Настройка двухфакторной аутентификации Outlook Web Access (OWA) — Контур.Эгида

В этой статье

Настройка двухфакторной аутентификации Outlook Web Access (OWA)

17 февраля 2026

Двухфакторная аутентификация (2FA) для Outlook Web Access — это обязательный элемент защиты корпоративной почты от утечек и целевых атак. Настройка может показаться технически сложной, но понимание принципов и типичных ошибок превращают эту задачу в четкий алгоритм действий. Руководство от экспертов Контур.Эгиды поможет системным администраторам и специалистам по информационной безопасности закрыть доступ к веб-интерфейсу Exchange.

Александр Котов

Что такое двухфакторная аутентификация OWA

Outlook Web Access (OWA) — веб-интерфейс для работы с почтой, календарями и контактами Microsoft Exchange, доступный из любого браузера. Его уязвимость заключается в том, что по умолчанию для входа требуется только логин и статичный пароль. 

Двухфакторная аутентификация добавляет второй шаг проверки (фактор), например, одноразовый код из мобильного приложения или СМС. Это повышает безопасность: даже при компрометации пароля злоумышленник не получит доступ к почтовому ящику без физического устройства пользователя.

Зачем нужна 2FA в Outlook Web Access

Если ваша организация работает с государственными информационными системами, то двухфакторная аутентификация — уже не вопрос выбора, а обязательное правило. Такое требование прямо прописано в Приказе ФСТЭК № 117 и действует с 1 марта 2026 года. По сути госсектор задает высокую планку безопасности, на которую все чаще ориентируется и бизнес.

Для коммерческих компаний 2FA — это в первую очередь надежный способ защитить самое ценное: деньги, персональные данные клиентов и сотрудников, ноу-хау и внутреннюю переписку. Из просто «полезной опции» 2FA превращается в необходимое и разумное вложение в безопасность компании.

Разница между MFA и 2FA в Exchange

Хотя термины часто используют как синонимы, между ними есть разница: 

  • Двухфакторная аутентификация (2FA) — частный случай многофакторной (MFA), где строго используется два независимых фактора: обычно «что-то известное» (установленный пароль) и «что-то, что есть только у легитимного пользователя» (например, телефон). 
  • MFA может требовать три и более факторов. 

В контексте Exchange Server настройка безопасности через веб-интерфейс OWA чаще всего реализуется как именно 2FA, хотя некоторые решения,  позволяют настраивать и большее количество шагов.

Системные требования для настройки 2FA

Перед началом развертывания необходимо убедиться в совместимости инфраструктуры. Это предотвратит ситуации, когда частичная установка приводит к нарушению работоспособности почтового сервиса.

Перед настройкой двухфакторной аутентификации для Outlook Web Access убедитесь, что базовая платформа — Microsoft Exchange Server — соответствует современным стандартам поддержки и безопасности.

По состоянию на 2026 год корпорация Microsoft прекратила основную поддержку для Exchange Server 2016 и 2019. Эксплуатация этих версий без программы расширенных обновлений безопасности (ESU) создает значительные риски. Единственной локальной версией, получающей регулярные обновления остается Exchange Server Subscription Edition — модель на основе подписки.

Большинство современных решений для 2FA, включая специализированные адаптеры, технически совместимы с OWA, начиная с Exchange 2013. Однако если ваша инфраструктура использует неподдерживаемую версию, приоритетом должна стать миграция на актуальную платформу, а не только добавление 2FA.

Для стабильной работы Exchange и модулей 2FA соблюдайте системные требования:

  • Для Exchange Server SE требуются Windows Server 2019, 2022, 2025 и.NET Framework 4.8.1.
  • Для Exchange 2019 CU14/CU15 и Exchange 2016 CU23 также необходимы актуальные ОС (Windows Server 2019/2022) и.NET Framework 4.8 или новее. 

Актуальную матрицу совместимости всегда следует проверять на сайте Microsoft.

Корректная работа механизма аутентификации возможна только при использовании SSL/TLS-сертификата от доверенного центра сертификации для служб OWA. Самоподписанные сертификаты нарушают цепочку доверия, вызывая ошибки на стороне клиентских приложений и мобильных адаптеров, что приводит к сбоям верификации.

Пошаговая инструкция по настройке 2FA OWA

Процесс настройки двухфакторной аутентификации для OWA концептуально схож для большинства решений: установка модуля (адаптера) на сервер Exchange, его настройка и интеграция с веб-интерфейсом через IIS. Ниже представлен алгоритм на примере ID от Контур.Эгиды.

Этап 1. Установка и базовая настройка на сервере

Шаг 1. Скачайте адаптер

Скачайте OWA-адаптер для ID из кабинета администратора (раздел «Ресурсы» → «Веб-сервисы» → Outlook Web). Архив содержит файлы OWA.Adapter.dll и appsettings.config.

Шаг 2. Установите файлы адаптера

Для этого:

  1. Скопируйте файл OWA.Adapter.dll в директорию на сервере Exchange: C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\Bin.
  2. Поместите файл appsettings.json (который будет создан далее) в корневую папку OWA: C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\.

Шаг 3. Настройте политики запроса второго фактора

Конкретные правила, определяющие, для каких запросов к OWA требуется 2FA, задаются в файле appsettings.json на сервере Exchange. Именно здесь администратор указывает политику безопасности:

  • AllUsers — для всех входов в OWA.
  • AllUsersWithExceptions — для всех, кроме указанных групп.
  • NoOneWithExceptions — только для пользователей из определенных групп.

Здесь же пропишите домены и группы Active Directory, к которым применяются правила.

Регистрация модуля аутентификации выполняется автоматически благодаря размещению в корневой папке OWA файла appsettings.json, который создается на основе исходного appsettings.config. Дополнительного ручного редактирования файла web.config не требуется.

Этап 2. Управление доступом в кабинете Контур ID

Мониторинг событий. В кабинете доступны журналы входов и событий аутентификации для аудита безопасности и оперативного реагирования.

В ближайшее время появится: 

Активация для пользователей и групп. Включение и отключение 2FA для сотрудников, а также распределение по группам безопасности выполняется в веб-кабинете администратора Контур.ID.

Выбор методов аутентификации. Администратор определяет, какие методы второго фактора будут доступны пользователям (push-уведомления, одноразовые коды в приложении, SMS).

Этап 3. Выбор методов второго фактора

ID дает пользователям на выбор несколько защищенных методов для подтверждения входа:

Push-уведомления в мобильное приложение. Самый удобный способ: для подтверждения входа пользователю достаточно нажать «Да» в уведомлении на своем телефоне.

Коды в приложении-аутентификаторе. Коды генерируются офлайн в мобильном приложении Коннект. Оптимальный баланс надежности и автономности, не требуют постоянного интернет-соединения.

SMS или звонок на телефон. Привычный резервный метод, полезный на случай временной недоступности смартфона с приложением.

Чтобы внедрение прошло гладко, используйте для пользователей  инструкцию. В ней пошагово описано, как установить приложение ID, зарегистрировать устройство и привязать его к учетной записи при первом входе в OWA. Это значительно сократит число обращений в службу поддержки.

Частые проблемы с 2FA в OWA и их решение

Даже при корректной настройке могут возникнуть сложности. Вот типичные сценарии и способы их устранения.

Код не приходит или не принимается

Проблема синхронизации времени. Генерация TOTP-кодов основана на точном времени. Расхождение более чем на 30 секунд между сервером Exchange, службой ID и телефоном пользователя приведет к ошибке.

Решение: убедитесь, что все серверы в инфраструктуре синхронизируют время с надёжным источником, например, time.windows.com.

Ошибка в конфигурационном файле. Неправильные настройки в файле appsettings.json или неверный формат логина, передаваемый адаптером, могут привести к сбою аутентификации.

Решение: внимательно проверьте файл appsettings.json на соответствие структуре из официальной инструкции ID. Для корректной работы в многодоменной среде убедитесь, что логины пользователей правильно сопоставлены через блок ActiveDirectoryConfiguration в конфигурации.

Пользователи из определенных групп не проходят 2FA

Некорректно заданные политики. Правила безопасности, заданные в appsettings.json, не применяются так, как ожидалось.

Решение: перепроверьте параметры «Политики» и «Исключения» в файле конфигурации. Убедитесь, что указанные домены и группы Active Directory записаны точно, без опечаток. Например, политика NoOneWithExceptions запрашивает 2FA только у пользователей из указанных групп.

2FA запрашивается каждый раз, даже при отметке «Запомнить это устройство»

Истек срок жизни маркера. Маркер, который отвечает за временное запоминание устройства, имеет ограниченное время жизни.

Решение: в файле appsettings.json можно настроить параметры MarkerExpiration (по умолчанию 8 часов) и IsMarkerNeverExpire в блоке MarkerConfiguration.

Обход 2FA через другие клиенты

Неполная защита Exchange. Если двухфакторная аутентификация настроена только для Outlook Web App (OWA), злоумышленник может получить доступ к почте через другие интерфейсы, например, Exchange Web Services (EWS) или ActiveSync, если они не защищены.

Решение: для комплексной безопасности Exchange необходимо настроить 2FA и для других протоколов. ID предоставляет отдельные адаптеры для защиты ActiveSync.

ID: готовое решение для двухфакторной аутентификации OWA

Внедрение 2FA в компании любого масштаба — это поиск баланса между безопасностью, удобством пользователей и трудозатратами на поддержку. Альтернатива — комплексное решение, которое управляется из одной точки и не ломает уже работающие процессы.

ID — это сервис двухфакторной аутентификации, который защищает доступ к Outlook Web Access и корпоративной почте через ActiveSync. В отличие от отдельных адаптеров, это единый центр управления безопасностью для всех ключевых ресурсов компании: от VPN и RDP до входа в Windows и веб-приложений.

Основные преимущества для защиты OWA:

  1. Гибкость развертывания. Вы можете выбрать облачную версию (SaaS) с доступностью 99,9% и размещением в российских дата-центрах или локальную (on-premise) установку для полного контроля над данными внутри периметра сети. Это позволяет точно соответствовать внутренним политикам безопасности и регуляторным требованиям.
  2. Централизованное управление из удобного кабинета администратора. Вся настройка и контроль происходят в единой веб-панели. Вы можете:
    • Быстро подключать и настраивать OWA как защищаемый ресурс.
    • Гибко управлять политиками: например, обязать 2FA для всего домена или сделать исключения для отдельных групп пользователей.
    • Массово регистрировать пользователей, загружая данные из Active Directory.
    • В реальном времени отслеживать события безопасности, входы пользователей и статистику по подключению 2FA через журнал событий и панель статистики.
  3. Выбор удобных и безопасных способов аутентификации. Для подтверждения второго фактора сотрудники могут использовать то, что им удобно: push-уведомления в одно касание, звонок на телефон, OTP-коды в мобильном приложении Коннект. Это снижает сопротивление пользователей и ускоряет внедрение.
  4. Снижение нагрузки на техподдержку. У сотрудников есть личный кабинет, где они самостоятельно могут привязать или заменить устройство, что избавляет ИТ-специалистов от рутинных запросов. Поддержка разработчика включает помощь инженеров-экспертов на этапе внедрения.

Альтернативы двухфакторной аутентификации для OWA

Для полноценного выбора решения для двухфакторной аутентификации (2FA) OWA стоит сравнить ключевые характеристики, которые влияют на сложность внедрения, управления и итоговый уровень безопасности. В таблице представлено сравнение трех типовых подходов к защите OWA.

Критерий Бесплатный модуль Специализированный плагин ID

Модель развертывания

Локальный адаптер + внешний облачный сервис.

Облачный сервис или локальная платформа на выбор

Облачный сервис или локальная платформа на выбор

Управление политиками

Базовая настройка по группам Active Directory

Расширенные настройки: кэширования сессии, групповые политики, временные фильтры

Централизованное управление через веб-кабинет. Гибкие правила для доменов и групп, журнал событий.

Интеграция и настройка

Ручное редактирование файлов web.config и размещение DLL-файлов на сервере Exchange

Установка через инсталлятор с мастером настройки.

Установка адаптера и настройка через конфигурационные файлы (appsettings.json). Централизация настройки для различных ресурсов (VPN, RDP, AD FS и др.)

Поддерживаемые методы 2FA

Мобильное приложение, SMS, OTP-коды, аппаратные токены

Мобильные приложения, SMS, email, аппаратные токены, включая алгоритм OCRA

Push-уведомления, звонок, OTP-коды, включая поддержку мобильного приложения и сторонних аутентификаторов

Ключевые особенности

Открытый исходный код. Может потребовать блокировки отдельных почтовых клиентов для гарантированной работы

Настраиваемое время жизни сессии (например, 12 часов), самообслуживание пользователей, детальная аналитика.

Единая точка управления 2FA для OWA, ActiveSync, корпоративных приложений, VPN и рабочих станций

Выбор зависит от масштаба задач, доступной экспертизы и требований к интеграции:

  • Бесплатный модуль — может быть вариантом для тестирования 2FA в малых средах с техническими специалистами, готовыми к ручной настройке и поддержке.
  • Специализированный плагин — подходит для целевой защиты OWA с балансом между удобством установки и гибкостью настроек, таких как длительность сессии.
  • Платформа централизованного управления — оптимальна для организаций, которым необходима комплексная защита не только почты, но и других корпоративных ресурсов (VPN, RDP, облачные приложения) из единого интерфейса. Такой подход снижает общую сложность управления безопасностью.
Александр Котов
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться