將電子郵件保密聽起來可能是一項簡單的任務，但在當今的威脅形勢下，這遠非事實。這是因為網絡犯罪分子可以從攻擊您的電子郵件帳戶中獲益良多。這就是欺騙、網絡釣魚和社會工程等詐騙都旨在獲取訪問權限的原因。貴公司的電子郵件數據很有價值；保護它應該是重中之重。

值得慶幸的是，多因素身份驗證 (MFA) 是保護自己免受與身份相關的網絡攻擊的最實惠但最有效的方法之一。它實際上消除了來自蠻力攻擊和其他利用被盜密碼的方法的未經授權的訪問。考慮到據估計81%的數據泄露是由于密碼安全性差造成的，這是一項巨大的改進。

如果這聽起來好得令人難以置信，這里有一個警告：它只有在正確配置時才有效。當您在諸如電子郵件交換服務器之類的東西上實現它時，這是一個棘手的挑戰。

我們是一家專注于安全的托管服務提供商 (MSP)，致力于幫助企業學習如何保護他們的數據。在本文中，我們將了解實施 MFA 可以采取的不同方法和步驟。

為 Exchange Online 實施 MFA

通過 Microsoft 的 Azure Active Directory (AD)為所有基于云的應用程序實施MFA非常簡單。您可以通過 Azure 門戶手動執行此操作，也可以通過啟用安全默認值對所有人強制執行此操作。這將迫使您網絡上的每個人都使用 MFA 并阻止舊式身份驗證，從而大大提高您的安全性。然而，它并不完美。

安全默認值將對您的網絡進行大量配置更改，其中一些可能會導致整個系統出現問題。例如，如果您仍在使用不支持現代身份驗證方法的舊應用程序，則在啟用安全默認值后使用它們可能會遇到問題。

微軟已經為所有人推出了安全默認設置。這意味著如果您的系統是最新的，您應該已經啟用或配置了您的系統。但是，如果您的系統較舊，您應該會收到來自 Microsoft 的通知，通知您安全默認值將自動啟用，除非您明確拒絕它。

為本地 Exchange 服務器實施 MFA

這就是實施 MFA 可能會變得棘手的地方。您的舊 Exchange本地服務器不再與集成 Windows 身份驗證 (IWA) 和 Azure AD 兼容。這意味著如果你想實施 MFA，你必須要有創造力。您可以通過將 Azure AD 與稱為 Active Directory 聯合服務 (ADFS) 的 Microsoft 單點登錄解決方案集成來做到這一點。

ADFS 最初設計用于在 Windows 生態系統和組織邊界之外的應用程序中對用戶進行身份驗證。它允許在公司網絡之外安全地共享身份信息，以便您可以訪問由您信任的組織托管的面向 Web 的資源。但是，它還允許您使用 ADFS 為 Azure MFA 注冊用戶。

但是，要做到這一點，您首先需要滿足以下要求：

• Windows Server 2016 AD FS 本地環境
• 帶有 Azure Active Directory 的 Azure 訂閱。
• Azure MFA 適配器

為本地服務器實施 MFA 的步驟：

1. 在每個 ADFS 服務器上為 Azure MFA 生成證書

第一步是生成一個供 Azure MFA 使用的證書。為此，您可以打開 PowerShell 提示符，然后使用以下 cmdlet 生成新證書：$certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID

請注意，TenantID 是 Azure AD 中目錄的名稱。生成的證書可以在本地計算機證書存儲中找到，并標有主題名稱以及 Azure AD 目錄的 TenantID。

2. 將新憑據添加到 Azure MFA 客戶端服務主體

要添加新憑據，請打開 PowerShell 并將證書設置為針對 Azure MFA 客戶端的新憑據，方法是鍵入：

New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -類型不對稱 -使用驗證 -值 $certBase64

將新憑據添加到 Azure MFA 客戶端的服務主體后，ADFS 服務器將能夠與其通信。

3. 將 Azure MFA 設置為 ADFS 服務器的主要身份驗證方法

在每臺 ADFS 服務器上完成上述步驟后，將 Azure MFA 設置為其主要身份驗證方法。您可以通過在 Powershell 上執行以下 cmdlet 來做到這一點：

Set-AdfsAzureMfaTenant -TenantId <租戶 ID> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

之后，您將看到 Azure MFA 可用作 Intranet 和 Extranet 使用的主要身份驗證方法。

這可能看起來很簡單，但有很多因素會使這個過程變得非常棘手。例如，某些 Windows Server 沒有最新的服務包，這意味著前面的步驟可能無法配置您的 Azure 租戶。在這些情況下，您可能必須手動創建注冊表項。

如果這看起來太多，請不要擔心。可靠的 IT 支持公司可以幫助您完成每一步，從而保護您的電子郵件交換服務器。尋求專家的幫助并沒有錯。

準備好為您的電子郵件交換服務器設置 MFA 了嗎？

在您的 Exchange 服務器上實施 MFA 是保護您的電子郵件的最有效且經濟實惠的方法之一。但是請記住，它僅在正確配置時才有效。它可以是一個簡單的過程，就像您為云應用程序實施它時一樣，或者像您為本地服務器實施它時一樣棘手。

希望通過上面的指南，您將能夠毫無問題地實施 MFA。但是，如果事情進展不順利，請不要猶豫，向 IT 支持公司尋求幫助。可靠的 MSP 擁有在第一時間完成工作的專業知識和經驗。