[KB6298] ESET Secure Authentication installeren en instellen met Microsoft Outlook Web Access (OWA)

OPMERKING:

Deze pagina is vertaald door een computer. Klik op English onder Languages op deze pagina om de originele tekst weer te geven. Als u iets onduidelijk vindt, neem dan contact op met uw lokale support.

Probleem

  • ESET Secure Authentication integreren met OWA
  • Best practices voor het beveiligen van toegang tot Microsoft Exchange-services

Oplossing

Voordat u de ESET Secure Authentication applicatie op uw toestel installeert

Voordat u de ESET Secure Authentication app op uw mobiele telefoon gebruikt, moet u de ESET Secure Authentication core service installeren en configureren op uw server en vervolgens de apparaten voorzien die u wilt gebruiken met de ESET Secure Authentication mobiele app.

De onderstaande instructies beschrijven de configuratie van ESET Secure Authentication voor gebruik met Microsoft Outlook Web Access. Raadpleeg de ESET Secure Authentication installatiehandleiding voor meer informatie over het instellen en beschikbaar maken van de server, of om ESET Secure Authentication te configureren voor gebruik met een VPN.

Als u na het configureren van de ESET Secure Authentication core service nog steeds problemen ondervindt, bezoek dan onze ESET Secure Authentication (ESA) Setup Checklist.

Vereisten

De onderstaande instructies vereisen de volgende vereisten:

  • Een werkende OWA-omgeving
  • Toegang tot een account met "Domein Beheerder" privileges
  • Een geldige ESET Secure Authentication licentie

Raadpleeg voor meer informatie de ESET Secure Authentication (ESA) Setup Checklist en de ESET Secure Authentication Installatiehandleiding.

Installeer

  1. Download het ESET Secure Authentication installatiebestand.

  2. Voer het installatiebestand uit met beheerdersrechten op het systeem dat de OWA-omgeving biedt.

  3. Lees de licentieovereenkomst en klik op I accept.

Afbeelding 1-1

  1. Selecteer het juiste implementatietype voor de installatie en klik op Volgende.

    Afbeelding 1-2

  2. Controleer of alle opstartcontroles geslaagd zijn en klik op Volgende.



Figuur 1-3

  1. Selecteer welke onderdelen je wilt installeren en klik op Volgende. De volgende onderdelen zijn vereist:

    • Authenticatieserver

      Installeer de Authenticatieserver alleen als het huidige systeem ook het systeem is dat ESA-services levert aan andere systemen in het netwerk

    • Microsoft-uitwisselingsserver



Afbeelding 1-4

  1. Klik op Close wanneer de installatie is voltooid.



Figuur 1-5

Configureren

  1. Open de ESET Secure Authentication webconsole.
  2. Klik op Instellingen > Licentie en selecteer vervolgens het van toepassing zijnde licentietype.
Afbeelding 2-1
  1. Voer de Licentiesleutel in en klik op Activeren (of Reactiveren).
Afbeelding 2-2
  1. Klik op Instellingen > Mobiele toepassing, geef een tokennaam op en klik op Opslaan.

    De tokennaam wordt getoond aan gebruikers die de ESET Secure Authentication app gebruiken op hun mobiele apparaten

    In dit voorbeeld wordt "Demobedrijf" gebruikt.

Afbeelding 2-3

  1. Klik op Onderdelen en controleer of het schakelaartje naast 2FA is ingeschakeld voor zowel Exchange Control Panel als Outlook Web App.

    Voor een betere beveiliging raden we aan het selectievakje naast Allow NON-2FA voor zowel Exchange Control Panel als Outlook Web App uit te schakelen.

Afbeelding 2-4

  1. Klik op Settings > IP Whitelisting en schakel het selectievakje naast Enable per feature IP whitelisting en Outlook Web App in. Typ de volgende twee adressen (voor IPv6 en IPv4) om ervoor te zorgen dat IT-beheerders niet volledig kunnen worden buitengesloten van het systeem als ze geen MFA kunnen gebruiken
    • ::1
    • 127.0.0.1

Het is mogelijk om ESA alleen voor externe IP-adressen in te schakelen door je eigen interne IP-bereiken toe te voegen aan de whitelist

Om alle interne adressen toe te staan om in te loggen zonder ESA te gebruiken, voeg je de volgende IP bereiken toe:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  1. Schakel het selectievakje naast Exchange Control Panel in om het in te schakelen.

Afbeelding 2-5

Gebruikers inschrijven

Om toegang te krijgen tot ESET Secure Authentication moeten gebruikers geconfigureerd worden voor een van de beschikbare Token Types. Het meest basale Token Type is SMS-Based OTP. Om dit token in te schakelen, moet u ervoor zorgen dat alle gebruikers een mobiel telefoonnummer hebben geconfigureerd voor hun account.

Als alle gebruikers hun mobiele telefoonnummer hebben ingesteld, volg dan de onderstaande instructies.

Belangrijk!

  • Als u een gebruiker moet toestaan een mobiele applicatie te gebruiken, schakel dan het selectievakje naast Mobiele applicatie OTP in en klik vervolgens op Opslaan.

  • Klik op Acties > Applicatie verzenden en er wordt een sms naar de gebruiker gestuurd met alle informatie die nodig is om de mobiele applicatie te installeren en beschikbaar te stellen. Raadpleeg voor meer informatie een van de volgende Knowledgebase-artikelen voor uw mobiele apparaat:

    Android
    iOS
    Windows Phone
    BlackBerry

  1. Klik op Gebruikers en selecteer de toepasselijke Realm.
  2. Klik op de gebruikersnaam die u wilt registreren.

    Afbeelding 3-1

  3. Controleer of er een geldig telefoonnummer is ingevoerd, klik op het schakelaartje naast het token-type dat u wilt verzenden om het in te schakelen, klik vervolgens op Acties en selecteer Aanvraag verzenden.

    Afbeelding 3-2

Deze gebruiker is nu geconfigureerd om de toegewezen OTP te gebruiken. Wanneer de gebruiker probeert in te loggen op OWA, zal ESET Secure Authentication om de OTP van de gebruiker vragen.

Push token inschakelen op mobiele Android apparaten

Als u een push token wilt gebruiken in plaats van de SMS-gebaseerde OTP, volg dan de onderstaande instructies.

  1. Klik op Gebruikers en selecteer de toepasselijke Realm.
  2. Schakel het selectievakje in naast elke gebruikersnaam waarvoor je het push token wilt inschakelen.

  3. Klik op 2FA en selecteer Enable > Application Push.

    Afbeelding 4-1

ESET Secure Authentication zal een willekeurig gegenereerde login-ID weergeven en op het momenteel aangemelde apparaat zal de gebruiker een pushmelding ontvangen met de vraag om de authenticatiepoging goed te keuren of af te wijzen .

Exchange-services afschermen

Deze sectie biedt een aantal best practices op het gebied van beveiliging.

Een standaardinstallatie van Microsoft Exchange Server biedt ook een aantal andere services aan het internet, waaronder ActiveSync en Exchange Web Services (EWS). Onderzoek toont aan dat sommige van deze diensten gebruikt kunnen worden om MFA oplossingen zoals ESET Secure Authentication te omzeilen. Om dit te voorkomen raden we je sterk aan om de toegang tot deze diensten van buiten het bedrijfsnetwerk te beperken.

ActiveSync

Met Microsoft ActiveSync kunnen mobiele apparaten eenvoudig verbinding maken met Microsoft Exchange. ESET Secure Authentication ondersteunt Microsoft ActiveSync niet en daarom raden we aan om de toegang tot deze service te beperken.

We raden je aan om alleen bepaalde apparaten (bijvoorbeeld bedrijfstelefoons) te specificeren om verbinding te maken via ActiveSync. Dit kan zowel via het Exchange Control Panel als via de Exchange Management Shell.

Exchange-services

Voor alle openbaar beschikbare services raden we aan om de toegang tot de volgende services te beperken op basis van IP-adressen:

  • Autodiscover
  • EWS
  • mapi
  • Microsoft-server-ActiveSync
  • OAB
  • PowerShell
  • Rpc
  1. Om deze beperkingen in te stellen, open je de OWA-website in Internet Information Services (IIS) Manager en navigeer je naar IP Address and Domain Restrictions (IP-adres- en domeinbeperkingen ) voor elk van de bovenstaande services.
Als IP-adres en domeinbeperkingen niet beschikbaar is

Als IP Address and Domain Restrictions niet beschikbaar is, moet het mogelijk afzonderlijk worden geïnstalleerd. Zie https://technet.microsoft.com/en-us/library/cc725769(v=ws.10).aspx.

  1. Klik in het venster Acties op Feature Settings bewerken.
  2. Selecteer Weigeren in het vervolgkeuzemenu Toegang voor niet-gespecificeerde clients.
  3. Selecteer Niet gevonden in het vervolgkeuzemenu Actietype weigeren .
    Best practice voor beveiliging

    Om beveiligingsredenen raden we aan om het "Deny Action Type" (Actietype weigeren) te wijzigen in "Not Found" (Niet gevonden). Dit kan automatische scanners en onervaren aanvallers afschrikken die op zoek zijn naar Microsoft Exchange-servers om aan te vallen.

Afbeelding 5-1

  1. Klik op Add Allow Entry (Toevoegen toestaan) en voeg in het veld Specific IP address (Specifiek IP-adres ) de volgende adressen toe (om te voorkomen dat het systeem zelf geen toegang kan krijgen tot bepaalde bronnen die het tijdens de werking nodig heeft):

    • ::1
    • 127.0.0.1

Optioneel kunnen de volgende adressen worden toegevoegd om toegang vanuit het interne netwerk mogelijk te maken

  • IP adresbereik: 10.0.0.0 - Masker of voorvoegsel: 8
  • IP adresbereik: 172.16.0.0 - Masker of Prefix: 12
  • IP adresbereik: 192.168.0.0 - Masker of Prefix: 16

  1. Herhaal stap 1-5 voor alle services.

Laatst bijgewerkt: 4 mrt. 2026

Meer artikelen:

Documentatie

ESET Security Forum

Kennisbank video's
ESET Status Portal ESET Technical Support

Bestaande klant?