Алексей Лукаш
Олег СенченкоПри наличии опубликованного в интернете доступа для мобильных почтовых клиентов по протоколу ActiveSync вне зависимости от настроек OWA всегда имеется возможность производить брутфорс-атаку в обход ограничений, установленных для доступа к OWA. В связи с этим возможны два подхода к организации доступа к Outlook on the web:
-
Сделать Outlook on the web доступным только после подключения к VPN и запретить доступ через интернет. Доступ для мобильных клиентов организуйте согласно рекомендациям, приведенным в статье о настройке почтовых клиентов для мобильных устройствнастройке почтовых клиентов для мобильных устройствнастройке почтовых клиентов для мобильных устройств.
-
При необходимости опубликовать Outlook on web на внешнем периметре и сделать доступным через интернет выполните все нижеперечисленные пункты:
- Настройте для мобильных клиентов аутентификацию по сертификатам, как предлагается в разделе 2 статьи о настройке почтовых клиентов для мобильных устройствнастройке почтовых клиентов для мобильных устройствнастройке почтовых клиентов для мобильных устройств.
- Настройте для Outlook on the web аутентификацию с помощью AD FS (подробная информация доступна по ссылке). AD FS позволяет в дальнейшем подключить многофакторную аутентификацию не только для Outlook on the web, но и для любых приложений, поддерживающих технологию SSO (единый вход) и протокол SAML.
- Опубликуйте Outlook on the web через Web Application Proxy (подробная информация доступна в разделе Step 5 по ссылке).
- Настройте многофакторную аутентификацию при использовании Outlook on the web (например, Multifactor). Подключение многофакторной аутентификации производится с помощью плагина к AD FS согласно инструкции, доступной по ссылке.
- Проверьте правильность публикации сервисов Microsoft Exchange.