Korzystanie z nowoczesnego uwierzytelniania hybrydowego w programie Outlook dla systemów iOS i Android (2023)

Aplikacja Outlook dla systemów iOS i Android została zaprojektowana jako najlepszy sposób korzystania z usługi Microsoft 365 lub Office 365 na urządzeniu przenośnym dzięki usługom firmy Microsoft ułatwiającym znajdowanie, planowanie i ustalanie priorytetów w codziennym życiu i pracy. Outlook zapewnia bezpieczeństwo, prywatność i wsparcie, których potrzebujesz, jednocześnie chroniąc dane firmowe za pomocą takich funkcji, jak dostęp warunkowy Azure Active Directory i zasady ochrony aplikacji usługi Intune. Poniższe sekcje zawierają omówienie hybrydowej architektury nowoczesnego uwierzytelniania, wymaganych wymagań wstępnych dotyczących jej wdrożenia oraz sposobu bezpiecznego wdrażania lokalnych skrzynek pocztowych programu Outlook dla systemów iOS i Android dla programu Exchange.

Architektura Microsoft Cloud dla hybrydowych klientów Exchange Server

Outlook dla systemów iOS i Android to aplikacja oparta na chmurze. Ta cecha wskazuje, że Twoje środowisko składa się z lokalnie zainstalowanej aplikacji obsługiwanej przez bezpieczną i skalowalną usługę działającą w chmurze Microsoft.

W przypadku skrzynek pocztowych programu Exchange Server architektura programu Outlook dla systemów iOS i Android jest wbudowana bezpośrednio w chmurę Microsoft Cloud, zapewniając klientom więcej korzyści, takich jak bezpieczeństwo, prywatność, wbudowana zgodność i przejrzyste operacje, do których firma Microsoft zobowiązuje się wCentrum zaufania firmy MicrosoftICentrum zaufania platformy Azure.

W ramach architektury opartej na platformie Microsoft 365 lub Office 365 program Outlook dla systemów iOS i Android korzysta z natywnej technologii synchronizacji firmy Microsoft do synchronizacji danych, która jest chroniona przez kompleksowe połączenie zabezpieczone protokołem TLS między platformą Microsoft 365 lub Office 365 a aplikacją.

Połączenie Exchange ActiveSync (EAS) między usługą Exchange Online a środowiskiem lokalnym umożliwia synchronizację danych użytkowników w siedzibie i obejmuje pocztę e-mail z czterech tygodni, wszystkie dane kalendarza, wszystkie dane kontaktowe i stan nieobecności w dzierżawie usługi Exchange Online. Te dane zostaną automatycznie usunięte z Exchange Online po 30 dniach od usunięcia konta w Azure Active Directory.

Synchronizacja danych między środowiskiem lokalnym a usługą Exchange Online odbywa się niezależnie od zachowania użytkownika. Ta niezależność zapewnia nam szybkie wysyłanie nowych wiadomości do urządzeń.

Przetwarzanie informacji w chmurze Microsoft Cloud umożliwia korzystanie z zaawansowanych funkcji i możliwości, takich jak kategoryzacja wiadomości e-mail dla Priorytetowej skrzynki odbiorczej, dostosowywanie środowiska podróży i kalendarza oraz zwiększona szybkość wyszukiwania. Poleganie na chmurze do intensywnego przetwarzania i minimalizacja zasobów wymaganych od urządzeń użytkowników zwiększa wydajność i stabilność aplikacji. Wreszcie pozwala Outlookowi tworzyć funkcje, które działają na wszystkich kontach e-mail, niezależnie od możliwości technologicznych bazowych serwerów (takich jak różne wersje Exchange Server, Microsoft 365 lub Office 365).

W szczególności ta nowa architektura zawiera następujące ulepszenia:

1. Wsparcie Enterprise Mobility + Security: Klienci mogą korzystać z rozwiązania Microsoft Enterprise Mobility + Security (EMS), w tym Microsoft Intune i Azure Active Directory Premium, aby włączyć dostęp warunkowy i zasady ochrony aplikacji Intune, które kontrolują i zabezpieczają firmowe dane wiadomości na urządzeniu mobilnym.

2. W pełni obsługiwane przez Microsoft Cloud: Dane lokalnej skrzynki pocztowej są synchronizowane z usługą Exchange Online, która zapewnia korzyści w postaci bezpieczeństwa, prywatności, zgodności i przejrzystych operacji, do których firma Microsoft zobowiązuje się wCentrum zaufania firmy Microsoft.

3. OAuth chroni hasła użytkowników: Outlook używa hybrydowego nowoczesnego uwierzytelniania (OAuth) do ochrony poświadczeń użytkowników. Hybrydowe nowoczesne uwierzytelnianie zapewnia programowi Outlook bezpieczny mechanizm dostępu do danych programu Exchange bez konieczności dotykania lub przechowywania poświadczeń użytkownika. Podczas logowania użytkownik uwierzytelnia się bezpośrednio na platformie tożsamości (Azure Active Directory lub lokalnego dostawcy tożsamości, takiego jak ADFS) i otrzymuje w zamian token dostępu, który zapewnia programowi Outlook dostęp do skrzynki pocztowej lub plików użytkownika. Serwis w żadnym momencie nie ma dostępu do hasła użytkownika.

4. Zapewnia unikalne identyfikatory urządzeń: Każde połączenie programu Outlook jest unikatowo rejestrowane w usłudze Microsoft Intune i dlatego można nim zarządzać jako unikalnym połączeniem.

5. Odblokowuje nowe funkcje na iOS i Androidzie: Ta aktualizacja umożliwia aplikacji Outlook korzystanie z natywnych funkcji Microsoft 365 lub Office 365, które nie są obecnie obsługiwane w lokalnym programie Exchange, takich jak pełne wyszukiwanie w usłudze Exchange Online i skoncentrowana skrzynka odbiorcza. Te funkcje będą dostępne tylko podczas korzystania z programu Outlook dla systemów iOS i Android.

Bezpieczeństwo danych, dostęp i kontrole audytu

Ponieważ dane lokalne są synchronizowane z usługą Exchange Online, klienci mają pytania dotyczące sposobu ochrony danych w usłudze Exchange Online.Szyfrowanie w chmurze Microsoftomawia sposób używania funkcji BitLocker do szyfrowania na poziomie woluminu.Szyfrowanie usługi za pomocą klucza klienta Microsoft Purviewjest obsługiwana w architekturze Outlook dla systemów iOS i Android, ale należy pamiętać, że użytkownik musi mieć licencję Office 365 Enterprise E5 (lub odpowiednie wersje tych planów dla instytucji rządowych lub instytucji edukacyjnych), aby mieć przypisane zasady szyfrowania za pomocą polecenia cmdlet set-mailuser.

Domyślnie inżynierowie Microsoft mają zerowe stałe uprawnienia administracyjne i zerowy stały dostęp do zawartości klienta w Microsoft 365 lub Office 365.Kontrola dostępu administracyjnegoomawia sprawdzanie personelu, sprawdzanie przeszłości, Lockbox i Customer Lockbox i nie tylko.

Audytowane przez ISO kontrole w zakresie zapewnienia usługdokumentacja przedstawia stan skontrolowanych środków kontroli na podstawie globalnych standardów i przepisów dotyczących bezpieczeństwa informacji, które zostały wdrożone w usłudze Microsoft 365 i usłudze Office 365.

Przepływ połączenia

Gdy program Outlook dla systemów iOS i Android jest włączony z hybrydowym nowoczesnym uwierzytelnianiem, przepływ połączenia wygląda następująco.

1. Gdy użytkownik wprowadzi swój adres e-mail, program Outlook dla systemów iOS i Android łączy się z usługą AutoDetect. Funkcja AutoDetect określa typ skrzynki pocztowej, uruchamiając kwerendę funkcji AutoDiscover do usługi Exchange Online. Usługa Exchange Online określa, że ​​skrzynka pocztowa użytkownika jest lokalna, i zwraca przekierowanie 302 do funkcji AutoDetect z lokalnym adresem URL automatycznego wykrywania. AutoDetect uruchamia kwerendę względem lokalnej usługi AutoDiscover w celu określenia punktu końcowego ActiveSync dla adresu e-mail. Próbowany adres URL lokalnie jest podobny do tego przykładu:.

2. AutoDetect rozpoczyna połączenie z lokalnym adresem URL ActiveSync zwróconym w kroku 1 powyżej z pustym wezwaniem na okaziciela. Wyzwanie pustego okaziciela informuje lokalną usługę ActiveSync, że klient obsługuje nowoczesne uwierzytelnianie. Lokalna usługa ActiveSync odpowiada odpowiedzią na wyzwanie 401 i obejmujeUwierzytelnianie WWW: okazicielanagłówek. W nagłówku WWW-Authenticate: Bearer znajduje się wartośćauthority_uri, która identyfikuje punkt końcowy usługi Azure Active Directory (AAD), który powinien być używany do uzyskiwania tokenu OAuth.

