- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- MULTIFACTOR Directory Sync
- Windows Logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- Deckhouse Stronghold
- Exchange ActiveSync
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco
- Infrascope
- Grafana
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI/SSH)
- Linux SSH
- Linux SUDO
- Microsoft Entra ID
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Palo Alto GlobalProtect
- Passwork
- RD Gateway (RDGW)
- Redmine
- Solar SafeInspect
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- WordPress
- Yandex.Cloud
- Yandex 360
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Настройка двухфакторной аутентификации Exchange ActiveSync
В статье описывается настройка второго фактора для управления устройствами Exchange ActiveSync.
Схема работы
- В Exchange сервере предусмотрен механизм карантина ActiveSync устройств.
- Сразу же после подключения мобильной почты, устройств попадает в карантин и может быть одобрено или отклонено для использования администратором Exchange сервера.
- До одобрения мобильная почта не работает, а единственное письмо, которое придёт на устройство в карантине — это информация, что устройство ожидает подтверждения администратором.
- Портал самообслуживания предлагает возможность пользователю после прохождения второго фактора самостоятельно управлять устройствами для своего почтового ящика: включать и выключать доступ.
Для настройки второго фактора аутентификации Вам потребуется установить и настроить Портал самообслуживания.
Важно
Для работы с ActiveSync необходим именно windows Портал самообслуживания.
Настройка Exchange
- Зайдите в центр администрирования Exchange, раздел «Мобильные устройства», нажмите «Изменить».
- Включите карантин
- В шаблон письма для пользователя вставьте сообщение и ссылку на портал.
Настройка портала
- Добавьте в конфигурацию ключ
<add key="enable-exchange-active-sync-devices-management" value="true"/>
- Разрешите порталу работать с Exchange:
- Создайте в AD служебную учетную запись, поместите ее в группу Exchange Trusted Subsystem.
- Настройте разрешения для учетной записи на чтение папки с сайтом и записи в папку Logs.
- Настройте работу сайта от имени этой учётной записи:
- Откройте IIS
- В разделе Application Pools выберите DefaultAppPool и откройте Advanced Settings
- В разделе Identity укажите созданную учётную запись
- Перезагрузите IIS (iisreset)
Вопросы и ответы:
Где прописывается сервисная учётная запись для подключения к Active Directory?
Для проверки логина и пароля сервисная учётная запись не используется, портал подключается к AD от имени пользователя, который запрашивает аутентификацию. Смена пароля и управление Exchange ActiveSync устройствами осуществляется от имени пользователя, под которым сайт запущен в IIS.
Какие командлеты PowerShell использует портал для работы с устройствами Exchange ActiveSync?
Работа идёт напрямую с Active Directory, без командлетов.
Пользователю, под которым запущен сайт в IIS необходимы права на чтение и запись следующих LDAP атрибутов в контейнере пользователей:
На чтение:
Объекты User
distinguishedName
Объекты msExchActiveSyncDevice
msExchDeviceID msExchDeviceFriendlyName msExchDeviceModel msExchDeviceType whenCreated msExchDeviceAccessState msExchDeviceAccessStateReason objectClass
На запись:
Объекты User
msExchMobileAllowedDeviceIDs msExchMobileBlockedDeviceIDs
Объекты msExchActiveSyncDevice
msExchDeviceAccessState msExchDeviceAccessStateReason
Если что-то не работает
Ошибка 504 Gateway time-out
Мы используем оператора NGENIX в целях защиты от DDoS и фильтрации трафика от вредоносных запросов. Адреса в DNS ротируются раз в 30 минут из пула адресов NGENIX. Можете попробовать на Вашем межсетевом экране внести сетевые префиксы NGENIX в список доверенных. Сам список по ссылке.
