Configuration du module Exchange pour l'authentification par certificat

L'authentification basée sur les certificats (CBA) offre une méthode sécurisée permettant aux appareils mobiles d'accéder à Office 365 Exchange ActiveSync (EAS) sans utiliser de noms d'utilisateur et de mots de passe traditionnels. Ce mécanisme d'authentification est couramment mis en œuvre dans les environnements d'entreprise pour prendre en charge les appareils iOS, Android et Windows qui se connectent à Exchange Online dans Microsoft 365.

A propos de cette tâche

Par exemple, l'organisation intègre le module EAS à Office 365 à l'aide du module ExchangeOnlineManagement PowerShell. Les clients fournissent les informations d'identification du compte de service via l'outil de configuration CE afin de permettre au système de récupérer les informations relatives à la boîte aux lettres Exchange, aux appareils et aux politiques, d'effectuer des actions de gestion des appareils (approuver, bloquer, mettre en quarantaine) et de synchroniser les mises à jour des politiques depuis le portail MaaS360 vers Exchange. Cette approche exige que les clients désactivent l'authentification multifacteur (MFA) et les paramètres de sécurité par défaut sur les comptes de service, ce qui va à l'encontre des meilleures pratiques recommandées par Microsoft.

Avec l'authentification basée sur un certificat, vous pouvez utiliser des informations d'identification au niveau de l'application dans l' PowerShell ExchangeOnlineManagement.

Configurez les paramètres du module Exchange pour l'authentification basée sur un certificat.

Procédure

  1. Ouvrez l 'outil de configuration Cloud Extender® et sélectionnez Exchange.
  2. Sélectionnez Office 365, puis cliquez sur Suivant.
  3. Entrez la configuration du serveur de messagerie, puis cliquez sur Suivant.
  4. Sélectionnez Certificat dans le type d'informations d'identification.
  5. Sur la page Configuration du certificat, vous devez fournir l 'ID d'organisation et l 'ID client créés dans le portail Microsoft Entra ID. Mettez également à jour le chemin d'accès au certificat et le mot de passe.
    Pour utiliser des informations d'identification de type certificat, vous devez enregistrer l'application dans Microsoft Entra ID, attribuer des autorisations API à l'application et générer un certificat auto-signé.
    Suivez les étapes pour créer des identifiants dans le portail Microsoft Entra ID.
    1. Connectez-vous au portail Microsoft Entra ID et sélectionnez Enregistrements d'applications dans la section Service.
    2. Sur la page Inscriptions à l'application, sélectionnez Nouvelle inscription.
    3. Enregistrez votre candidature.
      Important :

      Copiez l 'ID d'organisation et l 'ID client à partir du portail Microsoft Entra ID. De plus, l'application doit être membre de l'administrateur global.

      Pour plus d'informations sur la création et l'enregistrement d'une application, consultez la documentation Microsoft.

    4. Sélectionnez l'application enregistrée sur le portail Microsoft Entra ID et accordez les autorisations API. Suivez ces étapes pour accorder des autorisations API à l'application.
      1. Sur la page Aperçu de l'application, sélectionnez Gérer > Autorisations API.
      2. Cliquez sur +Ajouter une autorisation. La fenêtre Demander les autorisations API s'affiche.
      3. Accédez aux API utilisées par mon organisation > Office 365 Exchange Online > Autorisations de l'application et sélectionnez Exchange.ManageAsApp > Ajouter des autorisations.
      4. Cliquez sur Accorder l'autorisation de l'administrateur pour <votre application> afin d'accorder l'autorisation.

      Pour plus d'informations sur les autorisations API, consultez la documentation Microsoft.

    5. Générez un certificat auto-signé et téléchargez le certificat de clé publique dans la section Certificats. Pour plus d'informations sur la génération d'un certificat auto-signé, consultez la documentation Microsoft.
  6. Entrez le chemin d'accès au certificat que vous avez généré dans le portail Microsoft Entra ID et ajoutez le mot de passe du certificat d'authentification.
    Remarque : seuls les fichiers .p12 de certificat sont pris en charge.
  7. Cliquez sur Valider le certificat pour exécuter les contrôles de validation par rapport à Office 365.
    Cloud Extender effectue des contrôles de validation par rapport à Office 365.

    Le Cloud Extender vérifie la connectivité, la validité des informations d'identification et les autorisations pour chaque compte de service configuré, y compris les comptes présentant des problèmes. Assurez-vous que tous les comptes de service sont fonctionnels.

    Si la validation échoue, vous pouvez consulter les messages d'erreur correspondants.

  8. Cliquez sur Enregistrer pour terminer la configuration et revenir à la page Résumé Cloud Extender.