[KB6298] Installera och konfigurera ESET Secure Authentication med Microsoft Outlook Web Access (OWA)

OBS:

Den här sidan har översatts av en dator. Klicka på engelska under Språk på den här sidan för att se originaltexten. Om du tycker att något är oklart, kontakta din lokala support.

Problem

  • Integrera ESET Secure Authentication med OWA
  • Bästa praxis för att säkra åtkomst till Microsoft Exchange-tjänster

Lösning för problemet

Innan du installerar programmet ESET Secure Authentication på din enhet

Innan du använder appen ESET Secure Authentication på din mobiltelefon måste du installera och konfigurera kärntjänsten ESET Secure Authentication på din server och sedan provisionera de enheter som du vill använda med mobilappen ESET Secure Authentication.

I instruktionerna nedan beskrivs konfigurationen av ESET Secure Authentication för användning med Microsoft Outlook Web Access. Mer information om serverkonfiguration och provisionering eller om hur du konfigurerar ESET Secure Authentication för användning med VPN finns i installationshandboken för ESET Secure Authentication.

Om du fortfarande har problem efter att ha konfigurerat huvudtjänsten ESET Secure Authentication kan du besöka vår ESET Secure Authentication (ESA) Setup Checklist.

Förutsättningar

Instruktionerna nedan kräver följande förkunskaper:

  • En fungerande OWA-miljö
  • Tillgång till ett konto med behörigheten "Domänadministratör"
  • En giltig licens för ESET Secure Authentication

Mer information finns i ESET Secure Authentication (ESA) Setup Checklist och installationshandboken för ESET Secure Authentication.

Installera

  1. Hämta installationsfilen för ESET Secure Authentication.

  2. På systemet som tillhandahåller OWA-miljön kör du installationsfilen med Admin-rättigheter.

  3. Läs igenom licensavtalet och klicka på Jag accepterar.

Bild 1-1

  1. Välj lämplig distributionstyp för installationen och klicka på Nästa.

    Bild 1-2

  2. Kontrollera att alla startkontroller är Successful och klicka sedan på Next.



Bild 1-3

  1. Välj vilka komponenter du vill installera och klicka på Next (Nästa). Följande komponenter är obligatoriska:

    • Server för autentisering

      Installera inte Authentication Server om inte det aktuella systemet också är det system som tillhandahåller ESA-tjänster till andra system i nätverket

    • Microsoft Exchange-server



Bild 1-4

  1. Klicka på Close när installationen är klar.



Bild 1-5

Konfigurera

  1. Öppna webbkonsolen för ESET Secure Authentication.
  2. Klicka på Inställningar > Licens och välj sedan tillämplig licenstyp.
Bild 2-1
  1. Ange licensnyckeln och klicka på Aktivera (eller Återaktivera).
Bild 2-2
  1. Klicka på Inställningar > Mobilapplikation, ange ett tokennamn och klicka på Spara.

    Tokennamnet kommer att visas för användare som använder ESET Secure Authentication-appen på sina mobila enheter

    I det här exemplet används "Demo Company".

Bild 2-3

  1. Klicka på Komponenter och kontrollera att växeln bredvid 2FA är aktiver ad är aktiverad för både Exchange Control Panel och Outlook Web App.

    För ökad säkerhet rekommenderar vi att du avmarkerar kryssrutan bredvid Allow NON-2FA för både Exchange Control Panel och Outlook Web App.

Bild 2-4

  1. Klicka på Inställningar > IP-vitlistning och markera kryssrutan bredvid Aktivera IP-vitlistning per funktion och Outlook Web App. Skriv följande två adresser (för IPv6 och IPv4) för att säkerställa att IT-administratörer inte kan bli helt utestängda från systemet om de inte kan använda MFA
    • ::1
    • 127.0.0.1

Det är möjligt att aktivera ESA för externa IP-adresser endast genom att lägga till dina egna interna IP-intervall i vitlistan

Om du vill att alla interna adresser ska kunna logga in utan att använda ESA lägger du till följande IP-intervall:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  1. Markera kryssrutan bredvid Exchange Control Panel för att aktivera den.

Bild 2-5

Registrera användare

För att ge åtkomst till ESET Secure Authentication måste användarna konfigureras för en av de tillgängliga token-typerna. Den mest grundläggande token-typen är SMS-baserad OTP. För att aktivera denna token måste du se till att alla användare har ett mobiltelefonnummer konfigurerat för sitt konto.

Om alla användare har sitt mobilnummer inställt följer du instruktionerna nedan.

Viktigt för dig!

  • Om du behöver tillåta en användare att använda en mobilapplikation markerar du kryssrutan bredvid Mobile Application OTP och klickar sedan på Save (Spara).

  • Klicka på Åtgärder > Skicka applikation så skickas ett SMS till användaren med all information som behövs för att installera och driftsätta mobilapplikationen. För mer information, se någon av följande Knowledgebase-artiklar för din mobila enhet:

    Android
    iOS
    Windows Phone
    BlackBerry

  1. Klicka på Users och välj tillämplig Realm.
  2. Klicka på det användarnamn som du vill registrera.

    Bild 3-1

  3. Bekräfta att ett giltigt telefonnummer har angetts, klicka på vippan bredvid den token-typ som du vill skicka för att aktivera den, klicka sedan på Åtgärder och välj Skicka ansökan.

    Bild 3-2

Den här användaren är nu konfigurerad att använda den tilldelade OTP:n. När användaren försöker logga in på OWA kommer ESET Secure Authentication att begära användarens OTP.

Aktivera push-token på mobila Android-enheter

Om du vill använda en push-token i stället för SMS-baserad OTP följer du instruktionerna nedan.

  1. Klicka på Users och välj tillämplig Realm.
  2. Markera kryssrutan bredvid varje användarnamn som du vill aktivera push-token för.

  3. Klicka på 2FA och välj Aktivera > Application Push.

    Bild 4-1

ESET Secure Authentication visar ett slumpmässigt genererat inloggnings-ID och på den aktuella registrerade enheten får användaren ett push-meddelande där han eller hon ombeds godkänna eller avvisa autentiseringsförsöket.

Skydda Exchange-tjänster

I det här avsnittet beskrivs bästa praxis för säkerhet.

En standardinstallation av Microsoft Exchange Server kommer också att tillhandahålla ett antal andra tjänster till internet, inklusive ActiveSync och Exchange Web Services (EWS). Forskning visar att vissa av dessa tjänster kan användas för att kringgå MFA-lösningar som ESET Secure Authentication. För att förhindra detta rekommenderar vi starkt att du begränsar åtkomsten till dessa tjänster från utanför företagets nätverk.

ActiveSync

Microsoft ActiveSync gör att mobila enheter enkelt kan ansluta till Microsoft Exchange. ESET Secure Authentication stöder inte Microsoft ActiveSync och därför rekommenderar vi att du begränsar åtkomsten till den här tjänsten.

Vi rekommenderar att du anger att endast vissa enheter (t.ex. företagstelefoner) ska kunna ansluta via ActiveSync. Detta kan göras via Exchange Control Panel samt Exchange Management Shell.

Exchange-tjänster

För alla allmänt tillgängliga tjänster rekommenderar vi att du begränsar åtkomsten till följande tjänster baserat på IP-adresser:

  • Autodiscover
  • EWS
  • mapi
  • Microsoft-server-ActiveSync
  • OAB
  • PowerShell
  • Rpc
  1. Du anger dessa begränsningar genom att öppna OWA-webbplatsen i IIS-hanteraren (Internet Information Services) och navigera till IP-adress- och domänbegränsningar för var och en av de tjänster som anges ovan.
Om IP-adress- och domänbegränsningar inte är tillgängliga

Om IP Address and Domain Restrictions inte är tillgängligt kan det behöva installeras separat. Se https://technet.microsoft.com/en-us/library/cc725769(v=ws.10).aspx.

  1. Klicka på Redigera funktionsinställningar i fönstret Åtgärder .
  2. Välj Neka i rullgardinsmenyn Åtkomst för ospecificerade klienter.
  3. Välj Inte hittad i rullgardinsmenyn Åtgärdstyp för nekande .
    Bästa praxis för säkerhet

    Av säkerhetsskäl rekommenderar vi att du ändrar "Deny Action Type" till "Not Found". Detta kan avskräcka automatiska skannrar och oerfarna angripare som letar efter Microsoft Exchange-servrar att angripa.

Bild 5-1

  1. Klicka på Add Allow Entry och i fältet Specific IP address lägger du till följande adresser (för att förhindra att systemet självt inte kan komma åt vissa resurser som det kan behöva under drift):

    • ::1
    • 127.0.0.1

Alternativt kan följande adresser läggas till för att tillåta åtkomst från det interna nätverket

  • Intervall för IP-adresser: 10.0.0.0 - Mask eller prefix: 8
  • Intervall för IP-adresser: 172.16.0.0 - Mask eller prefix: 12
  • Intervall för IP-adresser: 192.168.0.0 - Mask eller prefix: 16

  1. Upprepa steg 1- 5 för alla tjänster.

Uppdaterades senast: 2025 skáb 21

Mer resurser

Användarguider

ESET forum

YouTube-videor
ESET Status Portal ESET Technical Support

Befintlig kund?