了解 Outlook 無所不在的安全性
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2010-09-13
有好幾種方法可以協助保護 Outlook Anywhere (之前稱為 RPC over HTTP) 的安全。在啟用 Outlook Anywhere 的 MicrosoftExchange Server 2010 郵件環境中,使用者可以從網際網路存取 Exchange。當使用者透過 Outlook Anywhere,從網際網路存取自己的信箱時,每次只要建立或更新自己的 Outlook 設定檔,自動探索服務就會自動偵測到他們的 Outlook 設定檔資訊,並提供 Exchange Web 服務的使用者存取功能,包括離線通訊錄、可用性服務與整合通訊。因為網際網路上的流量容易遭受攔截及攻擊,所以考量包含最多安全性選項的安全性策略。
要尋找與 Outlook Anywhere 相關的管理工作嗎?請參閱 管理 Outlook 無所不在。
目錄
針對 Outlook 無所不在使用使用進階防火牆伺服器
搭配使用 SSL 與 Outlook 無所不在
選擇 Outlook 無所不在的 SSL 部署選項
針對 Outlook 無所不在使用 SSL 卸載
設定 Outlook 無所不在的驗證
瞭解 Outlook 無所不在及 RPC 虛擬目錄的驗證
針對 Outlook 無所不在使用使用進階防火牆伺服器
使用進階型防火牆 (例如 Microsoft Internet Security and Acceleration (ISA) Server 2006、MicrosoftForefront Threat Management Gateway 2010,或 MicrosoftForefront Unified Access Gateway 2010),可以改善 Outlook 無所不在部署的安全性。ISA Server 2006 提供安裝精靈,可讓您透過使用 Outlook 無所不在來針對 Exchange 2010 設定 ISA Server 2006。如需詳細資訊,請參閱 搭配使用 ISA Server 與 Outlook 無所不在 與<使用 Forefront Unified Access Gateway 2010 與 Forefront Threat Management Gateway 2010 發佈 Exchange Server 2010> (英文)。
搭配使用 SSL 與 Outlook 無所不在
當您使用 Outlook 無所不在從網際網路存取 Exchange 資訊時,必須安裝由用戶端電腦作業系統信任之憑證授權單位 (CA) 發行的有效的安全通訊端層 (SSL) 憑證。如需如何使用 SSL 憑證進行用戶端存取的相關資訊,請參閱瞭解數位憑證和 SSL。如需如何搭配使用 SSL 與 Outlook 無所不在的相關資訊,請參閱針對 Outlook 無所不在設定 SSL。
回到頁首
選擇 Outlook 無所不在的 SSL 部署選項
使用安全通訊端層 (SSL) 來協助保護 Outlook 2007 及 Outlook 2010 用戶端與自動探索服務之間通訊安全的方法有許多種。有了 Outlook 無所不在,Outlook 用戶端可以查詢 DNS 以獲得自動探索服務。我們建議您使用 SSL 憑證上的「主旨替代名稱]」(SAN) 欄位。使用此欄位可讓您使用單一憑證來協助保護用戶端與主控自動探索服務的用戶端存取伺服器之間的通訊及 Outlook 無所不在的連線。若想瞭解如何在 SSL 憑證上設定 SAN 的詳細資料,請參閱 設定 SSL 憑證以使用多個 Client Access Server 主機名稱。
另外,您也可以使用多個 SSL 憑證。如需相關資訊,請參閱設定 Outlook 無所不在以使用多個 SSL 憑證。
另一種選擇是搭配使用 SSL 憑證和重新導向。如需相關資訊,請參閱設定 Outlook 無所不在搭配使用 SSL 憑證與重新導向。
針對 Outlook 無所不在使用 SSL 卸載
如果您有預定用於 Client Access Server 之流量的卸載 SSL 加密的硬體解決方案,必須針對 Outlook 無所不在設定 SSL 卸載。如需相關資訊,請參閱針對 Outlook 無所不在設定 SSL 卸載。
回到頁首
設定 Outlook 無所不在的驗證
當您使用 [啟用 Outlook 無所不在] 精靈設定用戶端存取伺服器以提供 Outlook 無所不在存取權時,必須選取 Outlook 用戶端要使用的驗證方式。在您選取了一種驗證方式之後,您即可在 Exchange 管理命令介面中使用 Set-OutlookAnywhere 指令程式來變更此方法。
瞭解 Outlook 無所不在及 RPC 虛擬目錄的驗證
您為 Outlook Anywhere 選取的驗證方法,將由 Outlook 2007 或 Outlook 2010 用戶端所使用。自動探索服務會自動將此驗證方法提供給用戶端。當您啟用 Outlook 無所不在時,會為 RPC 虛擬目錄選擇驗證類型。您可以選擇啟用基本驗證、NTLM 驗證,或同時啟用基本驗證和 NTLM 驗證。如果您要將 IIS 虛擬目錄用於多個需要不同驗證方法的應用程式,就可以同時啟用基本和 NTLM 驗證。
.gif "注意事項") 附註: |
|---|
| 當您使用 IIS 介面設定此設定時,可以啟用不限數目的驗證方法。 |
您可以使用 Set-OutlookAnywhere 指令程式修改 RPC 虛擬目錄的驗證方法。如需相關資訊,請參閱設定 Outlook 無所不在的驗證。
回到頁首
基本驗證及 Outlook 無所不在
您可以搭配使用基本驗證與 Outlook 無所不在。基本驗證需要使用者名稱及密碼,然後會透過網際網路以純文字格式傳送該使用者名稱及密碼。只要使用安全通訊端層 (SSL) 協助保護 Microsoft Office Outlook Web App 用戶端與 Exchange 郵件基礎結構之間的連線安全,就支援搭配使用基本驗證與 Outlook 無所不在。如需相關資訊,請參閱設定 Outlook 無所不在的驗證。
整合式 Windows 驗證和 Outlook 無所不在
ISA Server 2006、Threat Management Gateway 2010 及 Unified Access Gateway 2010 可支援 Outlook 無所不在的整合 Windows 驗證。然而,如果使用不處理整合 Windows 驗證的防火牆,則必須使用透過 SSL 的基本驗證。如需詳細資訊,請參閱設定 Outlook 無所不在的驗證。若想瞭解有關使用 NTLM 驗證所需的詳細設定步驟,請參閱<使用 Forefront TMG 或 Forefront UAG 發佈 Outlook 無所不在> (英文)。
回到頁首
使用 IPsec 發佈 Exchange
當發佈 Exchange 時,協助保護用戶端與伺服器之間連線的方法之一,即是使用電腦驗證的 IPsec。當您採用此作法後,電腦必須成功通過驗證,使用者才能提供任何資料或從伺服器上擷取任何資料。利用 IPsec 來保護連線,可以確保使用該服務的電腦 (不單是使用者) 已通過驗證。因此,IPsec 可用來滿足雙因素驗證的需求。若想瞭解如何設定此解決方案的詳細資訊,請參考<使用 IPsec 來安全存取 Exchange> (英文)。
回到頁首
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。