Fonctionnalité d'ordinateur public et privé OWA

Serveur MSExchange 2013dans OWA De nombreuses modifications y ont été apportées. L'un d'eux est maintenant Ordinateur privé et public Il n'y a aucune option. Par défaut, tous les utilisateurs Privé Il suppose que vous utilisez un ordinateur et utilise un délai d'attente par défaut de 8 heures.

Ce délai d'attente de 8 heures correspond à la durée pendant laquelle l'utilisateur peut rester actif avant de lui demander de se reconnecter.

Si nous souhaitons réutiliser ces options dans notre environnement, LogonPagePublicPrivateSelectionEnabled paramètre $vrai nous pouvons. Ce paramètre Set-OWAVirtualDirectory Nous devons l'utiliser avec l'applet de commande.

Mais avant ça OWA Il serait utile de parler un peu de sécurité.

Authentification basée sur un formulaire du serveur Exchange et informations sur les cookies

Si vous utilisez l'authentification FBA dans votre environnement, la plupart des contrôles de sécurité que vous avez configurés peuvent dépendre du fait que vos utilisateurs sélectionnent « Ceci est un ordinateur public ou partagé » ou « Ceci est un ordinateur privé » lorsqu'ils se connectent. Cela a changé avec Exchange 2013 et cette option a commencé à être masquée par défaut. Chaque utilisateur se connectant depuis OWA a commencé à se connecter en tant qu'« ordinateur privé ».

Lors de l'utilisation de l'authentification FBA, un cookie est stocké dans le cache du navigateur avec les informations de session cryptées de l'utilisateur. Ce cookie est utilisé pour déterminer la durée d'inactivité autorisée pour la session OWA avant la fin automatique de la session. Pour les ordinateurs publics, l'ensemble par défaut de valeurs de délai d'attente est compris entre 15 et 22 minutes ; La valeur par défaut du délai d'expiration de session pour les ordinateurs privés est comprise entre 8 et 12 heures. Ce délai d'attente est utilisé pour garantir que les utilisateurs qui ne parviennent pas à se déconnecter des sessions OWA actives verront éventuellement leurs sessions terminées. La mise en garde est que les sessions OWA de l'utilisateur restent authentifiées et accessibles jusqu'à l'expiration du délai d'expiration du cookie.

En plus des limites de délai d'expiration de session, les options publiques et privées choisies par les utilisateurs déterminent le type de fichier et l'accès aux données qui leur sont accordés. Les options telles que l'accès aux partages de fichiers Windows, aux documents SharePoint, à l'affichage de documents WebReady ou à l'accès direct aux fichiers dépendent toutes de l'option choisie par vos utilisateurs lors de la connexion.

Selon Microsoft TechNet, « bien que le délai d'attente automatique réduise considérablement le risque d'accès non autorisé, il n'élimine pas complètement la possibilité qu'un utilisateur non autorisé accède à la boîte aux lettres Exchange si une session reste en cours d'exécution sur un ordinateur public » et « les utilisateurs sont encouragés à se connecter. sortir d'Outlook Web App et l'utiliser une fois qu'ils ont fini de l'utiliser. » Assurez-vous ensuite de les avertir de prendre des précautions pour éviter les risques, par exemple en leur disant de fermer leur navigateur Web. "

Si vous éduquez vos utilisateurs dans l’espoir qu’ils comprendront et agiront en conséquence, cette hypothèse peut s’avérer très problématique. Si vous deviez travailler sur un long e-mail pour un client et constatiez que votre session se terminait sans cesse et vous obligeait à vous reconnecter toutes les 15 minutes, à moins que vous ne vous connectiez avec l'option « ordinateur privé », choisiriez-vous à nouveau l'option publique ? Sur les comptes de messagerie riches en informations sensibles, les effets d'une connexion vulnérable vont de la perte de données concurrentielles aux violations des lois sur la conformité et la confidentialité.

Paramètre OWA LogonPagePublicPrivateSelectionEnabled du serveur Exchange

Pour utiliser les options d'ordinateur public et privé dans OWA, nous devons utiliser le paramètre LogonPagePagePublicPrivateSelectionEnabled.

Le jeu de commandes à utiliser pour l’activer est le suivant :

Set-OwaVirtualDirectory "exc01\owa*" -LogonPagePublicPrivateSelectionEnabled $True

IISRESET /noforce

La valeur par défaut du délai d'expiration des cookies dans OWA pour les ordinateurs privés est de 8 heures d'activité utilisateur. La valeur de délai d'expiration par défaut pour les ordinateurs publics est de 15 minutes d'activité utilisateur. Si vous souhaitez modifier ces valeurs, vous pouvez utiliser les commandes suivantes :

Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA' -Nom PrivateTimeout -Valeur  -Tapez DWORD

Set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA' -Nom PublicTimeout -Valeur <heure> -Tapez DWORD

Commenter