras tillbaka till Microsoft Entra-ID.
  11. Microsoft Entra-ID tillämpar en princip för villkorsstyrd åtkomst i Azure.
  12. Principen kan framtvinga begränsningar baserat på användarens enhetstillstånd om enheten har registrerats i Microsoft Endpoint Manager, tillämpa programskyddsprinciper och/eller tillämpa multifaktorautentisering. Du hittar ett detaljerat exempel på den här typen av princip i implementeringsstegen som beskrivs här.
  13. Användaren implementerar eventuella principkrav och slutför multifaktorautentiseringsbegäran.
  14. Microsoft Entra-ID returnerar åtkomst- och uppdateringstoken till klienten.
  15. Klienten använder åtkomsttoken för att ansluta till Exchange Online och hämta postlådeinnehållet.

Konfiguration (Exchange Online)

Om du vill blockera försök att komma åt Exchange Online ActiveSync via äldre autentisering (den röda streckade linjen i diagrammet) måste du skapa en autentiseringsprincip som inaktiverar äldre autentisering för protokoll som outlook-mobiltjänsten använder. Mer specifikt måste du inaktivera Automatisk upptäckt, ActiveSync och Outlook Service. Här är motsvarande konfiguration av autentiseringsprinciper:

AllowBasicAuthAutodiscover: False

AllowBasicAuthActiveSync : False

AllowBasicAuthOutlookService : False

När du har skapat autentiseringsprincipen kan du tilldela den till en pilotgrupp med användare. Efter testningen kan du sedan utöka principen för alla användare. Använd kommandot för att tillämpa principen på organisationsnivå Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> . Du måste använda Exchange Online PowerShell för den här konfigurationen.

För federerade domäner kan du konfigurera AD FS för att utlösa multifaktorautentisering i stället för att använda en princip för villkorsstyrd åtkomst. Vi rekommenderar dock att du kontrollerar anslutningen och tillämpar begränsningar på principnivå för villkorsstyrd åtkomst.

Arkitektur (lokal Exchange)

Diagram som visar en arkitektur för förbättrad säkerhet i ett outlook-scenario för mobil åtkomst. Användarens postlåda finns i Exchange on-premises.

Ladda ned en Visio-fil med alla diagram i den här artikeln.

I det här scenariot måste användarna använda en mobil klient som stöder modern autentisering, enligt beskrivningen i Använda modern hybridautentisering. Vi rekommenderar Outlook Mobile (Outlook för iOS/Outlook för Android), som stöds av Microsoft. Följande arbetsflöde använder Outlook Mobile.

Arbetsflöde (lokal Exchange)

  1. Användaren startar Outlook-profilkonfigurationen genom att ange en e-postadress. Outlook Mobile ansluter till tjänsten AutoDetect.
  2. AutoDetect-tjänsten gör en anonym AutoDiscover V2-begäran till Exchange Online för att hämta postlådan.
  3. När postlådan finns lokalt svarar Exchange Online med ett 302-omdirigeringssvar som innehåller en lokal URL för automatisk upptäckt som AutoDetect kan använda för att hämta ActiveSync-URL-adressen för postlådan.
  4. AutoDetect använder den lokala URL:en som togs emot i föregående steg för att göra en anonym AutoDiscover v2-begäran till Exchange on-premises för att hämta postlådan. Exchange on-premises returnerar en ActiveSync URL-adress för postlådan som pekar på Exchange on-premises. Du kan se ett exempel på den här typen av begäran här.
  5. Nu när AutoDetect-tjänsten har information om slutpunkten för postlådeinnehållet kan den anropa den lokala ActiveSync-slutpunkten utan autentisering. Som beskrivs i anslutningsflödet här svarar Exchange med ett 401-utmaningssvar. Den innehåller en auktoriserings-URL som identifierar den Microsoft Entra-slutpunkt som klienten behöver använda för att hämta en åtkomsttoken.
  6. Tjänsten AutoDetect returnerar Microsoft Entra-auktoriseringsslutpunkten till klienten.
  7. Klienten ansluter till Microsoft Entra-ID för att slutföra autentiseringen och ange inloggningsinformation (e-post).
  8. Om domänen är federerad omdirigeras begäran till webbaserade Programproxy.
  9. Web Programproxy skickar autentiseringsbegäran till AD FS. Användaren ser en inloggningssida.
  10. Användaren anger autentiseringsuppgifter för att slutföra autentiseringen.
  11. Användaren omdirigeras tillbaka till Microsoft Entra-ID.
  12. Microsoft Entra-ID tillämpar en princip för villkorsstyrd åtkomst i Azure.
  13. Principen kan framtvinga begränsningar baserat på användarens enhetstillstånd om enheten har registrerats i Microsoft Endpoint Manager, tillämpa programskyddsprinciper och/eller tillämpa multifaktorautentisering. Du hittar ett detaljerat exempel på den här typen av princip i implementeringsstegen som beskrivs här.
  14. Användaren implementerar eventuella principkrav och slutför multifaktorautentiseringsbegäran.
  15. Microsoft Entra-ID returnerar åtkomst- och uppdateringstoken till klienten.
  16. Klienten använder åtkomsttoken för att ansluta till Exchange Online och hämta det lokala postlådeinnehållet. Innehållet ska anges från cachen enligt beskrivningen här. För att uppnå detta utfärdar klienten en etableringsbegäran som innehåller användarens åtkomsttoken och den lokala ActiveSync-slutpunkten.
  17. Etablerings-API:et i Exchange Online tar den angivna token som indata. API:et hämtar ett andra tokenpar för åtkomst och uppdatering för åtkomst till den lokala postlådan via ett anrop till Active Directory. Den andra åtkomsttoken är begränsad med klienten som Exchange Online och en målgrupp för den lokala ActiveSync-namnområdesslutpunkten.
  18. Om postlådan inte har etablerats skapar etablerings-API:et en postlåda.
  19. Etablerings-API:et upprättar en säker anslutning till den lokala ActiveSync-slutpunkten. API:et synkroniserar användarens meddelandedata med hjälp av den andra åtkomsttoken som autentiseringsmekanism. Uppdateringstoken används regelbundet för att generera en ny åtkomsttoken så att data kan synkroniseras i bakgrunden utan användarintervention.
  20. Data returneras till klienten.

Konfiguration (lokal Exchange)

Om du vill blockera försök att komma åt Exchange on-premises ActiveSync via äldre autentisering (de röda streckade raderna i diagrammet) måste du skapa en autentiseringsprincip som inaktiverar äldre autentisering för protokoll som används av Outlook-mobiltjänsten. Mer specifikt måste du inaktivera Automatisk upptäckt och ActiveSync. Här är motsvarande konfiguration av autentiseringsprinciper:

BlockLegacyAuthAutodiscover: True

BlockLegacyAuthActiveSync: Sant

Här är ett exempel på ett kommando för att skapa den här autentiseringsprincipen:

New-AuthenticationPolicy -Name BlockLegacyActiveSyncAuth -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover

När du har skapat autentiseringsprincipen kan du först tilldela den till en pilotgrupp med användare med hjälp Set-User user01 -AuthenticationPolicy <name_of_policy> av kommandot . Efter testningen kan du utöka principen så att den omfattar alla användare. Använd kommandot för att tillämpa principen på organisationsnivå Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> . Du måste använda Exchange on-premises PowerShell för den här konfigurationen.

Du måste också vidta åtgärder för att uppnå konsekvens och endast tillåta åtkomst från Outlook-klienten. Om du vill tillåta Outlook Mobile som den enda godkända klienten i organisationen måste du blockera anslutningsförsök från klienter som inte är Outlook-mobila klienter som stöder modern autentisering. Du måste blockera dessa försök på lokal Exchange-nivå genom att utföra följande steg:

  • Blockera andra mobila enhetsklienter:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block

  • Tillåt att Exchange Online ansluter till lokalt:

    If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}

  • Blockera grundläggande autentisering för Outlook för iOS och Android:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Mer information om de här stegen finns i Använda modern hybridautentisering med Outlook för iOS och Android.

För federerade domäner kan du konfigurera AD FS för att utlösa multifaktorautentisering i stället för att använda en princip för villkorsstyrd åtkomst. Vi rekommenderar dock att du kontrollerar anslutningen och tillämpar begränsningar på principnivå för villkorsstyrd åtkomst.

Komponenter

  • Microsoft Entra-ID. Microsoft Entra ID är en molnbaserad tjänst för identitets- och åtkomsthantering från Microsoft. Den tillhandahåller modern autentisering som i huvudsak baseras på EvoSTS (en säkerhetstokentjänst som används av Microsoft Entra-ID). Den används som en autentiseringsserver för Exchange Server lokalt.
  • Microsoft Entra multifaktorautentisering. Multifaktorautentisering är en process där användare uppmanas under inloggningsprocessen att ange en annan form av identifiering, till exempel en kod på sin mobiltelefon eller en fingeravtrycksgenomsökning.
  • Villkorsstyrd åtkomst för Microsoft Entra. Villkorsstyrd åtkomst är den funktion som Microsoft Entra ID använder för att framtvinga organisationsprinciper som multifaktorautentisering.
  • AD FS. AD FS möjliggör federerad identitets- och åtkomsthantering genom att dela digital identitet och rättigheter över säkerhets- och företagsgränser med förbättrad säkerhet. I dessa arkitekturer används den för att underlätta inloggning för användare med federerad identitet.
  • Webb Programproxy. Webb Programproxy förautentiserar åtkomsten till webbprogram med hjälp av AD FS. Den fungerar också som en AD FS-proxy.
  • Microsoft Intune. Intune är vår molnbaserade enhetliga slutpunktshantering som hanterar slutpunkter i windows-, Android-, Mac-, iOS- och Linux-operativsystem.
  • Exchange Server. Exchange Server är värd för användarpostlådor lokalt. I dessa arkitekturer använder den token som utfärdats till användaren av Microsoft Entra-ID för att auktorisera åtkomst till postlådor.
  • Active Directory-tjänster. Active Directory-tjänster lagrar information om medlemmar i en domän, inklusive enheter och användare. I dessa arkitekturer tillhör användarkonton Active Directory-tjänster och synkroniseras med Microsoft Entra-ID.

Alternativ

Du kan använda mobila klienter från tredje part som stöder modern autentisering som ett alternativ till Outlook Mobile. Om du väljer det här alternativet ansvarar tredjepartsleverantören för klienternas support.

Information om scenario

Infrastruktur för företagsmeddelanden (EMI) är en viktig tjänst för organisationer. Att gå från äldre, mindre säkra metoder för autentisering och auktorisering till modern autentisering är en viktig utmaning i en värld där distansarbete är vanligt. Att implementera multifaktorautentiseringskrav för åtkomst till meddelandetjänster är ett av de mest effektiva sätten att möta den utmaningen.

Den här artikeln beskriver två arkitekturer som hjälper dig att förbättra säkerheten i ett outlook-scenario för mobil åtkomst med hjälp av Microsoft Entra multifaktorautentisering.

Dessa scenarier beskrivs i den här artikeln:

  • Outlook-mobil åtkomst när användarens postlåda finns i Exchange Online
  • Outlook-mobil åtkomst när användarens postlåda finns i Exchange on-premises

Båda arkitekturerna omfattar både Outlook för iOS och Outlook för Android.

Information om hur du tillämpar multifaktorautentisering i andra hybridmeddelandescenarier finns i följande artiklar:

I den här artikeln diskuteras inte andra protokoll, till exempel IMAP eller POP. Dessa scenarier använder vanligtvis inte dessa protokoll.

Allmänna anteckningar

  • Dessa arkitekturer använder den federerade Microsoft Entra-identitetsmodellen. För lösenordshashsynkronisering och direktautentiseringsmodeller är logiken och flödet desamma. Den enda skillnaden gäller det faktum att Microsoft Entra-ID inte omdirigerar autentiseringsbegäran till lokal Active Directory Federation Services (AD FS).
  • I diagrammen visar svarta streckade linjer grundläggande interaktioner mellan lokala Komponenterna Active Directory, Microsoft Entra Connect, Microsoft Entra ID, AD FS och Web Programproxy. Du kan lära dig mer om dessa interaktioner i portar och protokoll som krävs för hybrididentitet.
  • Med Exchange on-premises menar vi Exchange 2019 med de senaste uppdateringarna och rollen Postlåda.
  • I en verklig miljö har du inte bara en server. Du har en belastningsutjämningsmatris med Exchange-servrar för hög tillgänglighet. Scenarierna som beskrivs här passar för den konfigurationen.

Potentiella användningsfall

Den här arkitekturen är relevant för följande scenarier:

  • Förbättra EMI-säkerheten.
  • Anta en Nolltillit säkerhetsstrategi.
  • Tillämpa din höga standardskyddsnivå för din lokala meddelandetjänst under övergången till eller samexistens med Exchange Online.
  • Framtvinga strikta säkerhetskrav eller efterlevnadskrav i slutna eller starkt skyddade organisationer, som de inom finanssektorn.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Tillförlitlighet

Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden du gör gentemot dina kunder. Mer information finns i Översikt över tillförlitlighetspelare.

Tillgänglighet

Den övergripande tillgängligheten beror på tillgängligheten för de komponenter som ingår. Information om tillgänglighet finns i följande resurser:

Tillgängligheten för lokala lösningskomponenter beror på den implementerade designen, maskinvarutillgängligheten och dina interna drift- och underhållsrutiner. Information om tillgänglighet om några av dessa komponenter finns i följande resurser:

Om du vill använda modern hybridautentisering måste du se till att alla klienter i nätverket har åtkomst till Microsoft Entra-ID. Du måste också konsekvent underhålla Office 365-brandväggsportar och IP-intervallöppningar.

Protokoll- och portkrav för Exchange Server finns i "Krav för Exchange-klient och protokoll" i Översikt över modern hybridautentisering för användning med lokala Skype för företag- och Exchange-servrar.

Information om IP-intervall och portar för Office 365 finns i Url:er och IP-adressintervall för Office 365.

Information om modern hybridautentisering och mobila enheter finns i Avsnittet om Automatisk identifiering av slutpunkt i Andra slutpunkter som inte ingår i Office 365 IP-adress och URL-webbtjänst.

Motståndskraft

Information om motståndskraften för komponenterna i den här arkitekturen finns i följande resurser.

Säkerhet

Allmän vägledning om säkerhet på mobila enheter finns i Skydda data och enheter med Microsoft Intune.

Information om säkerhet och modern hybridautentisering finns i Djupdykning: Hur hybridautentisering verkligen fungerar.

För stängda organisationer som har traditionellt starkt perimeterskydd finns det säkerhetsproblem som rör klassiska Exchange Hybrid-konfigurationer. Exchange Hybrid Modern-konfigurationen stöder inte modern hybridautentisering.

Mer information om Microsoft Entra-ID finns i säkerhetsåtgärdsguiden för Microsoft Entra.

Information om scenarier som använder AD FS-säkerhet finns i följande artiklar:

Kostnadsoptimering

Kostnaden för implementeringen beror på dina licenskostnader för Microsoft Entra-ID och Microsoft 365. Den totala kostnaden inkluderar även kostnader för programvara och maskinvara för lokala komponenter, IT-drift, utbildning och projektimplementering.

Dessa lösningar kräver minst Microsoft Entra ID P1. Prisinformation finns i Priser för Microsoft Entra.

Information om AD FS och webb Programproxy finns i Priser och licensiering för Windows Server 2022.

Mer prisinformation finns i följande resurser:

Prestandaeffektivitet

Prestanda beror på prestanda för de komponenter som ingår och företagets nätverksprestanda. Mer information finns i Prestandajustering för Office 365 med baslinjer och prestandahistorik.

Information om lokala faktorer som påverkar prestanda för scenarier som inkluderar AD FS-tjänster finns i följande resurser:

Skalbarhet

Information om AD FS-skalbarhet finns i Planera för AD FS-serverkapacitet.

Information om lokal skalbarhet för Exchange Server finns i Önskad Arkitektur för Exchange 2019.

Distribuera det här scenariot

För att implementera den här infrastrukturen måste du slutföra de steg som beskrivs i vägledningen i följande artiklar. Här är de övergripande stegen:

  1. Skydda outlook-mobil åtkomst enligt beskrivningen i de här implementeringsstegen för modern autentisering.
  2. Blockera alla andra äldre autentiseringsförsök på Microsoft Entra-ID-nivå.
  3. Blockera äldre autentiseringsförsök på meddelandetjänstnivå med hjälp av autentiseringsprincip.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudsakliga författare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg