Konfigurieren der Authentifizierung für Exchange ActiveSync

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-04-06

Als Authentifizierung bezeichnet man den Vorgang, durch den ein Client und ein Server vor der Übertragung von Daten gegenseitig ihre Identitäten überprüfen. In Microsoft Exchange Server 2007 wird mittels Authentifizierung bestimmt, ob ein Benutzer oder Client, der mit dem Exchange-Server kommunizieren möchte, tatsächlich derjenige ist, der er vorgibt zu sein. Sie können mithilfe der Authentifizierung überprüfen, ob ein Gerät zu einer bestimmten Person gehört oder ob eine bestimmte Person versucht, sich bei Microsoft Office Outlook Web Access anzumelden.

Wenn Sie Exchange 2007 und die Serverfunktion ClientAccess installieren, werden virtuelle Verzeichnisse für verschiedene Dienste konfiguriert. Dazu gehören Outlook Web Access, der Verfügbarkeitsdienst, Unified Messaging und Microsoft Exchange ActiveSync. Standardmäßig wird für jedes virtuelle Verzeichnis eine Authentifizierungsmethode konfiguriert. Für das virtuelle Verzeichnis von Exchange ActiveSync ist die Verwendung von Standardauthentifizierung und SSL (Secure Sockets Layer) konfiguriert. Sie können die Authentifizierungsmethode für den Exchange ActiveSync-Server ändern, indem Sie die Authentifizierungsmethode für das virtuelle Exchange ActiveSync-Verzeichnis ändern.

Dieses Thema enthält eine Übersicht über die für den Exchange ActiveSync-Server verfügbaren Authentifizierungsmethoden. Für Exchange ActiveSync ist der Client das physikalische Gerät, das zum Synchronisieren mit dem Exchange 2007-Server verwendet wird.

Auswählen einer Authentifizierungsmethode

Sie können zwischen drei Hauptauthentifizierungsmethoden für Exchange ActiveSync wählen: Standardauthentifizierung, zertifikatbasierte Authentifizierung und tokenbasierte Authentifizierung. Wenn die Serverfunktion ClientAccess auf einem Computer mit Exchange 2007 installiert, wird Exchange ActiveSync für die Verwendung von Standardauthentifizierung mit SSL (Secure Sockets Layer) konfiguriert. Bei der zertifikatbasierten Authentifizierung muss das mobile Gerät zum Einrichten der SSL-Verbindung über ein gültiges Clientzertifikat verfügen, das für die Benutzerauthentifizierung erstellt wurde. Außerdem muss sich auf dem mobilen Gerät eine Kopie des vertrauenswürdigen Stammzertifikats vom Server befinden. Wenn Sie die tokenbasierte Authentifizierung wählen, müssen Sie die Konfiguration in Abstimmung mit dem Tokenanbieter vornehmen.

Standardauthentifizierung

Die Standardauthentifizierung ist die einfachste Authentifizierungsmethode. Bei der Standardauthentifizierung fordert der Server, dass der Client einen Benutzernamen und ein Kennwort übermittelt. Dieser Benutzername und das Kennwort werden unverschlüsselt über das Internet an den Server gesendet. Der Server überprüft, ob der gesendete Benutzername und das Kennwort gültig sind, und gewährt Zugriff auf den Client. Standardmäßig ist für Exchange ActiveSync diese Art der Authentifizierung aktiviert. Sie sollten die Standardauthentifizierung jedoch deaktivieren, wenn Sie nicht gleichzeitig SSL (Secure Sockets Layer) bereitstellen. Bei der Standardauthentifizierung über SSL werden Benutzername und Kennwort zwar ebenfalls unverschlüsselt gesendet, der Kommunikationskanal ist jedoch verschlüsselt.

Zertifikatbasierte Authentifizierung

Bei der zertifikatbasierten Authentifizierung wird die Identität mittels eines digitalen Zertifikats überprüft. Die zertifikatbasierte Authentifizierung stellt neben dem Benutzernamen und dem Kennwort weitere Anmeldeinformationen bereit, die die Identität des Benutzers nachweisen, der auf die Postfachressourcen auf dem Exchange 2007-Server zuzugreifen versucht. Ein digitales Zertifikat besteht aus zwei Komponenten: dem auf dem Gerät gespeicherten privaten Schlüssel und dem auf dem Server installierten öffentlichen Schlüssel. Wenn Sie Exchange 2007 so konfigurieren, dass zertifikatbasierte Authentifizierung für Exchange ActiveSync angefordert wird, werden nur Geräte, die die folgenden Kriterien erfüllen, mit Exchange 2007 synchronisiert:

• Auf dem Gerät ist ein gültiges Clientzertifikat installiert, das für die Benutzerauthentifizierung erstellt wurde.

• Das Gerät verfügt über ein vertrauenswürdiges Stammzertifikat für den Server, über den die SSL-Verbindung hergestellt werden soll.

Die Bereitstellung zertifikatbasierter Authentifizierung verhindert die Synchronisierung von Benutzern, die lediglich über einen Benutzernamen und ein Kennwort verfügen, mit Exchange 2007. Als zusätzliche Sicherheitsebene kann das Clientzertifikat für die Authentifizierung nur installiert werden, wenn das Gerät an einen mit einer Domäne verbundenen Computer entweder über Desktop ActiveSync 4.5 oder eine höhere Version in Microsoft Windows XP oder Windows Mobile Device Center in Microsoft Windows Vista angeschlossen ist.

Tokenbasierte Authentifizierungssysteme

Ein tokenbasiertes Authentifizierungssystem ist ein Zwei-Faktor-Authentifizierungssystem. Zwei-Faktor-Authentifizierung basiert auf Informationen, die der Benutzer kennt, z. B. sein Kennwort, und einem externen Gerät, das der Benutzer mit sich führen kann, z. B. in Form einer Kreditkarte oder eines Schlüsselanhängers. Jedes Gerät verfügt über eine eindeutige Seriennummer. Neben Hardwaretoken sind bei einigen Anbietern softwarebasierte Token verfügbar, die auf mobilen Geräten ausgeführt werden können.

Token funktionieren, indem Sie eine eindeutige Nummer anzeigen, die normalerweise aus sechs Zeichen besteht und alle 60 Sekunden wechselt. Wird ein Token für einen Benutzer ausgegeben, wird dieser mit der Serversoftware synchronisiert. Zur Authentifizierung gibt der Benutzer seinen Benutzernamen, das Kennwort und die aktuell auf dem Token angezeigte Nummer ein. Einige tokenbasierte Authentifizierungssysteme erfordern zudem die Eingabe einer PIN durch den Benutzer.

Tokenbasierte Authentifizierung ist eine besonders sichere Art der Authentifizierung. Der Nachteil der tokenbasierten Authentifizierung besteht darin, dass Sie Authentifizierungsserversoftware installieren und die Authentifizierungssoftware auf jedem Benutzercomputer oder mobilen Gerät bereitstellen müssen. Außerdem besteht das Risiko, dass der Benutzer das externe Gerät verliert. Der Ersatz für ein verlorenes externes Gerät kann finanziell kostspielig sein. Das Gerät ist jedoch für Dritte ohne die Anmeldeinformationen des Originalbenutzers wertlos.

Es gibt verschiedene Firmen, die tokenbasierte Authentifizierungssysteme anbieten. Zum Beispiel die Firma RSA. Ihr Produkt, SecurID, wird in verschiedenen Ausführungen angeboten, z. B. als Schlüsselanhänger oder Kreditkarte. Das Token gibt einen einmaligen Authentifizierungscode aus. Jeder Authentifizierungscode ist 60 Sekunden lang gültig. Die meisten Geräte verfügen über eine Ablaufanzeige, z. B. eine Reihe von Punkten, die mit Verstreichen der Gültigkeitsdauer des Codes immer kürzer wird. Auf diese Weise wird verhindert, dass ein Benutzer einen Code eingibt, der vor Abschluss des Authentifizierungsvorgangs bereits abgelaufen ist. Nach der Authentifizierung muss der Benutzer sich nur dann mit einem neuen Code anmelden, wenn er sich selbst abgemeldet hat oder wenn das Gerät aufgrund von Inaktivität abgemeldet wurde. Weitere Informationen zum Konfigurieren eines tokenbasierten Authentifizierungssystems finden Sie in der Dokumentation des jeweiligen Systems.

Weitere Informationen

Weitere Informationen zum Konfigurieren der Authentifizierung für Exchange ActiveSync finden Sie unter den folgenden Themen:

• Konfigurieren der Standardauthentifizierung für Exchange ActiveSync

• Konfigurieren der zertifikatbasierten Authentifizierung für Exchange ActiveSync

• Installieren von Zertifikaten auf einem Gerät mit Windows Mobile

• Verwalten von Exchange ActiveSync-Sicherheit