Infrastruttura di messaggistica ibrida per la sicurezza avanzata : accesso mobile

Microsoft Entra ID
Microsoft 365
Office 365

L'articolo illustra come implementare l'autenticazione a più fattori per i client outlook per dispositivi mobili che accedono a Microsoft Exchange. Esistono due architetture che corrispondono a due diverse possibilità per Microsoft Exchange con la cassetta postale dell'utente:

Architettura (Exchange Online)

Diagramma che mostra un'architettura per la sicurezza avanzata in uno scenario di accesso per dispositivi mobili di Outlook. La cassetta postale dell'utente si trova in Exchange Online.

In questo scenario, gli utenti devono usare un client mobile che supporta l'autenticazione moderna. È consigliabile usare Outlook mobile (Outlook per iOS/Outlook per Android), supportato da Microsoft. Il flusso di lavoro seguente usa Outlook mobile.

Scaricare un file di Visio di tutti i diagrammi in questo articolo.

Flusso di lavoro (Exchange Online)

  1. L'utente avvia la configurazione del profilo di Outlook immettendo un indirizzo di posta elettronica. Outlook Mobile si connette al servizio Rilevamento automatico.
  2. Il servizio Rilevamento automatico effettua una richiesta anonima di Individuazione automatica V2 a Exchange Online per ottenere la cassetta postale. Exchange Online risponde con una risposta di reindirizzamento 302 che contiene l'indirizzo URL di ActiveSync per la cassetta postale, che punta a Exchange Online. È possibile visualizzare un esempio di questo tipo di richiesta qui.
  3. Ora che il servizio Rilevamento automatico contiene informazioni sull'endpoint del contenuto della cassetta postale, può chiamare ActiveSync senza autenticazione.
  4. Come descritto nel flusso di connessione, Exchange risponde con una risposta di richiesta 401. Include un URL di autorizzazione che identifica l'endpoint Microsoft Entra che il client deve usare per ottenere un token di accesso.
  5. Il servizio AutoDetect restituisce l'endpoint di autorizzazione di Microsoft Entra al client.
  6. Il client si connette all'ID Microsoft Entra per completare l'autenticazione e immettere le informazioni di accesso (posta elettronica).
  7. Se il dominio è federato, la richiesta viene reindirizzata al proxy applicazione Web.
  8. Proxy applicazione Web esegue il proxy della richiesta di autenticazione ad AD FS. L'utente visualizza una pagina di accesso.
  9. L'utente immette le credenziali per completare l'autenticazione.
  10. L'utente viene reindirizzato all'ID Microsoft Entra.
  11. Microsoft Entra ID applica criteri di accesso condizionale di Azure.
  12. I criteri possono applicare restrizioni in base allo stato del dispositivo dell'utente se il dispositivo è registrato in Microsoft Endpoint Manager, applicare i criteri di protezione delle applicazioni e/o applicare l'autenticazione a più fattori. È possibile trovare un esempio dettagliato di questo tipo di criteri nei passaggi di implementazione descritti qui.
  13. L'utente implementa i requisiti dei criteri e completa la richiesta di autenticazione a più fattori.
  14. Microsoft Entra ID restituisce i token di accesso e aggiornamento al client.
  15. Il client usa il token di accesso per connettersi a Exchange Online e recuperare il contenuto della cassetta postale.

Configurazione (Exchange Online)

Per bloccare i tentativi di accesso a Exchange Online ActiveSync tramite l'autenticazione legacy (la linea rossa tratteggiata nel diagramma), è necessario creare un criterio di autenticazione che disabilita l'autenticazione legacy per i protocolli usati dal servizio mobile di Outlook. In particolare, è necessario disabilitare l'individuazione automatica, ActiveSync e il servizio Outlook. Ecco la configurazione dei criteri di autenticazione corrispondente:

AllowBasicAuthAutodiscover : False

AllowBasicAuthActiveSync : False

AllowBasicAuthOutlookService : False

Dopo aver creato i criteri di autenticazione, è possibile assegnarlo a un gruppo pilota di utenti. Quindi, dopo il test, è possibile espandere i criteri per tutti gli utenti. Per applicare i criteri a livello di organizzazione, usare il Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> comando . Per questa configurazione è necessario usare PowerShell per Exchange Online.

