將電子郵件保密聽起來可能是一項(xiàng)簡單的任務(wù)，但在當(dāng)今的威脅形勢下，這遠(yuǎn)非事實(shí)。這是因?yàn)榫W(wǎng)絡(luò)犯罪分子可以從攻擊您的電子郵件帳戶中獲益良多。這就是欺騙、網(wǎng)絡(luò)釣魚和社會(huì)工程等詐騙都旨在獲取訪問權(quán)限的原因。貴公司的電子郵件數(shù)據(jù)很有價(jià)值；保護(hù)它應(yīng)該是重中之重。

值得慶幸的是，多因素身份驗(yàn)證 (MFA) 是保護(hù)自己免受與身份相關(guān)的網(wǎng)絡(luò)攻擊的最實(shí)惠但最有效的方法之一。它實(shí)際上消除了來自蠻力攻擊和其他利用被盜密碼的方法的未經(jīng)授權(quán)的訪問?？紤]到據(jù)估計(jì)81%的數(shù)據(jù)泄露是由于密碼安全性差造成的，這是一項(xiàng)巨大的改進(jìn)。

如果這聽起來好得令人難以置信，這里有一個(gè)警告：它只有在正確配置時(shí)才有效。當(dāng)您在諸如電子郵件交換服務(wù)器之類的東西上實(shí)現(xiàn)它時(shí)，這是一個(gè)棘手的挑戰(zhàn)。

我們是一家專注于安全的托管服務(wù)提供商 (MSP)，致力于幫助企業(yè)學(xué)習(xí)如何保護(hù)他們的數(shù)據(jù)。在本文中，我們將了解實(shí)施 MFA 可以采取的不同方法和步驟。

為 Exchange Online 實(shí)施 MFA

通過 Microsoft 的 Azure Active Directory (AD)為所有基于云的應(yīng)用程序?qū)嵤㎝FA非常簡單。您可以通過 Azure 門戶手動(dòng)執(zhí)行此操作，也可以通過啟用安全默認(rèn)值對所有人強(qiáng)制執(zhí)行此操作。這將迫使您網(wǎng)絡(luò)上的每個(gè)人都使用 MFA 并阻止舊式身份驗(yàn)證，從而大大提高您的安全性。然而，它并不完美。

安全默認(rèn)值將對您的網(wǎng)絡(luò)進(jìn)行大量配置更改，其中一些可能會(huì)導(dǎo)致整個(gè)系統(tǒng)出現(xiàn)問題。例如，如果您仍在使用不支持現(xiàn)代身份驗(yàn)證方法的舊應(yīng)用程序，則在啟用安全默認(rèn)值后使用它們可能會(huì)遇到問題。

微軟已經(jīng)為所有人推出了安全默認(rèn)設(shè)置。這意味著如果您的系統(tǒng)是最新的，您應(yīng)該已經(jīng)啟用或配置了您的系統(tǒng)。但是，如果您的系統(tǒng)較舊，您應(yīng)該會(huì)收到來自 Microsoft 的通知，通知您安全默認(rèn)值將自動(dòng)啟用，除非您明確拒絕它。

為本地 Exchange 服務(wù)器實(shí)施 MFA

這就是實(shí)施 MFA 可能會(huì)變得棘手的地方。您的舊 Exchange本地服務(wù)器不再與集成 Windows 身份驗(yàn)證 (IWA) 和 Azure AD 兼容。這意味著如果你想實(shí)施 MFA，你必須要有創(chuàng)造力。您可以通過將 Azure AD 與稱為 Active Directory 聯(lián)合服務(wù) (ADFS) 的 Microsoft 單點(diǎn)登錄解決方案集成來做到這一點(diǎn)。

ADFS 最初設(shè)計(jì)用于在 Windows 生態(tài)系統(tǒng)和組織邊界之外的應(yīng)用程序中對用戶進(jìn)行身份驗(yàn)證。它允許在公司網(wǎng)絡(luò)之外安全地共享身份信息，以便您可以訪問由您信任的組織托管的面向 Web 的資源。但是，它還允許您使用 ADFS 為 Azure MFA 注冊用戶。

但是，要做到這一點(diǎn)，您首先需要滿足以下要求：

• Windows Server 2016 AD FS 本地環(huán)境
• 帶有 Azure Active Directory 的 Azure 訂閱。
• Azure MFA 適配器

為本地服務(wù)器實(shí)施 MFA 的步驟：

1. 在每個(gè) ADFS 服務(wù)器上為 Azure MFA 生成證書

第一步是生成一個(gè)供 Azure MFA 使用的證書。為此，您可以打開 PowerShell 提示符，然后使用以下 cmdlet 生成新證書：$certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID

請注意，TenantID 是 Azure AD 中目錄的名稱。生成的證書可以在本地計(jì)算機(jī)證書存儲(chǔ)中找到，并標(biāo)有主題名稱以及 Azure AD 目錄的 TenantID。

2. 將新憑據(jù)添加到 Azure MFA 客戶端服務(wù)主體

要添加新憑據(jù)，請打開 PowerShell 并將證書設(shè)置為針對 Azure MFA 客戶端的新憑據(jù)，方法是鍵入：

New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -類型不對稱 -使用驗(yàn)證 -值 $certBase64

將新憑據(jù)添加到 Azure MFA 客戶端的服務(wù)主體后，ADFS 服務(wù)器將能夠與其通信。

3. 將 Azure MFA 設(shè)置為 ADFS 服務(wù)器的主要身份驗(yàn)證方法

在每臺 ADFS 服務(wù)器上完成上述步驟后，將 Azure MFA 設(shè)置為其主要身份驗(yàn)證方法。您可以通過在 Powershell 上執(zhí)行以下 cmdlet 來做到這一點(diǎn)：

Set-AdfsAzureMfaTenant -TenantId <租戶 ID> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

之后，您將看到 Azure MFA 可用作 Intranet 和 Extranet 使用的主要身份驗(yàn)證方法。

這可能看起來很簡單，但有很多因素會(huì)使這個(gè)過程變得非常棘手。例如，某些 Windows Server 沒有最新的服務(wù)包，這意味著前面的步驟可能無法配置您的 Azure 租戶。在這些情況下，您可能必須手動(dòng)創(chuàng)建注冊表項(xiàng)。

如果這看起來太多，請不要擔(dān)心。可靠的 IT 支持公司可以幫助您完成每一步，從而保護(hù)您的電子郵件交換服務(wù)器。尋求專家的幫助并沒有錯(cuò)。

準(zhǔn)備好為您的電子郵件交換服務(wù)器設(shè)置 MFA 了嗎？

在您的 Exchange 服務(wù)器上實(shí)施 MFA 是保護(hù)您的電子郵件的最有效且經(jīng)濟(jì)實(shí)惠的方法之一。但是請記住，它僅在正確配置時(shí)才有效。它可以是一個(gè)簡單的過程，就像您為云應(yīng)用程序?qū)嵤┧鼤r(shí)一樣，或者像您為本地服務(wù)器實(shí)施它時(shí)一樣棘手。

希望通過上面的指南，您將能夠毫無問題地實(shí)施 MFA。但是，如果事情進(jìn)展不順利，請不要猶豫，向 IT 支持公司尋求幫助。可靠的 MSP 擁有在第一時(shí)間完成工作的專業(yè)知識和經(jīng)驗(yàn)。