Dit artikel heeft tot doel de nodige informatie te verstrekken om een sterke authenticatie in te stellen voor mailboxen die worden gehost op een Microsoft Exchange-server. Het is belangrijk op te merken dat veel leveranciers, zoals Duo en Okta, identiteitsbeheeroplossingen aanbieden waarmee MFA (multifactor authenticatie) kan worden ingesteld. Hun prijsmodel, gebaseerd op een maandelijks bedrag per gebruiker, kan echter voor sommige bedrijven onbetaalbaar zijn. De hieronder voorgestelde oplossing biedt niet dezelfde veelzijdigheid als deze commerciële oplossingen, maar heeft als voordeel dat ze volledig gratis is.
Implementatiestappen
De voorgestelde oplossing bestaat uit de volgende 5 stappen:
- Indien nodig, aanmaken van een gratis Azure-abonnementen een bijbehorende Entra ID/Azure-tenant;
- Installatie van Microsoft Entra Connectom uw Active Directory te synchroniseren met uw nieuwe Cloud-omgeving;
- Implementatie van de hybridisatievan de Exchange-server;
- Implementatie van het HMA-mechanismewaarmee authenticaties kunnen worden gedelegeerd aan Azure;
- Activering van de Security Defaults, waardoor het gebruik van MFA voor uw medewerkers verplicht wordt.
Stap 1: opzetten van een Entra/Azure-tenant
Deze stap is optioneel indien u al over een Azure-omgeving beschikt die u aan uw gebruikers kunt koppelen. Indien dit niet het geval is, maak dan een Azure-abonnement aan met een bijbehorende tenant volgens deze documentatie.
Stap 2: installatie van Microsoft Entra Connect
U kunt deze stap overslaan als u al beschikt over een mechanisme dat uw identiteiten tussen uw lokale Active Directory en uw Azure AD synchroniseert. Als dat niet het geval is, installeer dan Microsoft Entra Connect volgens de officiële documentatie van Microsoft of neem contact op met ons team van ingenieurs. Zorg ervoor dat de optie ‘Password Hash Synchronization’ ingeschakeld blijft.
U kunt deze stap overslaan als u al beschikt over een mechanisme dat uw identiteiten synchroniseert binnen uw lokale Active Directory en uw Azure AD.
Stap 3: implementatie van de hybridisatie
Voer de hybridisatie van de Exchange-server uit volgens de vereisten en stappen die worden beschreven in dit artikel.
Stap 4: implementatie van het HMA-mechanisme
Dit artikel beschrijft de procedure voor het implementeren van Hybrid Modern Authentication (HMA). Zodra deze stap is voltooid, verloopt de authenticatie van medewerkers op uw Exchange-server via uw Azure-tenant, zoals weergegeven in dit schema:
Stap 5: activering van Security Defaults
Dit artikel beschrijft hoe u Security Defaults binnen een Azure-tenant kunt activeren. Hoewel deze oplossing volledig gratis is, moet u wel een applicatie installeren waarmee eenmalige wachtwoordcodes (TOTP) kunnen worden gegenereerd.
Deze applicatie kan worden geïnstalleerd:
- Op de smartphones van medewerkers (Microsoft Authenticator, Google Authenticator enz.);
- Op de werkstations van medewerkers (WinAuth, Keepassxc, enz.). Wanneer ze voor het eerst toegang krijgen tot hun mailbox, moeten ze hun wachtwoord invoeren en vervolgens de 6-cijferige code (gegenereerd op hun telefoon of computer) kopiëren en plakken in het authenticatievenster. Specifieke documentatie is beschikbaar in dit artikel.
Let op: deze extra stap is alleen nodig bij de eerste keer dat ze inloggen via hun lokaal geïnstalleerde e-mailclient (‘thick client’). Eenmaal ingelogd, verloopt alle verdere toegang volledig transparant.