Per i domini federati, è possibile configurare AD FS per attivare l'autenticazione a più fattori anziché usare criteri di accesso condizionale. È tuttavia consigliabile controllare la connessione e applicare restrizioni a livello di criteri di accesso condizionale.

Architettura (Exchange locale)

Diagramma che mostra un'architettura per la sicurezza avanzata in uno scenario di accesso per dispositivi mobili di Outlook. La cassetta postale dell'utente si trova in Exchange locale.

Scaricare un file di Visio di tutti i diagrammi in questo articolo.

In questo scenario, gli utenti devono usare un client mobile che supporta l'autenticazione moderna, come descritto in Uso dell'autenticazione moderna ibrida. È consigliabile usare Outlook mobile (Outlook per iOS/Outlook per Android), supportato da Microsoft. Il flusso di lavoro seguente usa Outlook mobile.

Flusso di lavoro (Exchange locale)

  1. L'utente avvia la configurazione del profilo di Outlook immettendo un indirizzo di posta elettronica. Outlook Mobile si connette al servizio Rilevamento automatico.
  2. Il servizio Rilevamento automatico effettua una richiesta anonima di Individuazione automatica V2 a Exchange Online per ottenere la cassetta postale.
  3. Dopo che la cassetta postale si trova in locale, Exchange Online risponde con una risposta di reindirizzamento 302 che contiene un URL di individuazione automatica locale utilizzabile da AutoDetect per recuperare l'indirizzo URL di ActiveSync per la cassetta postale.
  4. AutoDetect usa l'URL locale ricevuto nel passaggio precedente per effettuare una richiesta anonima di Individuazione automatica v2 a Exchange locale per ottenere la cassetta postale. Exchange locale restituisce un indirizzo URL ActiveSync per la cassetta postale, che punta a Exchange locale. È possibile visualizzare un esempio di questo tipo di richiesta qui.
  5. Ora che il servizio Rilevamento automatico contiene informazioni sull'endpoint del contenuto della cassetta postale, può chiamare l'endpoint ActiveSync locale senza autenticazione. Come descritto nel flusso di connessione, Exchange risponde con una risposta di richiesta 401. Include un URL di autorizzazione che identifica l'endpoint Microsoft Entra che il client deve usare per ottenere un token di accesso.
  6. Il servizio AutoDetect restituisce l'endpoint di autorizzazione di Microsoft Entra al client.
  7. Il client si connette all'ID Microsoft Entra per completare l'autenticazione e immettere le informazioni di accesso (posta elettronica).
  8. Se il dominio è federato, la richiesta viene reindirizzata al proxy applicazione Web.
  9. Proxy applicazione Web esegue il proxy della richiesta di autenticazione ad AD FS. L'utente visualizza una pagina di accesso.
  10. L'utente immette le credenziali per completare l'autenticazione.
  11. L'utente viene reindirizzato all'ID Microsoft Entra.
  12. Microsoft Entra ID applica criteri di accesso condizionale di Azure.
  13. I criteri possono applicare restrizioni in base allo stato del dispositivo dell'utente se il dispositivo è registrato in Microsoft Endpoint Manager, applicare i criteri di protezione delle applicazioni e/o applicare l'autenticazione a più fattori. È possibile trovare un esempio dettagliato di questo tipo di criteri nei passaggi di implementazione descritti qui.
  14. L'utente implementa i requisiti dei criteri e completa la richiesta di autenticazione a più fattori.
  15. Microsoft Entra ID restituisce i token di accesso e aggiornamento al client.
  16. Il client usa il token di accesso per connettersi a Exchange Online e recuperare il contenuto della cassetta postale locale. Il contenuto deve essere fornito dalla cache, come descritto qui. A tale scopo, il client invia una richiesta di provisioning che include il token di accesso dell'utente e l'endpoint ActiveSync locale.
  17. L'API di provisioning in Exchange Online accetta il token fornito come input. L'API ottiene una seconda coppia di token di accesso e aggiornamento per accedere alla cassetta postale locale tramite una chiamata on-behalf-of ad Active Directory. Questo secondo token di accesso ha come ambito il client come Exchange Online e un gruppo di destinatari dell'endpoint dello spazio dei nomi ActiveSync locale.
  18. Se non viene effettuato il provisioning della cassetta postale, l'API di provisioning crea una cassetta postale.
  19. L'API di provisioning stabilisce una connessione sicura all'endpoint ActiveSync locale. L'API sincronizza i dati di messaggistica dell'utente usando il secondo token di accesso come meccanismo di autenticazione. Il token di aggiornamento viene usato periodicamente per generare un nuovo token di accesso in modo che i dati possano essere sincronizzati in background senza l'intervento dell'utente.
  20. I dati vengono restituiti al client.

Configurazione (Exchange locale)

Per bloccare i tentativi di accesso a ActiveSync locale di Exchange tramite l'autenticazione legacy (le linee tratteggiate rosse nel diagramma), è necessario creare un criterio di autenticazione che disabilita l'autenticazione legacy per i protocolli usati dal servizio mobile di Outlook. In particolare, è necessario disabilitare l'individuazione automatica e ActiveSync. Ecco la configurazione dei criteri di autenticazione corrispondente:

BlockLegacyAuthAutodiscover: True

BlockLegacyAuthActiveSync: True

Ecco un esempio di comando per la creazione di questo criterio di autenticazione:

New-AuthenticationPolicy -Name BlockLegacyActiveSyncAuth -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover

Dopo aver creato i criteri di autenticazione, è prima possibile assegnarlo a un gruppo pilota di utenti usando il Set-User user01 -AuthenticationPolicy <name_of_policy> comando . Dopo il test, è possibile espandere i criteri per includere tutti gli utenti. Per applicare i criteri a livello di organizzazione, usare il Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> comando . Per questa configurazione è necessario usare PowerShell locale di Exchange.

È anche necessario eseguire le operazioni necessarie per ottenere coerenza e consentire l'accesso solo dal client Outlook. Per consentire Outlook mobile come unico client approvato nell'organizzazione, è necessario bloccare i tentativi di connessione da client che non sono client outlook per dispositivi mobili che supportano l'autenticazione moderna. È necessario bloccare questi tentativi a livello locale di Exchange completando questi passaggi:

  • Bloccare altri client di dispositivi mobili:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  • Consentire a Exchange Online di connettersi all'ambiente locale:

    If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
    
  • Bloccare l'autenticazione di base per Outlook per iOS e Android:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
    

Per altre informazioni su questi passaggi, vedere Uso dell'autenticazione moderna ibrida con Outlook per iOS e Android.

Per i domini federati, è possibile configurare AD FS per attivare l'autenticazione a più fattori anziché usare criteri di accesso condizionale. È tuttavia consigliabile controllare la connessione e applicare restrizioni a livello di criteri di accesso condizionale.

Componenti

  • Microsoft Entra ID. Microsoft Entra ID è un servizio di gestione delle identità e degli accessi basato sul cloud Microsoft. Fornisce l'autenticazione moderna essenzialmente basata su EvoSTS (un servizio token di sicurezza usato da Microsoft Entra ID). Viene usato come server di autenticazione per Exchange Server locale.
  • Autenticazione a più fattori Microsoft Entra. L'autenticazione a più fattori è un processo in cui gli utenti vengono richiesti durante il processo di accesso per un'altra forma di identificazione, ad esempio un codice sul cellulare o un'analisi delle impronte digitali.
  • Accesso condizionale Microsoft Entra. L'accesso condizionale è la funzionalità usata da Microsoft Entra ID per applicare criteri aziendali come l'autenticazione a più fattori.
  • AD FS. AD FS consente la gestione federata delle identità e degli accessi condividendo diritti di identità digitali e diritti attraverso i limiti di sicurezza e organizzazione con una maggiore sicurezza. In queste architetture viene usato per facilitare l'accesso per gli utenti con identità federata.
  • Proxy applicazione Web. Proxy applicazione Web preautentica l'accesso alle applicazioni Web tramite AD FS. Funziona anche come proxy AD FS.
  • Microsoft Intune. Intune è la gestione unificata degli endpoint basata sul cloud, la gestione degli endpoint nei sistemi operativi Windows, Android, Mac, iOS e Linux.
  • Exchange Server. Exchange Server ospita le cassette postali degli utenti in locale. In queste architetture usa i token rilasciati all'utente da Microsoft Entra ID per autorizzare l'accesso alle cassette postali.
  • Servizi Active Directory. Servizi Active Directory archivia informazioni sui membri di un dominio, inclusi i dispositivi e gli utenti. In queste architetture gli account utente appartengono ai servizi di Active Directory e vengono sincronizzati con Microsoft Entra ID.

