Dieser Artikel soll die notwendigen Informationen bereitstellen, um eine starke Authentifizierung für Postfächer einzurichten, die auf einem Microsoft Exchange Server gehostet werden.
Es ist wichtig zu wissen, dass viele Hersteller wie Duo oder Okta Identitätsmanagement-Lösungen anbieten, die die Einrichtung von MFA (Multifaktor-Authentifizierung) ermöglichen. Ihr Preismodell, das auf einem monatlichen Betrag pro Benutzer basiert, kann jedoch für einige Unternehmen unerschwinglich sein. Die im Folgenden vorgestellte Lösung bietet nicht die gleiche Vollständigkeit wie diese kommerziellen Lösungen, hat aber den Vorteil, dass sie völlig kostenlos ist.
Implementierungsschritte
Die vorgeschlagene Lösung basiert auf den folgenden 5 Schritten:- Einrichtung, falls erforderlich, eines Azure- Aboonnements und eines zugehörigen eines zugehörigen Entra ID/Azure-Tenants
- Installation von Microsoft Entra Connect , um Ihr Active Directory mit Ihrer neuen Cloud-Umgebung zu synchronisieren
- Einrichten der Hybridisierung des Exchange-Servers
- Einrichtung des HMA-Mechanismus, der die Delegation von Authentifizierungen an Azure ermöglicht
- Aktivierung der Security Defaults, die die Verwendung von MFA bei Ihren Mitarbeitern erzwingen
Schritt 1: Einrichten eines Entra/Azure-Tenant
Dieser Schritt kann optional sein, wenn Sie bereits über eine Azure-Umgebung verfügen, die Sie mit Ihren Benutzern verknüpfen können. Andernfalls richten Sie bitte ein Azure-Abonnement und einen zugeordneten Tenant ein, indem Sie dieser Anleitung folgen.
Schritt 2: Installation von Microsoft Entra Connect
Sie können diesen Schritt überspringen, wenn Sie bereits über einen Mechanismus verfügen, der Ihre Identitäten zwischen Ihrem lokalen Active Directory und Ihrem Azure AD synchronisiert. Andernfalls richten Sie Microsoft Entra Connect ein, indem Sie der offiziellen Microsoft Dokumentation folgen oder sich an unser Technikerteam wenden. Achten Sie darauf, dass Sie die Option „Password Hash Synchronization“ aktiviert lassen.
Sie können diesen Schritt überspringen, wenn Sie bereits über einen Mechanismus verfügen, der Ihre Identitäten innerhalb Ihres lokalen Active Directory und Ihres Azure AD synchronisiert.
Schritt 3: Einrichten der Hybridisierung
Führen Sie die Einrichtung der Hybridisierung des Exchange-Servers durch, indem Sie die in diesem Artikel beschriebenen Voraussetzungen und Schritte befolgen.
Schritt 4: Einrichten des HMA-Mechanismus
Dieser Artikel beschreibt das Verfahren zur Einrichtung der Hybrid Modern Authentication (HMA). Sobald Sie diesen Schritt durchgeführt haben, erfolgt die Authentifizierung der Mitarbeiter auf Ihrem Exchange-Server über Ihren Azure-Tenant, wie in diesem Schema dargestellt :
Schritt 5: Aktivieren von Security Defaults
Dieser Artikel beschreibt die Aktivierung von Security Defaults innerhalb eines Azure-Tenant. Obwohl diese Lösung völlig kostenlos ist, erfordert sie die Installation einer Anwendung, die die Erzeugung von Einmal-Token (TOTP) ermöglicht.
Diese App kann installiert werden:1. Auf den Smartphones der Mitarbeiter (Microsoft Authenticator, Google Authenticator usw.)
2. Auf den Arbeitsstationen der Mitarbeiter (WinAuth, Keepassxc etc.). Beim ersten Zugriff auf ihre Mailbox müssen sie ihr Passwort eingeben, dann das sechsstellige Token (das von ihrem Telefon oder Computer generiert wird) kopieren und in das Authentifizierungsmuster einfügen.
Beachten Sie, dass dieser zusätzliche Schritt nur bei der ersten Anmeldung von ihrem Thick-Client aus erforderlich ist. Sobald der Thick-Client angemeldet ist, sind alle nachfolgenden Zugriffe vollkommen transparent.