Fokozott biztonságú hibrid üzenetkezelési infrastruktúra – webes hozzáférés

A cikkben ismertetett megoldással megvédheti üzenetkezelési szolgáltatását (Webes Outlook vagy Exchange Vezérlőpult), ha a postaládákat az Exchange Online-ban vagy a helyszíni Exchange-ben üzemelteti.

Architektúra

Ebben az architektúrában a megoldást két területre osztjuk, amelyek a következő biztonsági funkciókat írják le:

• Exchange Online, a diagram jobb oldalán.
• Helyszíni exchange hibrid vagy nem hibrid forgatókönyvben a diagram bal oldalán.

Töltse le az architektúra Visio-fájlját.

Általános megjegyzések

• Ez az architektúra az összevont Microsoft Entra identitásmodellt használja. A jelszókivonat-szinkronizálás és az átmenő hitelesítési modellek esetében a logika és a folyamat megegyezik. Az egyetlen különbség az, hogy a Microsoft Entra-azonosító nem irányítja át a hitelesítési kérelmet helyi Active Directory összevonási szolgáltatásokba (AD FS).
• Az ábrán egy .../owa elérési útnak megfelelő Webes Outlook szolgáltatáshoz való hozzáférés látható. Az Exchange Felügyeleti központ (vagy Exchange Vezérlőpult) .../ecp elérési útnak megfelelő felhasználói hozzáférése ugyanazt a folyamatot követi.
• A diagram szaggatott vonalai a helyi Active Directory, a Microsoft Entra Csatlakozás, a Microsoft Entra ID, az AD FS és a webes alkalmazásproxy-összetevők közötti alapvető interakciókat mutatják be. Ezekről az interakciókról a hibrid identitáshoz szükséges portokban és protokollokban tudhat meg többet.
• A helyszíni Exchange alatt az Exchange 2019-et értjük a legújabb frissítésekkel, a Postaláda szerepkörrel. A helyszíni Exchange Edge alatt az Exchange 2019-et értjük a legújabb frissítésekkel, az Edge Transport szerepkörrel. A diagramban az Edge-kiszolgálót is belefoglaljuk, hogy kiemelje, hogy ezeket a forgatókönyveket használhatja. Nem vesz részt az itt tárgyalt ügyfélprotokollokkal való munkában.
• Valós környezetben nem csak egy kiszolgálóval rendelkezik. A magas rendelkezésre állás érdekében az Exchange-kiszolgálók terheléselosztásos tömbje lesz elérhető. Az itt ismertetett forgatókönyvek erre a konfigurációra alkalmasak.

Az Exchange Online felhasználói folyamata

1. Egy felhasználó megpróbál hozzáférni Webes Outlook szolgáltatáshoz.https://outlook.office.com/owa

2. Az Exchange Online átirányítja a felhasználót a Microsoft Entra-azonosítóra hitelesítés céljából.

   Ha a tartomány összevont, a Microsoft Entra ID átirányítja a felhasználót a helyi AD FS-példányra hitelesítés céljából. Ha a hitelesítés sikeres, a rendszer visszairányítja a felhasználót a Microsoft Entra-azonosítóra. (A diagram egyszerűségéhez kihagytuk ezt az összevont forgatókönyvet.)

3. A többtényezős hitelesítés kényszerítéséhez a Microsoft Entra ID egy Azure Feltételes hozzáférési szabályzatot alkalmaz, amely többtényezős hitelesítési követelményt biztosít a böngészőügyfél-alkalmazáshoz. A szabályzat beállításával kapcsolatos információkért tekintse meg a cikk üzembe helyezési szakaszát.

4. A feltételes hozzáférési szabályzat többtényezős Microsoft Entra-hitelesítést hív meg. A felhasználó kérést kap a többtényezős hitelesítés befejezésére.

5. A felhasználó elvégzi a többtényezős hitelesítést.

6. A Microsoft Entra ID átirányítja a hitelesített webes munkamenetet az Exchange Online-ba, és a felhasználó hozzáférhet az Outlookhoz.

Helyszíni Exchange-felhasználó folyamata

1. A felhasználó olyan URL-címen keresztül https://mail.contoso.com/owa próbál hozzáférni a Webes Outlook szolgáltatáshoz, amely egy belső hozzáférésre szolgáló Exchange-kiszolgálóra vagy egy webes alkalmazásproxy-kiszolgálóra mutat külső hozzáférés céljából.

2. A helyszíni Exchange (belső hozzáféréshez) vagy a webes alkalmazásproxy (külső hozzáférés esetén) a felhasználót az AD FS-be irányítja át hitelesítés céljából.

3. Az AD FS integrált Windows-hitelesítést használ a belső hozzáféréshez, vagy egy webes űrlapot biztosít, amelyben a felhasználó megadhatja a külső hozzáféréshez szükséges hitelesítő adatokat.

4. Az AF DS hozzáférés-vezérlési szabályzatára válaszolva az AD FS a Microsoft Entra többtényezős hitelesítést hívja meg a hitelesítés befejezéséhez. Íme egy példa az AD FS hozzáférés-vezérlési szabályzat ilyen típusára:

   

   A felhasználó kérést kap a többtényezős hitelesítés befejezésére.

5. A felhasználó elvégzi a többtényezős hitelesítést. Az AD FS átirányítja a hitelesített webes munkamenetet a helyszíni Exchange-be.

6. A felhasználó hozzáférhet az Outlookhoz.

Ha ezt a forgatókönyvet helyszíni felhasználók számára szeretné megvalósítani, konfigurálnia kell az Exchange-t és az AD FS-t az AD FS beállításához a webes hozzáférési kérelmek előzetes hitelesítéséhez. További információ: AD FS jogcímalapú hitelesítés használata Webes Outlook.

Engedélyeznie kell az AD FS és a Microsoft Entra többtényezős hitelesítés integrálását is. További információ: Az Azure MFA konfigurálása hitelesítési szolgáltatóként az AD FS használatával. (Ehhez az integrációhoz AD FS 2016 vagy 2019 szükséges.) Végül szinkronizálnia kell a felhasználókat a Microsoft Entra-azonosítóval, és licenceket kell hozzárendelnie a Microsoft Entra többtényezős hitelesítéshez.

Összetevők

• Microsoft Entra-azonosító. A Microsoft Entra ID egy Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatás. Az EvoSTS-en (a Microsoft Entra ID által használt biztonsági jogkivonat-szolgáltatáson) alapuló modern hitelesítést biztosít. A rendszer a helyszíni Exchange Server hitelesítési kiszolgálójaként használja.

• Microsoft Entra többtényezős hitelesítés. A többtényezős hitelesítés egy olyan folyamat, amelyben a rendszer a bejelentkezési folyamat során egy másik azonosítási módot kér a felhasználóktól, például egy kódot a mobiltelefonjukon, vagy ujjlenyomat-vizsgálatot.

• Microsoft Entra feltételes hozzáférés. A feltételes hozzáférés az a funkció, amelyet a Microsoft Entra ID használ a többtényezős hitelesítéshez hasonló szervezeti szabályzatok kikényszerítésére.

• AD FS. Az AD FS lehetővé teszi az összevont identitás- és hozzáférés-kezelést azáltal, hogy a digitális identitások és jogosultságok jogosultságait a biztonság és a vállalati határok között nagyobb biztonsággal osztja meg. Ebben az architektúrában az összevont identitással rendelkező felhasználók bejelentkezésének megkönnyítésére szolgál.

• Webes alkalmazásproxy. A webes alkalmazásproxy előre hitelesíti a webalkalmazásokhoz való hozzáférést az AD FS használatával. AD FS-proxyként is működik.

• Exchange Server. Az Exchange Server helyszíni felhasználói postaládákat üzemeltet. Ebben az architektúrában a Microsoft Entra ID által a felhasználónak kibocsátott jogkivonatokat használja a postaládákhoz való hozzáférés engedélyezéséhez.

• Active Directory-szolgáltatások. Az Active Directory-szolgáltatások a tartomány tagjaival kapcsolatos információkat tárolják, beleértve az eszközöket és a felhasználókat is. Ebben az architektúrában a felhasználói fiókok az Active Directory-szolgáltatásokhoz tartoznak, és szinkronizálva vannak a Microsoft Entra-azonosítóval.

Forgatókönyv részletei

A vállalati üzenetkezelési infrastruktúra (EMI) kulcsfontosságú szolgáltatás a szervezetek számára. A régebbi, kevésbé biztonságos hitelesítési és hitelesítési módszerekről a modern hitelesítésre való áttérés kritikus kihívás egy olyan világban, ahol gyakori a távoli munka. Az üzenetkezelési szolgáltatás hozzáférésére vonatkozó többtényezős hitelesítési követelmények megvalósítása az egyik leghatékonyabb módszer ennek a kihívásnak a teljesítésére.

Ez a cikk egy olyan architektúrát ismertet, amely a Microsoft Entra többtényezős hitelesítésével növeli a biztonságot egy webes hozzáférési forgatókönyvben.

Az itt található architektúrák olyan forgatókönyveket ismertetnek, amelyek segítenek az üzenetkezelési szolgáltatás (Webes Outlook vagy Exchange Vezérlőpult) védelmében, ha a postaládákat az Exchange Online-ban vagy a helyszíni Exchange-ben üzemeltetik.

A többtényezős hitelesítés más hibrid üzenetkezelési forgatókönyvekben való alkalmazásával kapcsolatos információkért tekintse meg az alábbi cikkeket:

• Fokozott biztonságú hibrid üzenetkezelési infrastruktúra asztali ügyfélhozzáférési forgatókönyvben
• Fokozott biztonságú hibrid üzenetkezelési infrastruktúra mobilelérési forgatókönyvben

Ez a cikk nem tárgyal más protokollokat, például az IMAP-et vagy a POP-t. Nem javasoljuk, hogy használja őket felhasználói hozzáférés biztosítására.

Lehetséges használati esetek

Ez az architektúra a következő forgatókönyvek esetében releváns:

• Az EMI biztonságának javítása.
• Teljes felügyelet biztonsági stratégia elfogadása.
• Az Exchange Online-ra való áttérés vagy az Exchange Online-nal való egyidejű használat során alkalmazza a helyszíni üzenetkezelési szolgáltatás szabványos magas szintű védelmét.
• Szigorú biztonsági vagy megfelelőségi követelmények érvényesítése zárt vagy magas biztonságú szervezetekben, például a pénzügyi szektorban.

Considerations

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

Megbízhatóság

A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelek felé vállalt kötelezettségeknek. További információ: A megbízhatósági pillér áttekintése.

Availability

A teljes rendelkezésre állás az érintett összetevők rendelkezésre állásától függ. A rendelkezésre állással kapcsolatos információkért tekintse meg az alábbi erőforrásokat:

• A Microsoft Entra rendelkezésre állásának előmozdítása
• Megbízható felhőszolgáltatások: Az Office 365 rendelkezésre állása
• Mi a Microsoft Entra architektúrája?

A helyszíni megoldás összetevőinek rendelkezésre állása a implementált kialakítástól, a hardverek rendelkezésre állásától, valamint a belső üzemeltetési és karbantartási rutinoktól függ. Ezen összetevők némelyikével kapcsolatos rendelkezésre állási információkért tekintse meg a következő erőforrásokat:

• AD FS-telepítés beállítása Always On rendelkezésre állási csoportokkal
• Magas rendelkezésre állás és helyrugalmasság üzembe helyezése az Exchange Serveren
• Webes alkalmazásproxy a Windows Serveren

Rugalmasság

Az architektúra összetevőinek rugalmasságáról az alábbi forrásokból tájékozódhat.

• Microsoft Entra-azonosító esetén: A Microsoft Entra rendelkezésre állásának előmozdítása
• Az AD FS-t használó forgatókönyvek esetén: Magas rendelkezésre állású, földrajzi helyek közötti AD FS üzembe helyezés az Azure-ban az Azure Traffic Managerrel
• A helyszíni Exchange-megoldás esetében: Az Exchange magas rendelkezésre állása

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.

Az architektúra összetevőinek biztonságáról az alábbi forrásokból tájékozódhat:

• A Microsoft Entra biztonsági üzemeltetési útmutatója
• Ajánlott eljárások az AD FS és a webes alkalmazásproxy védelméhez
• Az AD FS extranetes intelligens zárolási védelmének konfigurálása

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.

A megvalósítás költsége a Microsoft Entra-azonosítótól és a Microsoft 365-licencköltségektől függ. A teljes költség magában foglalja a helyszíni összetevők szoftvereinek és hardvereinek költségeit, az informatikai üzemeltetést, a betanítást és az oktatást, valamint a projekt megvalósítását.

A megoldáshoz legalább p1 Microsoft Entra-azonosító szükséges. A díjszabás részleteiért tekintse meg a Microsoft Entra díjszabását.

Az Exchange-ről további információt az Exchange Server díjszabásában talál.

Az AD FS-ről és a webes alkalmazásproxy a Windows Server 2022 díjszabása és licencelése című témakörben talál további információt.

Teljesítménybeli hatékonyság

A teljesítményhatékonyság az a képesség, hogy a számítási feladat hatékonyan méretezhető, hogy megfeleljen a felhasználók által támasztott követelményeknek. További információ: Teljesítményhatékonysági pillér áttekintése.

A teljesítmény az érintett összetevők teljesítményétől és a vállalat hálózati teljesítményétől függ. További információ: Office 365 teljesítményhangolás alaptervek és teljesítményelőzmények használatával.

Az AD FS-szolgáltatásokat tartalmazó forgatókönyvek teljesítményét befolyásoló helyszíni tényezőkről az alábbi forrásokból tájékozódhat:

• Teljesítményfigyelés konfigurálása
• Az SQL finomhangolása és az AD FS késési problémáinak kezelése

Méretezhetőség

Az AD FS skálázhatóságáról további információt az AD FS-kiszolgáló kapacitásának tervezése című témakörben talál.

A helyszíni Exchange Server skálázhatóságáról további információt az Előnyben részesített Exchange 2019 architektúrában talál.

A forgatókönyv üzembe helyezése

A forgatókönyv üzembe helyezéséhez hajtsa végre az alábbi magas szintű lépéseket:

1. Kezdje a webelérési szolgáltatással. Az Exchange Online-hoz készült Azure Feltételes hozzáférési szabályzattal javíthatja a biztonságát.
2. A helyszíni EMI webes hozzáférésének biztonsága az AD FS jogcímalapú hitelesítésével.

Feltételes hozzáférési szabályzat beállítása

Többtényezős hitelesítést kényszerítő Microsoft Entra feltételes hozzáférési szabályzat beállítása az online felhasználó folyamatának 3. lépésében leírtak szerint:

1. Az Office 365 Exchange Online vagy az Office 365 konfigurálása felhőalkalmazásként:

   

2. A böngésző konfigurálása ügyfélalkalmazásként:

   

3. Alkalmazza a többtényezős hitelesítési követelményt a Grant ablakban:

   

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerzők:

• Pavel Kondrashov | Felhőmegoldás-tervező
• Ella Parkum | Fő ügyfélmegoldás– tervezőmérnök

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

• Hibrid modern hitelesítés bejelentése a helyszíni Exchange-hez
• Hibrid modern hitelesítés áttekintése és előfeltételei a helyszíni Skype Vállalati verzió és Exchange-kiszolgálókon való használathoz
• AD FS jogcímalapú hitelesítés használata Webes Outlook
• Az Exchange 2019 előnyben részesített architektúrája
• Az AD FS nagy rendelkezésre állású, több földrajzi régióra kiterjedő üzembe helyezése az Azure-ban az Azure Traffic Managerrel

Kapcsolódó erőforrások

• Fokozott biztonságú hibrid üzenetkezelési infrastruktúra asztali ügyfélhozzáférési forgatókönyvben
• Fokozott biztonságú hibrid üzenetkezelési infrastruktúra mobilelérési forgatókönyvben