3. Funkcja AutoDetect zwraca klientowi punkt końcowy usługi AAD. Klient rozpoczyna przepływ logowania, a użytkownikowi wyświetlany jest formularz internetowy (lub przekierowany do aplikacji Microsoft Authenticator) i może wprowadzić poświadczenia. W zależności od konfiguracji tożsamości ten proces może obejmować federacyjne przekierowanie punktu końcowego do lokalnego dostawcy tożsamości lub nie. Ostatecznie klient uzyskuje parę tokenów dostępu i odświeżania o nazwie AT1/RT1. Ten token dostępu jest ograniczony do klienta programu Outlook dla systemów iOS i Android z odbiorcami punktu końcowego usługi Exchange Online.

4. Program Outlook dla systemów iOS i Android nawiązuje połączenie z usługą Exchange Online i wysyła żądanie aprowizacji, które obejmuje token dostępu użytkownika (AT1) i lokalny punkt końcowy ActiveSync.

5. Interfejs API obsługi administracyjnej MRS w usłudze Exchange Online używa AT1 jako danych wejściowych i uzyskuje drugą parę tokenów dostępu i odświeżania (o nazwie AT2/RT2), aby uzyskać dostęp do lokalnej skrzynki pocztowej za pośrednictwem wywołania w imieniu usługi Active Directory. Ten drugi token dostępu jest objęty zakresem klienta będącego usługą Exchange Online i odbiorców lokalnego punktu końcowego przestrzeni nazw ActiveSync.

6. Jeśli skrzynka pocztowa nie jest obsługiwana, interfejs API obsługi administracyjnej tworzy skrzynkę pocztową.

7. Interfejs API udostępniania MRS ustanawia bezpieczne połączenie z lokalnym punktem końcowym ActiveSync i synchronizuje dane wiadomości użytkownika przy użyciu tokena dostępu AT2 jako mechanizmu uwierzytelniania. RT2 jest używany okresowo do generowania nowego AT2, dzięki czemu dane mogą być synchronizowane w tle bez interwencji użytkownika.

8. Dane są zwracane do klienta.

Wymagania techniczne i licencyjne

Hybrydowa architektura nowoczesnego uwierzytelniania ma następujące wymagania techniczne:

1. Lokalna konfiguracja programu Exchange:

   • Exchange Server 2019 zbiorcza aktualizacja 1 (CU1) lub nowsza, Exchange Server 2016 zbiorcza aktualizacja 8 (CU8) lub nowsza albo Exchange Server 2013 CU19 lub nowsza na wszystkich serwerach Exchange. W przypadku wdrożeń hybrydowych (lokalne Exchange i Exchange Online) lub w organizacjach korzystających z archiwizacji online Exchange (EOA) z lokalnym wdrożeniem programu Exchange należy wdrożyć najnowszą CU lub jedną CU przed najbardziej aktualną.

   • Wszystkie serwery Exchange 2007 lub Exchange 2010 muszą zostać usunięte ze środowiska. Te wersje programu Exchange nie są obsługiwane przez główny nurt i nie będą działać z programem Outlook zarządzanym przez usługę Intune dla systemów iOS i Android. W tej architekturze program Outlook dla systemów iOS i Android używa protokołu OAuth jako mechanizmu uwierzytelniania. Jedna z lokalnych zmian konfiguracji, które występują, włącza punkt końcowy OAuth do Microsoft Cloud jako domyślny punkt końcowy autoryzacji. Po wprowadzeniu tej zmiany klienci mogą rozpocząć negocjowanie użycia protokołu OAuth. Ponieważ ta zmiana obejmuje całą organizację, skrzynki pocztowe programu Exchange 2010 obsługiwane przez program Exchange 2013 lub 2016 będą błędnie myśleć, że mogą korzystać z protokołu OAuth i zostaną rozłączone, ponieważ program Exchange 2010 nie obsługuje protokołu OAuth jako mechanizmu uwierzytelniania.

     See Also

     Konfiguracja konta z nowoczesnym uwierzytelnianiem w Exchange OnlineSkonfiguruj konto z nowoczesnym uwierzytelnianiem w usłudze Exchange Online

2. Synchronizacja Active Directory. Synchronizacja Active Directory całego lokalnego katalogu adresatów poczty z Azure Active Directory za pośrednictwem Azure AD Connect. Jeśli maszFiltrowanie aplikacji i atrybutów usługi Azure ADwłączone w konfiguracji Azure AD Connect, upewnij się, że wybrano następujące aplikacje:

   • Office 365 ProPlus
   • Wymiana online
   • Usługa Azure RMS
   • Nastrojony

   Jeśli nie maszFiltrowanie aplikacji i atrybutów usługi Azure ADwłączone w konfiguracji Azure AD Connect, wszystkie wymagane aplikacje są już domyślnie wybrane.

