Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’APPLIQUE À :
2016 2019
Introduction
L’authentification de base est une méthode d’authentification client qui nécessite un nom d’utilisateur et un mot de passe pour accéder à une ressource. Toutefois, l’authentification de base peut poser un risque pour la sécurité. Étant donné que la plupart de nos clients prennent des décisions métier pour éliminer l’authentification de base dans leurs environnements, nous fournissons cette documentation pour vous aider dans ces efforts en ce qui concerne les Exchange Server.
Importante
Nous ne prenons pas en charge la désactivation de NTLM ou Negotiate (authentification intégrée Windows, qui inclut NTLM et Kerberos) sur les répertoires virtuels Exchange. Si vous souhaitez empêcher les clients d’utiliser NTLM ou Kerberos lors de la connexion à Exchange Onprem, nous vous recommandons d’utiliser des stratégies d’authentification conformément à nos conseils ici : Désactivation de l’authentification héritée dans Exchange Server 2019
Dans cet article, vous allez apprendre à désactiver l’authentification de base sur chaque répertoire virtuel où elle est activée, par défaut, sur un Exchange Server.
Si vous avez précédemment activé l’authentification de base sur des répertoires virtuels autres que ceux répertoriés dans cet article, suivez les étapes décrites pour annuler les modifications apportées ou utilisez l’article Paramètres par défaut pour Exchange Server répertoires virtuels afin de rétablir les paramètres par défaut de la méthode d’authentification.
Configuration requise
Outlook sur le web (OWA) et Exchange Administration Center (EAC) doivent être configurés avec la même méthode d’authentification.
Par défaut, OWA et EAC utilisent l’authentification basée sur Forms (FBA) qui s’appuie sur l’authentification de base. Si vous décidez de désactiver l’authentification de base sur ces répertoires virtuels, l’authentification FBA ne peut pas être utilisée et une autre méthode d’authentification doit être configurée.
L’authentification de base est la seule méthode activée par défaut sur le répertoire virtuel Microsoft-Server-ActiveSync. Ce répertoire est utilisé par les clients mobiles pour la connectivité Exchange Active Sync (EAS). Vous devez disposer d’une autre méthode configurée avant de désactiver l’authentification de base pour ce répertoire virtuel. Envisagez l’authentification moderne hybride avec Outlook Mobile ou l’authentification basée sur les certificats à cet effet.
Désactiver l’authentification de base sur le répertoire virtuel OWA
Le répertoire virtuel OWA est utilisé par les clients qui accèdent à Outlook sur le web (OWA) pour se connecter au serveur Exchange. Les méthodes d’authentification OWA et ECP doivent être définies sur la même configuration.
Importante
Une autre méthode d’authentification doit être configurée avant de désactiver l’authentification de base pour OWA et ECP. Si vous avez déjà configuré une autre méthode d’authentification telle que NTLM, Kerberos, ADFS ou Auth basée sur un certificat pour ces répertoires virtuels, l’authentification de base est probablement déjà désactivée. Si ce n’est pas le cas, les conseils suivants vous aideront à désactiver l’authentification de base si vous n’avez plus besoin de L’authentification FBA et que vous utilisez déjà une autre méthode.
Pour désactiver l’authentification de base sur le répertoire virtuel OWA, procédez comme suit
À partir du Centre Administration Exchange (EAC)
Ouvrez le CENTRE d’administration Exchange et accédez à Répertoires virtuels des serveurs>.
Sélectionnez le serveur que vous souhaitez modifier à l’aide du menu déroulant.
Sélectionnez le répertoire virtuel OWA (site web par défaut), puis cliquez sur Modifier.
Sélectionnez Authentification, décochez la zone Case activée d’authentification de base, puis cliquez sur Enregistrer.
Vous pouvez également utiliser l’applet de commande Set-OwaVirtualDirectory dans l’environnement de ligne de commande Exchange Management Shell
Par exemple, la commande suivante désactive l’authentification de base sur le répertoire virtuel OWA sur le serveur nommé EX01 :
Set-OwaVirtualDirectory -Identity "EX01\owa (Default Web Site)" -BasicAuthentication $False
Comment désactiver l’authentification de base sur le répertoire virtuel ECP
Le répertoire virtuel ECP est utilisé par les clients qui accèdent à Exchange Administration Center (EAC) pour se connecter au serveur Exchange. Les méthodes d’authentification OWA et ECP doivent être définies sur la même configuration.
Importante
Une autre méthode d’authentification doit être configurée avant de désactiver l’authentification de base pour OWA et ECP. Si vous avez déjà configuré une autre méthode d’authentification telle que NTLM, Kerberos ou ADFS ou l’authentification basée sur un certificat pour ces répertoires virtuels, l’authentification de base est probablement déjà désactivée. Si ce n’est pas le cas, les conseils suivants vous aideront à désactiver l’authentification de base si vous n’avez plus besoin de L’authentification FBA et que vous utilisez déjà une autre méthode.
Pour désactiver l’authentification de base sur le répertoire virtuel ECP, procédez comme suit
À partir du Centre Administration Exchange (EAC)
Ouvrez le CENTRE d’administration Exchange et accédez à Répertoires virtuels des serveurs>.
Sélectionnez le serveur que vous souhaitez modifier à l’aide du menu déroulant.
Sélectionnez le répertoire virtuel ECP (site web par défaut), puis cliquez sur Modifier.
Sélectionnez Authentification, décochez la zone Case activée d’authentification de base, puis cliquez sur Enregistrer.
Vous pouvez également utiliser l’applet de commande Set-EcpVirtualDirectory dans l’environnement de ligne de commande Exchange Management Shell
Par exemple, la commande suivante désactive l’authentification de base sur le répertoire virtuel ECP sur le serveur nommé EX01 :
Set-EcpVirtualDirectory -Identity "EX01\ecp (Default Web Site)" -BasicAuthentication $False
Désactiver l’authentification de base sur le répertoire virtuel de découverte automatique
Le répertoire virtuel de découverte automatique est utilisé par Outlook et les appareils mobiles pour configurer automatiquement les paramètres de connexion au serveur Exchange.
Pour désactiver l’authentification de base sur le répertoire virtuel de découverte automatique, procédez comme suit
À partir du Centre Administration Exchange (EAC)
Ouvrez le CENTRE d’administration Exchange et accédez à Répertoires virtuels des serveurs>.
Sélectionnez le serveur que vous souhaitez modifier à l’aide du menu déroulant.
Sélectionnez le répertoire virtuel Découverte automatique (site web par défaut), puis cliquez sur Modifier.
Sélectionnez Authentification, décochez la zone Case activée d’authentification de base, puis cliquez sur Enregistrer.
Vous pouvez également utiliser l’applet de commande Set-AutodiscoverVirtualDirectory dans l’environnement de ligne de commande Exchange Management Shell
Par exemple, la commande suivante désactive l’authentification de base sur le répertoire virtuel de découverte automatique sur le serveur nommé EX01 :
Set-AutodiscoverVirtualDirectory -Identity "EX01\Autodiscover (Default Web Site)" -BasicAuthentication $False
Désactiver l’authentification de base sur l’annuaire virtuel Microsoft-Server-ActiveSync
Le répertoire virtuel Microsoft-Server-ActiveSync (Exchange Active Sync) est utilisé par les clients mobiles pour se connecter au serveur Exchange.
Importante
Une autre méthode telle que l’authentification moderne hybride (HMA) ou l’authentification basée sur les certificats (CBA) doit être configurée avant de désactiver l’authentification de base pour ce répertoire virtuel, sinon les clients ne pourront pas se connecter à l’aide d’ActiveSync.
Pour désactiver l’authentification de base sur l’annuaire virtuel Microsoft-Server-ActiveSync, procédez comme suit
À partir du Centre Administration Exchange (EAC)
Ouvrez le CENTRE d’administration Exchange et accédez à Répertoires virtuels des serveurs>.
Sélectionnez le serveur que vous souhaitez modifier à l’aide du menu déroulant.
Sélectionnez le répertoire virtuel Microsoft-Server-ActiveSync (site web par défaut), puis cliquez sur Modifier.
Sélectionnez Authentification, décochez la zone Case activée d’authentification de base, puis cliquez sur Enregistrer.
Vous pouvez également utiliser l’applet de commande Set-ActiveSyncVirtualDirectory dans l’environnement de ligne de commande Exchange Management Shell
Par exemple, la commande suivante désactive l’authentification de base sur le répertoire virtuel Microsoft-Server-ActiveSync sur le serveur nommé EX01 :
Set-ActiveSyncVirtualDirectory -Identity "EX01\ Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthentication $False
Désactiver l’authentification de base sur le répertoire virtuel RPC (Outlook Anywhere)
Le répertoire virtuel Outlook Anywhere est utilisé par les clients Outlook qui utilisent le protocole RPC sur HTTP hérité pour se connecter à un serveur Exchange.
Pour désactiver l’authentification de base sur le répertoire virtuel Outlook Anywhere, procédez comme suit :
Importante
Seule la méthode d’authentification externe peut être définie à l’aide du CENTRE d’administration Exchange. Il ne s’agit donc pas de la méthode recommandée.
Vous devez utiliser l’applet de commande Set-OutlookAnywhere dans Exchange Management Shell pour configurer les méthodes d’authentification interne et externe.
Étant donné qu’Outlook recommande de définir les méthodes d’authentification interne et externe de la même façon pour la connectivité Outlook Anywhere et que Kerberos ne peut généralement pas être utilisé en externe, nous vous recommandons d’utiliser le paramètre « DefaultAuthenticationMethod » et de le définir sur NTLM. Cela met à jour les paramètres ExternalClientAuthenticationMethod, InternalClientAuthenticationMethod et IISAuthenticationMethods existants vers NTLM simultanément.
La plupart des organisations n’utilisent plus le protocole RPC sur HTTP hérité et il a été largement remplacé par MAPI sur HTTP, qui est désormais le protocole par défaut dans les versions modernes d’Outlook. Si vous utilisez toujours RPC sur HTTP dans votre organisation, mais que vous avez uniquement des connexions internes utilisant ce protocole, Kerberos est la méthode d’authentification recommandée si elle est disponible.
OAuth n’est pas disponible pour RPC sur HTTP.
La commande suivante désactive l’authentification de base sur le répertoire virtuel Outlook Anywhere sur le serveur nommé EX01 et définit la méthode d’authentification sur NTLM pour les connexions internes et externes :
Set-OutlookAnywhere -Identity "EX01\Rpc (Default Web Site)" -DefaultAuthenticationMethod NTLM
Conclusion
Dans cet article, nous avons décrit comment désactiver l’authentification de base sur chaque répertoire virtuel pertinent où elle est activée par défaut sur un Exchange Server. En désactivant l’authentification de base, vous pouvez améliorer la sécurité de votre environnement Exchange.
Articles connexes
Désactivation de l’authentification héritée dans Exchange Server 2019
Comment configurer Exchange Server en local pour utiliser l’authentification moderne hybride
Utilisation de l’authentification moderne hybride avec Outlook pour iOS et Android
Configurer l’authentification basée sur les certificats dans Exchange 2016
Utiliser l’authentification basée sur les revendications AD FS avec Outlook sur le web