Konfigurieren der Authentifizierung für Exchange ActiveSync

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-12-01

Als Authentifizierung bezeichnet man den Vorgang, durch den ein Client und ein Server vor der Übertragung von Daten gegenseitig ihre Identitäten überprüfen. In Microsoft Exchange Server 2010 wird mittels Authentifizierung bestimmt, ob ein Benutzer oder Client, der mit dem Exchange-Server kommunizieren möchte, tatsächlich derjenige ist, der er vorgibt zu sein. Sie können mithilfe der Authentifizierung überprüfen, ob ein Gerät zu einer bestimmten Person gehört oder ob eine bestimmte Person versucht, sich bei Microsoft Office Outlook-Webanwendung anzumelden.

Wenn Sie Exchange 2010 und die Clientzugriffs-Serverrolle installieren, werden virtuelle Verzeichnisse für verschiedene Dienste konfiguriert. Dazu gehören Outlook-Webanwendung, der Verfügbarkeitsdienst, Unified Messaging und Microsoft Exchange ActiveSync. Standardmäßig wird für jedes virtuelle Verzeichnis eine Authentifizierungsmethode konfiguriert. Für das virtuelle Verzeichnis von Exchange ActiveSync ist die Verwendung von Standardauthentifizierung und SSL (Secure Sockets Layer) konfiguriert. Sie können die Authentifizierungsmethode für den Exchange ActiveSync-Server ändern, indem Sie die Authentifizierungsmethode für das virtuelle Exchange ActiveSync-Verzeichnis ändern.

In diesem Thema werden die verfügbaren Authentifizierungsmethoden für den Exchange ActiveSync-Server zusammengefasst. Für Exchange ActiveSync ist der Client das physikalische Gerät, das zum Synchronisieren mit dem Exchange 2010-Server verwendet wird.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Exchange ActiveSync gibt? Informationen hierzu finden Sie unter Verwalten von Exchange ActiveSync.

Inhalt

Auswählen einer Authentifizierungsmethode

Standardauthentifizierung

Zertifikatbasierte Authentifizierung

Tokenbasierte Authentifizierungssysteme

Auswählen einer Authentifizierungsmethode

Sie können zwischen drei Hauptauthentifizierungsmethoden für Exchange ActiveSync wählen: Standardauthentifizierung, zertifikatbasierte Authentifizierung und tokenbasierte Authentifizierung. Wenn die Clientzugriffs-Serverrolle auf einem Computer mit Exchange 2010 installiert ist, wird Exchange ActiveSync für die Verwendung von Standardauthentifizierung mit SSL konfiguriert. Bei der zertifikatbasierten Authentifizierung muss das mobile Gerät zum Einrichten der SSL-Verbindung über ein gültiges Clientzertifikat verfügen, das für die Benutzerauthentifizierung erstellt wurde. Außerdem muss sich auf dem mobilen Gerät eine Kopie des vertrauenswürdigen Stammzertifikats vom Server befinden. Wenn Sie die tokenbasierte Authentifizierung wählen, müssen Sie die Konfiguration in Abstimmung mit dem Tokenanbieter vornehmen.

Standardauthentifizierung

Die Standardauthentifizierung ist die einfachste Authentifizierungsmethode. Bei der Standardauthentifizierung fordert der Server, dass der Client einen Benutzernamen und ein Kennwort übermittelt. Dieser Benutzername und das Kennwort werden unverschlüsselt über das Internet an den Server gesendet. Der Server überprüft, ob der gesendete Benutzername und das Kennwort gültig sind, und gewährt Zugriff auf den Client. Standardmäßig ist für Exchange ActiveSync diese Art der Authentifizierung aktiviert. Sie sollten die Standardauthentifizierung jedoch deaktivieren, wenn Sie nicht gleichzeitig SSL bereitstellen. Bei der Standardauthentifizierung über SSL werden Benutzername und Kennwort zwar ebenfalls unverschlüsselt gesendet, der Kommunikationskanal ist jedoch verschlüsselt.

Zertifikatbasierte Authentifizierung

Bei der zertifikatbasierten Authentifizierung wird die Identität mittels eines digitalen Zertifikats überprüft. Andere Anmeldeinformationen außer dem Benutzernamen und Kennwort werden bereitgestellt. Mit ihnen wird die Identität des Benutzers nachgewiesen, der auf die auf dem Exchange 2010-Server gespeicherten Postfachressourcen zugreift. Ein digitales Zertifikat besteht aus zwei Komponenten: dem privaten Schlüssel, der auf dem Gerät gespeichert ist, und dem öffentlichen Schlüssel, der auf dem Server installiert ist. Wenn Sie Exchange 2010 so konfigurieren, dass zertifikatbasierte Authentifizierung für Exchange ActiveSync angefordert wird, werden nur Geräte, die die folgenden Kriterien erfüllen, mit Exchange 2010 synchronisiert:

  • Auf dem Gerät ist ein gültiges Clientzertifikat installiert, das für die Benutzerauthentifizierung erstellt wurde.
  • Das Gerät verfügt über ein vertrauenswürdiges Stammzertifikat für den Server, mit dem die SSL-Verbindung für den Benutzer hergestellt werden soll.

Die Bereitstellung zertifikatbasierter Authentifizierung verhindert die Synchronisierung von Benutzern, die lediglich über einen Benutzernamen und ein Kennwort verfügen, mit Exchange 2010. Als weitere Sicherheitsmaßnahme kann das Clientzertifikat für die Authentifizierung nur installiert werden, wenn das Gerät mit einem Computer, der einer Domäne angehört, über Desktop ActiveSync 4.5 oder eine höhere Version in Windows XP oder Windows Mobile Device Center in Windows Vista oder Windows 7 verbunden ist.

Tokenbasierte Authentifizierungssysteme

Ein tokenbasiertes Authentifizierungssystem ist ein Zwei-Faktor-Authentifizierungssystem. Zwei-Faktor-Authentifizierung basiert auf Informationen, die der Benutzer kennt, z. B. sein Kennwort, und einem externen Gerät, das der Benutzer mit sich führen kann, z. B. in Form einer Kreditkarte oder eines Schlüsselanhängers. Jedes Gerät verfügt über eine eindeutige Seriennummer. Neben Hardwaretoken sind bei einigen Anbietern softwarebasierte Token verfügbar, die auf mobilen Geräten ausgeführt werden können.

Token funktionieren, indem Sie eine eindeutige Nummer anzeigen, die normalerweise aus sechs Zeichen besteht und alle 60 Sekunden wechselt. Wird ein Token für einen Benutzer ausgegeben, wird dieser mit der Serversoftware synchronisiert. Zur Authentifizierung gibt der Benutzer seinen Benutzernamen, das Kennwort und die aktuell auf dem Token angezeigte Nummer ein. Einige tokenbasierte Authentifizierungssysteme erfordern zudem die Eingabe einer PIN durch den Benutzer.

Tokenbasierte Authentifizierung ist eine besonders sichere Art der Authentifizierung. Der Nachteil der tokenbasierten Authentifizierung besteht darin, dass Sie Authentifizierungsserversoftware installieren und die Authentifizierungssoftware auf jedem Benutzercomputer oder mobilen Gerät bereitstellen müssen. Außerdem besteht das Risiko, dass der Benutzer das externe Gerät verliert. Der Ersatz für ein verlorenes externes Gerät kann finanziell kostspielig sein. Das Gerät ist jedoch für Dritte ohne die Anmeldeinformationen des Originalbenutzers wertlos.

Verschiedene Firmen stellen tokenbasierte Authentifizierungssysteme bereit. Zum Beispiel die Firma RSA. Ihr Produkt, SecurID, wird in verschiedenen Ausführungen angeboten, z. B. als Schlüsselanhänger oder Kreditkarte. Das Token gibt einen einmaligen Authentifizierungscode aus. Jeder Authentifizierungscode ist 60 Sekunden lang gültig. Die meisten Geräte verfügen über eine Ablaufanzeige, z. B. eine Reihe von Punkten, die mit Verstreichen der Gültigkeitsdauer des Codes immer kürzer wird. Auf diese Weise wird verhindert, dass ein Benutzer einen Code eingibt, der vor Abschluss des Authentifizierungsvorgangs bereits abgelaufen ist. Nach der Authentifizierung muss der Benutzer sich nur dann mit einem neuen Code anmelden, wenn der Benutzer sich selbst abgemeldet hat oder wenn das Gerät aufgrund von Inaktivität abgemeldet wurde. Weitere Informationen zum Konfigurieren eines tokenbasierten Authentifizierungssystems finden Sie in der Dokumentation des jeweiligen Systems.