Категории статей: Identity Essentials > Инструкции

Как настроить двухфакторную аутентификацию при работе с устройствами ActiveSync и Microsoft Exchange

Для того, чтобы защитить ваш почтовый сервер на базе Microsoft Exchange от несанкционированного доступа с мобильных устройств по протоколу ActiveSync, вам потребуется:

  1. Установленный на вашем сервере Microsoft Exchange 2010, 2013,2016, 2019 или Exchange Online (работающий в виде облачного решения)
  2. Установленный продукт Identity Essentials (SMS PASSCODE) на том же сервере или на нескольких серверах с целью резервирования

Настройка Microsoft Exchange

Защита ActiveSync с помощью Identity Essentials использует механизм карантина Microsoft Exchange. По умолчанию данный механизм отключен, и любое устройство может подключаться к почтовому ящику пользователя при наличии корректных имени пользователя и пароля. Для того, чтобы защитить Microsoft Exchange от несанкционированного использования необходимо включить функцию карантина. После этого полноценное использование почтового ящика с устройства будет возможным только после подтверждения такой возможности администратором. При внедрении Identity Essentials у пользователей появляется возможность самостоятельного безопасного подтверждения собственного устройства.

Для включения карантина для мобильных устройств войдите в центр администрирования Exchange. После этого:

  1. Откройте раздел "Мобильные устройства"

    Настройка политики доступа к Microsoft Exchange с мобильных устройств

  2. Нажмите на кнопку "Изменить" для редактирования политики:
    Включение карантина для мобильных устройств
  3. Выберите переключатель для карантина, а также введите адрес электронной почты администратора, куда следует отправлять сообщения о новых устройствах.
  4. Обратите внимание на поле для ввода текста сообщения пользователям. Этот текст вам потребуется отредактировать на следующем этапе настройки.

Установка Identity Essentials

Для защиты ActiveSync вы можете установить компонент интеграции с Microsoft Exchange как на тот же сервер, где установлен Exchange, так и на удаленном сервере. Если вы используете Exchange Online (Office 365), то место установки не имеет принципиального значения.

При установке продукта требуется выбрать ActiveSync, чтобы установить данный компонент интеграции. Вы также можете выбрать и другие доступные интеграции при необходимости.

Выбор режима интеграции с ActiveSync при установке Identity Essentials

Все остальные параметры при установке продукта можно выбирать из общих соображений, так как они не связаны непосредственно с ActiveSync.

Настройка Identity Essentials после установки

После установки продукта необходимо настроить интеграцию с Microsoft Exchange. Для этого:

  1. Откройте Identity Essentials Configuration Tool из меню Windows.
  2. Откройте вкладку Secure Device Provisioning.
  3. Выберите один из типов интеграции: с локальным сервером Exchange, установленным на тот же сервер, где работает Identity Essentials; с удаленным сервером Exchange, установленным на один из серверов в вашей сети; с облачным сервисом Exchange Online (Office 365).
  4. При выборе удаленного или облачного сервера введите его имя (для собственного сервера) и данные учетной записи администратора, имеющего полномочия для изменения состояния устройств пользователей. В случае с Exchange Online ввод имени сервера не требуется.

Выбор сервера Microsoft Exchange для интеграции

Веб-сайт самообслуживания, где пользователи могут самостоятельно разрешить использование собственного мобильного устройства, является сайтом в Internet Information Server. Для его использования необходимо создать привязку (Binding) по протоколу HTTPS и указать действующий сертификат SSL. Обратите внимание, что сайт самообслуживания не будет работать по протоколу HTTP, поэтому данный шаг является обязательным. В то же время на время тестирования можно использовать самоподписанный сертификат, создаваемый в Internet Information Server.

Настройка сайта самообслуживания в IIS (Internet information server)

После настройки сайта вы можете указать ссылку на него в шаблоне письма, отправляемого пользователям устройств, добавленных в карантин (где это можно сделать, указано в разделе настройки Exchange Server на этой странице). Вы можете, например, добавить туда следующий текст:

Уважаемый пользователь!

Устройство, с которого вы подключились к корпоративному почтовому серверу, не было предварительно одобрено и поэтому было добавлено в карантин. Для того, чтобы начать работу с вашим почтовым ящиком с данного мобильного устройства вам необходимо его подтвердить самостоятельно на специальном веб-сайте по адресу https://<адрес вашего сервера>

Для разблокировки вам потребуется ввести ваше имя пользователя и пароль, а также одноразовый код, который придет на ваш телефон.

Как происходит работа с продуктом

Если вы уже создали пользователя в Identity Essentials или настроили интеграцию с Active Directory, а также метод отправки одноразовых паролей, то вы можете проверить функцию подтверждения ActiveSync устройств.

На телефоне, который привязан к пользователю Active Directory (и его почтовому ящику Exchange), настройте учетную запись Exchange для подключения к почтовому серверу. Процедура настройки зависит от операционной системы мобильного устройства и его версии. 

После того, как вы успешно настроили учетную запись на устройстве, попробуйте подключиться к серверу. Вы должны получить специальное сообщение о том, что мобильное устройство было добавлено в карантин. 

Если вы настроили шаблон сообщения примерно так, как указано выше, в письме будет ссылка на веб-сайт самообслуживания. Откройте этот сайт, после чего введите учетные данные пользователя:

Страница входа в сайт управления устройствами ActiveSync

После ввода корректных имени пользователя и пароля на мобильный телефон, привязанный к учетной записи, будет отправлено SMS с одноразовым кодом. Этот код нужно ввести на следующем этапе:

Страница ввода одноразового кода при входе на сайт управления устройствами ActiveSync

После ввода правильного одноразового кода пользователь получает возможность подтвердить или наоборот заблокировать свое устройство, а также вывести информацию о нем.

Страница управления устройством ActiveSync