La soluzione in questo articolo consente di proteggere il servizio di messaggistica (Outlook sul web o Exchange Pannello di controllo) quando le cassette postali sono ospitate in Exchange Online o Exchange locale.
Architettura
In questa architettura la soluzione viene suddivisa in due aree, che descrivono la sicurezza per:
- Exchange Online, sul lato destro del diagramma.
- Exchange locale in uno scenario ibrido o non ibrido, a sinistra del diagramma.
Scaricare un file di Visio di questa architettura.
Note generali
- Questa architettura usa il modello di identità Microsoft Entra federato . Per la sincronizzazione dell'hash delle password e i modelli di autenticazione pass-through, la logica e il flusso sono gli stessi. L'unica differenza è correlata al fatto che Microsoft Entra ID non reindirizzerà la richiesta di autenticazione a Active Directory locale Federation Services (AD FS).
- Il diagramma mostra l'accesso al servizio Outlook sul web che corrisponde a un percorso .../owa. L'accesso utente dell'interfaccia di amministrazione di Exchange (o exchange Pannello di controllo) che corrisponde a un percorso .../ecp segue lo stesso flusso.
- Nel diagramma le linee tratteggiate mostrano le interazioni di base tra i componenti locali di Active Directory, Microsoft Entra Connect, Microsoft Entra ID, AD FS e Proxy applicazione Web. Per altre informazioni su queste interazioni, vedere Porte e protocolli necessari per l'identità ibrida.
- In exchange locale si intende Exchange 2019 con gli aggiornamenti più recenti, ruolo Cassetta postale. Per Exchange Edge locale, si intende Exchange 2019 con gli aggiornamenti più recenti, ruolo Trasporto Edge. Il server Edge è incluso nel diagramma per evidenziare che è possibile usarlo in questi scenari. Non è coinvolto nell'uso dei protocolli client descritti qui.
- In un ambiente reale, non si avrà un solo server. Si avrà una matrice con carico bilanciato di server Exchange per la disponibilità elevata. Gli scenari descritti di seguito sono adatti a tale configurazione.
Flusso dell'utente di Exchange Online
Un utente tenta di accedere al servizio Outlook sul web tramite https://outlook.office.com/owa.
Exchange Online reindirizza l'utente all'ID Microsoft Entra per l'autenticazione.
Se il dominio è federato, Microsoft Entra ID reindirizza l'utente all'istanza di AD FS locale per l'autenticazione. Se l'autenticazione ha esito positivo, l'utente viene reindirizzato a Microsoft Entra ID. Per semplificare il diagramma, è stato lasciato questo scenario federato.
Per applicare l'autenticazione a più fattori, Microsoft Entra ID applica criteri di accesso condizionale di Azure con un requisito di autenticazione a più fattori per l'applicazione client del browser. Per informazioni sulla configurazione di tale criterio, vedere la sezione relativa alla distribuzione di questo articolo.
I criteri di accesso condizionale chiamano l'autenticazione a più fattori Di Microsoft Entra. L'utente ottiene una richiesta per completare l'autenticazione a più fattori.
L'utente completa l'autenticazione a più fattori.
Microsoft Entra ID reindirizza la sessione Web autenticata a Exchange Online e l'utente può accedere a Outlook.
Flusso dell'utente locale di Exchange
Un utente tenta di accedere al servizio Outlook sul web tramite un
https://mail.contoso.com/owaURL che punta a un server Exchange per l'accesso interno o a un server proxy applicazione Web per l'accesso esterno.Exchange locale (per l'accesso interno) o Proxy applicazione Web (per l'accesso esterno) reindirizza l'utente ad AD FS per l'autenticazione.
AD FS usa autenticazione di Windows integrata per l'accesso interno o fornisce un modulo Web in cui l'utente può immettere le credenziali per l'accesso esterno.
Rispondere a un criterio di controllo di accesso di Active Directory Domain Services, AD FS chiama l'autenticazione a più fattori Di Microsoft Entra per completare l'autenticazione. Di seguito è riportato un esempio di questo tipo di criteri di controllo di accesso ad AD FS:
L'utente ottiene una richiesta per completare l'autenticazione a più fattori.
L'utente completa l'autenticazione a più fattori. AD FS reindirizza la sessione Web autenticata a Exchange locale.
L'utente può accedere a Outlook.
Per implementare questo scenario per un utente locale, è necessario configurare Exchange e AD FS per configurare AD FS per pre-autenticare le richieste di accesso Web. Per altre informazioni, vedere Usare l'autenticazione basata sulle attestazioni di AD FS con Outlook sul web.
È anche necessario abilitare l'integrazione dell'autenticazione a più fattori di AD FS e Microsoft Entra. Per altre informazioni, vedere Configurare Azure MFA come provider di autenticazione con AD FS. Questa integrazione richiede AD FS 2016 o 2019. Infine, è necessario sincronizzare gli utenti con Microsoft Entra ID e assegnare loro licenze per l'autenticazione a più fattori Microsoft Entra.
Componenti
Microsoft Entra ID. Microsoft Entra ID è un servizio di gestione delle identità e degli accessi basato sul cloud Microsoft. Fornisce l'autenticazione moderna basata su EvoSTS (un servizio token di sicurezza usato da Microsoft Entra ID). Viene usato come server di autenticazione per Exchange Server locale.
Autenticazione a più fattori Microsoft Entra. L'autenticazione a più fattori è un processo in cui gli utenti vengono richiesti durante il processo di accesso per un'altra forma di identificazione, ad esempio un codice sul cellulare o un'analisi delle impronte digitali.
Accesso condizionale Microsoft Entra. L'accesso condizionale è la funzionalità usata da Microsoft Entra ID per applicare criteri aziendali come l'autenticazione a più fattori.
AD FS. AD FS consente la gestione federata delle identità e degli accessi condividendo diritti di identità digitali e diritti attraverso i limiti di sicurezza e organizzazione con una maggiore sicurezza. In questa architettura viene usato per facilitare l'accesso per gli utenti con identità federata.
Proxy applicazione Web. Proxy applicazione Web preautentica l'accesso alle applicazioni Web tramite AD FS. Funziona anche come proxy AD FS.
Exchange Server. Exchange Server ospita le cassette postali degli utenti in locale. In questa architettura vengono usati i token rilasciati all'utente dall'ID Entra di Microsoft per autorizzare l'accesso alle cassette postali.
Servizi Active Directory. Servizi Active Directory archivia informazioni sui membri di un dominio, inclusi i dispositivi e gli utenti. In questa architettura gli account utente appartengono ai servizi di Active Directory e vengono sincronizzati con Microsoft Entra ID.
Dettagli dello scenario
L'infrastruttura di messaggistica aziendale (EMI) è un servizio chiave per le organizzazioni. Il passaggio da metodi meno recenti e meno sicuri di autenticazione e autorizzazione all'autenticazione moderna è una sfida fondamentale in un mondo in cui il lavoro remoto è comune. L'implementazione dei requisiti di autenticazione a più fattori per l'accesso al servizio di messaggistica è uno dei modi più efficaci per soddisfare tale sfida.
Questo articolo descrive un'architettura per migliorare la sicurezza in uno scenario di accesso Web usando l'autenticazione a più fattori Di Microsoft Entra.
Le architetture di seguito descrivono gli scenari che consentono di proteggere il servizio di messaggistica (Outlook sul web o Exchange Pannello di controllo) quando le cassette postali sono ospitate in Exchange Online o Exchange locale.
Per informazioni sull'applicazione dell'autenticazione a più fattori in altri scenari di messaggistica ibrida, vedere gli articoli seguenti:
- Infrastruttura di messaggistica ibrida con sicurezza avanzata in uno scenario di accesso client desktop
- Infrastruttura di messaggistica ibrida per la sicurezza avanzata in uno scenario di accesso per dispositivi mobili
Questo articolo non illustra altri protocolli, ad esempio IMAP o POP. Non è consigliabile usarli per fornire l'accesso utente.
Potenziali casi d'uso
Questa architettura è rilevante per gli scenari seguenti:
- Migliorare la sicurezza EMI.
- Adottare una strategia di sicurezza Zero Trust .
- Applicare il livello elevato di protezione standard per il servizio di messaggistica locale durante la transizione o la coesistenza con Exchange Online.
- Applicare rigorosi requisiti di sicurezza o conformità nelle organizzazioni chiuse o altamente protette, ad esempio quelle del settore finanziario.
Considerazioni
Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.
Affidabilità
L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni che l'utente ha preso con i clienti. Per altre informazioni, vedere Panoramica del pilastro dell'affidabilità.
Disponibilità
La disponibilità complessiva dipende dalla disponibilità dei componenti coinvolti. Per informazioni sulla disponibilità, vedere queste risorse:
- Miglioramento della disponibilità di Microsoft Entra
- Servizi cloud attendibili: disponibilità di Office 365
- Che cos'è l'architettura di Microsoft Entra?
La disponibilità dei componenti della soluzione locale dipende dalla progettazione implementata, dalla disponibilità hardware e dalle operazioni interne e dalle routine di manutenzione. Per informazioni sulla disponibilità su alcuni di questi componenti, vedere le risorse seguenti:
- Configurazione di una distribuzione di AD FS con gruppi di disponibilità AlwaysOn
- Distribuzione della disponibilità elevata e della resilienza del sito in Exchange Server
- Proxy applicazione Web in Windows Server
Resilienza
Per informazioni sulla resilienza dei componenti in questa architettura, vedere le risorse seguenti.
- Per Microsoft Entra ID: avanzamento della disponibilità di Microsoft Entra
- Per scenari che usano AD FS: distribuzione ad AD FS multi-geografico a disponibilità elevata in Azure con Gestione traffico di Azure
- Per la soluzione locale di Exchange: Disponibilità elevata di Exchange
Sicurezza
La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.
Per informazioni sulla sicurezza dei componenti in questa architettura, vedere le risorse seguenti:
- Guida alle operazioni per la sicurezza di Microsoft Entra
- Procedure consigliate per la protezione di AD FS e proxy applicazione Web
- Configurare la protezione Extranet Smart Lockout di AD FS
Ottimizzazione dei costi
L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.
Il costo dell'implementazione dipende dai costi di licenza di Microsoft Entra ID e Microsoft 365. Il costo totale include anche i costi per il software e l'hardware per i componenti locali, le operazioni IT, la formazione e l'istruzione e l'implementazione del progetto.
La soluzione richiede almeno Microsoft Entra ID P1. Per informazioni dettagliate sui prezzi, vedere Prezzi di Microsoft Entra.
Per informazioni su Exchange, vedere Prezzi di Exchange Server.
Per informazioni su AD FS e Proxy applicazione Web, vedere Prezzi e licenze per Windows Server 2022.
Efficienza prestazionale
L'efficienza delle prestazioni è la capacità del carico di lavoro di ridimensionarsi in modo efficiente per soddisfare le esigenze che gli utenti lo pongono. Per altre informazioni, vedere Panoramica del pilastro dell'efficienza delle prestazioni.
Le prestazioni dipendono dalle prestazioni dei componenti coinvolti e dalle prestazioni di rete dell'azienda. Per altre informazioni, vedere Ottimizzazione delle prestazioni di Office 365 usando le linee di base e la cronologia delle prestazioni.
Per informazioni sui fattori locali che influiscono sulle prestazioni per scenari che includono servizi AD FS, vedere queste risorse:
- Configurare il monitoraggio delle prestazioni
- Ottimizzazione di SQL e risoluzione dei problemi di latenza con AD FS
Scalabilità
Per informazioni sulla scalabilità di AD FS, vedere Pianificazione della capacità del server AD FS.
Per informazioni sulla scalabilità locale di Exchange Server, vedere Architettura preferita di Exchange 2019.
Distribuire lo scenario
Per distribuire questo scenario, completare questi passaggi generali:
- Iniziare con il servizio di accesso Web. Migliorare la sicurezza usando un criterio di accesso condizionale di Azure per Exchange Online.
- Migliorare la sicurezza dell'accesso Web per EMI locale usando l'autenticazione basata sull'attestazione di AD FS.
Configurare un criterio di accesso condizionale
Per configurare criteri di accesso condizionale di Microsoft Entra che applicano l'autenticazione a più fattori, come descritto nel passaggio 3 del flusso dell'utente online in precedenza in questo articolo:
Configurare Office 365 Exchange Online o Office 365 come app cloud:
Configurare il browser come app client:
Applicare il requisito di autenticazione a più fattori nella finestra Concedi :
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autori principali:
- Koh Kondrashov | Cloud Solution Architect
- Ella Parkum | Principal Customer Solution Architect-Engineering
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
- Annuncio dell'autenticazione moderna ibrida per Exchange locale
- Panoramica dell'autenticazione moderna ibrida e prerequisiti per l'uso con i server Skype for Business ed Exchange locali
- Usare l'autenticazione basata sulle attestazioni di AD FS con Outlook sul web
- Architettura preferita di Exchange 2019
- Distribuzione di AD FS a disponibilità elevata tra aree geografiche in Azure con Gestione traffico di Azure