Artykuł pochodzi z wydania: Styczeń 2020
Zwiększanie bezpieczeństwa jest procesem ciągłym i dotyczy wszystkich składników infrastruktury IT. Jednym z elementów poprawy bezpieczeństwa jest włączenie nowoczesnego uwierzytelniania dla klientów Outlook w systemach pocztowych platformy Office 365.
Uwierzytelnianie jest jednym z podstawowych elementów praktycznie w każdym współczesnym systemie informatycznym. To właśnie dzięki niemu możliwe jest określenie tożsamości użytkownika łączącego się do zasobów, a tym samym upewnienie się, że osoba chcąca uzyskać dostęp, na przykład do skrzynki pocztowej platformy Office 365, jest w rzeczywistości tą, za którą się podaje.
Dotychczasowa łączność klientów pocztowych Outlook w ramach programu Exchange odbywała się za pośrednictwem protokołów Outlook Anywhere (RPC over HTTP), tudzież jego następcy MAPI over HTTP. Niestety wadą tej komunikacji było korzystanie z mechanizmu uwierzytelniania podstawowego (Basic Authentication). Bazował on na wykorzystywaniu wyłącznie klasycznego loginu i hasła, co zwiększało podatność na ataki typu brute force, za pomocą których możliwe jest nieautoryzowane pozyskanie dostępu do skrzynki pocztowej. Na szczęście nie jest to jedyny mechanizm uwierzytelniania udostępniony użytkownikom. Aktualnie w ramach aplikacji dostarczanych na platformie Office 365 możliwe jest wykorzystywanie nowoczesnych metod uwierzytelniania, czyli tak zwanego Modern Authentication.
> Nowoczesne uwierzytelnianie w Outlook
Nowoczesne uwierzytelnianie (Modern Authentication) jest nową metodą zarządzania tożsamością. Wykorzystuje mechanizmy logowania z biblioteki Active Directory Authentication Library (ADAL), dzięki czemu oferuje wysoki poziom zabezpieczeń dotyczących uwierzytelniania i autoryzacji użytkowników końcowych. Umożliwia on m.in. stosowanie uwierzytelniania wieloskładnikowego (Multi-Factor Authentication) oraz uwierzytelniania opartego na certyfikatach i kartach inteligentnych. Co ważne, nowoczesne uwierzytelnianie jest w pełni kompatybilne z zasadami dostępu warunkowego (Conditional Access) usługi Azure Active Directory, tak więc skutecznie może być wykorzystywane wraz z systemami zarządzania urządzeniami mobilnymi (Mobile Device Management), jak np. Microsoft Intune. Widać zatem, że nowoczesne uwierzytelnianie idealnie wpasowuje się w bieżący trend pracy z wykorzystaniem własnych urządzeń, czyli BYOD (Bring Your Own Device).
W przypadku aplikacji Outlook obsługa nowoczesnego uwierzytelniania dostępna jest jedynie w wersjach Office 2013 lub nowszych. Należy jednak pamiętać, że w przypadku pakietu Office 2013 do włączenia obsługi Modern Authentication konieczne jest ręczne wprowadzenie dwóch modyfikacji rejestrów systemu Windows. Można to zrobić za pomocą następujących poleceń Windows PowerShell:
New-ItemProperty -Path HKCU:SOFTWAREMicrosoftOffice15.0Common`
Identity -Name EnableADAL -Value 1 -PropertyType DWORD
New-ItemProperty -Path HKCU:SOFTWAREMicrosoftOffice15.0Common`
Identity -Name Version -Value 1 -PropertyType DWORD
W przypadku aplikacji Office 2016 lub nowszych omawiany mechanizm uwierzytelniania jest domyślnie włączony, dlatego nie ma potrzeby wprowadzania wspomnianych modyfikacji rejestrów Windows. W przypadku gdy zajdzie potrzeba wyłączenia obsługi nowoczesnego uwierzytelniania, wystarczy zmienić wpis rejestru EnableADAL z wartości 1 na 0:
New-ItemProperty -Path HKCU:SOFTWAREMicrosoftOffice15.0Common`
Identity -Name EnableADAL -Value 0 -PropertyType DWORD -Force
Wykaz wszystkich możliwych przypadków uwierzytelniania aplikacji Office w wypadku łączenia się z serwerami Exchange Online został przedstawiony w tabeli. Mechanizm nowoczesnego uwierzytelniania jest również dostępny w przypadku aplikacji Outlook 2016 dla komputerów Mac (Outlook 2016 for Mac) lub nowszych. Dodatkowo jest także natywnie wykorzystywany w przypadku aplikacji Outlook dla urządzeń mobilnych w systemach iOS i Android.
> Exchange Online
Oprócz obsługi klienta pocztowego konieczne jest również włączenie mechanizmu nowoczesnego uwierzytelniania po stronie systemów Exchange Online oraz Skype dla firm Online. Mimo że omawiany przypadek dotyczy wsparcia dla nowoczesnego uwierzytelniania w dostępie do skrzynek pocztowych, zalecane jest równoczesne włączenie opisywanego mechanizmu również dla usługi Skype dla firm Online.
Pozwoli to uniknąć sytuacji występowania wielokrotnych monitów dotyczących logowania się do klientów Skype for Business. Należy jednak zaznaczyć, że omawiana kwestia dotyczy tylko dzierżaw usługi Office 365, które były założone przed 1 sierpnia 2017 roku. Wszystkie usługi zakładane po tej dacie posiadają domyślnie włączoną obsługę Modern Authentication.
[…]
Michał Gajda
Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.
