Mit Duo lässt sich OWA in einer Exchange On-Prem Organisation sehr einfach um eine 2-Faktor Authentifizierung schützen. Für bis zu 10 Benutzer ist Duo kostenlos:
Hier gibt es ein kleines How-To zur Konfiguration. Sobald ihr ein Duo Konto angelegt habt, könnt ihr im Admin Portal unter dem Punkt „Protect an Application“ nach „OWA“ suchen und die Schaltfläche „Protect“ anklicken:
Zeitgleich lässt sich schon einmal der OWA Installer runterladen und auf dem Exchange Server installieren. Der Installer kann hier runtergeladen werden:
Die Installation ist selbsterklärend, es muss nur ein paar mal auf „Next“ geklickt werden:
Während der Installation müssen die Angaben aus dem Duo Admin Portal kopiert und in den Installationsprozess des Installers eingetragen werden:
Wenn es mehrere Exchange Server in der Organisation gibt, sollten alle Server den gleichen Session Key verwenden. Der folgende Befehl für die PowerShell erzeugt einen Session Key, welcher für alle Exchange Server verwendet werden kann:
$bytes = new-object "System.Byte[]" 30
(new-object System.Security.Cryptography.RNGCryptoServiceProvider).GetBytes($bytes)
[Convert]::ToBase64String($bytes)
Wenn es nur einen Exchange Server gibt, kann das Setup einen Session Key erzeugen:
Die Installation wird nun abegschlossen:
Im Duo Admin Portal muss jetzt nur noch auf „Save“ geklickt werden:
Die Installation und Konfiguration ist nun bereits abgeschlossen. Benutzer können sich jetzt bereits wie gewohnt an OWA anmelden, werden aber nach der Eingabe von Benutzernamen und Passwort aufgefordert, sich zusätzlich per Duo zu authentifizieren.
Zunächst erfolgt die normale Anmeldung an OWA:
Wenn der Benutzer noch keine Möglichkeit zur Authentifizierung mittels zweiten Faktor hat. wird er aufgefordert ein Gerät oder einen Sicherheitsschlüssel hinzuzufügen:
Nachdem der Benutzer die Einrichtung abgeschlossen hat, kann er auch die Duo App für Push Authentifizierung verwenden. Die Eingabe eines Codes ist dann nicht mehr erforderlich:
Leider funktioniert diese Möglichkeit der 2FA aber nur für OWA, nicht für ActiveSync oder Verbindungen von Outlook. Sollte in der Organisation nur OWA im Internet verfügbar sein, könnte also beispielsweise Duo für die 2FA verwenden. Wer weitere Exchange Protokolle im Internet veröffentlicht hat, sollte lieber zu „Hybrid Modern Authentication (HMA)“ wechseln. Zu HMA folgt in Kürze ein Artikel.
Habe ich seit bald zwei Jahren im Einsatz. Läuft absolut geschmeidig. Manchmal kann es nach der Installation eines CU vorkommen, dass man das Setup neu rüberlaufen lassen muss, damit Duo wieder funktioniert. Wichtig dabei ist dann, die .msi als Administrator (über CMD) aufzurufen.
Hi, das kann nicht nur so sein, sondern das ist erforderlich und bei Duo auch so dokumentiert:
https://help.duo.com/s/article/1074?language=en_US
Eine Reparaturinstallation hilft nicht, sondern Deinstallieren und neu Installieren.
Achso, das bezieht sich nur auf CUs. Bei SUs ist es nicht notwendig.
Schöner Artikel, aber ohne die zusätzlichen Dienste nicht wirklich sicherer.
Da könnte auch die sophos mit Waf her halten.
Sollte nicht auch in einer der nächsten Updates for onPrem von Microsoft eine MFA Lösung kommen?