如何为电子邮件交换服务器实施MFA

将电子邮件保密听起来可能是一项简单的任务，但在当今的威胁形势下，这远非事实。这是因为网络犯罪分子可以从攻击您的电子邮件帐户中获益良多。这就是欺骗、网络钓鱼和社会工程等诈骗都旨在获取访问权限的原因。贵公司的电子邮件数据很有价值；保护它应该是重中之重。

值得庆幸的是，多因素身份验证 (MFA) 是保护自己免受与身份相关的网络攻击的最实惠但最有效的方法之一。它实际上消除了来自蛮力攻击和其他利用被盗密码的方法的未经授权的访问。考虑到据估计81%的数据泄露是由于密码安全性差造成的，这是一项巨大的改进。

如果这听起来好得令人难以置信，这里有一个警告：它只有在正确配置时才有效。当您在诸如电子邮件交换服务器之类的东西上实现它时，这是一个棘手的挑战。

我们是一家专注于安全的托管服务提供商 (MSP)，致力于帮助企业学习如何保护他们的数据。在本文中，我们将了解实施 MFA 可以采取的不同方法和步骤。

为 Exchange Online 实施 MFA

通过 Microsoft 的 Azure Active Directory (AD)为所有基于云的应用程序实施MFA非常简单。您可以通过 Azure 门户手动执行此操作，也可以通过启用安全默认值对所有人强制执行此操作。这将迫使您网络上的每个人都使用 MFA 并阻止旧式身份验证，从而大大提高您的安全性。然而，它并不完美。

安全默认值将对您的网络进行大量配置更改，其中一些可能会导致整个系统出现问题。例如，如果您仍在使用不支持现代身份验证方法的旧应用程序，则在启用安全默认值后使用它们可能会遇到问题。

微软已经为所有人推出了安全默认设置。这意味着如果您的系统是最新的，您应该已经启用或配置了您的系统。但是，如果您的系统较旧，您应该会收到来自 Microsoft 的通知，通知您安全默认值将自动启用，除非您明确拒绝它。

为本地 Exchange 服务器实施 MFA

这就是实施 MFA 可能会变得棘手的地方。您的旧 Exchange本地服务器不再与集成 Windows 身份验证 (IWA) 和 Azure AD 兼容。这意味着如果你想实施 MFA，你必须要有创造力。您可以通过将 Azure AD 与称为 Active Directory 联合服务 (ADFS) 的 Microsoft 单点登录解决方案集成来做到这一点。

ADFS 最初设计用于在 Windows 生态系统和组织边界之外的应用程序中对用户进行身份验证。它允许在公司网络之外安全地共享身份信息，以便您可以访问由您信任的组织托管的面向 Web 的资源。但是，它还允许您使用 ADFS 为 Azure MFA 注册用户。

但是，要做到这一点，您首先需要满足以下要求：

• Windows Server 2016 AD FS 本地环境
• 带有 Azure Active Directory 的 Azure 订阅。
• Azure MFA 适配器

为本地服务器实施 MFA 的步骤：

1. 在每个 ADFS 服务器上为 Azure MFA 生成证书

第一步是生成一个供 Azure MFA 使用的证书。为此，您可以打开 PowerShell 提示符，然后使用以下 cmdlet 生成新证书：$certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID

请注意，TenantID 是 Azure AD 中目录的名称。生成的证书可以在本地计算机证书存储中找到，并标有主题名称以及 Azure AD 目录的 TenantID。

2. 将新凭据添加到 Azure MFA 客户端服务主体

要添加新凭据，请打开 PowerShell 并将证书设置为针对 Azure MFA 客户端的新凭据，方法是键入：

New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -类型不对称 -使用验证 -值 $certBase64

将新凭据添加到 Azure MFA 客户端的服务主体后，ADFS 服务器将能够与其通信。

3. 将 Azure MFA 设置为 ADFS 服务器的主要身份验证方法

在每台 ADFS 服务器上完成上述步骤后，将 Azure MFA 设置为其主要身份验证方法。您可以通过在 Powershell 上执行以下 cmdlet 来做到这一点：

Set-AdfsAzureMfaTenant -TenantId <租户 ID> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

之后，您将看到 Azure MFA 可用作 Intranet 和 Extranet 使用的主要身份验证方法。

这可能看起来很简单，但有很多因素会使这个过程变得非常棘手。例如，某些 Windows Server 没有最新的服务包，这意味着前面的步骤可能无法配置您的 Azure 租户。在这些情况下，您可能必须手动创建注册表项。

如果这看起来太多，请不要担心。可靠的 IT 支持公司可以帮助您完成每一步，从而保护您的电子邮件交换服务器。寻求专家的帮助并没有错。

准备好为您的电子邮件交换服务器设置 MFA 了吗？

在您的 Exchange 服务器上实施 MFA 是保护您的电子邮件的最有效且经济实惠的方法之一。但是请记住，它仅在正确配置时才有效。它可以是一个简单的过程，就像您为云应用程序实施它时一样，或者像您为本地服务器实施它时一样棘手。

希望通过上面的指南，您将能够毫无问题地实施 MFA。但是，如果事情进展不顺利，请不要犹豫，向 IT 支持公司寻求帮助。可靠的 MSP 拥有在第一时间完成工作的专业知识和经验。