基于证书的身份验证(CBA)为移动设备提供了一种安全方法,使其能够在不使用传统用户名和密码的情况下访问Office 365 Exchange ActiveSync (EAS)。 此身份验证机制通常在企业环境中实施,用于支持通过 Microsoft 365 连接至Exchange Online的 iOS,、Android和Windows设备。
关于此任务
例如,该组织通过使用 ExchangeOnlineManagementPowerShell 模块,将EAS模块与Office 365集成。 客户通过CE配置工具提供服务账户凭据,以便系统能够检索Exchange邮箱、设备及策略信息,执行设备管理操作(批准、阻止、隔离),并将策略更新从 MaaS360 门户同步回Exchange。 此方法要求客户禁用服务账户的多因素身份验证(MFA)和安全默认设置,这与微软的最佳实践相悖。
通过基于证书的身份验证,您可以在 PowerShell 中使用应用程序级凭据。 ExchangeOnlineManagement。
配置基于证书的身份验证的Exchange模块设置。
过程
- 打开Cloud Extender®配置工具并选择Exchange。
- 选择 Office 365 ,然后单击 “下一步”。
- 输入电子邮件服务器配置,然后单击下一步。
- 从凭证类型中选择证书。
- 在证书配置页面上,您必须提供在 Microsoft Entra ID 门户中创建的组织 ID 和客户端 ID。 另外,请更新证书路径和密码。
要使用证书类型的凭据,您必须在 Microsoft Entra ID 中注册应用程序,为应用程序分配 API 权限,并生成自签名证书。
请按照步骤在 Microsoft Entra ID 门户中创建 ID。
- 登录 Microsoft Entra ID 门户,在“服务”部分中选择 “应用注册 ”。
- 在应用注册页面,选择新建注册。
- 注册您的申请。
要点:从 Microsoft Entra ID 门户复制组织 ID 和客户端 ID。 此外,该应用程序必须是全局管理员组的成员。
有关创建和注册应用程序的更多信息,请参阅 Microsoft 文档
- 在 Microsoft Entra ID 门户上选择已注册的应用程序,并授予 API 权限。 请按照以下步骤为应用程序授予 API 权限。
- 在应用概览页面, 。
- 点击“ +添加权限 ”。 请求 API 权限窗口显示。
- 转到 ,然后选择 。
- 点击授予管理员同意,为<您的应用程序> 授予权限。
有关 API 权限的更多信息,请参阅 Microsoft 文档
- 生成自签名证书,并在证书部分上传公钥证书。 有关生成自签名证书的更多信息,请参阅 Microsoft 文档。
- 输入您在 Microsoft Entra ID 门户中生成的证书路径,并添加身份验证证书密码。
- 单击 “验证证书 ”以对 Office 365 执行验证检查。
云扩展程序对 Office 365 执行验证检查。
云扩展程序会检查每个已配置服务账户的连接性、凭据有效性以及权限,包括存在问题的账户。 确保所有服务帐户都能正常使用。
如果验证失败,您可以查看相应的错误信息。
- 点击 “保存 ”以完成设置,并返回云扩展器摘要页面。