• Startseite
• App-Integrationen
• MFA-Integrationen
• Zwei-Faktor-Authentifizierung (2FA) für Outlook Web App (OWA)

Zwei-Faktor-Authentifizierung (MFA/2FA) für die Outlook Web App (OWA)-Anmeldung

---

Microsoft Outlook Web App (OWA) MFA/2FA ist eine Sicherheitsfunktion, die zwei Faktoren erfordert, um sich bei Ihrem OWA-Konto und Exchange Admin Center (EAC) anzumelden. Der erste Faktor ist etwas, das Sie wissen, beispielsweise Ihr Benutzername und Ihr Kennwort. Der zweite Faktor ist etwas, das Sie haben, beispielsweise ein Sicherheitsschlüssel oder eine Authentifizierungs-App.
miniOrange bietet verschiedene MFA-Methoden und lässt sich nahtlos in mehrere Identitätsanbieter von Drittanbietern integrieren, was die Einrichtung und Verwendung von OWA MFA vereinfacht.
OWA Multi-Faktor-Authentifizierung (MFA) bietet mehrere Vorteile, darunter erhöhte Sicherheit, geringeres Risiko von Datenschutzverletzungen und höhere Produktivität.
Hier sind einige zusätzliche Vorteile von OWA MFA:

• Schützen Sie Ihr Unternehmen vor Phishing-Angriffen.
• Hilft, unbefugten Zugriff auf Ihre E-Mails und andere vertrauliche Daten zu verhindern.
• Trägt dazu bei, dass Sie die Branchenvorschriften besser einhalten.

Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung, um die Zwei-Faktor-Authentifizierung (2FA) für Outlook Web Access (OWA) oder Exchange zu aktivieren

1. OWA / Exchange Gateway in miniOrange IdP konfigurieren

• Melden Sie sich beim miniOrange Dashboard an über Admin-Konsole.
• Klicken Sie auf Anwendung hinzufügen .



• Klicken Sie in der Anwendungsart auf die Schaltfläche „App erstellen“ in SAML/WS-FED Anwendungstyp.



• Suchen Sie im nächsten Schritt in der Liste nach Ihrer Anwendung, falls diese nicht gefunden wird. Suchen Sie nach „Benutzerdefiniert“ und Sie können Ihre App über Benutzerdefinierte WS-Fed-App einrichten.



• Geben Sie die folgenden Informationen in die entsprechenden Felder ein.
• Benutzerdefinierter Anwendungsname: Outlook Web access Owa
• WT-Bereich: https://{owa-url} e.g. https://mail.example.com/owa
• Antwort-URL: https://{owa-url} e.g. https://mail.example.com/owa
• WS-Fed-Gültigkeitsdauer festlegen: 300 s



• Der Attributzuordnung Geben Sie die folgenden Attribute wie unten gezeigt ein:



• Klicken Sie auf Gespeichert.

2. Exchange / OWA für die Anmeldung mit miniOrange konfigurieren

• Nachdem Sie die App gespeichert haben, gehen Sie zu Apps und klicken Sie auf Wählen Sie >> Metadaten gegen die App gespeichert.



• Tag auswählen Metadatendetails anzeigen um die im Bild unten gezeigten Details anzuzeigen.



