Product Documentation

Zertifikatbasierte Authentifizierung mit Office 365

Secure Mail unterstützt die zertifikatbasierte Authentifizierung (auch bekannt als clientbasierte Authentifizierung) für Office 365. Secure Mail-Benutzer mit IOS- und Android-Geräten können die zertifikatbasierte Authentifizierung beim Herstellen einer Verbindung mit Office 365 nutzen. Bei der Anmeldung bei Secure Mail erfolgt die Authentifizierung mit einem Clientzertifikat anstelle der Anmeldeinformationen. In diesem Abschnitt wird erläutert, wie Sie die zertifikatbasierte Authentifizierung für Office 365 konfigurieren.

Die zertifikatbasierte Authentifizierung wird von Secure Mail für lokale Exchange-Konfigurationen unterstützt. Wenn Sie die zertifikatbasierte Authentifizierung bereits in XenMobile eingerichtet haben, konfigurieren Sie jetzt Exchange Online, Azure Active Directory und Active Directory-Verbunddienste (AD FS) unter Windows Server. Benutzer mit Secure Mail-Version 10 und höher können dann die zertifikatbasierte Authentifizierung für ihr Office 365-Konto nutzen.

Wenn Sie die zertifikatbasierte Authentifizierung nicht in XenMobile konfiguriert haben, aktivieren Sie das Feature zunächst in der XenMobile-Konsole. Einzelheiten finden Sie unter Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne. Anschließend aktivieren Sie die zertifikatbasierte Authentifizierung für Exchange Online, Azure AD und AD FS unter Windows Server.

Bei den Verfahren in diesem Abschnitt wird davon ausgegangen, dass Sie die zertifikatbasierte Authentifizierung auf dem XenMobile-Server aktiviert haben.

Die folgende Abbildung zeigt die Integration der an der zertifikatbasierten Authentifizierung beteiligten Komponenten.

Abbildung der Komponenten für die zertifikatbasierte Authentifizierung

Voraussetzungen

  • Eine Kopie des bei der Konfiguration der PKI-Entitäten in der XenMobile-Konsole von der Zertifizierungsstelle (CA) generierten Zertifikats (x.509).
  • Die Zertifizierungsstelle muss eine Zertifikatsperrliste (CRL) haben, die über eine URL referenziert werden kann.
  • Wählen Sie für das Zertifikatfeld Subject Alternative Name die E-Mail-Adresse des Benutzers für den Wert RFC822 Name oder Principal Name aus. Beispiel in der folgenden Abbildung.

Abbildung des Zertifikatfeldes "Subject Alternative Name"

Nachfolgend wird die zertifikatbasierte Authentifizierung für Exchange Online, Azure AD und AD FS unter Windows Server erläutert.

Dieser Artikel enthält eine Zusammenfassung der Konfigurationsanweisungen von Microsoft. Wenn Sie Probleme mit der Konfiguration der Microsoft-Komponenten haben, konsultieren Sie die Dokumentation von Microsoft, die weitere Informationen enthält.

Aktivieren von Exchange Online

Microsoft Exchange Online verwendet moderne Authentifizierungsfeatures des Office 365-Mandanten. Damit sind mehrstufige Authentifizierung, Authentifizierung per Smartcard, zertifikatbasierte Authentifizierung und Drittanbieter-SAML-Identitätsanbieter möglich. Die moderne Authentifizierung ist in der Standardeinstellung in Exchange Online nicht aktiviert. Führen Sie folgende Schritte aus, um die moderne Authentifizierung zu aktivieren.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her. Weitere Informationen finden Sie in der Dokumentation von Microsoft.
  2. Führen Sie den folgenden Befehl aus:

    Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

  3. Zur Überprüfung, ob die Änderung erfolgreich war, führen Sie den folgenden Befehl aus.

    `Get-OrganizationConfig | Format-Table -Auto Name,OAuth*`

Konfigurieren von Azure AD

Online Exchange sendet einen prompt=login-Befehl in einer Anforderung an Azure AD. Standardmäßig übersetzt Azure AD diesen Befehl an AD FS in wauth=usernamepassworduri.

Standardmäßig fordert Azure AD bei AD FS eine U/P-Authentifizierung an. Azure AD sendet außerdem den Befehl 'wfresh=0', sodass Azure ADD den Single Sign-On-Zustand ignoriert und eine neue Authentifizierung durchführt.

  1. Ändern Sie die Standardeinstellung des Azure AD-Parameters Set PromptLoginBehavior.

    • Stellen Sie eine Verbindung mit der Office 365-PowerShell her. Weitere Informationen finden Sie in der Dokumentation von Microsoft.
    • Führen Sie den folgenden Befehl in der Office 365-PowerShell aus.

      Hinweis:

      Die Domäne ist mit der E-Mail-Serverdomäne identisch.

    Set-MSOLDomainFederationSettings -domainname <domain> -PromptLoginBehavior Disabled

  2. Konfigurieren der Zertifizierungsstellen in Azure AD Laden Sie den öffentlichen Teil des Stammzertifikats hoch (siehe Liste der Voraussetzungen oben).

    • Stellen Sie eine Verbindung mit der Azure AD-PowerShell her. Weitere Informationen finden Sie in der Dokumentation von Microsoft.
    • Führen Sie die nachfolgend aufgeführten Befehle in der Azure AD-PowerShell aus. Die CER-Datei ist lokal auf dem Computer verfügbar.

    $cert=Get-Content -Encoding byte "[LOCATION OF THE CER FILE]" $new_ca=New-Object -TypeName Microsoft.Open.AzureAD.Model.CertificateAuthorityInformation $new_ca.AuthorityType=0 $new_ca.TrustedCertificate=$cert New-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $new_ca

  3. Konfigurieren Sie die Sperrung in Azure Active Directory.

    Zum Sperren eines Clientzertifikats ruft Azure AD die Zertifikatsperrliste (CRL) aus den zusammen mit den Zertifizierungsstelleninformationen hochgeladenen URLs ab und speichert sie. Der Zeitstempel der letzten Veröffentlichung (Effective Dateproperty) in der CRL wird verwendet, um sicherzustellen, dass die Zertifikatsperrliste noch gültig ist. Die CRL wird regelmäßig referenziert, um den Zugriff auf Zertifikate in der Liste zu sperren. Um sicherzustellen, dass die Sperrung wirksam bleibt, müssen Sie den Parameter Effective Date der CRL auf ein Datum nach dem durch StsRefreshTokenValidFrom festgelegten Wert festlegen.

    Stellen Sie außerdem sicher, dass das Zertifikat auf der Zertifikatsperrliste ist. Nachfolgend wird das Verfahren zum Aktualisieren und Ungültigmachen des Autorisierungstokens über das Feld StsRefreshTokenValidFrom erläutert.

    • Stellen Sie eine Verbindung mit dem MSOL-Dienst her. Weitere Informationen finden Sie in der Dokumentation von Microsoft.
    • Rufen Sie den aktuellen Wert von StsRefreshTokensValidFrom für einen gültigen Benutzer ab, indem Sie die folgenden Befehle ausführen.

      $user = Get-MsolUser -UserPrincipalName test@yourdomain.com $user.StsRefreshTokensValidFrom

    • Konfigurieren Sie einen neuen StsRefreshTokensValidFrom-Wert für den Benutzer, der dem aktuellen Zeitstempel entspricht, indem Sie den folgenden Befehl ausführen.

      Set-MsolUser -UserPrincipalName test@yourdomain.com -StsRefreshTokensValidFrom ("03/15/2017")

Das Datum muss in der Zukunft liegen. Wenn das Datum nicht in der Zukunft liegt, wird die Eigenschaft StsRefreshTokensValidFrom nicht festgelegt. Wenn das Datum in der Zukunft liegt, wird StsRefreshTokensValidFrom auf die aktuelle Uhrzeit festgelegt (nicht auf das von dem Befehl Set-MsolUser angegebene Datum).

Konfigurieren von AD FS

Zum Konfigurieren von AD FS führen Sie zwei Hauptschritte aus.

  • Aktivieren Sie Zertifikate als Authentifizierungsmethode.
  • Konfigurieren Sie Ansprüche in einem AD FS-Token.
  1. Aktivieren Sie Zertifikate als Authentifizierungsmethode.

    • Öffnen Sie die AD FS-Verwaltungskonsole und navigieren Sie zu Dienst > Authentifizierungsmethoden > Primäre Authentifizierungsmethoden bearbeiten.

      Abbildung des Bildschirms zu den Authentifizierungsmethoden

    • Aktivieren Sie unter Extranet das Kontrollkästchen Zertifikatauthentifizierung.

    • Aktivieren Sie optional unter Intranet das Kontrollkästchen Zertifikatauthentifizierung.

    Die meisten Geräte, die die Clientzertifikatauthentifizierung verwenden, kommen sehr wahrscheinlich aus dem Extranet. Aus diesem Grund ist die Intranet-Auswahl optional.

    Abbildung der Extranetoptionen

  2. Konfigurieren Sie Ansprüche im AD FS-Token.

    Azure AD sendet den Aussteller und die Seriennummer an AD FS, damit AD FS die Authentifizierung in verschiedenen Zugriffsszenarios widerrufen oder verweigern kann. Wenn ein Gerät beispielsweise verloren geht oder gestohlen wird, kann der Administrator die Zertifikatsperrliste aktualisieren. Azure AD sperrt den Zugriff dann durch die Clientzertifikatauthentifizierung. Führen Sie folgende Schritte aus, um Ansprüche zu konfigurieren.

    • Navigieren Sie zu Dienst > Anspruchbeschreibungen > Anspruchbeschreibung hinzufügen.

      Abbildung des Bildschirms "Anspruchbeschreibung hinzufügen"

    • Fügen Sie für die Anspruchsanbieter-Vertrauensstellung die folgenden beiden Regeln hinzu. Diese Regeln geben an, dass AD FS Active Directory-Benutzer bei der Authentifizierung durchlassen soll.

      Serial Number of the Client Certificate - http://schemas.microsoft.com/ws/2008/06/identity/claims/<serialnumber>

      Issuer of the client certificate - http://schemas.microsoft.com/2012/12/certificatecontext/field/<issuer>

Die folgenden Abbildungen zeigen Beispiele für ausgefüllte Felder.

Abbildung der Seriennummereigenschaften

Abbildung der Ausstellereigenschaften

Zertifikatbasierte Authentifizierung mit Office 365