Настройка проверки подлинности с помощью смарт-карт для мобильного Outlook в Exchange 2013
**Применимо к:**Exchange Server 2013
**Последнее изменение раздела:**2018-02-06
Привязка смарт-карт пользователей к ПИН-кодам обеспечивает надежную и эффективную форму двухфакторной проверки подлинности. После настройки двухфакторной проверки подлинности пользователи, обращающиеся к сетевым ресурсам, должны иметь физическую смарт-карту и ПИН-код, связанный с этой смарт-картой. Такое сочетание уменьшает вероятность несанкционированного доступа к сетевым ресурсам организации.
Предварительные требования для использования проверки подлинности с помощью смарт-карты в мобильном Outlook
Прежде чем использовать проверку подлинности с помощью смарт-карты для мобильного Outlook необходимо убедиться, что ваша среда отвечает следующим требованиям для клиента и сервера.
Домен соединенных клиентском компьютере под управлением Windows 8, plusMicrosoft Office 2013 или Microsoft Office 2010 для всех обновлений было доступно.
Exchange Server 2013 с пакетом обновления 1 или более поздней версии.
Правильно установлена и настроена инфраструктура открытого ключа для выдачи сертификатов смарт-карт. PKI должен быть связанных с Active Directory и для выдачи сертификатов для целей смарт-карты входа.
Протокол SSL должен терминироваться на сервере клиентского доступа. Использование сетевого устройства, которое выполняет предварительную проверку подлинности SSL-сеансов перед Microsoft Exchange, не поддерживается.
Все клиентские подключения Outlook должны использовать Мобильный Outlook. После включения проверки подлинности с помощью смарт-карты для мобильного Outlook другие подключения, например подключения к Outlook через MAPI-HTTP, не будут работать.
Физическая смарт-карта или виртуальная смарт-карта со встроенным чипом TPM для каждого пользователя, которая содержит сертификаты пользователей. Для этой функции невозможно использовать сертификаты программного обеспечения, хранимые в реестре локального компьютера.
Включение проверки подлинности с помощью смарт-карты
Чтобы включить проверку подлинности смарт-карты, выполните следующие действия на каждом сервере клиентского доступа в организации.
Установка сертификатов с использованием все соответствующие имена. Убедитесь в том, что поставщик сертификаты является доверенным для клиентов и серверов.
Настройте мобильный Outlook для внутреннего и внешнего доступа (можно использовать одинаковое пространство имен), а затем убедитесь, что проверка подлинности NTLM выбрана в качестве метода проверки подлинности клиента. Убедитесь, что мобильный Outlook успешно подключается с помощью этих параметров (дополнительные сведения см. в разделе Testing Outlook Anywhere connectivity).
Убедитесь в том, что ExternalURL для виртуальных каталогов автономной адресной книги и веб-служб Exchange настроены на использование HTTPS.
Выполните следующий скрипт PowerShell, чтобы настроить виртуальные каталоги.
<Exchange install drive>:\Program Files\Microsoft\Exchange Server\V14\Scripts\Enable-OutlookCertificateAuthentication.ps1
Изменения службы IIS с помощью служебной программы командной строки Netsh .
В командной строке или в строке PowerShell введите команды netsh.
В командной строке netsh введите httpи нажмите клавишу ВВОД.
В командной строке команды netsh http введите Показать sslи затем найдите привязку веб-сайта по умолчанию. Это указано значение IP: Port0.0.0.0:443.
Обратите внимание, значения Хэш-функции сертификата и Идентификатора приложения .
Пример.
IP:port : 0.0.0.0:443 Certificate Hash : f4d5419255e87004b2ec8bacd33a38e1cfebdaea Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Удалите привязку сертификата сайта по умолчанию, выполнив следующую команду:
delete sslcert ipport=0.0.0.0:443
Повторно создать привязку с помощью хэш-функции и код приложения, было указано ранее и включить все следующие параметры:
Add sslcert ipport=0.0.0.0:443 certhash=f4d5419255e87004b2ec8bacd33a38e1cfebdaea appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY verifyclientcertrevocation=Enable verifyrevocationwithcachedclientcertonly=Disable UsageCheck=Enable clientcertnegotiation=Enable DSMapperUsage=Enable
Перезагрузите сервер.
В диспетчере служб IIS увеличьте значение uploadReadAheadSize.
В диспетчере IIS разверните узел Exchange Server, узел Сайты, а затем выберите Default Web Site.
На вкладке Просмотр возможностей выберите Редактор конфигураций.
В разделе Действия выберите пункт Открытие функции.
В раскрывающемся меню Раздел разверните узел system.webServer и выберите serverRuntime.
Измените значение параметра uploadReadAheadSize на 10485760.
На каждом клиентском компьютере изменения в реестр. Для этого выполните следующие действия.
Найдите HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC.
Примечание:
Если клиенты с Outlook 2010, замените «14.0» для «15.0.»
Если клиенты используют Outlook 2016, замените «16.0» для «15.0.»
Добавьте значение DWORD, которое с именем EnableSmartcardи затем задайте значение 00000001.
Найдите HKEY_CURRENT_USER\Software\Microsoft\Exchange.
Добавьте значение DWORD, соответствующий версии Outlook.
Для Outlook 2010 и 2013
Добавьте значение DWORD, которое с именем MsoAuthDisabledи присвойте ему значение 1.
Для Outlook 2016
Добавьте значение DWORD, которое с именем AlwaysUseLegacyAuthForAutodiscoverи присвойте ему значение 1.
После завершения все новые профили должны запросить сертификат для подключения службы автообнаружения и еще раз запросить подключение к серверу Exchange Server. Все профили, которые существовали до включения этой конфигурации, необходимо восстановить, для чего может потребоваться перезапустить Outlook несколько раз, чтобы изменения вступили в силу.
Проверка включения смарт-карт
После применения конфигурации и подключения Outlook, диалоговое окно состояния подключения Outlook показывает проверки подлинности, используемый как сертификат, аналогичные следующим образом:
После включения проверки подлинности с помощью смарт-карты клиентские подключения Outlook для почтовых служб и служб каталогов осуществляются к виртуальному каталогу /RPCWithCert на сервере клиентского доступа, а не к виртуальному каталогу /RPC. Поэтому следует убедиться, что эти пути опубликованы соответствующим образом.
Переход с предыдущих версий Exchange
Если ранее вы включили проверку подлинности с помощью смарт-карты для развертывания Exchange Server 2010 и хотите перейти на Exchange Server 2013, то вам необходимо убедиться, что на всех серверах Exchange 2010 установлен пакет обновления 3 (SP3) с накопительным пакетом обновления 11 (CU11) или более поздней версии.
Кроме того, на всех серверах клиентского доступа Exchange Server 2010 необходимо открыть файл Web.config, расположенный в виртуальном каталоге автообнаружения, и изменить следующую запись:
<add key="SmartCardAuthenticationEnabled" value="false"/>
Значение по умолчанию — false. Измените его на true.
После внесения этого изменения настройте все клиенты в вашей организации так, чтобы они использовали Exchange 2013 для автообнаружения. Это можно сделать либо путем обновления DNS, либо с помощью балансировщика нагрузки.
После внесения изменений, пользователя, имеющего почтовый ящик Exchange Server 2010 по-прежнему получает правильные параметры из службы автообнаружения и будет иметь возможность выполнять проверку подлинности. Без эти изменения пользователя, имеющего почтовый ящик Exchange 2010 принимает параметры по умолчанию для мобильного Outlook конечной точки (в данном случае NTLM) и пользователь не сможет aauthenticate после перемещения конечной точки службы автообнаружения.