• Kopieren Sie die WS-Federation-Antwort-URL und laden Sie die X.509-Zertifikat.
• Fügen Sie das oben genannte Zertifikat (das Sie im obigen Schritt erhalten haben) dem Vertrauenswürdige Personen speichern auf der Exchange Server Gehen Sie dazu wie folgt vor:
• Gehen Sie zur Verwaltungskonsole. Öffnen Sie den Ausführen-Dialog (Win + R) und Typ mmc und drücke Enter.
• Gehen Sie in der Management Console zu Datei > Snap-Ins hinzufügen oder entfernen (Strg + M).
• Suchen Sie nach Zertifikate auf der linken Seite und drücken Sie Hinzufügen.
• Wählen Sie im Fenster „Zertifikat-Snap-In“ Computerkonto und drücken Sie Weiter. Dann wählen Sie Lokaler Computer und drücken Sie Fertig stellen.
• Sie sehen einen Eintrag für Zertifikate (lokaler Computer) im rechten Bereich. Klicken Sie auf OK schließen Snap-Ins hinzufügen oder entfernen Fenster.
• Sie sehen einen Zweig namens Zertifikate erstellt unter Konsolen-Root. Erweitere das Zertifikate verzweigen und wählen Sie Vertrauenswürdige Personen.
• Rechtsklick auf Vertrauenswürdige Personen > Suchen > Importieren und klicken Sie auf Next.
• Wählen Sie den Standort des heruntergeladenes Zertifikat Datei, die Sie oben erstellt haben, und klicken Sie auf Next, nochmal Next und Farbe.
• Sie haben erfolgreich ein Signaturzertifikat zu Vertrauenswürdigen Personen hinzugefügt. Schließen Sie nun die Management Console und wählen Sie Nein auf der Eingabeaufforderung Daten speichern.

• Führen Sie die folgenden Befehle auf dem Exchange Server Verwendung der Exchange-Verwaltungsshell.
• Im folgenden Befehl ist ##Basis-URL## der Exchange-/OWA-Host. Der Befehl hat beide URLs: Eine endet mit / und die andere enthält keinen abschließenden Schrägstrich.
  $uris=@("https://##Base URL##/owa/","https://##Base URL##/ecp/","https://##Base URL##/owa","https://##Base URL##/ecp")
  
• Im folgenden Befehl die ##miniOrange URL## ist die WS-Federation-Antwort-URL. Der Cert-Thumbprint ist der SHA-1-Fingerabdruck des heruntergeladenen Zertifikats.

  Hinweis: Stellen Sie sicher, dass der Daumenabdruck des Zertifikats in Großbuchstaben geschrieben ist.

  
  Set-OrganizationConfig -AdfsIssuer "##miniOrange URL##" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint ##Cert Thumbprint##
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false
# Restart w3svc and was net stop was /y net start w3svc

3. 2FA für Outlook Web Access (OWA) konfigurieren

3.1: 2FA für Benutzer der Outlook Web Access (OWA)-App aktivieren

• So aktivieren Sie 2FA für Benutzer der Outlook Web Access (OWA)-Anwendung. Gehen Sie zu Richtlinien >> App-Anmelderichtlinie
• Klicken Sie auf Bearbeiten gegen die von Ihnen konfigurierte Anwendung.



• Aktivieren Sie die 2-Faktor-Authentifizierung (MFA) aktivieren .



• Klicken Sie auf Speichern.

3.2: Konfigurieren Sie 2FA für Ihre Endbenutzer

• Um 2FA/MFA für Endbenutzer zu aktivieren, gehen Sie zu 2-Faktor-Authentifizierung >> 2FA-Optionen für Endbenutzer.
• Standard auswählen Zwei-Faktor-Authentifizierungsmethode für Endbenutzer. Sie können auch bestimmte 2FA-Methoden auswählen, die Sie auf dem Dashboard des Endbenutzers anzeigen möchten.
• Wenn Sie mit den Einstellungen fertig sind, klicken Sie auf Gespeichert um Ihre 2FA-Einstellungen zu konfigurieren.

3.3: 2FA-Setup für Endbenutzer

• Einloggen um Endbenutzer-Dashboard mithilfe der Endbenutzer-Anmelde-URL.
• Für die Cloud-Version: Die von Ihnen festgelegte Login-URL (Branding-URL).
• Für die On-Premise-Version: Die Anmelde-URL ist dieselbe wie die Administrator-Anmelde-URL.
• Tag auswählen 2FA einrichten Wählen Sie dann eine der 2FA-Methode erhältlich.
• Für den Moment haben wir ausgewählt: SMS >> OTP per SMS als unsere 2FA-Methode. Sie können die Anleitung zum Einrichten anderer 2FA-Methoden hier.
• Ermöglichen das OTP per SMS, wenn Sie Ihre Telefonnummer unter Ihren Kontoinformationen hinzugefügt haben, andernfalls klicken Sie auf Bearbeiten >> Klicken Sie hier, um Ihre Telefonnummer zu aktualisieren Link.



• Klicken Sie in den Kontoinformationen auf das Bearbeitungssymbol.



• Wählen Sie Ihre Landesvorwahl, geben Sie Ihre Handynummer ein und klicken Sie auf OTP senden.



• Geben Sie das an Ihr Telefon gesendete OTP ein und klicken Sie auf „Validieren“.



• Nachdem Sie Ihre Telefonnummer hinzugefügt haben, schalten Sie den Schalter ein, um OTP über SMS zu aktivieren.



• 2-Faktor-Authentifizierung aktivieren falls dies nicht bereits geschehen ist, wie unten gezeigt.

4. Testen Sie Outlook Web Access (OWA) 2FA

a. Wenn 2FA für Endbenutzer konfiguriert ist

• Gehen Sie zu Ihrem Outlook Web Access (OWA)-Domäne. Sie werden weitergeleitet zu miniOrange Single Sign-On-Dienst Konsole.



• Geben Sie Ihre Anmeldeinformationen ein und klicken Sie auf „Anmelden“. Sie werden aufgefordert, sich anhand der konfigurierten 2FA-Methode zu verifizieren.
  Wenn Sie beispielsweise OTP über SMS konfiguriert haben, werden Sie nach der Anmeldung bei Outlook Web Access (OWA) zur Eingabe von OTP aufgefordert.



• Geben Sie das OTP ein, das Sie auf Ihrem Telefon erhalten haben. Nach der erfolgreichen 2FA-Verifizierung werden Sie zum Outlook Web Access (OWA)-Dashboard weitergeleitet.

b. Wenn 2FA für Endbenutzer nicht aktiviert ist

• Sie werden aufgefordert, sich für 2Fa als Endbenutzer zu registrieren. Dies ist ein einmaliger Vorgang.
• Konfigurieren Sie Ihre Basisdaten.



• Konfigurieren Sie eine Authentifizierungsmethode Ihrer Wahl.



• Nach erfolgreicher Registrierung werden Sie in Ihr Outlook Web Access (OWA)-Konto.


Sie können MFA nicht konfigurieren oder testen?


Anfrage oder mailen Sie uns an idpsupport@xecurify.com und wir helfen Ihnen, es im Handumdrehen einzurichten.

5. Adaptive Authentifizierung mit Outlook Web Access (OWA)

A. Einschränken des Zugriffs auf Outlook Web Access (OWA) durch IP-Blockierung

Sie können die adaptive Authentifizierung mit Outlook Web Access (OWA) Single Sign-On (SSO) verwenden, um die Sicherheit und Funktionalität von Single Sign-On zu verbessern. Sie können eine IP-Adresse in einem bestimmten Bereich für SSO zulassen oder sie je nach Ihren Anforderungen verweigern und den Benutzer auch auffordern, seine Authentizität zu bestätigen. Die adaptive Authentifizierung verwaltet die Benutzerauthentifizierung basierend auf verschiedenen Faktoren wie Geräte-ID, Standort, Zugriffszeit, IP-Adresse und vielem mehr.

Sie können die adaptive Authentifizierung mit IP-Blockierung folgendermaßen konfigurieren:

• Einloggen um Self-Service-Konsole >> Adaptive Authentifizierung.
• Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.



• Wählen Sie Ihre Maßnahmen zur Verhaltensänderung und Herausforderungstyp für Benutzer aus dem Maßnahmen zur Verhaltensänderung Abschnitt.