   Ważny

   Program Outlook dla systemów iOS i Android korzysta z globalnej listy adresów usługi Exchange Online dzierżawy dla lokalnych skrzynek pocztowych, które wykorzystują nowoczesne uwierzytelnianie hybrydowe. Jeśli wszyscy odbiorcy poczty nie zostaną zsynchronizowani z usługą Azure Active Directory, użytkownicy będą mieli problemy z przepływem poczty.

3. Wymień konfigurację hybrydową: Wymaga pełnej relacji hybrydowej między lokalnym programem Exchange a usługą Exchange Online.

   • Hybrydowa organizacja Microsoft 365 lub Office 365 jest konfigurowana w pełnej konfiguracji hybrydowej przy użyciu trybu Exchange Classic Hybrid Topology i jest konfigurowana zgodnie zAsystent wdrażania programu Exchange.

     Notatka

     Hybrydowe nowoczesne uwierzytelnianie nie jest obsługiwane w przypadkuAgent hybrydowy.

   • Wymaga organizacji Microsoft 365 lub Office 365 Enterprise, Business lub Education.

   • Dane lokalnej skrzynki pocztowej są synchronizowane w tym samym regionie centrum danych, w którym jest skonfigurowana organizacja Microsoft 365 lub Office 365, lub w regionie centrum danych zdefiniowanym w konciePreferowana lokalizacja danych. Aby uzyskać więcej informacji o tym, gdzie znajdują się dane Microsoft 365 i Office 365, odwiedź stronęCentrum zaufania firmy Microsoft. Aby uzyskać więcej informacji ntPreferowana lokalizacja danych, WidziećMożliwości wielu lokalizacji geograficznych.

   • Nazwy hostów zewnętrznych adresów URL dla Exchange ActiveSync i automatycznego wykrywania muszą zostać opublikowane jako jednostki usługi w Azure Active Directory za pomocą Kreatora konfiguracji hybrydowej.

   • Przestrzenie nazw AutoDiscover i Exchange ActiveSync muszą być dostępne z Internetu i nie mogą być obsługiwane przez rozwiązanie do wstępnego uwierzytelniania.

   • Upewnij się, że między systemem równoważenia obciążenia a serwerami Exchange nie jest używane odciążanie SSL lub TLS, ponieważ ta konfiguracja wpłynie na użycie tokena OAuth. Obsługiwane jest mostkowanie SSL i TLS (zakończenie i ponowne szyfrowanie).

4. Konfiguracja usługi Intune: zarówno autonomiczna usługa Intune, jak iWspółzarządzaniewdrożenia są obsługiwane (podstawowa mobilność i zabezpieczenia dla platformy Microsoft 365 nie są obsługiwane).

5. Licencjonowanie Microsoft 365 i Office 365:

   • Outlook dla systemów iOS i Android jest bezpłatny do użytku konsumenckiego w sklepie iOS App Store i Google Play. Jednak użytkownicy komercyjni wymagają subskrypcji Microsoft 365 lub Office 365, która obejmuje aplikacje klasyczne Office: Aplikacje Microsoft 365 dla Firm, Microsoft 365 Business Standard, Aplikacje Microsoft 365 dla przedsiębiorstw, Office 365 Enterprise E3, Office 365 Enterprise E5 lub odpowiednie wersje tych planów dla instytucji rządowych lub instytucji edukacyjnych. Użytkownicy komercyjni z następującymi subskrypcjami mogą używać aplikacji mobilnej Outlook na urządzeniach ze zintegrowanymi ekranami o przekątnej 10,1 cala lub mniejszej: Office 365 Enterprise E1, Office 365 F1, Office 365 A1, Microsoft 365 Business Basic, a jeśli masz tylko licencję Exchange Online (bez pakietu Office). Jeśli masz tylko licencję lokalną programu Exchange (Exchange Server), nie masz licencji na korzystanie z aplikacji.
   • Korzystanie z zaawansowanych funkcji Exchange Online (np.Szyfrowanie usługi za pomocą klucza klientaLubMożliwości wielu lokalizacji geograficznych) wymagać przypisania użytkownikowi lokalnemu odpowiedniej licencji subskrypcyjnej usługi Office 365 lub Microsoft 365 w Centrum administracyjnym usługi Microsoft 365.

