Configurer l’authentification par carte à puce pour Outlook Anywhere dans Exchange 2013
**Sapplique à :**Exchange Server 2013
**Dernière rubrique modifiée :**2018-02-06
L’association de cartes à puce d’utilisateur et de codes confidentiels (PIN) fournit une méthode d’authentification à deux facteurs fiable et rentable. Lorsque l’authentification à deux facteurs est configurée, les utilisateurs doivent disposer d’une carte à puce physique et du code PIN correspondant pour accéder aux ressources réseau. Cette combinaison carte à puce/code PIN réduit les risques d’accès non autorisé aux ressources réseau d’une organisation.
Configuration requise pour l’authentification par carte à puce avec Outlook Anywhere
Pour que vous puissiez utiliser l’authentification par carte à puce avec Outlook Anywhere, votre environnement doit disposer des configurations de client et de serveur suivantes.
Un domaine joint ordinateur client exécutant Windows 8, plusMicrosoft 2013 d’Office ou de Microsoft Office 2010 avec les mises à jour disponibles publiquement.
Exchange Server 2013 SP1 ou une version ultérieure.
Une infrastructure à clé publique correctement installé et configuré pour émettre des certificats de carte à puce. L’infrastructure à clé publique doit être lié à Active Directory et capable de délivrer des certificats aux fins de l’ouverture de session de carte à puce.
Le point de terminaison SSL doit se trouver sur le serveur d’accès au client. L’utilisation d’un périphérique réseau afin d’effectuer une pré-authentification des sessions SSL devant Microsoft Exchange n’est pas prise en charge.
Toutes les connexions Outlook clientes doivent utiliser Outlook Anywhere. Si vous activez l’authentification par carte à puce pour Outlook Anywhere, d’autres connexions, comme les connexions à Outlook via MAPI-HTTP, ne fonctionneront plus.
Une carte à puce physique ou une carte à puce virtuelle intégrée à un processeur de module de plateforme sécurisée (TPM) par utilisateur. Chaque carte doit contenir le certificat de l’utilisateur. Vous ne pouvez pas utiliser les certificats logiciels stockés dans le Registre de l’ordinateur local avec cette fonctionnalité.
Activation de l’authentification par carte à puce
Pour activer l’authentification de carte à puce, procédez comme suit sur chaque serveur d’accès Client de votre organisation.
Installer des certificats avec tous les noms pertinents. Assurez-vous que l’émetteur des certificats est approuvé par les clients et les serveurs.
Dans Outlook Anywhere, configurez un accès interne et externe (vous pouvez utiliser les mêmes espaces de noms pour les deux), puis vérifiez que la méthode d’authentification client sélectionnée est NTLM. Vérifiez que la connexion Outlook Anywhere fonctionne avec ces paramètres (pour plus d’informations, voir Testing Outlook Anywhere connectivity).
Assurez-vous que l' ExternalURL pour les répertoires virtuels du carnet d’adresses en mode hors connexion et les Services Web Exchange sont configurés pour utiliser le protocole HTTPS.
Exécutez le script PowerShell suivant pour configurer les répertoires virtuels.
<Exchange install drive>:\Program Files\Microsoft\Exchange Server\V14\Scripts\Enable-OutlookCertificateAuthentication.ps1Modifier IIS à l’aide de l’utilitaire de ligne de commande Netsh .
À une invite de commande ou l’invite de PowerShell, tapez netsh.
À l’invite netsh , tapez httpet puis appuyez sur ENTRÉE.
À l’invite netsh http , entrez Afficher sslet recherchez la liaison de site Web par défaut. Cela est indiqué par la valeur IP : port de 0.0.0.0 : 443.
Notez les valeurs de Hachage de certificat et l’ID de l’Application .
Exemple :
IP:port : 0.0.0.0:443 Certificate Hash : f4d5419255e87004b2ec8bacd33a38e1cfebdaea Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914}Supprimez la liaison de certificat de site par défaut en exécutant la commande suivante :
delete sslcert ipport=0.0.0.0:443Recréer la liaison en utilisant le hachage et l’ID de l’application indiqué précédemment et inclure tous les paramètres suivants :
Add sslcert ipport=0.0.0.0:443 certhash=f4d5419255e87004b2ec8bacd33a38e1cfebdaea appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY verifyclientcertrevocation=Enable verifyrevocationwithcachedclientcertonly=Disable UsageCheck=Enable clientcertnegotiation=Enable DSMapperUsage=Enable
Redémarrez le serveur.
Dans le gestionnaire des services IIS, augmentez la valeur uploadReadAheadSize.
Dans le gestionnaire des services IIS, développez le nœud de votre serveur Exchange, développez Sites, puis sélectionnez Site web par défaut.
Dans l’onglet Affichage des fonctionnalités, sélectionnez Éditeur de configuration.
Sous Actions, sélectionnez Ouvrir la fonctionnalité.
Dans le menu déroulant Section, cliquez pour développer system.webServer, puis sélectionnez serverRuntime.
Modifiez la valeur du paramètre uploadReadAheadSize en 10485760.
Sur chaque ordinateur client, modifiez le Registre. Pour ce faire, procédez comme suit :
Recherchez HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC.
Remarque :
Si vos clients utilisent Outlook 2010, remplacer « 14.0 » pour « 15.0. »
Si vos clients utilisent Outlook 2016, remplacer « 16.0 » pour « 15.0. »
Ajoutez une valeur DWORD qui est nommé EnableSmartcardet puis définissez la valeur de 00000001.
Recherchez HKEY_CURRENT_USER\Software\Microsoft\Exchange.
Ajoutez une valeur DWORD de la version d’Outlook appropriée.
Pour Outlook 2010 et 2013
Ajoutez une valeur DWORD qui est nommé MsoAuthDisabledet puis définissez la valeur sur 1.
Pour Outlook 2016
Ajoutez une valeur DWORD qui est nommé AlwaysUseLegacyAuthForAutodiscoveret puis définissez la valeur sur 1.
Lorsque vous avez terminé, tous les nouveaux profils demandent normalement un certificat pour la connexion à la découverte automatique, puis pour la connexion à Exchange Server. Tous les profils qui existaient avant l’activation de cette configuration doivent être réparés, ce qui peut nécessiter plusieurs redémarrages d’Outlook afin que ces réparations prennent effet.
Vérifier que les cartes à puce ont été activés.
Une fois que la configuration est appliquée et Outlook est connecté, la boîte de dialogue de statut de connexion Outlook affiche l’authentification qui est utilisée comme le Cert, similaire à l’exemple suivant :
.png "Capture d’écran de la boîte de dialogue État de la connexion Outlook")
Lorsque l’authentification par carte à puce est activée, les connexions au client Outlook pour les services d’annuaire et de messagerie pointent vers le répertoire virtuel /RPCWithCert du serveur d’accès au client, et non vers le répertoire virtuel /RPC. Vous devez donc veiller à ce que les chemins d’accès prennent en compte cette modification.
Migration à partir de versions antérieures d’Exchange
Si vous avez précédemment activé l’authentification par carte à puce pour votre déploiement Exchange Server 2010 et que vous souhaitez effectuer la migration vers Exchange Server 2013, vous devez vous assurer que tous les serveurs Exchange 2010 exécutent le Service Pack 3 CU 11 ou version ultérieure.
En outre, sur tous les serveurs Exchange Server 2010 Client Access, vous devez modifier l’entrée suivante dans le fichier Web.config situé dans le dossier du répertoire virtuel AutoDiscovery :
<add key="SmartCardAuthenticationEnabled" value="false"/>
La valeur par défaut est « False ». Modifiez cette valeur en « True ».
Une fois que vous avez effectué cette modification, vous devez vous assurer que tous les clients de votre organisation sont configurés pour utiliser Exchange 2013 pour la découverte automatique, en mettant à jour de DNS ou votre service d’équilibrage de charge.
Une fois ces modifications effectuées, un utilisateur possédant une boîte aux lettres Exchange Server 2010 a toujours reçoit les paramètres corrects à partir de la découverte automatique et sera en mesure d’authentifier. Sans ces modifications, l’utilisateur qui dispose d’une boîte aux lettres Exchange 2010 reçoit les paramètres par défaut de Outlook Anywhere terminaison (NTLM, dans ce cas) et cet utilisateur ne pourra pas aauthenticate après que le point de terminaison du service de découverte automatique est déplacé.