Aktion für Verhaltensänderungsoptionen:




Attribut	BESCHREIBUNG
Erlauben	Erlauben Sie dem Benutzer, sich zu authentifizieren und Dienste zu verwenden, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.
Herausforderung	Fordern Sie Benutzer mit einer der drei unten genannten Methoden zur Überprüfung der Benutzerauthentizität heraus.
Ablehnen	Verweigern Sie Benutzerauthentifizierungen und den Zugriff auf Dienste, wenn die Bedingung für die adaptive Authentifizierung erfüllt ist.




Optionen für den Herausforderungstyp:




Attribut	BESCHREIBUNG
Benutzer zweiter Faktor	Der Benutzer muss sich mit dem zweiten Faktor authentifizieren, den er gewählt oder zugewiesen hat, wie zum Beispiel OTP über SMS Push-Benachrichtigung OTP über E-Mail Und 12 weitere Methoden.
KBA (Wissensbasierte Authentifizierung)	Das System stellt dem Benutzer zwei von drei Fragen, die er in seiner Self-Service-Konsole konfiguriert hat. Erst wenn der Benutzer beide Fragen richtig beantwortet hat, kann er fortfahren.
OTP über alternative E-Mail	Der Benutzer erhält ein OTP an die alternative E-Mail-Adresse, die er über die Self Service Console konfiguriert hat. Sobald der Benutzer das richtige OTP eingegeben hat, kann er fortfahren.



• Jetzt aktivieren IP-Einschränkung aktivieren Option von der IP-BESCHRÄNKUNGSKONFIGURATION zum Konfigurieren des benutzerdefinierten IP-Bereichs.



• Wähle aus Action Sie möchten es ausführen, wenn die IP-Adresse außerhalb des Bereichs liegt. d. h. Zulassen, Anfechten und Ablehnen.
• Geben Sie den IP-Adressbereich an, für den die obige Einstellung gelten soll. Sie können mehrere IP-Adressbereiche hinzufügen, indem Sie auf die folgende Schaltfläche klicken +.
• Scrollen Sie bis zum Ende und klicken Sie auf Speichern.

B. Adaptive Authentifizierung mit begrenzter Geräteanzahl.

Mithilfe der adaptiven Authentifizierung können Sie auch die Anzahl der Geräte beschränken, auf denen der Endbenutzer auf die Dienste zugreifen kann. Sie können Endbenutzern den Zugriff auf Dienste auf einer festen Anzahl von Geräten gestatten. Die Endbenutzer können auf dieser festen Anzahl von Geräten auf die von uns bereitgestellten Dienste zugreifen.

Sie können die adaptive Authentifizierung mit Gerätebeschränkung folgendermaßen konfigurieren


• Einloggen um Self-Service-Konsole >> Adaptive Authentifizierung.
• Hinzufügen Versicherungsname für Ihre adaptive Authentifizierungsrichtlinie.
• Wählen Sie Ihre Maßnahmen zur Verhaltensänderung und Herausforderungstyp für Benutzer aus dem Maßnahmen zur Verhaltensänderung Abschnitt.




• Scrollen Sie nach unten Gerätekonfiguration Abschnitt und aktivieren Benutzern erlauben, das Gerät zu registrieren Option, die es Benutzern ermöglicht, ihre Geräte zu registrieren.
• Geben Sie die Anzahl der Geräte die sich registrieren dürfen, im Feld neben Anzahl der zulässigen Geräteregistrierungen
• Wählen Action wenn die Anzahl der Geräte überschritten wird (Dies überschreibt Ihre Einstellung für Maßnahmen zur Verhaltensänderung.)
1. Herausforderung: Der Benutzer muss sich mit einer der drei in der Tabelle genannten Methoden verifizieren Step
2. Ablehnen : Benutzern den Zugriff auf das System verweigern
• Option aktivieren Senden Sie E-Mail-Benachrichtigungen an Benutzer, wenn die Anzahl der Geräteregistrierungen die zulässige Anzahl überschreitet. wenn Sie den Benutzer warnen möchten, wenn die Anzahl der Geräte den Grenzwert überschreitet. Speichern Sie die Konfiguration.

C. Fügen Sie Outlook Web Access (OWA) eine Richtlinie zur adaptiven Authentifizierung hinzu.

• Einloggen um Self-Service-Konsole >> Richtlinien.
• Klicken Sie auf Bearbeiten Option für vordefinierte App-Richtlinie.



• Legen Sie Ihren Anwendungsnamen im Anwendungsbereiche und wählen Sie Passwort als Anmeldemethode.
• Ermöglichen Adaptive Authentifizierung auf der Seite „Richtlinie“ und wählen Sie die gewünschte Einschränkungsmethode als eine Option.
• Ab Wählen Sie „Anmelderichtlinie“ Wählen Sie im Dropdown-Menü die Richtlinie aus, die wir im letzten Schritt erstellt haben, und klicken Sie auf „Speichern“.

D. Benachrichtigungs- und Warnmeldung.

In diesem Abschnitt werden die Benachrichtigungen und Warnungen im Zusammenhang mit der adaptiven Authentifizierung behandelt. Er bietet die folgenden Optionen:

• Erhalten Sie E-Mail-Benachrichtigungen, wenn sich Benutzer von unbekannten Geräten oder Standorten aus anmelden: Der Administrator muss diese Option aktivieren, um den Empfang von Benachrichtigungen für verschiedene Benachrichtigungsoptionen zu ermöglichen.
  
  
  

Option	BESCHREIBUNG
Herausforderung abgeschlossen und Gerät registriert	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt und ein Gerät registriert.
Herausforderung abgeschlossen, aber Gerät nicht registriert	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer eine Herausforderung abschließt, das Gerät jedoch nicht registriert.
Herausforderung fehlgeschlagen	Durch Aktivieren dieser Option können Sie eine E-Mail-Benachrichtigung senden, wenn ein Endbenutzer die Herausforderung nicht meistert.






• Der nächste Unterabschnitt ist „E-Mail-Benachrichtigungen senden“, mit dem wir Benachrichtigungen für Administratoren und Endbenutzer aktivieren oder deaktivieren können. Um Benachrichtigungen für Administratoren zu aktivieren, können Sie den Umschaltknopf „Administratoren“ aktivieren.




• Wenn Sie möchten, dass mehrere Administratorkonten Benachrichtigungen erhalten, können Sie die Option für den Administrator aktivieren und dann die durch ein „,“ getrennten E-Mails der Administratoren in das Eingabefeld neben der Bezeichnung „E-Mail-Adresse des Administrators zum Empfangen von Benachrichtigungen“ eingeben. Um Benachrichtigungen für die Endbenutzer zu aktivieren, können Sie die Umschalttaste „Endbenutzer“ aktivieren.
• Falls Sie die Ablehnungsnachricht anpassen möchten, die der Endbenutzer erhält, wenn seine Authentifizierung aufgrund einer adaptiven Richtlinie abgelehnt wird, können Sie dies tun, indem Sie die Nachricht in „Nachricht für adaptive Authentifizierung ablehnen“ Textfeld ein.


So fügen Sie ein vertrauenswürdiges Gerät hinzu

1. Wenn sich der Endbenutzer nach der Richtlinie für Gerätebeschränkung aktiviert ist, wird ihm die Möglichkeit geboten, das aktuelle Gerät als vertrauenswürdiges Gerät hinzuzufügen.

FAQ

Externe Referenzen

• Erfahren Sie mehr über Microsoft SSO-Login und 2FA/MFA
  
• Einmaliges Anmelden (SSO) für Outlook Web Access (OWA)
• Microsoft Outlook Single Sign-On SSO
• 2-Faktor-Authentifizierung für Outlook
• Was ist Step-Up-Authentifizierung?
• Erfahren Sie mehr über Single Sign On (SSO)
• Aktivieren Sie SSO, 2FA/MFA und Provisioning für Office 365