Edit

Share via

Infrastruktur olahpesan hibrid keamanan yang ditingkatkan — akses seluler

Microsoft Entra ID
Microsoft 365
Office 365

Artikel ini memperlihatkan cara menerapkan autentikasi multifaktor untuk klien seluler Outlook yang mengakses Microsoft Exchange. Ada dua arsitektur yang sesuai dengan dua kemungkinan berbeda untuk Microsoft Exchange yang memiliki kotak surat pengguna:

Arsitektur (Exchange Online)

Diagram that shows an architecture for enhanced security in an Outlook mobile access scenario. The user's mailbox is in Exchange Online.

Dalam skenario ini, pengguna perlu menggunakan klien seluler yang mendukung autentikasi modern. Kami merekomendasikan Outlook mobile (Outlook untuk iOS/ Outlook untuk Android), yang didukung oleh Microsoft. Alur kerja berikut menggunakan Outlook mobile.

Unduh file Visio dari semua diagram dalam artikel ini.

Alur kerja (Exchange Online)

  1. Pengguna memulai konfigurasi profil Outlook dengan memasukkan alamat email. Outlook seluler tersambung ke layanan AutoDetect.
  2. Layanan AutoDetect membuat permintaan AutoDiscover V2 anonim ke Exchange Online untuk mendapatkan kotak surat. Exchange Online membalas dengan respons pengalihan 302 yang berisi alamat URL ActiveSync untuk kotak surat, menunjuk ke Exchange Online. Anda dapat melihat contoh jenis permintaan ini di sini.
  3. Sekarang setelah layanan AutoDetect memiliki informasi tentang titik akhir konten kotak surat, layanan ini dapat memanggil ActiveSync tanpa autentikasi.
  4. Seperti yang dijelaskan dalam alur koneksi di sini, Exchange merespons dengan respons tantangan 401. Ini termasuk URL otorisasi yang mengidentifikasi titik akhir Microsoft Entra yang perlu digunakan klien untuk mendapatkan token akses.
  5. Layanan AutoDetect mengembalikan titik akhir otorisasi Microsoft Entra kepada klien.
  6. Klien tersambung ke ID Microsoft Entra untuk menyelesaikan autentikasi dan memasukkan informasi masuk (email).
  7. Jika domain digabungkan, permintaan dialihkan ke Web Proksi Aplikasi.
  8. Web Proksi Aplikasi membuat proksi permintaan autentikasi ke Layanan Federasi Direktori Aktif. Pengguna melihat halaman masuk.
  9. Pengguna memasukkan kredensial untuk menyelesaikan autentikasi.
  10. Pengguna dialihkan kembali ke ID Microsoft Entra.
  11. MICROSOFT Entra ID menerapkan kebijakan Akses Bersyarah Azure.
  12. Kebijakan ini dapat memberlakukan pembatasan berdasarkan status perangkat pengguna jika perangkat terdaftar di Microsoft Endpoint Manager, menerapkan kebijakan perlindungan aplikasi, dan/atau menerapkan autentikasi multifaktor. Anda dapat menemukan contoh terperinci dari jenis kebijakan ini dalam langkah-langkah implementasi yang dijelaskan di sini.
  13. Pengguna menerapkan persyaratan kebijakan apa pun dan menyelesaikan permintaan autentikasi multifaktor.
  14. MICROSOFT Entra ID mengembalikan token akses dan refresh ke klien.
  15. Klien menggunakan token akses untuk menyambungkan ke Exchange Online dan mengambil konten kotak surat.

Konfigurasi (Exchange Online)

Untuk memblokir upaya mengakses Exchange Online ActiveSync melalui autentikasi warisan (garis putus-putus merah dalam diagram), Anda perlu membuat kebijakan autentikasi yang menonaktifkan autentikasi warisan untuk protokol yang digunakan layanan seluler Outlook. Secara khusus, Anda perlu menonaktifkan AutoDiscover, ActiveSync, dan Layanan Outlook. Berikut konfigurasi kebijakan autentikasi yang sesuai:

AllowBasicAuthAutodiscover : False

AllowBasicAuthActiveSync : False

AllowBasicAuthOutlookService : False

Setelah membuat kebijakan autentikasi, Anda dapat menetapkannya ke grup pilot pengguna. Kemudian, setelah pengujian, Anda dapat memperluas kebijakan untuk semua pengguna. Untuk menerapkan kebijakan di tingkat organisasi, gunakan Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> perintah . Anda perlu menggunakan Exchange Online PowerShell untuk konfigurasi ini.

Untuk domain federasi, Anda dapat mengonfigurasi LAYANAN Federasi Direktori Aktif untuk memicu autentikasi multifaktor alih-alih menggunakan kebijakan Akses Bersyar. Namun, kami sarankan Anda mengontrol koneksi dan menerapkan pembatasan di tingkat kebijakan Akses Bersyar.

Arsitektur (Exchange lokal)

Diagram that shows an architecture for enhanced security in an Outlook mobile access scenario. The user's mailbox is in Exchange on-premises.

Unduh file Visio dari semua diagram dalam artikel ini.

Dalam skenario ini, pengguna perlu menggunakan klien seluler yang mendukung autentikasi modern, seperti yang dijelaskan dalam Menggunakan autentikasi modern hibrid. Kami merekomendasikan Outlook mobile (Outlook untuk iOS/ Outlook untuk Android), yang didukung oleh Microsoft. Alur kerja berikut menggunakan Outlook mobile.

Alur kerja (Exchange lokal)

  1. Pengguna memulai konfigurasi profil Outlook dengan memasukkan alamat email. Outlook seluler tersambung ke layanan AutoDetect.
  2. Layanan AutoDetect membuat permintaan AutoDiscover V2 anonim ke Exchange Online untuk mendapatkan kotak surat.
  3. Setelah kotak surat berada di tempat, Exchange Online membalas dengan respons pengalihan 302 yang berisi URL AutoDiscover lokal yang dapat digunakan AutoDetect untuk mengambil alamat URL ActiveSync untuk kotak surat.
  4. AutoDetect menggunakan URL lokal yang diterimanya di langkah sebelumnya untuk membuat permintaan AutoDiscover v2 anonim ke Exchange lokal untuk mendapatkan kotak surat. Exchange lokal mengembalikan alamat URL ActiveSync untuk kotak surat, menunjuk ke Exchange lokal. Anda dapat melihat contoh jenis permintaan ini di sini.
  5. Sekarang setelah layanan AutoDetect memiliki informasi tentang titik akhir konten kotak surat, layanan ini dapat memanggil titik akhir ActiveSync lokal tanpa autentikasi. Seperti yang dijelaskan dalam alur koneksi di sini, Exchange merespons dengan respons tantangan 401. Ini termasuk URL otorisasi yang mengidentifikasi titik akhir Microsoft Entra yang perlu digunakan klien untuk mendapatkan token akses.
  6. Layanan AutoDetect mengembalikan titik akhir otorisasi Microsoft Entra kepada klien.
  7. Klien tersambung ke ID Microsoft Entra untuk menyelesaikan autentikasi dan memasukkan informasi masuk (email).
  8. Jika domain digabungkan, permintaan dialihkan ke Web Proksi Aplikasi.
  9. Web Proksi Aplikasi membuat proksi permintaan autentikasi ke Layanan Federasi Direktori Aktif. Pengguna melihat halaman masuk.
  10. Pengguna memasukkan kredensial untuk menyelesaikan autentikasi.
  11. Pengguna dialihkan kembali ke ID Microsoft Entra.
  12. MICROSOFT Entra ID menerapkan kebijakan Akses Bersyarah Azure.
  13. Kebijakan ini dapat memberlakukan pembatasan berdasarkan status perangkat pengguna jika perangkat terdaftar di Microsoft Endpoint Manager, menerapkan kebijakan perlindungan aplikasi, dan/atau menerapkan autentikasi multifaktor. Anda dapat menemukan contoh terperinci dari jenis kebijakan ini dalam langkah-langkah implementasi yang dijelaskan di sini.
  14. Pengguna menerapkan persyaratan kebijakan apa pun dan menyelesaikan permintaan autentikasi multifaktor.
  15. MICROSOFT Entra ID mengembalikan token akses dan refresh ke klien.
  16. Klien menggunakan token akses untuk menyambungkan ke Exchange Online dan mengambil konten kotak surat lokal. Konten harus disediakan dari cache, seperti yang dijelaskan di sini. Untuk mencapainya, klien mengeluarkan permintaan provisi yang menyertakan token akses pengguna dan titik akhir ActiveSync lokal.
  17. API provisi di Exchange Online mengambil token yang disediakan sebagai input. API mendapatkan pasangan token akses dan refresh kedua untuk mengakses kotak surat lokal melalui panggilan atas nama ke Direktori Aktif. Token akses kedua ini dicakup dengan klien sebagai Exchange Online dan audiens titik akhir namespace layanan ActiveSync lokal.
  18. Jika kotak surat tidak disediakan, API provisi akan membuat kotak surat.
  19. API provisi membuat koneksi aman ke titik akhir ActiveSync lokal. API menyinkronkan data olahpesan pengguna dengan menggunakan token akses kedua sebagai mekanisme autentikasi. Token refresh digunakan secara berkala untuk menghasilkan token akses baru sehingga data dapat disinkronkan di latar belakang tanpa intervensi pengguna.
  20. Data dikembalikan ke klien.

Konfigurasi (Exchange lokal)

Untuk memblokir upaya mengakses ActiveSync lokal Exchange melalui autentikasi lama (garis putus-putus merah dalam diagram), Anda perlu membuat kebijakan autentikasi yang menonaktifkan autentikasi warisan untuk protokol yang digunakan layanan seluler Outlook. Secara khusus, Anda perlu menonaktifkan AutoDiscover dan ActiveSync. Berikut konfigurasi kebijakan autentikasi yang sesuai:

BlockLegacyAuthAutodiscover: True

BlockLegacyAuthActiveSync: True

Berikut adalah contoh perintah untuk membuat kebijakan autentikasi ini:

New-AuthenticationPolicy -Name BlockLegacyActiveSyncAuth -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover

Setelah membuat kebijakan autentikasi, Anda dapat terlebih dahulu menetapkannya ke grup pilot pengguna dengan menggunakan Set-User user01 -AuthenticationPolicy <name_of_policy> perintah . Setelah pengujian, Anda dapat memperluas kebijakan untuk menyertakan semua pengguna. Untuk menerapkan kebijakan di tingkat organisasi, gunakan Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> perintah . Anda perlu menggunakan PowerShell lokal Exchange untuk konfigurasi ini.

Anda juga perlu mengambil langkah-langkah untuk mencapai konsistensi dan mengizinkan akses hanya dari klien Outlook. Untuk mengizinkan Outlook seluler sebagai satu-satunya klien yang disetujui dalam organisasi, Anda perlu memblokir upaya koneksi dari klien yang bukan klien seluler Outlook yang mendukung autentikasi modern. Anda perlu memblokir upaya ini pada tingkat exchange lokal dengan menyelesaikan langkah-langkah berikut:

  • Blokir klien perangkat seluler lainnya:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block

  • Perbolehkan Exchange Online untuk menyambungkan ke lokal:

    If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}

  • Blokir autentikasi dasar untuk Outlook untuk iOS dan Android:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Untuk informasi selengkapnya tentang langkah-langkah ini, lihat Menggunakan Autentikasi Modern hibrid dengan Outlook untuk iOS dan Android.

Untuk domain federasi, Anda dapat mengonfigurasi LAYANAN Federasi Direktori Aktif untuk memicu autentikasi multifaktor alih-alih menggunakan kebijakan Akses Bersyar. Namun, kami sarankan Anda mengontrol koneksi dan menerapkan pembatasan di tingkat kebijakan Akses Bersyar.

Komponen

  • ID Microsoft Entra. ID Microsoft Entra adalah layanan manajemen identitas dan akses berbasis cloud Microsoft. Ini menyediakan autentikasi modern yang pada dasarnya didasarkan pada EvoSTS (Layanan Token Keamanan yang digunakan oleh ID Microsoft Entra). Ini digunakan sebagai server autentikasi untuk Server Exchange lokal.
  • Autentikasi multifaktor Microsoft Entra. Autentikasi multifaktor adalah proses di mana pengguna diminta selama proses masuk untuk bentuk identifikasi lain, seperti kode di ponsel mereka atau pemindaian sidik jari.
  • Microsoft Entra Conditional Access. Akses Bersyar adalah fitur yang digunakan ID Microsoft Entra untuk memberlakukan kebijakan organisasi seperti autentikasi multifaktor.
  • AD FS. Layanan Federasi Direktori Aktif memungkinkan manajemen identitas dan akses federasi dengan berbagi identitas digital dan hak hak di seluruh batas keamanan dan perusahaan dengan keamanan yang ditingkatkan. Dalam arsitektur ini, ini digunakan untuk memfasilitasi masuk bagi pengguna dengan identitas federasi.
  • Proksi Aplikasi web. Web Proksi Aplikasi telah mengautentikasi akses ke aplikasi web dengan menggunakan Layanan Federasi Direktori Aktif. Ini juga berfungsi sebagai proksi AD FS.
  • Microsoft Intune. Intune adalah manajemen titik akhir terpadu berbasis cloud kami, mengelola titik akhir di seluruh sistem operasi Windows, Android, Mac, iOS, dan Linux.
  • Server Exchange. Server Exchange menghosting kotak surat pengguna lokal. Dalam arsitektur ini, ia menggunakan token yang dikeluarkan kepada pengguna oleh ID Microsoft Entra untuk mengotorisasi akses ke kotak surat.
  • Layanan Direktori Aktif. Layanan Direktori Aktif menyimpan informasi tentang anggota domain, termasuk perangkat dan pengguna. Dalam arsitektur ini, akun pengguna milik layanan Direktori Aktif dan disinkronkan ke ID Microsoft Entra.

Alternatif

Anda dapat menggunakan klien seluler pihak ketiga yang mendukung autentikasi modern sebagai alternatif untuk Outlook seluler. Jika Anda memilih alternatif ini, vendor pihak ketiga bertanggung jawab atas dukungan klien.

Detail skenario

Infrastruktur olahpesan perusahaan (EMI) adalah layanan utama untuk organisasi. Berpindah dari metode autentikasi dan otorisasi yang lebih lama dan kurang aman ke autentikasi modern adalah tantangan penting di dunia di mana pekerjaan jarak jauh umum. Menerapkan persyaratan autentikasi multifaktor untuk akses layanan olahpesan adalah salah satu cara paling efektif untuk memenuhi tantangan tersebut.

Artikel ini menjelaskan dua arsitektur untuk membantu Anda meningkatkan keamanan Anda dalam skenario akses seluler Outlook dengan menggunakan autentikasi multifaktor Microsoft Entra.

Skenario ini dijelaskan dalam artikel ini:

  • Akses seluler Outlook saat kotak surat pengguna berada di Exchange Online
  • Akses seluler Outlook saat kotak surat pengguna berada di Exchange lokal

Kedua arsitektur mencakup Outlook untuk iOS dan Outlook untuk Android.

Untuk informasi tentang menerapkan autentikasi multifaktor dalam skenario olahpesan hibrid lainnya, lihat artikel berikut ini:

Artikel ini tidak membahas protokol lain, seperti IMAP atau POP. Biasanya, skenario ini tidak menggunakan protokol ini.

Catatan umum

  • Arsitektur ini menggunakan model identitas Microsoft Entra federasi . Untuk sinkronisasi hash kata sandi dan model Autentikasi Pass-through, logika dan alurnya sama. Satu-satunya perbedaan terkait dengan fakta bahwa ID Microsoft Entra tidak akan mengalihkan permintaan autentikasi ke Active Directory lokal Federation Services (AD FS).
  • Dalam diagram, garis putus-putus hitam menunjukkan interaksi dasar antara komponen Active Directory lokal, Microsoft Entra Koneksi, MICROSOFT Entra ID, AD FS, dan Web Proksi Aplikasi. Anda dapat mempelajari tentang interaksi ini dalam port dan protokol yang diperlukan identitas hibrid.
  • Menurut Exchange lokal, kami berarti Exchange 2019 dengan pembaruan terbaru dan peran Kotak Surat.
  • Di lingkungan nyata, Anda tidak akan hanya memiliki satu server. Anda akan memiliki array server Exchange yang seimbang untuk ketersediaan tinggi. Skenario yang dijelaskan di sini cocok untuk konfigurasi tersebut.

Kemungkinan kasus penggunaan

Arsitektur ini relevan untuk skenario berikut:

  • Tingkatkan keamanan EMI.
  • Mengadopsi strategi keamanan Zero Trust.
  • Terapkan perlindungan tingkat tinggi standar Anda untuk layanan olahpesan lokal Anda selama transisi ke atau koeksistensi dengan Exchange Online.
  • Terapkan persyaratan keamanan atau kepatuhan yang ketat di organisasi tertutup atau sangat aman, seperti yang ada di sektor keuangan.

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keandalan

Keandalan memastikan aplikasi Anda dapat mencapai komitmen yang Anda buat kepada pelanggan Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keandalan.

Ketersediaan

Ketersediaan keseluruhan tergantung pada ketersediaan komponen yang terlibat. Untuk informasi tentang ketersediaan, lihat sumber daya ini:

Ketersediaan komponen solusi lokal tergantung pada desain yang diterapkan, ketersediaan perangkat keras, dan operasi internal dan rutinitas pemeliharaan Anda. Untuk informasi ketersediaan tentang beberapa komponen ini, lihat sumber daya berikut:

Untuk menggunakan autentikasi modern hibrid, Anda perlu memastikan bahwa semua klien di jaringan Anda dapat mengakses ID Microsoft Entra. Anda juga perlu secara konsisten mempertahankan port firewall Office 365 dan pembukaan rentang IP.

Untuk persyaratan protokol dan port untuk Server Exchange, lihat "Persyaratan klien exchange dan protokol" dalam Gambaran umum autentikasi modern hibrid untuk digunakan dengan server Skype for Business dan Exchange lokal.

Untuk rentang IP dan port Office 365, lihat URL Office 365 dan rentang alamat IP.

Untuk informasi tentang autentikasi modern hibrid dan perangkat seluler, baca tentang titik akhir AutoDetect di Titik akhir lain yang tidak disertakan dalam Layanan Web Alamat IP dan URL Office 365.

Ketahanan

Untuk informasi tentang ketahanan komponen dalam arsitektur ini, lihat sumber daya berikut.

Keamanan

Untuk panduan umum tentang keamanan di perangkat seluler, lihat Melindungi data dan perangkat dengan Microsoft Intune.

Untuk informasi tentang keamanan dan autentikasi modern hibrid, lihat Deep Dive: Cara Kerja Autentikasi Hibrid.

Untuk organisasi tertutup yang memiliki perlindungan perimeter kuat tradisional, ada masalah keamanan yang terkait dengan konfigurasi Exchange Hybrid Classic. Konfigurasi Exchange Hybrid Modern tidak mendukung autentikasi modern hibrid.

Untuk informasi tentang ID Microsoft Entra, lihat Panduan operasi keamanan Microsoft Entra.

Untuk informasi tentang skenario yang menggunakan keamanan Layanan Federasi Direktori Aktif, lihat artikel berikut ini:

Pengoptimalan biaya

Biaya implementasi Anda bergantung pada biaya lisensi ID Microsoft Entra dan Microsoft 365 Anda. Total biaya juga mencakup biaya untuk perangkat lunak dan perangkat keras untuk komponen lokal, operasi TI, pelatihan dan pendidikan, dan implementasi proyek.

Solusi ini memerlukan setidaknya Microsoft Entra ID P1. Untuk detail harga, lihat Harga Microsoft Entra.

Untuk informasi tentang Layanan Federasi Direktori Aktif dan Proksi Aplikasi Web, lihat Harga dan lisensi untuk Windows Server 2022.

Untuk informasi harga selengkapnya, lihat sumber daya ini:

Efisiensi kinerja

Performa tergantung pada performa komponen yang terlibat dan performa jaringan perusahaan Anda. Untuk informasi selengkapnya, lihat Penyetelan performa Office 365 menggunakan garis besar dan riwayat performa.

Untuk informasi tentang faktor lokal yang memengaruhi performa untuk skenario yang menyertakan layanan Layanan Federasi Direktori Aktif, lihat sumber daya berikut:

Skalabilitas

Untuk informasi tentang skalabilitas Layanan Federasi Direktori Aktif, lihat Merencanakan kapasitas server Layanan Federasi Direktori Aktif.

Untuk informasi tentang skalabilitas Server Exchange lokal, lihat Arsitektur pilihan Exchange 2019.

Menyebarkan skenario ini

Untuk menerapkan infrastruktur ini, Anda perlu menyelesaikan langkah-langkah yang diuraikan dalam panduan yang disertakan dalam artikel berikut. Berikut adalah langkah-langkah tingkat tinggi:

  1. Mengamankan akses seluler Outlook seperti yang dijelaskan dalam langkah-langkah implementasi ini untuk autentikasi modern.
  2. Blokir semua upaya autentikasi warisan lainnya di tingkat ID Microsoft Entra.
  3. Blokir upaya autentikasi warisan di tingkat layanan olahpesan dengan menggunakan kebijakan autentikasi.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya