Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.09.2020

Konferencja PIKE 2020 „Nowy...

Liderzy branży telekomunikacji i mediów o nowych wyzwaniach i przyszłości branży w...
31.08.2020

Sprawna migracja

Oracle Cloud VMware Solution
31.08.2020

Aktywne cybergangi

Grupa Lazarus
31.08.2020

Coraz groźniej

Ransomware
31.08.2020

Analityka w chmurze

SAS Viya 4
31.08.2020

Fujitsu

Fujitsu zaprezentowało odświeżone portfolio biurowych komputerów stacjonarnych Esprimo...
31.08.2020

Monitory dla biura

EIZO FlexScan
27.08.2020

ABBYY FineReader Server –...

Obecna sytuacja na świecie spowodowała, że musieliśmy się odnaleźć w nowych realiach...
27.08.2020

E-commerce ratuje gospodarkę

W tym roku rodzimy handel elektroniczny odnotowuje najwyższy – od kilkunastu lat –...

Modern Authentication w Exchange Online

Data publikacji: 20-12-2019 Autor: Michał Gajda
Rys. 1. Włączanie Modern...

Zwiększanie bezpieczeństwa jest procesem ciągłym i dotyczy wszystkich składników infrastruktury IT. Jednym z elementów poprawy bezpieczeństwa jest włączenie nowoczesnego uwierzytelniania dla klientów Outlook w systemach pocztowych platformy Office 365.

 

U wierzytelnianie jest jednym z podstawowych elementów praktycznie w każdym współczesnym systemie informatycznym. To właśnie dzięki niemu możliwe jest określenie tożsamości użytkownika łączącego się do zasobów, a tym samym upewnienie się, że osoba chcąca uzyskać dostęp, na przykład do skrzynki pocztowej platformy Office 365, jest w rzeczywistości tą, za którą się podaje.
Dotychczasowa łączność klientów pocztowych Outlook w ramach programu Exchange odbywała się za pośrednictwem protokołów Outlook Anywhere (RPC over HTTP), tudzież jego następcy MAPI over HTTP. Niestety wadą tej komunikacji było korzystanie z mechanizmu uwierzytelniania podstawowego (Basic Authentication). Bazował on na wykorzystywaniu wyłącznie klasycznego loginu i hasła, co zwiększało podatność na ataki typu brute force, za pomocą których możliwe jest nieautoryzowane pozyskanie dostępu do skrzynki pocztowej. Na szczęście nie jest to jedyny mechanizm uwierzytelniania udostępniony użytkownikom. Aktualnie w ramach aplikacji dostarczanych na platformie Office 365 możliwe jest wykorzystywanie nowoczes­nych metod uwierzytelniania, czyli tak zwanego Modern Authentication.

 

> Nowoczesne uwierzytelnianie w Outlook


Nowoczesne uwierzytelnianie (Modern Authentication) jest nową metodą zarządzania tożsamością. Wykorzystuje mechanizmy logowania z biblioteki Active Directory Authentication Library (ADAL), dzięki czemu oferuje wysoki poziom zabezpieczeń dotyczących uwierzytelniania i autoryzacji użytkowników końcowych. Umożliwia on m.in. stosowanie uwierzytelniania wieloskładnikowego (Multi-Factor Authentication) oraz uwierzytelniania opartego na certyfikatach i kartach inteligentnych. Co ważne, nowoczesne uwierzytelnianie jest w pełni kompatybilne z zasadami dostępu warunkowego (Conditional Access) usługi Azure Active Directory, tak więc skutecznie może być wykorzystywane wraz z systemami zarządzania urządzeniami mobilnymi (Mobile Device Management), jak np. Microsoft Intune. Widać zatem, że nowoczesne uwierzytelnianie idealnie wpasowuje się w bieżący trend pracy z wykorzystaniem własnych urządzeń, czyli BYOD (Bring Your Own Device).


W przypadku aplikacji Outlook obsługa nowoczesnego uwierzytelniania dostępna jest jedynie w wersjach Office 2013 lub nowszych. Należy jednak pamiętać, że w przypadku pakietu Office 2013 do włączenia obsługi Modern Authentication konieczne jest ręczne wprowadzenie dwóch modyfikacji rejestrów systemu Windows. Można to zrobić za pomocą następujących poleceń Windows PowerShell:


New-ItemProperty -Path HKCU:SOFTWAREMicrosoftOffice15.0Common`
Identity -Name EnableADAL -Value 1 -PropertyType DWORD
New-ItemProperty -Path HKCU:SOFTWAREMicrosoftOffice15.0Common`
Identity -Name Version -Value 1 -PropertyType DWORD


W przypadku aplikacji Office 2016 lub nowszych omawiany mechanizm uwierzytelniania jest domyślnie włączony, dlatego nie ma potrzeby wprowadzania wspomnianych modyfikacji rejestrów Windows. W przypadku gdy zajdzie potrzeba wyłączenia obsługi nowoczesnego uwierzytelniania, wystarczy zmienić wpis rejestru EnableADAL z wartości 1 na 0:


New-ItemProperty -Path HKCU:SOFTWAREMicrosoftOffice15.0Common`
Identity -Name EnableADAL -Value 0 -PropertyType DWORD -Force


Wykaz wszystkich możliwych przypadków uwierzytelniania aplikacji Office w wypadku łączenia się z serwerami Exchange Online został przedstawiony w tabeli. Mechanizm nowoczesnego uwierzytelniania jest również dostępny w przypadku aplikacji Outlook 2016 dla komputerów Mac (Outlook 2016 for Mac) lub nowszych. Dodatkowo jest także natywnie wykorzystywany w przypadku aplikacji Outlook dla urządzeń mobilnych w systemach iOS i Android.

 

> Exchange Online


Oprócz obsługi klienta pocztowego konieczne jest również włączenie mechanizmu nowoczesnego uwierzytelniania po stronie systemów Exchange Online oraz Skype dla firm Online. Mimo że omawiany przypadek dotyczy wsparcia dla nowoczesnego uwierzytelniania w dostępie do skrzynek pocztowych, zalecane jest równoczesne włączenie opisywanego mechanizmu również dla usługi Skype dla firm Online.
Pozwoli to uniknąć sytuacji występowania wielokrotnych monitów dotyczących logowania się do klientów Skype for Business. Należy jednak zaznaczyć, że omawiana kwestia dotyczy tylko dzierżaw usługi Office 365, które były założone przed 1 sierpnia 2017 roku. Wszystkie usługi zakładane po tej dacie posiadają domyślnie włączoną obsługę Modern Authentication.


W celu weryfikacji, czy obsługa nowoczesnego uwierzytelniania została włączona, wystarczy połączyć się za pomocą konsoli Windows PowerShell do usługi Exchange Online i zweryfikować jej stan, używając polecenia:


Get-OrganizationConfig | Format-Table Name,OAuth* -Auto


Jeżeli właściwość OAuth2ClientProfileEnabled będzie mieć wartość true, będzie to oznaczać, że mechanizm Modern Authentication jest już włączony. W przeciwnym przypadku wykorzystywany będzie klasyczny mechanizm Basic Authentication. W sytuacji gdy trzeba włączyć Modern Authentication, wystarczy posłużyć się analogicznym poleceniem, w którym parametrowi OAuth2ClientProfileEnabled przekazujemy wartość

$true:


Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

 

Opisywaną sytuację przedstawiono na rys. 1.

Jak już wspomniano, rekomendowane jest również przeprowadzenie podobnych działań dla usługi Skype dla firm Online. Weryfikacja mechanizmu uwierzytelniania odbywa się w podobny sposób – za pomocą modułu SkypeOnlineConnector konsoli Windows PowerShell wystarczy nawiązać połączenie z usługą i zweryfikować stan mechanizmu uwierzytelniania:


Get-CsOAuthConfiguration | Select ClientAdalAuthOverride

 

Wartość Allowed będzie oznaczać, że wykorzystywany jest omawiany mechanizm nowoczesnego uwierzytelniania. Jeżeli zwrócona zostanie inna wartość (NoOverride), możliwe jest skorygowanie tegoż faktu za pomocą następującego polecenia:

 

Set-CsOAuthConfiguration -ClientAdalAuthOverride Allowed


W przypadku gdy wykorzystujemy jedynie usługi chmurowe platformy Office 365, opisane powyżej zmiany w konfiguracji będą wystarczające, a aplikacje klienckie Outlook, łącząc się z serwerami Exchange Online, będą wykorzystywać nowy mechanizm uwierzytelniania (rys. 2).


Po nawiązaniu połączenia w oknie statusu programu Out­look łatwo zweryfikować stosowany mechanizm uwierzytelniania. W przypadku aktywnego Modern Authentication (rys. 3) w kolumnie Uwierzytelnianie (Authn) znajdziemy wartość Obiekt przenoszący* (Bearer*) zamiast wartości Czysty* (Clear*).


W sytuacji gdy zajdzie potrzeba wyłączenia omawianego mechanizmu uwierzytelniania, wystarczy przywrócić pierwotne wartości parametrów, czyli ustawić odpowiednio dla Exchange Online – OAuth2ClientProfileEnabled wartość false, a dla Skype dla firm Online – ClientAdalAuthOverride wartość NoOverride.

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"