設定智慧卡驗證 outlook Anywhere in Exchange 2013

  • 發行項

 

**適用版本:**Exchange Server 2013

**上次修改主題的時間:**2018-02-06

使用者智慧卡關聯個人識別碼 (Pin) 提供雙因素驗證可靠且符合成本效益表單。雙因素驗證設定時,存取網路資源的使用者必須擁有其實體智慧卡及該智慧卡相關聯的 PIN。此智慧卡/PIN 組合減少組織的網路資源的未經授權存取的可能性。

使用智慧卡驗證與 Outlook 無所不在 」 的必要條件

您可以使用智慧卡驗證的 「 Outlook 無所不在 」 之前,您必須確定您的環境符合下列用戶端和伺服器需求。

  • 執行 Windows 8、 plusMicrosoft Office 2013 或 Microsoft Office 2010、 所有公開可用更新的網域聯結的用戶端電腦。

  • Exchange Server 2013 SP1 或更新版本。

  • 發出智慧卡憑證的正確安裝及設定 PKI。PKI 必須是連結至 Active Directory 與能夠核發憑證的智慧卡登入的目的。

  • SSL 必須終止 Client Access server 上。不支援預先驗證前面 Microsoft Exchange 的 SSL 工作階段的網路裝置使用。

  • 所有用戶端 Outlook 連線必須使用Outlook 無所不在。您已啟用 Outlook 無所不在的智慧卡驗證之後,例如 MAPI-HTTP 上的 Outlook 連線的其他連線不會運作。

  • 實體或 TPM 晶片內嵌虛擬智慧卡每位使用者,其中包含每個使用者的使用者憑證。您無法使用這項功能的本機電腦的登錄中所儲存的軟體憑證。

啟用智慧卡驗證

若要啟用智慧卡驗證,請在組織中每個用戶端存取伺服器上遵循下列步驟。

  1. 將憑證安裝所有相關的名稱。請確定憑證的發行者所信任由用戶端和伺服器。

  2. 設定 Outlook 無所不在 」 的內部和外部存取 (兩者可以使用相同名稱空格),並確認該 NTLM 驗證已選取作為用戶端驗證方法。確認的 Outlook 無所不在成功以連接這些設定 (如需詳細資訊,請參閱測試 Outlook 無所不在連線)。

  3. 請確定ExternalURL離線通訊錄] 或 [Exchange Web 服務虛擬目錄已設為使用 HTTPS。

  4. 請執行下列 PowerShell 指令碼設定虛擬目錄。

    <Exchange install drive>:\Program Files\Microsoft\Exchange Server\V14\Scripts\Enable-OutlookCertificateAuthentication.ps1

  5. 使用Netsh命令列公用程式編輯 IIS。

    1. 在命令提示字元處或 PowerShell 提示字元處,輸入netsh

    2. netsh提示處輸入http,然後按下 Enter。

    3. Netsh http提示時,請輸入顯示 ssl],然後查看 [預設網站繫結。這會指定0.0.0.0:443IP:port值。

    4. 請注意的憑證雜湊應用程式識別碼值。

      範例:

      IP:port          : 0.0.0.0:443

Certificate Hash        : f4d5419255e87004b2ec8bacd33a38e1cfebdaea

Application ID      : {4dc3e181-e14b-4a21-b022-59fc669b0914}

    5. 執行下列命令以刪除預設網站憑證繫結:

      delete sslcert ipport=0.0.0.0:443

    6. 重新建立的繫結所使用的雜湊與舊版上述的應用程式識別碼和包含所有的下列參數:

      Add sslcert ipport=0.0.0.0:443 certhash=f4d5419255e87004b2ec8bacd33a38e1cfebdaea appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY verifyclientcertrevocation=Enable verifyrevocationwithcachedclientcertonly=Disable UsageCheck=Enable clientcertnegotiation=Enable DSMapperUsage=Enable

  6. 重新啟動伺服器。

  7. 在網際網路資訊服務 (IIS) 管理員] 中,增加uploadReadAheadSize值。

    1. 在 IIS 管理員中,展開節點之 Exchange 伺服器、 依序展開 [網站],並選取 [預設的網站

    2. 在 [功能檢視] 索引標籤上選取 [設定編輯器]。

    3. 在 [動作] 下選取 [開啟的功能

    4. 區段下拉式功能表上,按一下以展開system.webServer、,然後選取serverRuntime

    5. UploadReadAheadSize的值變更為10485760

  8. 每個用戶端電腦上,請編輯登錄。若要這樣做,請遵循下列步驟:

    1. 找出 HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC。

      請注意:

      • 如果您的用戶端使用 Outlook 2010、 取代"14.0"的"15.0"。

      • 如果您的用戶端使用 Outlook 2016、 取代"16.0"的"15.0"。

    2. 將 DWORD 值已命名EnableSmartcard、 新增並再將值設定為00000001

    3. 找出 HKEY_CURRENT_USER\Software\Microsoft\Exchange。

    4. 新增 DWORD 值的適當的 Outlook 版本。

      Outlook 2010 和 2013

      將 DWORD 值已命名MsoAuthDisabled、 新增並再將值設定為1

      針對 Outlook 2016

      將 DWORD 值已命名AlwaysUseLegacyAuthForAutodiscover、 新增並再將值設定為1

完成後,所有新的設定檔應該提示的自動探索連線和再次提示的 Exchange Server 連線的憑證。任何存在於之前已啟用此設定的設定檔會要求修復,這可能需要重新啟動 Outlook 好幾次以正確就會生效。

確認已啟用智慧卡

套用設定並 Outlook 連線後,Outlook 連線的 [狀態] 對話方塊會顯示為Cert,類似下列範例會使用的驗證:

Outlook 連線狀態對話方塊的螢幕擷取畫面

已啟用智慧卡驗證之後,郵件及目錄服務的 Outlook 用戶端連線會對 /RPCWithCert 虛擬目錄的用戶端存取伺服器上,而不是 /RPC 虛擬目錄。因此,您必須確定這些路徑會據以發佈。

從舊版的 Exchange 移轉

如果您先前為您的 Exchange Server 2010 部署中啟用智慧卡驗證並想要移轉至 Exchange Server 2013,您需要確定所有的 Exchange 2010 伺服器正在執行 Service Pack 3 CU 11 或更新版本。

此外,在每台 Exchange Server 2010 用戶端存取伺服器上您需要編輯位於自動探索虛擬目錄資料夾中的 Web.config 檔案中的下列項目:

  • <add key="SmartCardAuthenticationEnabled" value="false"/>

預設值為"false"。此值變更為"true"。

進行這項變更之後,您應該確定您組織中的所有用戶端設定為使用 Exchange 2013 自動探索,藉由更新 DNS 或負載平衡器。

進行這些變更之後,具有 Exchange Server 2010 信箱的使用者仍從自動探索接收正確設定,並將能夠進行驗證。這些變更,具有 Exchange 2010 信箱使用者會收到 「 Outlook 無所不在 」 端點 (在此例中 NTLM) 的預設設定且該使用者將無法 aauthenticate 自動探索結束點移動後。