   Aby uzyskać więcej informacji na temat przypisywania licencji, zobaczDodaj użytkowników pojedynczo lub zbiorczo.

6. Licencja EMS: Każdy użytkownik lokalny musi mieć jedną z następujących licencji:

   • Autonomiczna usługa Intune + Azure Active Directory Premium 1 lub Azure Active Directory Premium 2
   • Enterprise Mobility + Security E3, Enterprise Mobility + Security E5

Etapy wdrożenia

Włączenie obsługi hybrydowego nowoczesnego uwierzytelniania w Twojej organizacji wymaga wykonania każdego z poniższych kroków, które są szczegółowo opisane w poniższych sekcjach:

1. Utwórz zasady dostępu warunkowego
2. Utwórz zasady ochrony aplikacji usługi Intune
3. Włącz nowoczesne uwierzytelnianie hybrydowe

Utwórz zasady dostępu warunkowego

Gdy organizacja zdecyduje się ujednolicić sposób, w jaki użytkownicy uzyskują dostęp do danych programu Exchange, używając programu Outlook dla systemów iOS i Android jako jedynej aplikacji poczty e-mail dla użytkowników końcowych, może skonfigurować zasady dostępu warunkowego, które blokują inne metody dostępu mobilnego. Program Outlook dla systemów iOS i Android uwierzytelnia się za pośrednictwem obiektu tożsamości usługi Azure Active Directory, a następnie łączy się z usługą Exchange Online. W związku z tym należy utworzyć zasady dostępu warunkowego usługi Azure Active Directory, aby ograniczyć łączność urządzeń przenośnych z usługą Exchange Online. Aby wykonać to zadanie, potrzebujesz dwóch zasad dostępu warunkowego, z których każda jest przeznaczona dla wszystkich potencjalnych użytkowników. Szczegóły dotyczące tworzenia tych zasad można znaleźć wDostęp warunkowy: Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji.

1. Postępuj zgodnie z instrukcjami wWymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji na urządzeniach mobilnych. Ta zasada zezwala na program Outlook dla systemów iOS i Android, ale blokuje klientom mobilnym Exchange ActiveSync obsługującym uwierzytelnianie OAuth i podstawowe uwierzytelnianie łączenie się z usługą Exchange Online.

   Notatka

   Ta zasada zapewnia użytkownikom mobilnym dostęp do wszystkich punktów końcowych pakietu Office przy użyciu odpowiednich aplikacji.

2. Postępuj zgodnie z instrukcjami wZablokuj Exchange ActiveSync na wszystkich urządzeniach, co uniemożliwia klientom Exchange ActiveSync korzystającym z uwierzytelniania podstawowego na urządzeniach innych niż mobilne łączenie się z usługą Exchange Online.

   Powyższe zasady wykorzystują kontrolę dotacjiWymagaj zasady ochrony aplikacji, co zapewnia zastosowanie zasad ochrony aplikacji usługi Intune do skojarzonego konta w programie Outlook dla systemów iOS i Android przed przyznaniem dostępu. Jeśli użytkownik nie jest przypisany do zasad ochrony aplikacji usługi Intune, nie ma licencji na usługę Intune lub aplikacja nie jest objęta zasadami ochrony aplikacji usługi Intune, zasady uniemożliwiają użytkownikowi uzyskanie tokenu dostępu i uzyskanie dostępu do danych wiadomości.

3. Na koniec podążajInstrukcje: blokowanie starszego uwierzytelniania w usłudze Azure AD przy użyciu dostępu warunkowegoblokować starsze uwierzytelnianie dla innych protokołów Exchange na urządzeniach z systemem iOS i Android; ta zasada powinna dotyczyć tylko aplikacji chmurowej Microsoft 365 lub Office 365 Exchange Online oraz platform urządzeń iOS i Android. Takie podejście zapewnia, że ​​aplikacje mobilne korzystające z usług sieci Web programu Exchange, protokołów IMAP4 lub POP3 z podstawowym uwierzytelnianiem nie mogą łączyć się z usługą Exchange Online.

Aby zablokować innym klientom urządzeń przenośnych (takim jak natywny klient poczty zawarty w mobilnym systemie operacyjnym) łączenie się ze środowiskiem lokalnym (które uwierzytelnia się za pomocą uwierzytelniania podstawowego w lokalnej usłudze Active Directory):

Możesz użyć wbudowanych reguł dostępu do urządzenia mobilnego Exchange i zablokować łączenie się wszystkim urządzeniom mobilnym, ustawiając następujące polecenie w powłoce Exchange Management Shell:

Set-ActiveSyncOrganizationSettings-DefaultAccessLevel Block

Utwórz zasady ochrony aplikacji usługi Intune

Po włączeniu nowoczesnego uwierzytelniania hybrydowego wszyscy lokalni użytkownicy mobilni mogą korzystać z programu Outlook dla systemów iOS i Android przy użyciu architektury opartej na Microsoft 365 lub Office 365. Dlatego ważne jest, aby chronić dane firmowe za pomocą zasad ochrony aplikacji usługi Intune.

Utwórz zasady ochrony aplikacji usługi Intune dla systemów iOS i Android, wykonując czynności opisane wJak tworzyć i przypisywać zasady ochrony aplikacji. Każda polisa musi spełniać co najmniej następujące warunki:

1. Obejmują one wszystkie aplikacje mobilne firmy Microsoft, takie jak Word, Excel lub PowerPoint, ponieważ to włączenie zapewni użytkownikom bezpieczny dostęp do danych firmowych i manipulowanie nimi w dowolnej aplikacji firmy Microsoft.

2. Naśladują funkcje zabezpieczeń zapewniane przez Exchange dla urządzeń mobilnych, w tym:

   • Wymaganie kodu PIN w celu uzyskania dostępu (w tym Wybierz typ, długość kodu PIN, Zezwól na prosty kod PIN, Zezwól na odcisk palca)
   • Szyfrowanie danych aplikacji
   • Blokowanie uruchamiania aplikacji zarządzanych na urządzeniach z uszkodzonym jailbreakiem i zrootowanych

3. Są one przypisane do wszystkich użytkowników. To szerokie przypisanie gwarantuje, że wszyscy użytkownicy są chronieni, niezależnie od tego, czy korzystają z programu Outlook dla systemów iOS i Android.

Oprócz powyższych minimalnych wymagań zasad należy rozważyć wdrożenie zaawansowanych ustawień zasad ochrony, takich jakOgranicz wycinanie, kopiowanie i wklejanie w innych aplikacjachw celu dalszego zapobiegania wyciekom danych korporacyjnych. Aby uzyskać więcej informacji na temat dostępnych ustawień, patrzUstawienia zasad ochrony aplikacji systemu Android w usłudze Microsoft IntuneIUstawienia zasad ochrony aplikacji na iOS.

Włącz nowoczesne uwierzytelnianie hybrydowe

1. Jeśli nie włączono nowoczesnego uwierzytelniania hybrydowego, zapoznaj się z wymaganiami wstępnymi opisanymi wOmówienie hybrydowego nowoczesnego uwierzytelniania i wymagania wstępne dotyczące używania go z lokalnymi serwerami Skype dla firm i Exchange. Po spełnieniu wymagań wstępnych wykonaj kroki wJak skonfigurować lokalny serwer Exchange do korzystania z hybrydowego nowoczesnego uwierzytelniania.

2. Utwórz regułę zezwalającą na dostęp do urządzenia lokalnego programu Exchange, aby zezwolić usłudze Exchange Online na łączenie się ze środowiskiem lokalnym przy użyciu protokołu ActiveSync:

   If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}

   Notatka

   Zarządzanie urządzeniami za pośrednictwem lokalnego centrum administracyjnego programu Exchange nie jest możliwe. Usługa Intune jest wymagana do zarządzania urządzeniami mobilnymi.

3. Utwórz regułę dostępu do urządzenia lokalnego programu Exchange, która uniemożliwia użytkownikom łączenie się ze środowiskiem lokalnym za pomocą programu Outlook dla systemów iOS i Android z podstawowym uwierzytelnianiem za pośrednictwem protokołu Exchange ActiveSync:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook dla iOS i Android" -AccessLevel Block

   Notatka

   Po utworzeniu tej reguły użytkownicy programu Outlook dla systemów iOS i Android z uwierzytelnianiem podstawowym zostaną zablokowani.

4. Upewnij się, że Twój lokalny Exchange ActiveSync maxRequestLength jest skonfigurowany tak, aby pasował do MaxSendSize/MaxReceiveSize konfiguracji transportu:

   • Ścieżka:%ExchangeInstallPath%\FrontEnd\HttpProxy\Sync\web.config
   • Nieruchomość:maksymalna długość żądania
   • Wartość: ustawiona w rozmiarze KB (na przykład 10 MB to 10240)

Funkcje klienta, które nie są obsługiwane

Następujące funkcje nie są obsługiwane w przypadku lokalnych skrzynek pocztowych korzystających z hybrydowego nowoczesnego uwierzytelniania w programie Outlook dla systemów iOS i Android.

• Synchronizacja folderów roboczych i wiadomości roboczych
• Przeglądanie wiadomości e-mail z więcej niż czterech tygodni za pomocą łącza „Załaduj więcej wiadomości” u dołu listy wiadomości
• Udostępniony dostęp do kalendarza i delegowany dostęp do kalendarza
• Udostępnianie i delegowanie dostępu do danych skrzynki pocztowej
• Czas wyjścia Cortany / Czas podróży
• Bogate lokalizacje spotkań
• Zarządzanie zadaniami za pomocą Microsoft To Do
• Dodatki
• Ciekawe kalendarze
• Zagraj w Moje e-maile
• Etykietowanie czułości
• S/MIME

Następujące funkcje są obsługiwane tylko wtedy, gdy infrastruktura lokalna korzysta z programu Exchange Server 2016 lub nowszego:

• Załączniki kalendarza

Często zadawane pytania dotyczące przepływu połączenia

Q: Moja organizacja ma zasady bezpieczeństwa, które wymagają, aby połączenia przychodzące z Internetu były ograniczone do zatwierdzonych adresów IP lub nazw FQDN. Czy taka konfiguracja jest możliwa przy tej architekturze?

A: Firma Microsoft zaleca, aby lokalne punkty końcowe dla protokołów AutoDiscover i ActiveSync były otwarte i dostępne z Internetu bez żadnych ograniczeń. W niektórych sytuacjach może to być niemożliwe. Na przykład, jeśli jesteś w okresie współistnienia z innym rozwiązaniem do ujednoliconego zarządzania punktami końcowymi (UEM) innej firmy, możesz chcieć nałożyć ograniczenia na protokół ActiveSync, aby uniemożliwić użytkownikom pominięcie rozwiązania UEM podczas migracji do usługi Intune i programu Outlook dla systemów iOS i Android. Jeśli musisz nałożyć ograniczenia na lokalną zaporę lub urządzenia brzegowe bramy, firma Microsoft zaleca filtrowanie na podstawie punktów końcowych nazwy FQDN. Jeśli nie można użyć punktów końcowych FQDN, przefiltruj według adresów IP. Upewnij się, że na liście dozwolonych znajdują się następujące podsieci IP i nazwy FQDN:

• Wszystkie nazwy FQDN usługi Exchange Online i zakresy podsieci IP zgodnie z definicją wWięcej punktów końcowych nie jest uwzględnionych w usłudze Microsoft 365 lub Office 365 Adres IP i adres URL w sieci Web.

• Zakresy nazw FQDN i podsieci IP funkcji AutoDetect zdefiniowane wDodatkowe punkty końcowe nieuwzględnione w usłudze Microsoft 365 lub Office 365 Adres IP i adres URL usługi sieci Web. Te podsieci IP i nazwy FQDN są wymagane, ponieważ usługa AutoDetect nawiązuje połączenia z infrastrukturą lokalną.

• Wszystkie nazwy FQDN aplikacji mobilnych Outlook iOS i Android oraz Office zgodnie z definicją wAdresy URL i zakresy adresów IP Microsoft 365 i Office 365.

Q: Moja organizacja korzysta obecnie z rozwiązania UEM innej firmy do kontrolowania łączności urządzeń mobilnych. Jeśli ujawnię przestrzeń nazw Exchange ActiveSync w Internecie, wprowadzi to sposób na ominięcie przez użytkowników rozwiązania UEM innej firmy w okresie współistnienia. Jak mogę zapobiec tej sytuacji?

A: Istnieją trzy potencjalne rozwiązania tego problemu:

1. Zaimplementuj reguły dostępu do urządzeń mobilnych Exchange, aby kontrolować, które urządzenia mogą się łączyć.
2. Niektóre rozwiązania UEM innych firm integrują się z regułami dostępu do urządzeń mobilnych Exchange, blokując niezatwierdzony dostęp, jednocześnie dodając zatwierdzone urządzenia we właściwości ActiveSyncAllowedDeviceIDs użytkownika.
3. Zaimplementuj ograniczenia adresów IP w przestrzeni nazw Exchange ActiveSync.

Q: Czy mogę używać usługi Azure ExpressRoute do zarządzania ruchem między chmurą firmy Microsoft a moim środowiskiem lokalnym?

