Exchange OWA mit Duo 2FA schützen

Mit Duo lässt sich OWA in einer Exchange On-Prem Organisation sehr einfach um eine 2-Faktor Authentifizierung schützen. Für bis zu 10 Benutzer ist Duo kostenlos:

Hier gibt es ein kleines How-To zur Konfiguration. Sobald ihr ein Duo Konto angelegt habt, könnt ihr im Admin Portal unter dem Punkt „Protect an Application“ nach „OWA“ suchen und die Schaltfläche „Protect“ anklicken:

Exchange OWA mit Duo 2FA schützen

Zeitgleich lässt sich schon einmal der OWA Installer runterladen und auf dem Exchange Server installieren. Der Installer kann hier runtergeladen werden:

Die Installation ist selbsterklärend, es muss nur ein paar mal auf „Next“ geklickt werden:

Duo OWA Installer

Während der Installation müssen die Angaben aus dem Duo Admin Portal kopiert und in den Installationsprozess des Installers eingetragen werden:

Protect OWA

Duo Installer

Wenn es mehrere Exchange Server in der Organisation gibt, sollten alle Server den gleichen Session Key verwenden. Der folgende Befehl für die PowerShell erzeugt einen Session Key, welcher für alle Exchange Server verwendet werden kann:

$bytes = new-object "System.Byte[]" 30
(new-object System.Security.Cryptography.RNGCryptoServiceProvider).GetBytes($bytes)
[Convert]::ToBase64String($bytes)

Wenn es nur einen Exchange Server gibt, kann das Setup einen Session Key erzeugen:

Duo Installer

Die Installation wird nun abegschlossen:

Duo Installer

Im Duo Admin Portal muss jetzt nur noch auf „Save“ geklickt werden:

Save

Die Installation und Konfiguration ist nun bereits abgeschlossen. Benutzer können sich jetzt bereits wie gewohnt an OWA anmelden, werden aber nach der Eingabe von Benutzernamen und Passwort aufgefordert, sich zusätzlich per Duo zu authentifizieren.

Zunächst erfolgt die normale Anmeldung an OWA:

OWA Login

Wenn der Benutzer noch keine Möglichkeit zur Authentifizierung mittels zweiten Faktor hat. wird er aufgefordert ein Gerät oder einen Sicherheitsschlüssel hinzuzufügen:

2FA
Bei der Einrichtung eines Mobiltelefons muss der Benutzer zunächst seine Telefonnummer eingeben. An die Telefonnummer wird eine SMS zur Bestätigung versendet. Dabei wird automatisch ein Konto für den Benutzer erstellt:
Duo Konten

Nachdem der Benutzer die Einrichtung abgeschlossen hat, kann er auch die Duo App für Push Authentifizierung verwenden. Die Eingabe eines Codes ist dann nicht mehr erforderlich:

Duo App Push

Leider funktioniert diese Möglichkeit der 2FA aber nur für OWA, nicht für ActiveSync oder Verbindungen von Outlook. Sollte in der Organisation nur OWA im Internet verfügbar sein, könnte also beispielsweise Duo für die 2FA verwenden. Wer weitere Exchange Protokolle im Internet veröffentlicht hat, sollte lieber zu „Hybrid Modern Authentication (HMA)“ wechseln. Zu HMA folgt in Kürze ein Artikel.

4 Gedanken zu „Exchange OWA mit Duo 2FA schützen“

  1. Schöner Artikel, aber ohne die zusätzlichen Dienste nicht wirklich sicherer.
    Da könnte auch die sophos mit Waf her halten.

    Sollte nicht auch in einer der nächsten Updates for onPrem von Microsoft eine MFA Lösung kommen?

    Antworten
  2. Habe ich seit bald zwei Jahren im Einsatz. Läuft absolut geschmeidig. Manchmal kann es nach der Installation eines CU vorkommen, dass man das Setup neu rüberlaufen lassen muss, damit Duo wieder funktioniert. Wichtig dabei ist dann, die .msi als Administrator (über CMD) aufzurufen.

    Antworten

Schreibe einen Kommentar