exchange online邮件系统EAM双因素认证技术方案

exchange online邮件系统是指微软推出的电子邮件系统云服务，通常作为office 365和microsoft 365的一个子项目来提供服务。这样用户就不需要自己部署exchange邮件服务器，只需要订阅微软的云服务，然后就可以直接使用微软提供的exchange邮件服务了，对于中小企业而言，这样大幅降低了部署本地exchange邮件服务器的管理和维护成本。

为了提高云服务的安全性，微软提供了eam双因素认证技术方案，直接的说就是，企业可以按照微软制定的规范，自己实现双因素认证，然后在微软的云端管理系统中，配置将认证请求转发到自己的认证系统，自己的认证系统完成认证后，将认证结果通过制定的格式返回给云端，云端根据接收到的认证结果决定用户是否允许访问邮件系统。

1. 背景

这里的邮件客户端包括上面列出的几种，owa通过浏览器进行访问，office 365客户端中的outlook 365客户端，以及微软推出的ios和android平台上的outlook客户端。

服务器端就是指微软提供的exchange在线服务。

2. 技术方案

eam方案也是微软官方2024年推出的用于解决云服务双因素认证方案，由于云服务是基于互联网的，在互联网上，对安全性的要求也会更高。通过eam方案，企业可以将购买的云服务认证和企业内部的应用系统的身份认证进行统一的管理和维护，提高的管理的效率。

3. 方案前提

eam方案是针对使用微软microsoft 365的付费用户提供的服务，并且要求企业用户的订阅级别是P2级，当然微软也针对新的企业用户提供免费试用一个月。

订阅以后，登录管理控制台看到的界面如下： 

 导航到exchange的邮件菜单。

 导航到entra管理中心，在这里配置外部认证。

４. 保护后的操作流程

访问owa邮件。

指定要登录的邮箱。

输入静态密码，就是配置邮箱的时候设置的密码。

静态密码认证通过后，就会现实配置的外部认证。 

确认使用外部认证，然后就会跳转到配置的外部认证页面。

外部认证页面有认证服务提供，在这里可以输入必要的认证信息。

认证通过后，返回邮箱就可以直接访问邮箱了。

这里虽然只演示了通过浏览器来访问邮箱的操作步骤，实际上，在手机客户端上，操作步骤也是一样的，首先进行基本的静态密码认证，静态密码认证通过后，会继续跳转到双因素认证页面，输入认证信息，由认证服务器进行认证，只有认证通过后，用户才能登录和访问邮件。

５. 方案优势与不足

方案优势

1. 使用方式便捷，不会增加复杂的操作步骤
2. 官方支持方案
3. 部署简单 
4. 邮件流量和认证流量是分开的
5. 微软2024年新推出的方案
6. 针对exchange全球用户
7. 不需要第三方消息推送认证

不足：

1. 不支持标准邮件协议（pop3/imap/smtp）
2. 不支持exchange以外的邮件系统
3. 依赖于特定的部署模式
4. 需要m365的P2高级授权，收费版本才支持