Настройка проверки подлинности с помощью смарт-карт для мобильного Outlook в Exchange 2013

  • Статья

 

**Применимо к:**Exchange Server 2013

**Последнее изменение раздела:**2018-02-06

Привязка смарт-карт пользователей к ПИН-кодам обеспечивает надежную и эффективную форму двухфакторной проверки подлинности. После настройки двухфакторной проверки подлинности пользователи, обращающиеся к сетевым ресурсам, должны иметь физическую смарт-карту и ПИН-код, связанный с этой смарт-картой. Такое сочетание уменьшает вероятность несанкционированного доступа к сетевым ресурсам организации.

Предварительные требования для использования проверки подлинности с помощью смарт-карты в мобильном Outlook

Прежде чем использовать проверку подлинности с помощью смарт-карты для мобильного Outlook необходимо убедиться, что ваша среда отвечает следующим требованиям для клиента и сервера.

  • Домен соединенных клиентском компьютере под управлением Windows 8, plusMicrosoft Office 2013 или Microsoft Office 2010 для всех обновлений было доступно.

  • Exchange Server 2013 с пакетом обновления 1 или более поздней версии.

  • Правильно установлена и настроена инфраструктура открытого ключа для выдачи сертификатов смарт-карт. PKI должен быть связанных с Active Directory и для выдачи сертификатов для целей смарт-карты входа.

  • Протокол SSL должен терминироваться на сервере клиентского доступа. Использование сетевого устройства, которое выполняет предварительную проверку подлинности SSL-сеансов перед Microsoft Exchange, не поддерживается.

  • Все клиентские подключения Outlook должны использовать Мобильный Outlook. После включения проверки подлинности с помощью смарт-карты для мобильного Outlook другие подключения, например подключения к Outlook через MAPI-HTTP, не будут работать.

  • Физическая смарт-карта или виртуальная смарт-карта со встроенным чипом TPM для каждого пользователя, которая содержит сертификаты пользователей. Для этой функции невозможно использовать сертификаты программного обеспечения, хранимые в реестре локального компьютера.

Включение проверки подлинности с помощью смарт-карты

Чтобы включить проверку подлинности смарт-карты, выполните следующие действия на каждом сервере клиентского доступа в организации.

  1. Установка сертификатов с использованием все соответствующие имена. Убедитесь в том, что поставщик сертификаты является доверенным для клиентов и серверов.

  2. Настройте мобильный Outlook для внутреннего и внешнего доступа (можно использовать одинаковое пространство имен), а затем убедитесь, что проверка подлинности NTLM выбрана в качестве метода проверки подлинности клиента. Убедитесь, что мобильный Outlook успешно подключается с помощью этих параметров (дополнительные сведения см. в разделе Testing Outlook Anywhere connectivity).

  3. Убедитесь в том, что ExternalURL для виртуальных каталогов автономной адресной книги и веб-служб Exchange настроены на использование HTTPS.

  4. Выполните следующий скрипт PowerShell, чтобы настроить виртуальные каталоги.

    <Exchange install drive>:\Program Files\Microsoft\Exchange Server\V14\Scripts\Enable-OutlookCertificateAuthentication.ps1

  5. Изменения службы IIS с помощью служебной программы командной строки Netsh .

    1. В командной строке или в строке PowerShell введите команды netsh.

    2. В командной строке netsh введите httpи нажмите клавишу ВВОД.

    3. В командной строке команды netsh http введите Показать sslи затем найдите привязку веб-сайта по умолчанию. Это указано значение IP: Port0.0.0.0:443.

    4. Обратите внимание, значения Хэш-функции сертификата и Идентификатора приложения .

      Пример.