Alternative

È possibile usare client mobili di terze parti che supportano l'autenticazione moderna come alternativa a Outlook mobile. Se si sceglie questa alternativa, il fornitore di terze parti è responsabile del supporto dei clienti.

Dettagli dello scenario

L'infrastruttura di messaggistica aziendale (EMI) è un servizio chiave per le organizzazioni. Il passaggio da metodi meno recenti e meno sicuri di autenticazione e autorizzazione all'autenticazione moderna è una sfida fondamentale in un mondo in cui il lavoro remoto è comune. L'implementazione dei requisiti di autenticazione a più fattori per l'accesso al servizio di messaggistica è uno dei modi più efficaci per soddisfare tale sfida.

Questo articolo descrive due architetture che consentono di migliorare la sicurezza in uno scenario di accesso per dispositivi mobili di Outlook tramite l'autenticazione a più fattori Di Microsoft Entra.

Questi scenari sono descritti in questo articolo:

  • Outlook Mobile Access quando la cassetta postale dell'utente si trova in Exchange Online
  • Outlook Mobile Access quando la cassetta postale dell'utente si trova in Exchange locale

Entrambe le architetture coprono Sia Outlook per iOS che Outlook per Android.

Per informazioni sull'applicazione dell'autenticazione a più fattori in altri scenari di messaggistica ibrida, vedere gli articoli seguenti:

Questo articolo non illustra altri protocolli, ad esempio IMAP o POP. In genere, questi scenari non usano questi protocolli.

Note generali

  • Queste architetture usano il modello di identità Microsoft Entra federato . Per la sincronizzazione dell'hash delle password e i modelli di autenticazione pass-through, la logica e il flusso sono gli stessi. L'unica differenza è correlata al fatto che Microsoft Entra ID non reindirizzerà la richiesta di autenticazione a Active Directory locale Federation Services (AD FS).
  • Nei diagrammi le linee tratteggiate nere mostrano le interazioni di base tra i componenti locali di Active Directory, Microsoft Entra Connect, Microsoft Entra ID, AD FS e Web Application Proxy. È possibile ottenere informazioni su queste interazioni in Porte e protocolli necessari per l'identità ibrida.
  • In exchange locale si intende Exchange 2019 con gli aggiornamenti più recenti e un ruolo Cassetta postale.
  • In un ambiente reale, non si avrà un solo server. Si avrà una matrice con carico bilanciato di server Exchange per la disponibilità elevata. Gli scenari descritti di seguito sono adatti a tale configurazione.

Potenziali casi d'uso

Questa architettura è rilevante per gli scenari seguenti:

  • Migliorare la sicurezza EMI.
  • Adottare una strategia di sicurezza Zero Trust .
  • Applicare il livello elevato di protezione standard per il servizio di messaggistica locale durante la transizione o la coesistenza con Exchange Online.
  • Applicare rigorosi requisiti di sicurezza o conformità nelle organizzazioni chiuse o altamente protette, ad esempio quelle del settore finanziario.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni che l'utente ha preso con i clienti. Per altre informazioni, vedere Panoramica del pilastro dell'affidabilità.

Disponibilità

La disponibilità complessiva dipende dalla disponibilità dei componenti coinvolti. Per informazioni sulla disponibilità, vedere queste risorse:

La disponibilità dei componenti della soluzione locale dipende dalla progettazione implementata, dalla disponibilità hardware e dalle operazioni interne e dalle routine di manutenzione. Per informazioni sulla disponibilità su alcuni di questi componenti, vedere le risorse seguenti:

Per usare l'autenticazione moderna ibrida, è necessario assicurarsi che tutti i client della rete possano accedere all'ID Microsoft Entra. È anche necessario mantenere costantemente le porte del firewall di Office 365 e le aperture dell'intervallo IP.

Per i requisiti di protocollo e porte per Exchange Server, vedere "Requisiti del protocollo e del client di Exchange" in Panoramica dell'autenticazione moderna ibrida per l'uso con i server Skype for Business ed Exchange locali.

Per gli intervalli e le porte IP di Office 365, vedere URL e intervalli di indirizzi IP di Office 365.

Per informazioni sull'autenticazione moderna ibrida e sui dispositivi mobili, vedere Endpoint autoDetect in Altri endpoint non inclusi nel servizio Web url e indirizzo IP di Office 365.

Resilienza

Per informazioni sulla resilienza dei componenti in questa architettura, vedere le risorse seguenti.

Sicurezza

Per indicazioni generali sulla sicurezza nei dispositivi mobili, vedere Proteggere i dati e i dispositivi con Microsoft Intune.

Per informazioni sulla sicurezza e sull'autenticazione moderna ibrida, vedere Deep Dive: How Hybrid Authentication Really Works(Approfondimento: Funzionamento dell'autenticazione ibrida).

Per le organizzazioni chiuse con protezione perimetrale avanzata tradizionale, esistono problemi di sicurezza correlati alle configurazioni classiche di Exchange ibride. La configurazione di Exchange Hybrid Modern non supporta l'autenticazione moderna ibrida.

Per informazioni sull'ID Microsoft Entra, vedere La guida alle operazioni di sicurezza di Microsoft Entra.

Per informazioni sugli scenari che usano la sicurezza di AD FS, vedere gli articoli seguenti:

Ottimizzazione dei costi

Il costo dell'implementazione dipende dai costi di licenza di Microsoft Entra ID e Microsoft 365. Il costo totale include anche i costi per il software e l'hardware per i componenti locali, le operazioni IT, la formazione e l'istruzione e l'implementazione del progetto.

Queste soluzioni richiedono almeno Microsoft Entra ID P1. Per informazioni dettagliate sui prezzi, vedere Prezzi di Microsoft Entra.

Per informazioni su AD FS e Proxy applicazione Web, vedere Prezzi e licenze per Windows Server 2022.

Per altre informazioni sui prezzi, vedere queste risorse:

Efficienza prestazionale

Le prestazioni dipendono dalle prestazioni dei componenti coinvolti e dalle prestazioni di rete dell'azienda. Per altre informazioni, vedere Ottimizzazione delle prestazioni di Office 365 usando le linee di base e la cronologia delle prestazioni.

Per informazioni sui fattori locali che influiscono sulle prestazioni per scenari che includono servizi AD FS, vedere queste risorse:

Scalabilità

Per informazioni sulla scalabilità di AD FS, vedere Pianificazione della capacità del server AD FS.

Per informazioni sulla scalabilità locale di Exchange Server, vedere Architettura preferita di Exchange 2019.

Distribuire lo scenario

Per implementare questa infrastruttura, è necessario completare i passaggi descritti nelle linee guida incluse negli articoli seguenti. Ecco i passaggi principali:

  1. Proteggere l'accesso per dispositivi mobili di Outlook come descritto in questi passaggi di implementazione per l'autenticazione moderna.
  2. Blocca tutti gli altri tentativi di autenticazione legacy a livello di ID Microsoft Entra.
  3. Bloccare i tentativi di autenticazione legacy a livello di servizi di messaggistica usando i criteri di autenticazione.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autori principali:

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi