Förbättrad infrastruktur för hybridmeddelanden för hybridmeddelanden – webbåtkomst

Lösningen i den här artikeln ger dig ett sätt att skydda meddelandetjänsten (Outlook på webben eller Exchange Kontrollpanelen) när postlådor finns i Exchange Online eller Exchange lokalt.

Arkitektur

I den här arkitekturen delar vi in lösningen i två områden och beskriver säkerheten för:

• Exchange Online till höger i diagrammet.
• Byt ut lokalt i ett hybrid- eller icke-hybridscenario till vänster i diagrammet.

Ladda ned en Visio-fil med den här arkitekturen.

Allmänna anteckningar

• Den här arkitekturen använder den federerade Microsoft Entra-identitetsmodellen . För autentiseringsmodellerna för lösenordshashsynkronisering och direktautentisering är logiken och flödet desamma. Den enda skillnaden gäller det faktum att Microsoft Entra-ID inte omdirigerar autentiseringsbegäran till lokal Active Directory Federation Services (AD FS).
• Diagrammet visar åtkomst till Outlook på webben-tjänsten som motsvarar en .../owa-sökväg. Användaråtkomst för Exchange Admin Center (eller Exchange Kontrollpanelen) som motsvarar en .../ecp-sökväg följer samma flöde.
• I diagrammet visar streckade linjer grundläggande interaktioner mellan lokala Komponenter för Active Directory, Microsoft Entra Anslut, Microsoft Entra ID, AD FS och Web Programproxy. Du kan lära dig mer om dessa interaktioner i portar och protokoll som krävs för hybrididentitet.
• Med Exchange on-premises menar vi Exchange 2019 med de senaste uppdateringarna, postlåderollen. Med Exchange Edge lokalt menar vi Exchange 2019 med de senaste uppdateringarna, Edge Transport-rollen. Vi inkluderar Edge-servern i diagrammet för att markera att du kan använda den i dessa scenarier. Det ingår inte i arbetet med klientprotokoll som beskrivs här.
• I en verklig miljö har du inte bara en server. Du har en belastningsutjämningsmatris med Exchange-servrar för hög tillgänglighet. Scenarierna som beskrivs här passar för den konfigurationen.

Exchange Online-användarens flöde

1. En användare försöker komma åt Outlook på webben-tjänsten via https://outlook.office.com/owa.

2. Exchange Online omdirigerar användaren till Microsoft Entra-ID för autentisering.

   Om domänen är federerad omdirigerar Microsoft Entra-ID användaren till den lokala AD FS-instansen för autentisering. Om autentiseringen lyckas omdirigeras användaren tillbaka till Microsoft Entra-ID. (För att hålla diagrammet enkelt utelämnade vi det här federerade scenariot.)

3. För att framtvinga multifaktorautentisering tillämpar Microsoft Entra-ID en princip för villkorsstyrd åtkomst i Azure med ett krav på multifaktorautentisering för webbläsarklientprogrammet. Mer information om hur du konfigurerar principen finns i distributionsavsnittet i den här artikeln.

4. Principen för villkorsstyrd åtkomst anropar Microsoft Entra multifaktorautentisering. Användaren får en begäran om att slutföra multifaktorautentisering.

5. Användaren slutför multifaktorautentisering.

6. Microsoft Entra-ID omdirigerar den autentiserade webbsessionen till Exchange Online och användaren kan komma åt Outlook.

Exchange on-premises user's flow

1. En användare försöker komma åt Outlook på webben-tjänsten via en https://mail.contoso.com/owa URL som pekar på en Exchange-server för intern åtkomst eller till en webb-Programproxy-server för extern åtkomst.

2. Exchange on-premises (för intern åtkomst) eller Web Programproxy (för extern åtkomst) omdirigerar användaren till AD FS för autentisering.

3. AD FS använder integrerad Windows-autentisering för intern åtkomst eller tillhandahåller ett webbformulär där användaren kan ange autentiseringsuppgifter för extern åtkomst.

4. Ad FS svarar på en AF DS-åtkomstkontrollprincip och anropar Microsoft Entra multifaktorautentisering för att slutföra autentiseringen. Här är ett exempel på den typen av AD FS-åtkomstkontrollprincip:

   

   Användaren får en begäran om att slutföra multifaktorautentisering.

5. Användaren slutför multifaktorautentisering. AD FS omdirigerar den autentiserade webbsessionen till Exchange on-premises.

6. Användaren kan komma åt Outlook.

För att implementera det här scenariot för en lokal användare måste du konfigurera Exchange och AD FS för att konfigurera AD FS för att förautentisera webbåtkomstbegäranden. Mer information finns i Använda AD FS-anspråksbaserad autentisering med Outlook på webben.

Du måste också aktivera integrering av AD FS- och Microsoft Entra multifaktorautentisering. Mer information finns i Konfigurera Azure MFA som autentiseringsprovider med AD FS. (Den här integreringen kräver AD FS 2016 eller 2019.) Slutligen måste du synkronisera användare med Microsoft Entra-ID och tilldela dem licenser för Microsoft Entra multifaktorautentisering.

Komponenter

• Microsoft Entra-ID. Microsoft Entra ID är en molnbaserad tjänst för identitets- och åtkomsthantering från Microsoft. Den tillhandahåller modern autentisering som baseras på EvoSTS (en säkerhetstokentjänst som används av Microsoft Entra-ID). Den används som en autentiseringsserver för Exchange Server lokalt.

• Microsoft Entra multifaktorautentisering. Multifaktorautentisering är en process där användare uppmanas under inloggningsprocessen att ange en annan form av identifiering, till exempel en kod på sin mobiltelefon eller en fingeravtrycksgenomsökning.

• Villkorsstyrd åtkomst för Microsoft Entra. Villkorsstyrd åtkomst är den funktion som Microsoft Entra ID använder för att framtvinga organisationsprinciper som multifaktorautentisering.

• AD FS. AD FS möjliggör federerad identitets- och åtkomsthantering genom att dela digital identitet och rättigheter över säkerhets- och företagsgränser med förbättrad säkerhet. I den här arkitekturen används den för att underlätta inloggning för användare med federerad identitet.

• Webb Programproxy. Webb Programproxy förautentiserar åtkomsten till webbprogram med hjälp av AD FS. Den fungerar också som en AD FS-proxy.

• Exchange Server. Exchange Server är värd för användarpostlådor lokalt. I den här arkitekturen använder den token som utfärdats till användaren av Microsoft Entra-ID för att auktorisera åtkomst till postlådor.

• Active Directory-tjänster. Active Directory-tjänster lagrar information om medlemmar i en domän, inklusive enheter och användare. I den här arkitekturen tillhör användarkonton Active Directory-tjänster och synkroniseras med Microsoft Entra-ID.

Information om scenario

Infrastruktur för företagsmeddelanden (EMI) är en viktig tjänst för organisationer. Att gå från äldre, mindre säkra metoder för autentisering och auktorisering till modern autentisering är en viktig utmaning i en värld där distansarbete är vanligt. Att implementera multifaktorautentiseringskrav för åtkomst till meddelandetjänster är ett av de mest effektiva sätten att möta den utmaningen.

Den här artikeln beskriver en arkitektur för att förbättra säkerheten i ett webbåtkomstscenario med hjälp av Microsoft Entra multifaktorautentisering.

Arkitekturerna här beskriver scenarier som hjälper dig att skydda din meddelandetjänst (Outlook på webben eller Exchange Kontrollpanelen) när postlådor finns i Exchange Online eller Exchange lokalt.

Information om hur du tillämpar multifaktorautentisering i andra hybridmeddelandescenarier finns i följande artiklar:

• Förbättrad säkerhetsinfrastruktur för hybridmeddelanden i ett skrivbordsklientåtkomstscenario
• Förbättrad säkerhetsinfrastruktur för hybridmeddelanden i ett scenario med mobil åtkomst

I den här artikeln diskuteras inte andra protokoll, till exempel IMAP eller POP. Vi rekommenderar inte att du använder dem för att ge användaråtkomst.

Potentiella användningsfall

Den här arkitekturen är relevant för följande scenarier:

• Förbättra EMI-säkerheten.
• Anta en Nolltillit säkerhetsstrategi.
• Tillämpa din höga standardskyddsnivå för din lokala meddelandetjänst under övergången till eller samexistens med Exchange Online.
• Framtvinga strikta säkerhetskrav eller efterlevnadskrav i slutna eller starkt skyddade organisationer, som de inom finanssektorn.

Överväganden

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Tillförlitlighet

Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i Översikt över tillförlitlighetspelare.

Tillgänglighet

Den övergripande tillgängligheten beror på tillgängligheten för de komponenter som ingår. Information om tillgänglighet finns i följande resurser:

• Förbättra Microsoft Entra-tillgängligheten
• Molntjänster som du kan lita på: Office 365-tillgänglighet
• Vad är Microsoft Entra-arkitekturen?

Tillgängligheten för lokala lösningskomponenter beror på den implementerade designen, maskinvarutillgängligheten och dina interna drift- och underhållsrutiner. Information om tillgänglighet om några av dessa komponenter finns i följande resurser:

• Konfigurera en AD FS-distribution med AlwaysOn-tillgänglighetsgrupper
• Distribuera hög tillgänglighet och platsresiliens i Exchange Server
• Webb Programproxy i Windows Server

Återhämtning

Information om motståndskraften för komponenterna i den här arkitekturen finns i följande resurser.

• För Microsoft Entra-ID: Avancerad Microsoft Entra-tillgänglighet
• För scenarier som använder AD FS: Distribution med hög tillgänglighet mellan geografiska AD FS i Azure med Azure Traffic Manager
• För den lokala Exchange-lösningen: Hög tillgänglighet i Exchange

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

Information om säkerheten för komponenterna i den här arkitekturen finns i följande resurser:

• Guide för Microsoft Entra-säkerhetsåtgärder
• Metodtips för att skydda AD FS och web Programproxy
• Konfigurera AD FS Extranet Smart Lockout Protection

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

Kostnaden för implementeringen beror på dina licenskostnader för Microsoft Entra-ID och Microsoft 365. Den totala kostnaden omfattar även kostnader för programvara och maskinvara för lokala komponenter, IT-drift, utbildning och utbildning samt projektimplementering.

Lösningen kräver minst Microsoft Entra ID P1. Prisinformation finns i Priser för Microsoft Entra.

Information om Exchange finns i Priser för Exchange Server.

Information om AD FS och webb Programproxy finns i Priser och licensiering för Windows Server 2022.

Prestandaeffektivitet

Prestandaeffektivitet är arbetsbelastningens förmåga att skala på ett effektivt sätt för att uppfylla de krav som användarna ställer på den. Mer information finns i Översikt över grundpelare för prestandaeffektivitet.

Prestanda beror på prestanda för de komponenter som ingår och företagets nätverksprestanda. Mer information finns i Prestandajustering för Office 365 med baslinjer och prestandahistorik.

Information om lokala faktorer som påverkar prestanda för scenarier som inkluderar AD FS-tjänster finns i följande resurser:

• Konfigurera prestandaövervakning
• Finjustera SQL och åtgärda problem med svarstid med AD FS

Skalbarhet

Information om AD FS-skalbarhet finns i Planera för AD FS-serverkapacitet.

Information om lokal skalbarhet för Exchange Server finns i Önskad Arkitektur för Exchange 2019.

Distribuera det här scenariot

Utför följande övergripande steg för att distribuera det här scenariot:

1. Börja med webbåtkomsttjänsten. Förbättra säkerheten med hjälp av en princip för villkorsstyrd åtkomst i Azure för Exchange Online.
2. Förbättra säkerheten för webbåtkomst för lokal EMI med hjälp av AD FS-anspråksbaserad autentisering.

Konfigurera en princip för villkorsstyrd åtkomst

Så här konfigurerar du en princip för villkorsstyrd åtkomst i Microsoft Entra som tillämpar multifaktorautentisering enligt beskrivningen i steg 3 i onlineanvändarens flöde tidigare i den här artikeln:

1. Konfigurera Office 365 Exchange Online eller Office 365 som en molnapp:

   

2. Konfigurera webbläsaren som en klientapp:

   

3. Tillämpa kravet på multifaktorautentisering i fönstret Bevilja :

   

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudsakliga författare:

• Pavel Kondrashov | Molnlösningsarkitekt
• Ella Parkum | Arkitektteknik för huvudkundslösning

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

• Tillkännagivande av modern hybridautentisering för Exchange On-Premises
• Översikt över hybridmodern autentisering och krav för användning med lokala Skype för företag- och Exchange-servrar
• Använda AD FS-anspråksbaserad autentisering med Outlook på webben
• Önskad arkitektur för Exchange 2019
• AD FS-distribution med hög tillgänglighet över geografiska områden i Azure med Azure Traffic Manager

Relaterade resurser

• Förbättrad säkerhetsinfrastruktur för hybridmeddelanden i ett skrivbordsklientåtkomstscenario
• Förbättrad säkerhetsinfrastruktur för hybridmeddelanden i ett scenario med mobil åtkomst