      IP:port          : 0.0.0.0:443

Certificate Hash        : f4d5419255e87004b2ec8bacd33a38e1cfebdaea

Application ID      : {4dc3e181-e14b-4a21-b022-59fc669b0914}

    5. Удалите привязку сертификата сайта по умолчанию, выполнив следующую команду:

      delete sslcert ipport=0.0.0.0:443

    6. Повторно создать привязку с помощью хэш-функции и код приложения, было указано ранее и включить все следующие параметры:

      Add sslcert ipport=0.0.0.0:443 certhash=f4d5419255e87004b2ec8bacd33a38e1cfebdaea appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY verifyclientcertrevocation=Enable verifyrevocationwithcachedclientcertonly=Disable UsageCheck=Enable clientcertnegotiation=Enable DSMapperUsage=Enable

  6. Перезагрузите сервер.

  7. В диспетчере служб IIS увеличьте значение uploadReadAheadSize.

    1. В диспетчере IIS разверните узел Exchange Server, узел Сайты, а затем выберите Default Web Site.

    2. На вкладке Просмотр возможностей выберите Редактор конфигураций.

    3. В разделе Действия выберите пункт Открытие функции.

    4. В раскрывающемся меню Раздел разверните узел system.webServer и выберите serverRuntime.

    5. Измените значение параметра uploadReadAheadSize на 10485760.

  8. На каждом клиентском компьютере изменения в реестр. Для этого выполните следующие действия.

    1. Найдите HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC.

      Примечание:

      • Если клиенты с Outlook 2010, замените «14.0» для «15.0.»

      • Если клиенты используют Outlook 2016, замените «16.0» для «15.0.»

    2. Добавьте значение DWORD, которое с именем EnableSmartcardи затем задайте значение 00000001.

    3. Найдите HKEY_CURRENT_USER\Software\Microsoft\Exchange.

    4. Добавьте значение DWORD, соответствующий версии Outlook.

      Для Outlook 2010 и 2013

      Добавьте значение DWORD, которое с именем MsoAuthDisabledи присвойте ему значение 1.

      Для Outlook 2016

      Добавьте значение DWORD, которое с именем AlwaysUseLegacyAuthForAutodiscoverи присвойте ему значение 1.

После завершения все новые профили должны запросить сертификат для подключения службы автообнаружения и еще раз запросить подключение к серверу Exchange Server. Все профили, которые существовали до включения этой конфигурации, необходимо восстановить, для чего может потребоваться перезапустить Outlook несколько раз, чтобы изменения вступили в силу.

Проверка включения смарт-карт

После применения конфигурации и подключения Outlook, диалоговое окно состояния подключения Outlook показывает проверки подлинности, используемый как сертификат, аналогичные следующим образом:

Снимок экрана: диалоговое окно состояния подключения в Outlook.

После включения проверки подлинности с помощью смарт-карты клиентские подключения Outlook для почтовых служб и служб каталогов осуществляются к виртуальному каталогу /RPCWithCert на сервере клиентского доступа, а не к виртуальному каталогу /RPC. Поэтому следует убедиться, что эти пути опубликованы соответствующим образом.

Переход с предыдущих версий Exchange

Если ранее вы включили проверку подлинности с помощью смарт-карты для развертывания Exchange Server 2010 и хотите перейти на Exchange Server 2013, то вам необходимо убедиться, что на всех серверах Exchange 2010 установлен пакет обновления 3 (SP3) с накопительным пакетом обновления 11 (CU11) или более поздней версии.

Кроме того, на всех серверах клиентского доступа Exchange Server 2010 необходимо открыть файл Web.config, расположенный в виртуальном каталоге автообнаружения, и изменить следующую запись:

  • <add key="SmartCardAuthenticationEnabled" value="false"/>

Значение по умолчанию — false. Измените его на true.

После внесения этого изменения настройте все клиенты в вашей организации так, чтобы они использовали Exchange 2013 для автообнаружения. Это можно сделать либо путем обновления DNS, либо с помощью балансировщика нагрузки.

После внесения изменений, пользователя, имеющего почтовый ящик Exchange Server 2010 по-прежнему получает правильные параметры из службы автообнаружения и будет иметь возможность выполнять проверку подлинности. Без эти изменения пользователя, имеющего почтовый ящик Exchange 2010 принимает параметры по умолчанию для мобильного Outlook конечной точки (в данном случае NTLM) и пользователь не сможет aauthenticate после перемещения конечной точки службы автообнаружения.