Gelişmiş güvenlikli karma mesajlaşma altyapısı — web erişimi

Bu makaledeki çözüm, posta kutuları Exchange Online'da veya şirket içi Exchange'de barındırıldığında mesajlaşma hizmetinizi (Web üzerinde Outlook veya Exchange Denetim Masası) korumaya yardımcı olmak için bir yol sağlar.

Mimari

Bu mimaride, çözümü aşağıdakiler için güvenliği açıklayan iki alana böleriz:

• Diyagramın sağ tarafındaki Exchange Online.
• Diyagramın sol tarafındaki karma veya karma olmayan bir senaryoda şirket içi exchange.

Bu mimarinin bir Visio dosyasını indirin.

Genel notlar

• Bu mimaride federasyon Microsoft Entra kimlik modeli kullanılır. Parola karması eşitlemesi ve doğrudan kimlik doğrulama modelleri için mantık ve akış aynıdır. Tek fark, Microsoft Entra Id'nin kimlik doğrulama isteğini şirket içi Active Directory Federasyon Hizmetleri'ne (AD FS) yönlendirmeyeceği gerçeğiyle ilgilidir.
• Diyagram, .../owa yoluna karşılık gelen Web üzerinde Outlook hizmetine erişimi gösterir. .../ecp yoluna karşılık gelen Exchange yönetim merkezi (veya Exchange Denetim Masası) kullanıcı erişimi aynı akışı izler.
• Diyagramda kesikli çizgiler yerel Active Directory, Microsoft Entra Connect, Microsoft Entra ID, AD FS ve Web Uygulama Ara Sunucusu bileşenleri arasındaki temel etkileşimleri gösterir. Karma kimlik için gerekli bağlantı noktaları ve protokollerde bu etkileşimler hakkında daha fazla bilgi edinebilirsiniz.
• Şirket içi Exchange'de en son güncelleştirmeleri içeren Exchange 2019 posta kutusu rolünden söz ediyoruz. Şirket içi Exchange Edge'de en son güncelleştirmeler olan Edge Aktarım rolü ile Exchange 2019'un anlamıdır. Bu senaryolarda kullanabileceğinizi vurgulamak için diyagrama Edge sunucusu ekleriz. Burada ele alınan istemci protokolleri ile çalışmaya dahil değildir.
• Gerçek bir ortamda tek bir sunucunuz olmaz. Yüksek kullanılabilirlik için yük dengeli bir Exchange sunucu dizisine sahip olursunuz. Burada açıklanan senaryolar bu yapılandırma için uygundur.

Exchange Online kullanıcı akışı

1. Kullanıcı aracılığıyla https://outlook.office.com/owaWeb üzerinde Outlook hizmetine erişmeye çalışır.

2. Exchange Online, kullanıcıyı kimlik doğrulaması için Microsoft Entra Id'ye yönlendirir.

   Etki alanı federasyon ise, Microsoft Entra Id kullanıcıyı kimlik doğrulaması için yerel AD FS örneğine yönlendirir. Kimlik doğrulaması başarılı olursa, kullanıcı Microsoft Entra Kimliği'ne geri yönlendirilir. (Diyagramı basit tutmak için bu federasyon senaryosunun dışında kaldık.)

3. Çok faktörlü kimlik doğrulamasını zorunlu kılmak için Microsoft Entra ID, tarayıcı istemci uygulaması için çok faktörlü kimlik doğrulaması gereksinimi olan bir Azure Koşullu Erişim ilkesi uygular. bu ilkeyi ayarlama hakkında bilgi için bu makalenin dağıtım bölümüne bakın.

4. Koşullu Erişim ilkesi, Microsoft Entra çok faktörlü kimlik doğrulamasını çağırır. Kullanıcı, çok faktörlü kimlik doğrulamasını tamamlama isteği alır.

5. Kullanıcı çok faktörlü kimlik doğrulamasını tamamlar.

6. Microsoft Entra Id, kimliği doğrulanmış web oturumunu Exchange Online'a yönlendirir ve kullanıcı Outlook'a erişebilir.

Exchange şirket içi kullanıcı akışı

1. Kullanıcı, iç erişim için Exchange sunucusuna veya dış erişim için Bir Web Uygulama Ara Sunucusu sunucusuna işaret eden bir URL aracılığıyla https://mail.contoso.com/owa Web üzerinde Outlook hizmetine erişmeye çalışır.

2. Şirket içi Exchange (iç erişim için) veya Web Uygulama Ara Sunucusu (dış erişim için) kullanıcıyı kimlik doğrulaması için AD FS'ye yönlendirir.

3. AD FS, iç erişim için Tümleşik Windows kimlik doğrulamasını kullanır veya kullanıcının dış erişim için kimlik bilgilerini girebileceği bir web formu sağlar.

4. BIR AF DS erişim denetimi ilkesine yanıt veren AD FS, kimlik doğrulamasını tamamlamak için Microsoft Entra çok faktörlü kimlik doğrulamasını çağırır. Aşağıda bu tür bir AD FS erişim denetimi ilkesi örneği verilmiştir:

   

   Kullanıcı, çok faktörlü kimlik doğrulamasını tamamlama isteği alır.

5. Kullanıcı çok faktörlü kimlik doğrulamasını tamamlar. AD FS, kimliği doğrulanmış web oturumunu şirket içi Exchange'e yönlendirir.

6. Kullanıcı Outlook'a erişebilir.

Şirket içi bir kullanıcı için bu senaryonun uygulanması için Exchange ve AD FS'yi web erişimi isteklerinin ön kimliğini doğrulamak üzere AD FS'yi ayarlayıp yapılandırmanız gerekir. Daha fazla bilgi için bkz. Web üzerinde Outlook ile AD FS talep tabanlı kimlik doğrulamasını kullanma.

Ayrıca AD FS ve Microsoft Entra çok faktörlü kimlik doğrulaması tümleştirmesini etkinleştirmeniz gerekir. Daha fazla bilgi için bkz . Azure MFA'yı AD FS ile kimlik doğrulama sağlayıcısı olarak yapılandırma. (Bu tümleştirme için AD FS 2016 veya 2019 gerekir.) Son olarak, kullanıcıları Microsoft Entra Id ile eşitlemeniz ve onlara Microsoft Entra çok faktörlü kimlik doğrulaması için lisans atamanız gerekir.

Bileşenler

• Microsoft Entra Id. Microsoft Entra Id, Microsoft bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. EvoSTS'yi (Microsoft Entra Id tarafından kullanılan bir Güvenlik Belirteci Hizmeti) temel alan modern kimlik doğrulaması sağlar. Şirket içi Exchange Server için kimlik doğrulama sunucusu olarak kullanılır.

• Microsoft Entra çok faktörlü kimlik doğrulaması. Çok faktörlü kimlik doğrulaması, kullanıcıların oturum açma işlemi sırasında cep telefonlarındaki bir kod veya parmak izi taraması gibi başka bir tanımlama biçimi için sorulacağı bir işlemdir.

• Microsoft Entra Koşullu Erişim. Koşullu Erişim, Microsoft Entra ID'nin çok faktörlü kimlik doğrulaması gibi kuruluş ilkelerini zorunlu kılmak için kullandığı özelliktir.

• AD FS. AD FS, gelişmiş güvenlikle dijital kimlik ve yetkilendirme haklarını güvenlik ve kurumsal sınırlar arasında paylaşarak federasyon kimliği ve erişim yönetimini etkinleştirir. Bu mimaride, federasyon kimliğine sahip kullanıcılar için oturum açmayı kolaylaştırmak için kullanılır.

• Web Uygulama Ara Sunucusu. Web Uygulama Ara Sunucusu, AD FS kullanarak web uygulamalarına erişimin ön kimliğini doğrular. Ayrıca AD FS proxy'si olarak da çalışır.

• Exchange Server. Exchange Server, şirket içinde kullanıcı posta kutularını barındırıyor. Bu mimaride, posta kutularına erişim yetkisi vermek için Microsoft Entra Id tarafından kullanıcıya verilen belirteçleri kullanır.

• Active Directory hizmetleri. Active Directory hizmetleri, cihazlar ve kullanıcılar da dahil olmak üzere bir etki alanının üyeleri hakkındaki bilgileri depolar. Bu mimaride, kullanıcı hesapları Active Directory hizmetlerine aittir ve Microsoft Entra Id ile eşitlenir.

Senaryo ayrıntıları

Kurumsal mesajlaşma altyapısı (EMI), kuruluşlar için önemli bir hizmettir. Eski, daha az güvenli kimlik doğrulama ve yetkilendirme yöntemlerinden modern kimlik doğrulamasına geçmek, uzaktan çalışmanın yaygın olduğu bir dünyada kritik bir zorluktır. Mesajlaşma hizmeti erişimi için çok faktörlü kimlik doğrulama gereksinimlerini uygulamak, bu sınamayı karşılamanın en etkili yollarından biridir.

Bu makalede, Microsoft Entra çok faktörlü kimlik doğrulamasını kullanarak web erişimi senaryosunda güvenliğinizi geliştirmeye yönelik bir mimari açıklanmaktadır.

Buradaki mimariler, posta kutuları Exchange Online veya Şirket İçi Exchange'de barındırıldığında mesajlaşma hizmetinizi (Web üzerinde Outlook veya Exchange Denetim Masası) korumanıza yardımcı olacak senaryoları açıklar.

Diğer karma mesajlaşma senaryolarında çok faktörlü kimlik doğrulaması uygulama hakkında bilgi için şu makalelere bakın:

• Masaüstü istemcisi erişim senaryosunda gelişmiş güvenlik karma mesajlaşma altyapısı
• Mobil erişim senaryosunda gelişmiş güvenlikli karma mesajlaşma altyapısı

Bu makalede IMAP veya POP gibi diğer protokoller ele alınmıyor. Kullanıcı erişimi sağlamak için bunları kullanmanızı önermiyoruz.

Olası kullanım örnekleri

Bu mimari aşağıdaki senaryolar için geçerlidir:

• EMI güvenliğini geliştirin.
• Sıfır Güven güvenlik stratejisini benimseyin.
• Exchange Online'a geçiş veya birlikte bulunma sırasında şirket içi mesajlaşma hizmetiniz için standart yüksek koruma düzeyinizi uygulayın.
• Finans sektöründekiler gibi kapalı veya yüksek güvenlikli kuruluşlarda katı güvenlik veya uyumluluk gereksinimlerini zorunlu kılma.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz . Güvenilirlik sütununa genel bakış.

Kullanılabilirlik

Genel kullanılabilirlik, ilgili bileşenlerin kullanılabilirliğine bağlıdır. Kullanılabilirlik hakkında bilgi için şu kaynaklara bakın:

• Microsoft Entra kullanılabilirliğini ilerletme
• Güvenebileceğiniz bulut hizmetleri: Office 365 kullanılabilirliği
• Microsoft Entra mimarisi nedir?

Şirket içi çözüm bileşenlerinin kullanılabilirliği, uygulanan tasarıma, donanım kullanılabilirliğine ve iç operasyon ve bakım yordamlarınıza bağlıdır. Bu bileşenlerden bazıları hakkında kullanılabilirlik bilgileri için aşağıdaki kaynaklara bakın:

• Always On kullanılabilirlik gruplarıyla AD FS dağıtımı ayarlama
• Exchange Server'da yüksek kullanılabilirlik ve site dayanıklılığı dağıtma
• Windows Server'da Web Uygulama Ara Sunucusu

Dayanıklılık

Bu mimarideki bileşenlerin dayanıklılığı hakkında bilgi için aşağıdaki kaynaklara bakın.

• Microsoft Entra Kimliği için: Microsoft Entra kullanılabilirliğini ilerletme
• AD FS kullanan senaryolar için: Azure Traffic Manager ile Azure'da yüksek kullanılabilirlikli coğrafi ad FS dağıtımı
• Şirket içi Exchange çözümü için: Exchange yüksek kullanılabilirliği

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Bu mimarideki bileşenlerin güvenliği hakkında bilgi için aşağıdaki kaynaklara bakın:

• Microsoft Entra güvenlik işlemleri kılavuzu
• AD FS ve Web Uygulama Ara Sunucusu güvenliğini sağlamaya yönelik en iyi yöntemler
• AD FS Extranet Akıllı Kilitleme Korumasını Yapılandırma

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Uygulamanızın maliyeti, Microsoft Entra Id ve Microsoft 365 lisans maliyetlerinize bağlıdır. Toplam maliyet, şirket içi bileşenler, BT operasyonları, eğitim ve eğitim ile proje uygulaması için yazılım ve donanım maliyetlerini de içerir.

Çözüm için en az Microsoft Entra ID P1 gerekir. Fiyatlandırma ayrıntıları için bkz . Microsoft Entra fiyatlandırması.

Exchange hakkında bilgi için bkz . Exchange Server fiyatlandırması.

AD FS ve Web Uygulama Ara Sunucusu hakkında bilgi için bkz. Windows Server 2022 için fiyatlandırma ve lisanslama.

Performans verimliliği

Performans verimliliği, iş yükünüzün kullanıcıların taleplerine uygun şekilde verimli bir şekilde ölçeklendirebilmesidir. Daha fazla bilgi için bkz . Performans verimliliği sütununa genel bakış.

Performans, ilgili bileşenlerin performansına ve şirketinizin ağ performansına bağlıdır. Daha fazla bilgi için bkz . Temelleri ve performans geçmişini kullanarak Office 365 performans ayarlama.

AD FS hizmetlerini içeren senaryoların performansını etkileyen şirket içi faktörler hakkında bilgi için şu kaynaklara bakın:

• Performans izlemeyi yapılandırma
• SQL'de ince ayarlama ve AD FS ile ilgili gecikme sorunlarını giderme

Ölçeklenebilirlik

AD FS ölçeklenebilirliği hakkında bilgi için bkz . AD FS sunucu kapasitesini planlama.

Exchange Server şirket içi ölçeklenebilirliği hakkında bilgi için bkz . Exchange 2019 tercih edilen mimarisi.

Bu senaryoyu dağıtın

Bu senaryoya dağıtmak için şu üst düzey adımları tamamlayın:

1. Web erişim hizmetiyle başlayın. Exchange Online için Azure Koşullu Erişim ilkesi kullanarak güvenliğini artırın.
2. AD FS talep tabanlı kimlik doğrulamasını kullanarak şirket içi EMI için web erişiminin güvenliğini artırın.

Koşullu Erişim ilkesi ayarlama

Bu makalenin önceki bölümlerinde çevrimiçi kullanıcının akışının 3. adımında açıklandığı gibi, çok faktörlü kimlik doğrulamasını zorunlu kılan bir Microsoft Entra Koşullu Erişim ilkesi ayarlamak için:

1. Office 365 Exchange Online veya Office 365'i bulut uygulaması olarak yapılandırın:

   

2. Tarayıcıyı bir istemci uygulaması olarak yapılandırın:

   

3. Ver penceresinde çok faktörlü kimlik doğrulaması gereksinimini uygulayın:

   

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazarlar:

• Pavel Kondrashov | Bulut Çözümü Mimarı
• Ella Parkum | Ana Müşteri Çözümü Mimarı-Mühendislik

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar

• Şirket İçi Exchange için Karma Modern Kimlik Doğrulaması Duyuruları
• Şirket içi Skype Kurumsal ve Exchange sunucularıyla kullanmak için karma modern kimlik doğrulamasına genel bakış ve önkoşullar
• Web üzerinde Outlook ile AD FS talep tabanlı kimlik doğrulamayı kullanma
• Exchange 2019 tercih edilen mimarisi
• Azure Traffic Manager ile Azure’da yüksek kullanılabilirliğe sahip çapraz coğrafi AD FS dağıtımı

İlgili kaynaklar

• Masaüstü istemcisi erişim senaryosunda gelişmiş güvenlik karma mesajlaşma altyapısı
• Mobil erişim senaryosunda gelişmiş güvenlikli karma mesajlaşma altyapısı