Главная Функции MFA MFA для OWA

Многофакторная аутентификация для OWA

Начать бесплатную пробную версию

Что такое OWA и зачем нужна MFA?

Outlook Web Access (OWA) - это браузерный аналог локального приложения для управления электронной почтой и задачами Microsoft Outlook. Поскольку решение предоставляет корпоративным пользователям доступ к электронной почте OWA, календарям, задачам и контактам Microsoft Exchange непосредственно из веб-браузеров, обеспечение безопасности входов в OWA становится жизненно важным. Многие эксперты по ИТ-безопасности считают существующий процесс аутентификации на основе имени пользователя и пароля недостаточно безопасным. Несанкционированный доступ к интерфейсу OWA пользователя ставит под угрозу раскрытие конфиденциальной деловой информации и переписки по электронной почте между пользователями. Эффективным решением является применение дополнительных уровней аутентификации с помощью двухфакторной аутентификации (2FA) OWA или многофакторной аутентификации (MFA).

Безопасный доступ к корпоративной электронной почте. Многофакторная аутентификация OWA от ADSelfService Plus.

ManageEngine ADSelfService Plus обеспечивает MFA OWA и MFA Exchange путем реализации дополнительных шагов аутентификации в дополнение к имени пользователя и паролю по умолчанию при входе в Центр администрирования OWA и Exchange. Это означает, что даже если учетные данные пользователя используются не по назначению, принудительный процесс MFA предотвращает компрометацию учетной записи пользователя. В отличие от других решений, ADSelfService Plus обеспечивает не только 2FA для OWA, но также включает возможности включения максимум трех дополнительных факторов аутентификации. MFA для OWA достигается с помощью различных методов аутентификации, включая защищенную от фишинга и беспарольную аутентификацию FIDO2, а также биометрическую аутентификацию.

Как работает двухфакторная аутентификация OWA?

Чтобы настроить MFA OWA и MFA для входов в EAC, на сервере Exchange должен быть установлен соединитель OWA ADSelfService Plus. Соединитель выступает в качестве посредника между сервером Exchange и ADSelfService Plus для включения MFA во время входов в OWA и EAC. После выполнения этих требований происходит процесс, показанный ниже:

Схема взаимодействия MFA ADSelfService Plus с OWA
Рис. 1. Схема взаимодействия MFA ADSelfService Plus с OWA
  1. Пользователь пытается войти в OWA или EAC.
  2. Пользователю предлагается пройти первичную аутентификацию в приложении OWA.
  3. В случае успеха приложение OWA передает запрос соединителю ADSelfService Plus, который информирует ADSelfService Plus о необходимости продолжить работу с факторами аутентификации.
  4. Если пользователь успешно выполняет все обязательные факторы аутентификации, выполняется вход в OWA или EAC.

MFA для входов в OWA и EAC можно настроить для следующих версий Exchange:

  • Exchange Server 2019
  • Exchange Server 2016
  • Exchange Server 2013
  • Exchange Server 2012

Подробные инструкции по настройке см. в справочном документе по MFA для входа в OWA.

Поддерживаемые методы аутентификации

ADSelfService Plus поддерживает широкий спектр аутентификаторов. Здесь перечислены те, которые можно настроить для MFA OWA.

  • Биометрическая аутентификация (распознавание отпечатков пальцев/лица)
  • Duo Security
  • Аутентификация с использованием смарт-карты
  • Microsoft Authenticator
  • Google Authenticator
  • Аутентификация YubiKey
  • Подтверждение по эл. почте

Почему стоит выбрать ADSelfService Plus для многофакторной аутентификации OWA?

Использование MFA OWA и MFA Exchange от ADSelfService Plus обеспечивает следующие преимущества:

  • Условный доступ. Автоматически усиливайте или ослабляйте 2FA для потоков OWA на основе таких факторов риска, как IP-адрес, геолокация, доступ по времени и тип устройства.
  • Отчеты об аудите в реальном времени. Просматривайте подробные отчеты об MFA OWA и MFA EAC с такой информацией, как время входа в систему, использованные методы аутентификации, а также ее статус (успешно или неудачно).
  • Целостная конфигурация MFA. Обеспечьте безопасность входов в OWA и EAC, а также расширьте MFA для компьютеров под управлением ОС Windows, macOS и Linux. Защитите вход в через VPN с помощью MFA для комплексной безопасности конечных точек.
  • Обеспечение соответствия требованиям. Обеспечьте соблюдение требований нормативных актов, таких как NIST и PCI-DSS, которые рекомендуют включить MFA для доступа к учетным записям электронной почты.

Вопросы и ответы

Да, OWA поддерживает MFA, но не изначально. Вам придется реализовать это с помощью стороннего решения, например ADSelfService Plus.

Обычно при подключении к OWA пользователи аутентифицируются только с помощью имени пользователя и пароля. MFA для OWA гарантирует, что пользователи при входе в OWA будут подтверждать свою личность с помощью нескольких аутентификаторов наряду с именами пользователей и паролями.

Интеграция OWA с ADSelfService Plus позволяет выбрать предпочтительные методы аутентификации из ряда методов, таких как биометрические (распознавание отпечатков пальцев/лица), Face ID, Duo Security, Microsoft Authenticator, Google Authenticator, YubiKey и проверка по электронной почте.

Да, крайне важно защитить все входы в OWA и Центр администрирования Exchange (EAC) в организации с помощью MFA. Чтобы предотвратить нарушения, рекомендуется использовать надежные меры проверки личности, такие как биометрия, вместо традиционного метода с использованием имени пользователя и пароля, тем более что Outlook предоставляет пользователям доступ к своей электронной почте, календарю, задачам и контактам из любого веб-браузера в любом месте. Включив MFA для локальных версий Exchange и OWA, вы можете предотвратить компрометацию учетных записей пользователей, даже если их учетные данные подвергаются угрозе со стороны злоумышленников.

С помощью ADSelfService Plus вы можете с легкостью развернуть MFA для входа в OWA и EAC за несколько простых шагов. ADSelfService Plus позволяет включить более двух аутентификаторов при входе в систему и включает в себя надежные аутентификаторы, такие как ключи доступа FIDO, биометрические данные и YubiKey.

Ознакомьтесь с этим подробным пошаговым руководством по настройке MFA для OWA в вашей организации с помощью ADSelfService Plus. Также можно запланировать персональную веб-демонстрацию с нашими экспертами по продукту или связаться с нашим отделом продаж по телефону +1 312 528 3085 или по электронной почте sales@manageengine.com для получения дополнительной помощи.

 

Особенности ADSelfService Plus

Самостоятельное управление паролями  

Избавьте пользователей Windows AD от длительных звонков в службу поддержки, предоставив им возможность самостоятельного сброса пароля и разблокировки учетной записи.

Многофакторная аутентификация  

Включите контекстную многофакторную аутентификацию с 20 различными факторами для входа в конечные точки, приложения, VPN, OWA и RDP.

Одно удостоверение с возможностью единого входа

Обеспечьте беспроблемный доступ одним щелчком мыши к более чем 100 облачным приложениям. С помощью корпоративного единого входа пользователи могут получать доступ ко всем своим облачным приложениям (SSO), используя свои учетные данные Windows AD.

Уведомления об истечении срока действия пароля/учетной записи

Уведомляйте пользователей Windows AD о приближающемся истечении срока действия их пароля и учетной записи с помощью уведомлений по электронной почте и SMS.

Синхронизация паролей  

Синхронизируйте изменения паролей или учетных записей пользователей Windows AD в разных системах в автоматическом режиме, включая Microsoft 365, Google Workspace, IBM iSeries и т. п.

Средство принудительного применения политики паролей  

Надежные пароли противостоят различным хакерским атакам. Обеспечьте соблюдение пользователями Windows AD правил в отношении паролей, указав требования к сложности паролей.