郵件在現(xiàn)在的商業(yè)應(yīng)用中已經(jīng)越來越重要，幾個月前，某知名咨詢機構(gòu)遭遇了史上最嚴(yán)重的******，******了該公司全球電子郵件服務(wù)器的管理員賬號（未啟用雙因子認(rèn)證），讓***成功獲取了足夠訪問權(quán)限，超過500萬封電子郵件和大量客戶知識產(chǎn)權(quán)、敏感信息可能被泄露。這是繼Equifax和美國證券交易委員會SEC***事件后，連續(xù)爆出的第三起足以影響全球經(jīng)濟的重大信息安全事故。為了保護電子的安全，很多機構(gòu)都開始引入多因子認(rèn)證（MFA，Multi-Factor Authentication）。

成都創(chuàng)新互聯(lián)是一家專業(yè)提供班瑪企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計、H5開發(fā)、小程序制作等業(yè)務(wù)。10年已為班瑪眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進行中。

在Office365中，很早就開始已經(jīng)支持MFA了，所以，對于純O365用戶和混合部署的用戶，都能方便的使用啟用O365和MFA，或是Azure AD的MFA，但對于本地部署的Exchange郵件系統(tǒng)，如果需要，是否也可以使用MFA來保證郵件安全呢?
當(dāng)然是可以的，但如果是完全本地部署（本地的AD、本地Exchange）會有些限制，因為Exchange OWA界面并不支持輸入驗證碼等窗口，對于下面的四種驗證方式，只支持電話呼叫的方式來實現(xiàn)，即：用戶在輸入用戶名密碼后，預(yù)留的手機上會收到一個來電，要求用戶按#鍵確認(rèn)，或是輸入預(yù)先設(shè)置的PIN碼（由管理員確定設(shè)置使用哪一種）！
Azure AD支持的雙因子認(rèn)證方法
電話呼叫致電用戶已注冊的電話號碼。 用戶在必要時輸入 PIN，再按 # 鍵。
短信向用戶的移動電話發(fā)送包含 6 位數(shù)驗證碼的短信。 用戶在登錄頁上輸入此驗證碼。
移動應(yīng)用通知向用戶的智能手機發(fā)送驗證請求。 用戶在必要時輸入 PIN，再在移動應(yīng)用上選擇“驗證”。
移動應(yīng)用驗證碼在用戶智能手機上運行的移動應(yīng)用將顯示驗證碼，每 30 秒更改一次。 找到最新驗證碼后，用戶在登錄頁上輸入驗證碼。
第三方 OATH 令牌可以將 Azure 多重身份驗證服務(wù)器配置為接受第三方驗證方法。

下面來介紹下，如果在On-Premises的Ad、Exchange中實施多因子認(rèn)證方法！

1、 首必須有一個Azure訂閱（可以不是你On-Premises相關(guān)的），在AD/MFA服務(wù)器、服務(wù)器設(shè)置，找到：下載MFA服務(wù)軟件

2、 也可以直接從以下地址下載：
https://www.microsoft.com/en-us/download/details.aspx?id=55849&WT.mc_id=rss_alldownloads_all&download=mfa&clcid=0x4
3、 下載完成后，在Exchange服務(wù)器（OWA）上運行安裝程序，提示需要先安裝兩個組件，安裝


4、 完成后開始MFA Server安裝，選擇安裝目錄

5、 安裝過程很簡單，點下一步，即可安裝完成！

6、 第一次開始時會提示輸入Email/password，注意，這里并不是你的某個郵箱，而是在Azure訂閱里面生成的一個用戶激活的Azure郵箱和密碼

7、 在Azure管理里，AD/MFA服務(wù)器、服務(wù)器設(shè)置，點生成，將生成出來的郵件地址和密碼Copy到上圖中MFA Server

8、 點激活

9、 激活選擇一個存在的組，或是新建一個MFA組

10、 確認(rèn)完成后的界面

11、 首先需要從AD導(dǎo)入用戶，在User下，輸入Import From AD

12、 選擇需要導(dǎo)入的域、OU、用戶等，可以按需求，可以導(dǎo)入整個AD的用戶，也可以只某入導(dǎo)個OU

13、 選擇好后，點Import，相應(yīng)的用戶即輸入到MFA的User清單中

14、 接下來我們就要對需要的用戶進行配置，注意電話號碼和國家區(qū)號一定要正常，然后在Phone Call、啟用

15、 選擇IIS Authentication,添加OWA HTTP地址

16、 選擇需要啟用FMA的OWA目錄，如果需要啟用OEA/ECP，勾選這兩項，然后勾選上面的Enable IIS Authentication

17、 到這里，配置即完成了！現(xiàn)在電腦開啟OWA，輸入用戶名密碼后，點登入

18、 并不會馬上顯示登錄成功或是失敗，需要等待電話確認(rèn)，這里你在前面設(shè)置的手機會接到一個陌生號碼拔過來的電話，如果你不接，或是掛斷，OWA則會提示用戶名密碼不正確，登錄失??！


19、 如果你正常接通，依語音提示按#鍵進行驗證，

20、 驗證通過后OWA即可正常登錄！

21、 默認(rèn)的語音提示為英文，你可以依用戶修改為本地語言，如中文，這樣用戶聽到的語音提示就會變?yōu)橹形模?br/>
22、 如果使用選擇PIN碼驗證的方式，用戶在登錄時，需要接通電話后，輸入預(yù)先設(shè)定的PIN碼才能完成驗證！

總結(jié)：雖然沒有O365的MFA功能那么強大，但能加一個電話驗證的功能，相比單純的密碼還是要安全很多，在面對現(xiàn)階段大家對密碼意識不強的情況下，還是很有效果的！