Configure Smart Card Authentication for Outlook Anywhere in Exchange 2013

  • Articolo
  • 4 minuti per la lettura

 

**Si applica a:**Exchange Server 2013

**Ultima modifica dell'argomento:**2018-02-06

L'associazione delle smart card degli utenti ai PIN fornisce un modulo affidabile e conveniente di autenticazione a due fattori. Quando l'autenticazione a due fattori è configurata, gli utenti che accedono alle risorse di rete devono avere una smart card fisica e un PIN associato a tale smart card. Questa combinazione smart card/PIN riduce il rischio di accessi non autorizzati alle risorse di rete di un'organizzazione.

Prerequisiti per l'utilizzo dell'autenticazione con smart card con Outlook via Internet

Prima di utilizzare l'autenticazione con smart card per Outlook via Internet, è necessario verificare che l'ambiente soddisfi i requisiti per client e server seguenti.

  • Un computer client aggiunto a un dominio che esegue Windows 8, Microsoft Office 2013 o Microsoft Office 2010, con tutti gli aggiornamenti disponibili pubblicamente.

  • Exchange Server 2013 SP1 o versione successiva.

  • Una PKI installata e configurata correttamente per l'emissione di certificati delle smart card. La PKI deve essere collegata ad Active Directory e in grado di emettere certificati per motivi di accesso con smart card.

  • SSL deve terminare il server Accesso client. Non è supportato l'utilizzo di un dispositivo di rete che esegue la preautenticazione delle sessioni SSL rispetto a Microsoft Exchange.

  • Tutte le connessioni di Outlook client devono utilizzare Outlook via Internet. Dopo aver abilitato l'autenticazione con smart card per Outlook via Internet, le altre connessioni (come una connessione Outlook su MAPI-HTTP) non funzionano.

  • Una smart card virtuale con chip TPM o fisica per ogni utente, contenente il certificato utente per ciascun utente. Non è possibile utilizzare certificati software archiviati nel Registro di sistema del computer locale per questa funzionalità.

Abilitare l'autenticazione con smart card

Per abilitare l'autenticazione con smart card, attenersi alla procedura seguente su ogni server Accesso client nell'organizzazione.

  1. Installare i certificati con tutti i nomi relativi. Assicurarsi che l'autorità di certificazione sia considerata attendibile dai client e dai server.

  2. Configurare Outlook via Internet per l'accesso interno ed esterno (è possibile utilizzare gli stessi spazi dei nomi per entrambi), quindi confermare che l'autenticazione NTLM sia selezionata come metodo di autenticazione client. Verificare che Outlook via Internet si connetta correttamente con queste impostazioni (vedere Verifica della connettività di Outlook via Internet per ulteriori informazioni).

  3. Accertarsi che ExternalURL per le directory virtuali della rubrica offline e di Servizi Web Exchange siano configurate per l'utilizzo di HTTPS.

  4. Eseguire lo script PowerShell seguente per configurare le directory virtuali.

    <Exchange install drive>:\Program Files\Microsoft\Exchange Server\V14\Scripts\Enable-OutlookCertificateAuthentication.ps1

  5. Modificare IIS tramite l'utilità della riga di comando Netsh.

    1. In un prompt dei comandi o di PowerShell, immettere netsh.

    2. Nel prompt netsh, immettere http e quindi premere Invio.

    3. Nel prompt netsh http, immettere show ssl, quindi cercare il binding del sito Web predefinito. È indicato dal valore IP:port di 0.0.0.0:443.

    4. Si notino i valori Certificate Hash e Application ID.

      Esempio:

      IP:port          : 0.0.0.0:443

Certificate Hash        : f4d5419255e87004b2ec8bacd33a38e1cfebdaea

Application ID      : {4dc3e181-e14b-4a21-b022-59fc669b0914}

    5. Eliminare il binding del certificato del sito predefinito eseguendo il comando riportato seguito:

      delete sslcert ipport=0.0.0.0:443

    6. Ricreare il binding utilizzando i valori Hash e App ID indicati in precedenza e includere tutti i parametri seguenti:

      Add sslcert ipport=0.0.0.0:443 certhash=f4d5419255e87004b2ec8bacd33a38e1cfebdaea appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY verifyclientcertrevocation=Enable verifyrevocationwithcachedclientcertonly=Disable UsageCheck=Enable clientcertnegotiation=Enable DSMapperUsage=Enable

  6. Riavviare il server.

  7. In Gestione Internet Information Services (IIS), aumentare il valore uploadReadAheadSize.

    1. In Gestione IIS, espandere il nodo per Exchange Server, espandere Siti e selezionare Sito Web predefinito.

    2. Nella scheda Visualizzazione funzionalità, selezionare Editor di configurazione.

    3. In Azioni, selezionare Apri funzionalità.

    4. Nel menu a discesa Sezione, fare clic per espandere system.webServer, quindi selezionare serverRuntime.

    5. Modificare il valore di uploadReadAheadSize in 10485760.

  8. In ogni computer client, modificare il Registro di sistema. A tale scopo, eseguire la procedura seguente:

    1. Individuare HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC.

      Nota:

      • Se i client utilizzano Outlook 2010, sostituire "14.0" con "15.0."

      • Se i client utilizzano Outlook 2016, sostituire "16.0" con "15.0."

    2. Aggiungere un valore DWORD denominato EnableSmartcard, quindi impostare il valore su 00000001.

    3. Individuare HKEY_CURRENT_USER\Software\Microsoft\Exchange.

    4. Aggiungere un valore DWORD per la versione appropriata di Outlook.

      Per Outlook 2010 e 2013

      Aggiungere un valore DWORD denominato MsoAuthDisabled, quindi impostare il valore su 1.

      Per Outlook 2016

      Aggiungere un valore DWORD denominato AlwaysUseLegacyAuthForAutodiscover, quindi impostare il valore su 1.

Al termine, tutti i nuovi profili dovrebbero richiedere un certificato per la connessione di Individuazione automatica e richiedere di nuovo la connessione a Exchange Server. Per i profili già presenti prima che questa configurazione venisse abilitata sarà necessario un ripristino, che potrebbe richiedere diversi riavvi di Outlook affinché siano resi effettivi.

Verifica che le smart card siano state attivate

Dopo che la configurazione viene applicata e Outlook si connette, nella finestra di dialogo dello stato della connessione di Outlook viene visualizzata l'autenticazione utilizzata come Cert, in modo analogo al seguente esempio:

Schermata della finestra di dialogo Stato connessione Outlook

Una volta abilitata l'autenticazione con smart card, le connessioni client di Outlook per i servizi di posta e directory vengono effettuate per la directory virtuale /RPCWithCert sul server Accesso client, anziché per la directory virtuale /RPC. Di conseguenza, è necessario assicurarsi che tali percorsi vengano pubblicati correttamente.

Migrazioni da versioni precedenti di Exchange

Se è stata precedentemente abilitata l'autenticazione con smart card per la distribuzione di Exchange Server 2010 e si desidera migrare a Exchange Server 2013, è necessario accertarsi che tutti i server di Exchange 2010 eseguano Service Pack 3 CU 11 o versioni successive.

Inoltre, in ogni server Accesso client di Exchange Server 2010, è necessario modificare la voce seguente nel file Web.config situato nella cartella della directory virtuale AutoDiscovery:

  • <add key="SmartCardAuthenticationEnabled" value="false"/>

Il valore predefinito è "false". Modificare questo valore su "true".

Dopo aver apportato questa modifica, è necessario verificare che tutti i client nell'organizzazione siano configurati per l'utilizzo di Exchange 2013 per individuazione automatica, aggiornando DNS o il bilanciamento del carico.

Una volta apportate queste modifiche, un utente con una cassetta postale di Exchange Server 2010 continua a ricevere le impostazioni corrette da Individuazione automatica e potrà eseguire l'autenticazione. Senza queste modifiche, l'utente che dispone di una cassetta postale di Exchange 2010 riceve le impostazioni predefinite per l'endpoint di Outlook via Internet (in questo caso, NTLM) e tale utente è in grado di eseguire l'autenticazione una volta spostato l'endpoint di Individuazione automatica.