[KB6298] Instalarea și configurarea ESET Secure Authentication cu Microsoft Outlook Web Access (OWA)

NOTĂ:

Această pagină a fost tradusă de un computer. Faceți clic pe Română în secțiunea Limbi din această pagină pentru a afișa textul original. Dacă vi se pare că ceva nu este clar, vă rugăm să contactați serviciul de asistență locală.

Problema

  • Integrarea ESET Secure Authentication cu OWA
  • Cele mai bune practici pentru securizarea accesului la serviciile Microsoft Exchange

Soluție

Înainte de instalarea aplicației ESET Secure Authentication pe dispozitivul dvs

Înainte de a utiliza aplicația ESET Secure Authentication pe telefonul mobil, trebuie să instalați și să configurați serviciul de bază ESET Secure Authentication pe serverul dvs. și apoi să provizionați dispozitivele pe care doriți să le utilizați cu aplicația mobilă ESET Secure Authentication.

Instrucțiunile de mai jos detaliază configurarea ESET Secure Authentication pentru utilizarea cu Microsoft Outlook Web Access. Pentru mai multe informații despre configurarea și aprovizionarea serverului sau pentru a configura ESET Secure Authentication pentru utilizarea cu un VPN, consultați Manualul de instalare ESET Secure Authentication.

Dacă după configurarea serviciului de bază ESET Secure Authentication încă întâmpinați probleme, vizitați ESET Secure Authentication (ESA) Setup Checklist.

Condiții prealabile

Instrucțiunile de mai jos necesită următoarele condiții prealabile:

  • Un mediu OWA funcțional
  • Acces la un cont cu privilegii de "Administrator de domeniu
  • O licență ESET Secure Authentication valabilă

Pentru informații suplimentare, consultați ESET Secure Authentication (ESA) Setup Checklist și Manualul de instalare ESET Secure Authentication.

Instalați

  1. Descărcați fișierul de instalare ESET Secure Authentication.

  2. Pe sistemul care furnizează mediul OWA, rulați fișierul de instalare cu drepturi de administrator.

  3. Revedeți acordul de licență și faceți clic pe I accept (Accept).

Figura 1-1

  1. Selectați tipul de implementare adecvat pentru instalare și faceți clic pe Next (Următorul).

    Figura 1-2

  2. Asigurați-vă că toate verificările de pornire sunt reușite și apoi faceți clic pe Next (Următorul).



Figura 1-3

  1. Selectați componentele pe care doriți să le instalați și faceți clic pe Înainte. Sunt necesare următoarele componente:

    • Server de autentificare

      Nu instalați Serverul de autentificare decât dacă sistemul curent este și sistemul care furnizează servicii ESA altor sisteme din rețea

    • Server Microsoft Exchange



Figura 1-4

  1. Faceți clic pe Close (Închidere ) când instalarea este finalizată.



Figura 1-5

Configurare

  1. Deschideți consola web ESET Secure Authentication.
  2. Faceți clic pe Setări > Licență, apoi selectați tipul de licență aplicabil.
Figura 2-1
  1. Introduceți cheia de licență și faceți clic pe Activare (sau Reactivare).
Figura 2-2
  1. Faceți clic pe Settings > Mobile Application, specificați un nume de token și faceți clic pe Save.

    Numele jetonului va fi afișat utilizatorilor care utilizează aplicația ESET Secure Authentication pe dispozitivele lor mobile

    Pentru acest exemplu, se utilizează "Demo Company".

Figura 2-3

  1. Faceți clic pe Componente și verificați dacă comutatorul de lângă 2FA este activat atât pentru Exchange Control Panel, cât și pentru Outlook Web App.

    Pentru o securitate sporită, vă recomandăm să debifați caseta de selectare de lângă Allow NON-2FA atât pentru Exchange Control Panel, cât și pentru Outlook Web App.

Figura 2-4

  1. Faceți clic pe Settings > IP Whitelisting și bifați caseta de selectare de lângă Enable per feature IP whitelisting and Outlook Web App. Introduceți următoarele două adrese (pentru IPv6 și IPv4) pentru a vă asigura că administratorii IT nu pot fi complet blocați din sistem dacă nu pot utiliza MFA
    • ::1
    • 127.0.0.1

Este posibil să activați ESA pentru adresele IP externe numai prin adăugarea propriilor intervale IP interne la lista albă

Pentru a permite tuturor adreselor interne să se conecteze fără a utiliza ESA, adăugați următoarele intervale IP:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  1. Selectați caseta de selectare de lângă Exchange Control Panel pentru a-l activa.

Figura 2-5

Înscrierea utilizatorilor

Pentru a permite accesul la ESET Secure Authentication, utilizatorii trebuie să fie configurați pentru unul dintre tipurile de token disponibile. Cel mai de bază tip de jeton este SMS-Based OTP. Pentru a activa acest token, asigurați-vă că toți utilizatorii au un număr de telefon mobil configurat pentru contul lor.

Dacă toți utilizatorii și-au configurat numărul de telefon mobil, urmați instrucțiunile de mai jos.

Important!

  • Dacă trebuie să permiteți unui utilizator să utilizeze o aplicație mobilă, bifați caseta de selectare de lângă Mobile Application OTP și apoi faceți clic pe Save (Salvare).

  • Faceți clic pe Actions > Send Application ( Acțiuni > Trimitere aplicație ) și un SMS va fi trimis utilizatorului, conținând toate informațiile necesare pentru instalarea și furnizarea aplicației mobile. Pentru mai multe informații, consultați unul dintre următoarele articole Knowledgebase pentru dispozitivul dvs. mobil:

    Android
    iOS
    Windows Phone
    BlackBerry

  1. Faceți clic pe Users (Utilizatori ) și selectați domeniul aplicabil.
  2. Faceți clic pe numele utilizatorului pe care doriți să îl înscrieți.

    Figura 3-1

  3. Confirmați că este introdus un număr de telefon valid, faceți clic pe comutatorul de lângă tipul de jeton pe care doriți să îl trimiteți pentru a-l activa, apoi faceți clic pe Acțiuni și selectați Trimitere aplicație.

    Figura 3-2

Acest utilizator este acum configurat să utilizeze OTP-ul atribuit. Atunci când utilizatorul încearcă să se conecteze la OWA, ESET Secure Authentication va solicita OTP-ul utilizatorului.

Activarea token-ului push pe dispozitivele mobile Android

Dacă doriți să utilizați un token push în locul OTP-ului bazat pe SMS, urmați instrucțiunile de mai jos.

  1. Faceți clic pe Users (Utilizatori ) și selectați domeniul aplicabil.
  2. Selectați caseta de selectare de lângă fiecare nume de utilizator pentru care doriți să activați jetonul push.

  3. Faceți clic pe 2FA, selectați Enable > Application Push.

    Figura 4-1

ESET Secure Authentication va afișa un ID de conectare generat aleatoriu, iar pe dispozitivul înrolat în prezent, utilizatorul va primi o notificare push prin care i se va solicita să aprobe sau să respingă încercarea de autentificare.

Consolidarea serviciilor Exchange

Această secțiune oferă câteva bune practici de securitate.

O instalare implicită a Microsoft Exchange Server va furniza, de asemenea, o serie de alte servicii către internet, inclusiv ActiveSync și Exchange Web Services (EWS). Cercetările arată că unele dintre aceste servicii pot fi utilizate pentru a ocoli soluțiile MFA precum ESET Secure Authentication. Pentru a preveni acest lucru, vă recomandăm insistent să limitați accesul la aceste servicii din afara rețelei companiei.

ActiveSync

Microsoft ActiveSync permite dispozitivelor mobile să se conecteze cu ușurință la Microsoft Exchange. ESET Secure Authentication nu acceptă Microsoft ActiveSync și, prin urmare, vă recomandăm să limitați accesul la acest serviciu.

Vă recomandăm să specificați numai anumite dispozitive (de exemplu, telefoanele companiei) pentru a se conecta prin ActiveSync. Acest lucru se poate face prin Exchange Control Panel, precum și prin Exchange Management Shell.

Servicii Exchange

Pentru toate serviciile disponibile publicului, vă recomandăm să restricționați accesul la următoarele servicii pe baza adreselor IP:

  • Autodiscover
  • EWS
  • mapi
  • Microsoft-Server-ActiveSync
  • OAB
  • PowerShell
  • Rpc
  1. Pentru a seta aceste restricții, deschideți site-ul OWA în Internet Information Services (IIS) Manager și navigați la IP Address and Domain Restrictions pentru fiecare dintre serviciile enumerate mai sus.
Dacă IP Address and Domain Restrictions nu este disponibil

Dacă IP Address and Domain Restrictions nu este disponibil, este posibil să fie necesar să fie instalat separat. Consultați https://technet.microsoft.com/en-us/library/cc725769(v=ws.10).aspx.

  1. În fereastra Actions (Acțiuni ), faceți clic pe Edit Feature Settings (Editare setări caracteristici).
  2. Din meniul derulant Acces pentru clienți nespecificați, selectați Deny (Refuz).
  3. Din meniul derulant Deny Action Type , selectați Not Found.
    Cea mai bună practică de securitate

    Din motive de securitate, vă recomandăm să modificați "Deny Action Type" la "Not Found". Acest lucru poate descuraja scanerele automate și atacatorii neexperimentați care caută servere Microsoft Exchange pentru a le ataca.

Figura 5-1

  1. Faceți clic pe Add Allow Entry (Adăugare intrare permisă ) și, în câmpul Specific IP address (Adresă IP specifică ), adăugați următoarele adrese (pentru a împiedica sistemul însuși să nu poată accesa anumite resurse de care ar putea avea nevoie în timpul funcționării):

    • ::1
    • 127.0.0.1

Opțional, pot fi adăugate următoarele adrese pentru a permite accesul din rețeaua internă

  • Gama de adrese IP: 10.0.0.0 - Mască sau prefix: 8
  • Interval de adrese IP: 172.16.0.0 - Mască sau prefix: 12
  • Interval de adrese IP: 192.168.0.0 - Mască sau prefix: 16

  1. Repetați pașii 1 - 5 pentru toate serviciile.

Ultima actualizare: 19 mar. 2026

Resurse suplimentare

Ghiduri de utilizare

Forum ESET

Videoclipuri YouTube
ESET Status Portal ESET Technical Support

Client existent?