Protect Exchange OWA with Duo 2FA

Frank Zöchling

2 years ago

Duo makes it very easy to protect OWA in an Exchange on-prem organization with 2-factor authentication. Duo is free for up to 10 users:

https://duo.com/editions-and-pricing/duo-free

Hier gibt es ein kleines How-To zur Konfiguration. Sobald ihr ein Duo Konto angelegt habt, könnt ihr im Admin Portal unter dem Punkt „Protect an Application“ nach „OWA“ suchen und die Schaltfläche „Protect“ anklicken:

At the same time, you can download the OWA installer and install it on the Exchange server. The installer can be downloaded here:

Duo OWA Installer Package for Exchange 2013+

Die Installation ist selbsterklärend, es muss nur ein paar mal auf „Next“ geklickt werden:

During installation, the details must be copied from the Duo Admin Portal and entered into the installer's installation process:

If there are several Exchange servers in the organization, all servers should use the same session key. The following command for the PowerShell creates a session key that can be used for all Exchange servers:

$bytes = new-object "System.Byte[]" 30
(new-object System.Security.Cryptography.RNGCryptoServiceProvider).GetBytes($bytes)
[Convert]::ToBase64String($bytes)

If there is only one Exchange server, the setup can generate a session key:

The installation is now completed:

Im Duo Admin Portal muss jetzt nur noch auf „Save“ geklickt werden:

The installation and configuration is now complete. Users can now log in to OWA as usual, but after entering their user name and password they will be prompted to additionally authenticate themselves via Duo.

The first step is the normal login to OWA:

If the user does not yet have the option to authenticate using a second factor, they will be prompted to add a device or a security key:

When setting up a cell phone, the user must first enter their telephone number. An SMS is sent to the phone number for confirmation. An account is automatically created for the user:

Once the user has completed the setup, they can also use the Duo app for push authentication. It is then no longer necessary to enter a code:

Leider funktioniert diese Möglichkeit der 2FA aber nur für OWA, nicht für ActiveSync oder Verbindungen von Outlook. Sollte in der Organisation nur OWA im Internet verfügbar sein, könnte also beispielsweise Duo für die 2FA verwenden. Wer weitere Exchange Protokolle im Internet veröffentlicht hat, sollte lieber zu „Hybrid Modern Authentication (HMA)“ wechseln. Zu HMA folgt in Kürze ein Artikel.