Configurer l’authentification par carte à puce pour Outlook Anywhere dans Exchange 2013

 

Sapplique à :Exchange Server 2013

Dernière rubrique modifiée :2016-04-26

L’association de cartes à puce d’utilisateur et de codes confidentiels (PIN) fournit une méthode d’authentification à deux facteurs fiable et rentable. Lorsque l’authentification à deux facteurs est configurée, les utilisateurs doivent disposer d’une carte à puce physique et du code PIN correspondant pour accéder aux ressources réseau. Cette combinaison carte à puce/code PIN réduit les risques d’accès non autorisé aux ressources réseau d’une organisation.

Pour que vous puissiez utiliser l’authentification par carte à puce avec Outlook Anywhere, votre environnement doit disposer des configurations de client et de serveur suivantes.

  • Un ordinateur client joint à un domaine fonctionnant sous Windows 8 et doté de Microsoft Office 2010 ou 2013, ainsi que de toutes les mises à jour publiques disponibles.

  • Exchange 2013 SP1 ou version ultérieure.

  • Une infrastructure à clé publique correctement installée et configurée pour l’émission de certificats de carte à puce. Cette infrastructure à clé publique doit être liée à Active Directory et capable d’émettre des certificats pour permettre des connexions par carte à puce.

  • Le point de terminaison SSL doit se trouver sur le serveur d’accès au client. L’utilisation d’un périphérique réseau afin d’effectuer une pré-authentification des sessions SSL devant Microsoft Exchange n’est pas prise en charge.

  • Toutes les connexions Outlook clientes doivent utiliser Outlook Anywhere. Si vous activez l’authentification par carte à puce pour Outlook Anywhere, d’autres connexions, comme les connexions à Outlook via MAPI-HTTP, ne fonctionneront plus.

  • Une carte à puce physique ou une carte à puce virtuelle intégrée à un processeur de module de plateforme sécurisée (TPM) par utilisateur. Chaque carte doit contenir le certificat de l’utilisateur. Vous ne pouvez pas utiliser les certificats logiciels stockés dans le Registre de l’ordinateur local avec cette fonctionnalité.

Pour activer l’authentification par carte à puce, suivez la procédure suivante pour chaque serveur d’accès au client de votre organisation.

  1. Installez des certificats avec tous les noms nécessaires. Assurez-vous que l’émetteur des certificats est approuvé par les clients et les serveurs.

  2. Dans Outlook Anywhere, configurez un accès interne et externe (vous pouvez utiliser les mêmes espaces de noms pour les deux), puis vérifiez que la méthode d’authentification client sélectionnée est NTLM. Vérifiez que la connexion Outlook Anywhere fonctionne avec ces paramètres (pour plus d’informations, voir Testing Outlook Anywhere connectivity).

  3. Assurez-vous que le paramètre ExternalURL des répertoires virtuels du carnet d’adresses en mode hors connexion et des services web Exchange utilise le protocole HTTPS.

  4. Exécutez le script PowerShell suivant pour configurer les répertoires virtuels.

    <Exchange install drive>:\Program Files\Microsoft\Exchange Server\V14\Scripts\Enable-OutlookCertificateAuthentication.ps1
    
  5. Modifiez le serveur IIS à l’aide de l’utilitaire de ligne de commande Netsh.

    1. Dans une ligne de commande ou une invite PowerShell, saisissez netsh.

    2. Dans l’invite de commande netsh, saisissez http et appuyez sur ENTRÉE.

    3. Dans l’invite netsh http, saisissez show ssl et recherchez la liaison de site web par défaut, dont la valeur IP:port est de 0.0.0.0:443.

    4. Notez les valeurs Certificate Hash (Hachage du certificat) et Application ID (ID de l’application).

      Exemple :

      IP:port			: 0.0.0.0:443
      Certificate Hash		: f4d5419255e87004b2ec8bacd33a38e1cfebdaea
      Application ID		: {4dc3e181-e14b-4a21-b022-59fc669b0914}
      
    5. Supprimez la liaison de certificat de site par défaut en exécutant la commande suivante :

      delete sslcert ipport=0.0.0.0:443
      
    6. Recréez ensuite la liaison en utilisant le hachage et l’ID d’application notés à l’étape précédente, ainsi que les paramètres suivants :

      Add sslcert ipport=0.0.0.0:443 certhash=f4d5419255e87004b2ec8bacd33a38e1cfebdaea appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY verifyclientcertrevocation=Enable verifyrevocationwithcachedclientcertonly=Disable UsageCheck=Enable clientcertnegotiation=Enable DSMapperUsage=Enable
      
  6. Redémarrez le serveur.

  7. Dans le gestionnaire des services IIS, augmentez la valeur uploadReadAheadSize.

    1. Dans le gestionnaire des services IIS, développez le nœud de votre serveur Exchange, développez Sites, puis sélectionnez Site web par défaut.

    2. Dans l’onglet Affichage des fonctionnalités, sélectionnez Éditeur de configuration.

    3. Sous Actions, sélectionnez Ouvrir la fonctionnalité.

    4. Dans le menu déroulant Section, cliquez pour développer system.webServer, puis sélectionnez serverRuntime.

    5. Modifiez la valeur du paramètre uploadReadAheadSize en 10485760.

  8. Sur chaque ordinateur client, modifiez le Registre et accédez à HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC.

    RemarqueRemarque :
    Si vos clients utilisent Outlook 2010, indiquez 14.0 au lieu de 15.0.

    Ajoutez une nouvelle valeur DWORD nommée EnableSmartcard et définissez-la sur 00000001.

Lorsque vous avez terminé, tous les nouveaux profils demandent normalement un certificat pour la connexion à la découverte automatique, puis pour la connexion à Exchange Server. Tous les profils qui existaient avant l’activation de cette configuration doivent être réparés, ce qui peut nécessiter plusieurs redémarrages d’Outlook afin que ces réparations prennent effet.

Une fois la configuration appliquée et la connexion à Outlook établie, la boîte de dialogue de statut de la connexion à Outlook indique le mode d’authentification utilisé comme Cert, comme dans l’exemple suivant :

Capture d’écran de la boîte de dialogue État de la connexion Outlook

Lorsque l’authentification par carte à puce est activée, les connexions au client Outlook pour les services d’annuaire et de messagerie pointent vers le répertoire virtuel /RPCWithCert du serveur d’accès au client, et non vers le répertoire virtuel /RPC. Vous devez donc veiller à ce que les chemins d’accès prennent en compte cette modification.

Si vous avez précédemment activé l’authentification par carte à puce pour votre déploiement Exchange Server 2010 et que vous souhaitez effectuer la migration vers Exchange Server 2013, vous devez vous assurer que tous les serveurs Exchange 2010 exécutent le Service Pack 3 CU 11 ou version ultérieure.

En outre, sur tous les serveurs Exchange Server 2010 Client Access, vous devez modifier l’entrée suivante dans le fichier Web.config situé dans le dossier du répertoire virtuel AutoDiscovery :

  • <add key="SmartCardAuthenticationEnabled" value="false"/>

La valeur par défaut est « False ». Modifiez cette valeur en « True ».

Une fois que vous avez effectué cette modification, vous devez vous assurer que tous les clients de votre organisation sont configurés pour utiliser Exchange 2013 pour la découverte automatique, en mettant à jour de DNS ou votre service d’équilibrage de charge.

Avec ces modifications, un utilisateur disposant d’une boîte aux lettres Exchange 2010 reçoit toujours les paramètres appropriés de la part de la découverte automatique) et peut s’authentifier. Sans ces modifications, une fois que le point de terminaison de découverte automatique est déplacé, l’utilisateur avec une boîte aux lettres Exchange 2010 reçoit les paramètres par défaut pour le point de terminaison Outlook Anywhere (le cas échant, NTLM) et ne peut pas s’authentifier.

 
Afficher: