Düzenle

Aracılığıyla paylaş

Gelişmiş güvenlikli karma mesajlaşma altyapısı — mobil erişim

Microsoft Entra ID
Microsoft 365
Office 365

Makalede, Microsoft Exchange'e erişen Outlook mobil istemcileri için çok faktörlü kimlik doğrulamasının nasıl uygulanacakları gösterilmektedir. Microsoft Exchange'de kullanıcı posta kutusu olan iki farklı seçeneğe karşılık gelen iki mimari vardır:

Mimari (Exchange Online)

Diagram that shows an architecture for enhanced security in an Outlook mobile access scenario. The user's mailbox is in Exchange Online.

Bu senaryoda, kullanıcıların modern kimlik doğrulamasını destekleyen bir mobil istemci kullanması gerekir. Microsoft tarafından desteklenen Outlook Mobile (iOS için Outlook / Android için Outlook) önerilir. Aşağıdaki iş akışında Outlook Mobile kullanılır.

Bu makaledeki tüm diyagramların visio dosyasını indirin.

İş Akışı (Exchange Online)

  1. Kullanıcı bir e-posta adresi girerek Outlook profil yapılandırmasını başlatır. Outlook Mobile, Otomatik Algıla hizmetine bağlanır.
  2. AutoDetect hizmeti, posta kutusunu almak için Exchange Online'a anonim bir AutoDiscover V2 isteğinde bulunur. Exchange Online, posta kutusunun ActiveSync URL adresini içeren ve Exchange Online'a işaret eden 302 yeniden yönlendirme yanıtıyla yanıtlar. Bu tür bir isteğin örneğini burada görebilirsiniz.
  3. Otomatik Algıla hizmeti artık posta kutusu içeriğinin uç noktası hakkında bilgi edindiğinden, kimlik doğrulaması olmadan ActiveSync'i çağırabilir.
  4. Buradaki bağlantı akışında açıklandığı gibi, Exchange 401 sınama yanıtıyla yanıt verir. İstemcinin erişim belirteci almak için kullanması gereken Microsoft Entra uç noktasını tanımlayan bir yetkilendirme URL'si içerir.
  5. Otomatik Algıla hizmeti, istemciye Microsoft Entra yetkilendirme uç noktasını döndürür.
  6. İstemci, kimlik doğrulamasını tamamlamak ve oturum açma bilgilerini (e-posta) girmek için Microsoft Entra Id'ye bağlanır.
  7. Etki alanı federasyon ise, istek Web Uygulama Ara Sunucusu'e yönlendirilir.
  8. Web Uygulama Ara Sunucusu kimlik doğrulama isteğini AD FS'ye proxy'ler. Kullanıcı bir oturum açma sayfası görür.
  9. Kullanıcı kimlik doğrulamasını tamamlamak için kimlik bilgilerini girer.
  10. Kullanıcı Microsoft Entra Id'ye geri yönlendirilir.
  11. Microsoft Entra Id bir Azure Koşullu Erişim ilkesi uygular.
  12. İlke, cihaz Microsoft Endpoint Manager'a kayıtlıysa kullanıcının cihaz durumuna göre kısıtlamaları zorunlu kılabilir, uygulama koruma ilkelerini zorunlu kılabilir ve/veya çok faktörlü kimlik doğrulamasını zorunlu kılabilir. Bu ilke türünün ayrıntılı bir örneğini burada açıklanan uygulama adımlarında bulabilirsiniz.
  13. Kullanıcı tüm ilke gereksinimlerini uygular ve çok faktörlü kimlik doğrulama isteğini tamamlar.
  14. Microsoft Entra Id, istemciye erişim ve yenileme belirteçlerini döndürür.
  15. İstemci, Exchange Online'a bağlanmak ve posta kutusu içeriğini almak için erişim belirtecini kullanır.

Yapılandırma (Exchange Online)

Eski kimlik doğrulaması (diyagramdaki kırmızı kesik çizgi) aracılığıyla Exchange Online ActiveSync'e erişme girişimlerini engellemek için, Outlook mobil hizmetinin kullandığı protokoller için eski kimlik doğrulamasını devre dışı bırakmaya yönelik bir kimlik doğrulama ilkesi oluşturmanız gerekir. Özellikle AutoDiscover, ActiveSync ve Outlook Service'i devre dışı bırakmanız gerekir. buna karşılık gelen kimlik doğrulama ilkesi yapılandırması aşağıdadır:

AllowBasicAuthAutodiscover : False

AllowBasicAuthActiveSync : False

AllowBasicAuthOutlookService : False

Kimlik doğrulama ilkesini oluşturduktan sonra bir pilot kullanıcı grubuna atayabilirsiniz. Ardından, test ettikten sonra ilkeyi tüm kullanıcılar için genişletebilirsiniz. İlkeyi kuruluş düzeyinde uygulamak için komutunu kullanın Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> . Bu yapılandırma için Exchange Online PowerShell kullanmanız gerekir.

Federasyon etki alanları için AD FS'yi Koşullu Erişim ilkesi kullanmak yerine çok faktörlü kimlik doğrulamasını tetikleye yapılandırabilirsiniz. Ancak, bağlantıyı denetlemenizi ve Koşullu Erişim ilkesi düzeyinde kısıtlamalar uygulamanızı öneririz.

Mimari (Şirket içi Exchange)

Diagram that shows an architecture for enhanced security in an Outlook mobile access scenario. The user's mailbox is in Exchange on-premises.

Bu makaledeki tüm diyagramların visio dosyasını indirin.

Bu senaryoda, karma modern kimlik doğrulamasını kullanma bölümünde açıklandığı gibi kullanıcıların modern kimlik doğrulamasını destekleyen bir mobil istemci kullanması gerekir. Microsoft tarafından desteklenen Outlook Mobile (iOS için Outlook / Android için Outlook) önerilir. Aşağıdaki iş akışında Outlook Mobile kullanılır.

İş Akışı (Şirket içi Exchange)

  1. Kullanıcı bir e-posta adresi girerek Outlook profil yapılandırmasını başlatır. Outlook Mobile, Otomatik Algıla hizmetine bağlanır.
  2. AutoDetect hizmeti, posta kutusunu almak için Exchange Online'a anonim bir AutoDiscover V2 isteğinde bulunur.
  3. Posta kutusu şirket içinde bulunduktan sonra, Exchange Online, Otomatik Algıla'nın posta kutusu için ActiveSync URL adresini almak için kullanabileceği bir şirket içi Otomatik Bulma URL'si içeren 302 yeniden yönlendirme yanıtıyla yanıtlar.
  4. AutoDetect, önceki adımda aldığı şirket içi URL'yi kullanarak posta kutusunu almak için şirket içi Exchange'e anonim bir AutoDiscover v2 isteğinde bulunur. Şirket içi Exchange, posta kutusu için şirket içi Exchange'e işaret eden bir ActiveSync URL adresi döndürür. Bu tür bir isteğin örneğini burada görebilirsiniz.
  5. AutoDetect hizmeti artık posta kutusu içeriğinin uç noktası hakkında bilgilere sahip olduğuna göre, şirket içi ActiveSync uç noktasını kimlik doğrulaması olmadan çağırabilir. Buradaki bağlantı akışında açıklandığı gibi, Exchange 401 sınama yanıtıyla yanıt verir. İstemcinin erişim belirteci almak için kullanması gereken Microsoft Entra uç noktasını tanımlayan bir yetkilendirme URL'si içerir.
  6. Otomatik Algıla hizmeti, istemciye Microsoft Entra yetkilendirme uç noktasını döndürür.
  7. İstemci, kimlik doğrulamasını tamamlamak ve oturum açma bilgilerini (e-posta) girmek için Microsoft Entra Id'ye bağlanır.
  8. Etki alanı federasyon ise, istek Web Uygulama Ara Sunucusu'e yönlendirilir.
  9. Web Uygulama Ara Sunucusu kimlik doğrulama isteğini AD FS'ye proxy'ler. Kullanıcı bir oturum açma sayfası görür.
  10. Kullanıcı kimlik doğrulamasını tamamlamak için kimlik bilgilerini girer.
  11. Kullanıcı Microsoft Entra Id'ye geri yönlendirilir.
  12. Microsoft Entra Id bir Azure Koşullu Erişim ilkesi uygular.
  13. İlke, cihaz Microsoft Endpoint Manager'a kayıtlıysa kullanıcının cihaz durumuna göre kısıtlamaları zorunlu kılabilir, uygulama koruma ilkelerini zorunlu kılabilir ve/veya çok faktörlü kimlik doğrulamasını zorunlu kılabilir. Bu ilke türünün ayrıntılı bir örneğini burada açıklanan uygulama adımlarında bulabilirsiniz.
  14. Kullanıcı tüm ilke gereksinimlerini uygular ve çok faktörlü kimlik doğrulama isteğini tamamlar.
  15. Microsoft Entra Id, istemciye erişim ve yenileme belirteçlerini döndürür.
  16. İstemci, Exchange Online'a bağlanmak ve şirket içi posta kutusu içeriğini almak için erişim belirtecini kullanır. İçerik burada açıklandığı gibi önbellekten sağlanmalıdır. Bunu başarmak için istemci, kullanıcının erişim belirtecini ve şirket içi ActiveSync uç noktasını içeren bir sağlama isteği yayınlar.
  17. Exchange Online'daki sağlama API'si, sağlanan belirteci giriş olarak alır. API, şirket içi posta kutusuna Active Directory adına yapılan bir çağrı aracılığıyla erişmek için ikinci bir erişim ve yenileme belirteci çifti alır. Bu ikinci erişim belirtecinin kapsamı, istemcinin kapsamı Exchange Online ve şirket içi ActiveSync ad alanı uç noktasının hedef kitlesi olarak belirlenmiştir.
  18. Posta kutusu sağlanmadıysa, sağlama API'si bir posta kutusu oluşturur.
  19. Sağlama API'si, şirket içi ActiveSync uç noktasına güvenli bir bağlantı kurar. API, kimlik doğrulama mekanizması olarak ikinci erişim belirtecini kullanarak kullanıcının mesajlaşma verilerini eşitler. Yenileme belirteci, verilerin kullanıcı müdahalesi olmadan arka planda eşitlenebilmesi için düzenli aralıklarla yeni bir erişim belirteci oluşturmak için kullanılır.
  20. Veriler istemciye döndürülür.

Yapılandırma (Şirket içi Exchange)

Eski kimlik doğrulaması (diyagramdaki kırmızı kesikli çizgiler) aracılığıyla Şirket İçi Exchange ActiveSync'e erişme girişimlerini engellemek için, Outlook mobil hizmetinin kullandığı protokoller için eski kimlik doğrulamasını devre dışı bırakmaya yönelik bir kimlik doğrulama ilkesi oluşturmanız gerekir. Özellikle, AutoDiscover ve ActiveSync'i devre dışı bırakmanız gerekir. buna karşılık gelen kimlik doğrulama ilkesi yapılandırması aşağıdadır:

BlockLegacyAuthAutodiscover: True

BlockLegacyAuthActiveSync: True

Bu kimlik doğrulama ilkesini oluşturmaya yönelik bir komut örneği aşağıda verilmişti:

New-AuthenticationPolicy -Name BlockLegacyActiveSyncAuth -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover

Kimlik doğrulama ilkesini oluşturduktan sonra, önce komutunu kullanarak bir pilot kullanıcı grubuna Set-User user01 -AuthenticationPolicy <name_of_policy> atayabilirsiniz. Test ettikten sonra, ilkeyi tüm kullanıcıları içerecek şekilde genişletebilirsiniz. İlkeyi kuruluş düzeyinde uygulamak için komutunu kullanın Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> . Bu yapılandırma için Exchange şirket içi PowerShell kullanmanız gerekir.

Tutarlılık elde etmek ve yalnızca Outlook istemcisinden erişime izin vermek için de adımlar uygulamanız gerekir. Kuruluşta onaylanan tek istemci olarak Outlook Mobile'a izin vermek için, modern kimlik doğrulamasını destekleyen Outlook mobile istemcileri olmayan istemcilerden gelen bağlantı girişimlerini engellemeniz gerekir. Şu adımları tamamlayarak şirket içi Exchange düzeyinde bu girişimleri engellemeniz gerekir:

  • Diğer mobil cihaz istemcilerini engelle:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block

  • Exchange Online'ın şirket içi ağa bağlanmasına izin ver:

    If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}

  • iOS ve Android için Outlook için temel kimlik doğrulamasını engelle:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Bu adımlar hakkında daha fazla bilgi için bkz . iOS ve Android için Outlook ile karma Modern Kimlik Doğrulaması kullanma.

Federasyon etki alanları için AD FS'yi Koşullu Erişim ilkesi kullanmak yerine çok faktörlü kimlik doğrulamasını tetikleye yapılandırabilirsiniz. Ancak, bağlantıyı denetlemenizi ve Koşullu Erişim ilkesi düzeyinde kısıtlamalar uygulamanızı öneririz.

Components

  • Microsoft Entra Id. Microsoft Entra Id, Microsoft bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Temelde EvoSTS'yi (Microsoft Entra Id tarafından kullanılan bir Güvenlik Belirteci Hizmeti) temel alan modern kimlik doğrulaması sağlar. Şirket içi Exchange Server için kimlik doğrulama sunucusu olarak kullanılır.
  • Microsoft Entra çok faktörlü kimlik doğrulaması. Çok faktörlü kimlik doğrulaması, kullanıcıların oturum açma işlemi sırasında cep telefonlarındaki bir kod veya parmak izi taraması gibi başka bir tanımlama biçimi için sorulacağı bir işlemdir.
  • Microsoft Entra Koşullu Erişim. Koşullu Erişim, Microsoft Entra ID'nin çok faktörlü kimlik doğrulaması gibi kuruluş ilkelerini zorunlu kılmak için kullandığı özelliktir.
  • AD FS. AD FS, gelişmiş güvenlikle dijital kimlik ve yetkilendirme haklarını güvenlik ve kurumsal sınırlar arasında paylaşarak federasyon kimliği ve erişim yönetimini etkinleştirir. Bu mimarilerde, federasyon kimliğine sahip kullanıcılar için oturum açmayı kolaylaştırmak için kullanılır.
  • Web Uygulama Ara Sunucusu. Web Uygulama Ara Sunucusu, AD FS kullanarak web uygulamalarına erişimin ön kimliğini doğrular. Ayrıca AD FS proxy'si olarak da çalışır.
  • Microsoft Intune. Intune, Windows, Android, Mac, iOS ve Linux işletim sistemlerinde uç noktaları yöneten bulut tabanlı birleşik uç nokta yönetimimizdir.
  • Exchange Server. Exchange Server, şirket içinde kullanıcı posta kutularını barındırıyor. Bu mimarilerde, posta kutularına erişim yetkisi vermek için Microsoft Entra Id tarafından kullanıcıya verilen belirteçleri kullanır.
  • Active Directory hizmetleri. Active Directory hizmetleri, cihazlar ve kullanıcılar da dahil olmak üzere bir etki alanının üyeleri hakkındaki bilgileri depolar. Bu mimarilerde kullanıcı hesapları Active Directory hizmetlerine aittir ve Microsoft Entra Id ile eşitlenir.

Alternatifler

Outlook Mobile'a alternatif olarak modern kimlik doğrulamasını destekleyen üçüncü taraf mobil istemcileri kullanabilirsiniz. Bu alternatifi seçerseniz, üçüncü taraf satıcı müşterilerin desteğinden sorumludur.

Senaryo ayrıntıları

Kurumsal mesajlaşma altyapısı (EMI), kuruluşlar için önemli bir hizmettir. Eski, daha az güvenli kimlik doğrulama ve yetkilendirme yöntemlerinden modern kimlik doğrulamasına geçmek, uzaktan çalışmanın yaygın olduğu bir dünyada kritik bir zorluktır. Mesajlaşma hizmeti erişimi için çok faktörlü kimlik doğrulama gereksinimlerini uygulamak, bu sınamayı karşılamanın en etkili yollarından biridir.

Bu makalede, Microsoft Entra çok faktörlü kimlik doğrulamasını kullanarak outlook mobil erişim senaryosunda güvenliğinizi artırmanıza yardımcı olacak iki mimari açıklanmaktadır.

Bu senaryolar bu makalede açıklanmıştır:

  • Kullanıcının posta kutusu Exchange Online'dayken Outlook mobil erişimi
  • Kullanıcının posta kutusu şirket içi Exchange'deyken Outlook mobil erişimi

Her iki mimari de hem iOS için Outlook'u hem de Android için Outlook'u kapsar.

Diğer karma mesajlaşma senaryolarında çok faktörlü kimlik doğrulaması uygulama hakkında bilgi için şu makalelere bakın:

Bu makalede IMAP veya POP gibi diğer protokoller ele alınmıyor. Bu senaryolar genellikle bu protokolleri kullanmaz.

Genel notlar

  • Bu mimariler federasyon Microsoft Entra kimlik modelini kullanır. Parola karması eşitlemesi ve Geçiş Kimlik Doğrulaması modelleri için mantık ve akış aynıdır. Tek fark, Microsoft Entra Id'nin kimlik doğrulama isteğini şirket içi Active Directory Federasyon Hizmetleri'ne (AD FS) yönlendirmeyeceği gerçeğiyle ilgilidir.
  • Diyagramlarda siyah kesikli çizgiler yerel Active Directory, Microsoft Entra Bağlan, Microsoft Entra ID, AD FS ve Web Uygulama Ara Sunucusu bileşenleri arasındaki temel etkileşimleri gösterir. Karma kimlik için gerekli bağlantı noktaları ve protokollerde bu etkileşimler hakkında bilgi edinebilirsiniz.
  • Şirket içi Exchange'de en son güncelleştirmeleri ve Posta Kutusu rolünü içeren Exchange 2019 anlamına gelir.
  • Gerçek bir ortamda tek bir sunucunuz olmaz. Yüksek kullanılabilirlik için yük dengeli bir Exchange sunucu dizisine sahip olursunuz. Burada açıklanan senaryolar bu yapılandırma için uygundur.

Olası kullanım örnekleri

Bu mimari aşağıdaki senaryolar için geçerlidir:

  • EMI güvenliğini geliştirin.
  • Sıfır Güven güvenlik stratejisini benimseyin.
  • Exchange Online'a geçiş veya birlikte bulunma sırasında şirket içi mesajlaşma hizmetiniz için standart yüksek koruma düzeyinizi uygulayın.
  • Finans sektöründekiler gibi kapalı veya yüksek güvenlikli kuruluşlarda katı güvenlik veya uyumluluk gereksinimlerini zorunlu kılma.

Dikkat edilmesi gerekenler

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz . Güvenilirlik sütununa genel bakış.

Kullanılabilirlik

Genel kullanılabilirlik, ilgili bileşenlerin kullanılabilirliğine bağlıdır. Kullanılabilirlik hakkında bilgi için şu kaynaklara bakın:

Şirket içi çözüm bileşenlerinin kullanılabilirliği, uygulanan tasarıma, donanım kullanılabilirliğine ve iç operasyon ve bakım yordamlarınıza bağlıdır. Bu bileşenlerden bazıları hakkında kullanılabilirlik bilgileri için aşağıdaki kaynaklara bakın:

Karma modern kimlik doğrulamasını kullanmak için ağınızdaki tüm istemcilerin Microsoft Entra Id'ye erişebildiğinden emin olmanız gerekir. Ayrıca, Office 365 güvenlik duvarı bağlantı noktalarını ve IP aralığı açıklarını tutarlı bir şekilde korumanız gerekir.

Exchange Server'a yönelik protokol ve bağlantı noktası gereksinimleri için, şirket içi Skype Kurumsal ve Exchange sunucularıyla kullanmak üzere Karma modern kimlik doğrulamasına genel bakış sayfasındaki "Exchange istemci ve protokol gereksinimleri" bölümüne bakın.

Office 365 IP aralıkları ve bağlantı noktaları için bkz . Office 365 URL'leri ve IP adresi aralıkları.

Karma modern kimlik doğrulaması ve mobil cihazlar hakkında bilgi için Office 365 IP Adresi ve URL Web hizmetine dahil olmayan diğer uç noktalar'daki Otomatik Algılama uç noktası hakkında bilgi edinin.

Dayanıklılık

Bu mimarideki bileşenlerin dayanıklılığı hakkında bilgi için aşağıdaki kaynaklara bakın.

Güvenlik

Mobil cihazlarda güvenlik hakkında genel yönergeler için bkz . Microsoft Intune ile verileri ve cihazları koruma.

Güvenlik ve karma modern kimlik doğrulaması hakkında bilgi için bkz . Ayrıntılı Bakış: Karma Kimlik Doğrulaması Gerçekten Nasıl Çalışır?

Geleneksel güçlü çevre korumasına sahip kapalı kuruluşlar için Exchange Karma Klasik yapılandırmalarıyla ilgili güvenlik sorunları vardır. Exchange Karma Modern yapılandırması karma modern kimlik doğrulamasını desteklemez.

Microsoft Entra Kimliği hakkında bilgi için bkz . Microsoft Entra güvenlik işlemleri kılavuzu.

AD FS güvenliğini kullanan senaryolar hakkında bilgi için şu makalelere bakın:

Maliyet iyileştirme

Uygulamanızın maliyeti, Microsoft Entra Id ve Microsoft 365 lisans maliyetlerinize bağlıdır. Toplam maliyet, şirket içi bileşenler, BT operasyonları, eğitim ve eğitim ile proje uygulaması için yazılım ve donanım maliyetlerini de içerir.

Bu çözümler için en az Microsoft Entra ID P1 gerekir. Fiyatlandırma ayrıntıları için bkz . Microsoft Entra fiyatlandırması.

AD FS ve Web Uygulama Ara Sunucusu hakkında bilgi için bkz. Windows Server 2022 için fiyatlandırma ve lisanslama.

Daha fazla fiyatlandırma bilgisi için şu kaynaklara bakın:

Performans verimliliği

Performans, ilgili bileşenlerin performansına ve şirketinizin ağ performansına bağlıdır. Daha fazla bilgi için bkz . Temelleri ve performans geçmişini kullanarak Office 365 performans ayarlama.

AD FS hizmetlerini içeren senaryoların performansını etkileyen şirket içi faktörler hakkında bilgi için şu kaynaklara bakın:

Ölçeklenebilirlik

AD FS ölçeklenebilirliği hakkında bilgi için bkz . AD FS sunucu kapasitesini planlama.

Exchange Server şirket içi ölçeklenebilirliği hakkında bilgi için bkz . Exchange 2019 tercih edilen mimarisi.

Bu senaryoyu dağıtın

Bu altyapıyı uygulamak için aşağıdaki makalelerde yer alan kılavuzda özetlenen adımları tamamlamanız gerekir. Üst düzey adımlar şunlardır:

  1. Modern kimlik doğrulaması için bu uygulama adımlarında açıklandığı gibi Outlook mobil erişiminin güvenliğini sağlayın.
  2. Microsoft Entra Id düzeyinde diğer tüm eski kimlik doğrulama girişimlerini engelleyin.
  3. Kimlik doğrulama ilkesini kullanarak mesajlaşma hizmetleri düzeyinde eski kimlik doğrulama girişimlerini engelleyin.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazarlar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar