MFA(Multi-FactorAuthentication)應用之Exchange ECP/OWA

郵件在現在的商業應用中已經越來越重要，幾個月前，某知名咨詢機構遭遇了史上最嚴重的******，******了該公司全球電子郵件服務器的管理員賬號（未啟用雙因子認證），讓***成功獲取了足夠訪問權限，超過500萬封電子郵件和大量客戶知識產權、敏感信息可能被泄露。這是繼Equifax和美國證券交易委員會SEC***事件后，連續爆出的第三起足以影響全球經濟的重大信息安全事故。為了保護電子的安全，很多機構都開始引入多因子認證（MFA，Multi-Factor Authentication）。

在Office365中，很早就開始已經支持MFA了，所以，對于純O365用戶和混合部署的用戶，都能方便的使用啟用O365和MFA，或是Azure AD的MFA，但對于本地部署的Exchange郵件系統，如果需要，是否也可以使用MFA來保證郵件安全呢?
當然是可以的，但如果是完全本地部署（本地的AD、本地Exchange）會有些限制，因為Exchange OWA界面并不支持輸入驗證碼等窗口，對于下面的四種驗證方式，只支持電話呼叫的方式來實現，即：用戶在輸入用戶名密碼后，預留的手機上會收到一個來電，要求用戶按#鍵確認，或是輸入預先設置的PIN碼（由管理員確定設置使用哪一種）！
Azure AD支持的雙因子認證方法
電話呼叫 致電用戶已注冊的電話號碼。 用戶在必要時輸入 PIN，再按 # 鍵。
短信 向用戶的移動電話發送包含 6 位數驗證碼的短信。 用戶在登錄頁上輸入此驗證碼。
移動應用通知 向用戶的智能手機發送驗證請求。 用戶在必要時輸入 PIN，再在移動應用上選擇“驗證”。
移動應用驗證碼 在用戶智能手機上運行的移動應用將顯示驗證碼，每 30 秒更改一次。 找到最新驗證碼后，用戶在登錄頁上輸入驗證碼。
第三方 OATH 令牌 可以將 Azure 多重身份驗證服務器配置為接受第三方驗證方法。

下面來介紹下，如果在On-Premises的Ad、Exchange中實施多因子認證方法！

1、 首必須有一個Azure訂閱（可以不是你On-Premises相關的），在AD/MFA服務器、服務器設置，找到：下載MFA服務軟件

2、 也可以直接從以下地址下載：
https://www.microsoft.com/en-us/download/details.aspx?id=55849&WT.mc_id=rss_alldownloads_all&download=mfa&clcid=0x4
3、 下載完成后，在Exchange服務器（OWA）上運行安裝程序，提示需要先安裝兩個組件，安裝


4、 完成后開始MFA Server安裝，選擇安裝目錄

5、 安裝過程很簡單，點下一步，即可安裝完成！

6、 第一次開始時會提示輸入Email/password，注意，這里并不是你的某個郵箱，而是在Azure訂閱里面生成的一個用戶激活的Azure郵箱和密碼

7、 在Azure管理里，AD/MFA服務器、服務器設置，點生成，將生成出來的郵件地址和密碼Copy到上圖中MFA Server

8、 點激活

9、 激活選擇一個存在的組，或是新建一個MFA組

10、 確認完成后的界面

11、 首先需要從AD導入用戶，在User下，輸入Import From AD

12、 選擇需要導入的域、OU、用戶等，可以按需求，可以導入整個AD的用戶，也可以只某入導個OU

13、 選擇好后，點Import，相應的用戶即輸入到MFA的User清單中

14、 接下來我們就要對需要的用戶進行配置，注意電話號碼和國家區號一定要正常，然后在Phone Call、啟用

15、 選擇IIS Authentication,添加OWA HTTP地址

16、 選擇需要啟用FMA的OWA目錄，如果需要啟用OEA/ECP，勾選這兩項，然后勾選上面的Enable IIS Authentication

17、 到這里，配置即完成了！現在電腦開啟OWA，輸入用戶名密碼后，點登入

18、 并不會馬上顯示登錄成功或是失敗，需要等待電話確認，這里你在前面設置的手機會接到一個陌生號碼拔過來的電話，如果你不接，或是掛斷，OWA則會提示用戶名密碼不正確，登錄失敗！


19、 如果你正常接通，依語音提示按#鍵進行驗證，

20、 驗證通過后OWA即可正常登錄！

21、 默認的語音提示為英文，你可以依用戶修改為本地語言，如中文，這樣用戶聽到的語音提示就會變為中文！

22、 如果使用選擇PIN碼驗證的方式，用戶在登錄時，需要接通電話后，輸入預先設定的PIN碼才能完成驗證！

總結：雖然沒有O365的MFA功能那么強大，但能加一個電話驗證的功能，相比單純的密碼還是要安全很多，在面對現階段大家對密碼意識不強的情況下，還是很有效果的！