A: Łączność z Microsoft Cloud wymaga połączenia z Internetem. Firma Microsoft zaleca udostępnianie funkcji AutoDiscover i Exchange ActiveSync bezpośrednio w Internecie; aby uzyskać więcej informacji, zobaczZasady łączności sieciowej Microsoft 365 i Office 365. Jednak usługa Azure ExpressRoute jest obsługiwana w przypadku scenariuszy hybrydowych programu Exchange. Aby uzyskać więcej informacji, zobaczAzure ExpressRoute dla Microsoft 365 i Office 365.

W przypadku usługi ExpressRoute nie ma prywatnego miejsca na adresy IP dla połączeń usługi ExpressRoute ani „prywatnego” rozpoznawania nazw DNS. Oznacza to, że każdy punkt końcowy, którego firma chce używać za pośrednictwem usługi ExpressRoute, musi zostać rozpoznany w publicznym systemie DNS. Jeśli ten punkt końcowy zostanie rozpoznany jako adres IP zawarty w anonsowanych prefiksach skojarzonych z obwodem ExpressRoute (firma musi skonfigurować te prefiksy w Azure Portal po włączeniu komunikacji równorzędnej firmy Microsoft w połączeniu ExpressRoute), połączenie wychodzące z usługi Exchange Online do środowiska lokalnego będzie kierowane przez obwód ExpressRoute. Twoja firma będzie musiała upewnić się, że ruch powrotny skojarzony z tymi połączeniami przechodzi przez obwód ExpressRoute (unikając routingu asymetrycznego).

Q: Biorąc pod uwagę, że tylko cztery tygodnie danych wiadomości są synchronizowane z usługą Exchange Online, czy oznacza to, że zapytania wyszukiwania wykonywane w programie Outlook dla systemów iOS i Android nie mogą zwracać informacji poza danymi dostępnymi na urządzeniu lokalnym?

A: gdy zapytanie wyszukiwania jest wykonywane w programie Outlook dla systemów iOS i Android, elementy pasujące do zapytania wyszukiwania są zwracane, jeśli znajdują się na urządzeniu. Ponadto zapytanie wyszukiwania jest przekazywane do lokalnego programu Exchange za pośrednictwem usługi Exchange Online. Lokalny program Exchange wykonuje zapytanie wyszukiwania w lokalnej skrzynce pocztowej i zwraca wyniki do usługi Exchange Online, która przekazuje wyniki do klienta. Wyniki kwerendy lokalnej są przechowywane w usłudze Exchange Online przez jeden dzień przed usunięciem.

Q: skąd mam wiedzieć, że konto e-mail zostało poprawnie dodane w programie Outlook dla systemów iOS i Android?

A: Lokalne skrzynki pocztowe, które są dodawane za pomocą hybrydowego nowoczesnego uwierzytelniania, są oznaczone jakoWymiana (hybryda)w ustawieniach konta w Outlooku dla iOS i Androida, podobnie jak w poniższym przykładzie:

Często zadawane pytania dotyczące uwierzytelniania

Q: Jakie konfiguracje tożsamości są obsługiwane przez hybrydowe nowoczesne uwierzytelnianie i Outlook dla systemów iOS i Android?

A: Następujące konfiguracje tożsamości z Azure Active Directory są obsługiwane z nowoczesnym uwierzytelnianiem hybrydowym:

• Tożsamość federacyjna z dowolnym lokalnym dostawcą tożsamości obsługiwanym przez usługę Azure Active Directory
• Synchronizacja skrótów haseł za pośrednictwem Azure Active Directory Connect
• Uwierzytelnianie przekazywane za pośrednictwem Azure Active Directory Connect

Q: Jaki mechanizm uwierzytelniania jest używany w programie Outlook dla systemów iOS i Android? Czy poświadczenia są przechowywane w Microsoft 365 lub Office 365?

A: WidziećKonfiguracja konta z nowoczesnym uwierzytelnianiem w Exchange Online.

Q: Czy Outlook dla systemów iOS i Android oraz inne aplikacje mobilne pakietu Microsoft Office obsługują funkcję jednokrotnego logowania?

A: WidziećKonfiguracja konta z nowoczesnym uwierzytelnianiem w Exchange Online.

Q: Jaki jest okres istnienia tokenów generowanych i używanych przez bibliotekę uwierzytelniania usługi Active Directory (ADAL) w programie Outlook dla systemów iOS i Android?

A: WidziećKonfiguracja konta z nowoczesnym uwierzytelnianiem w Exchange Online.

Q: Co dzieje się z tokenem dostępu po zmianie hasła użytkownika?

A: WidziećKonfiguracja konta z nowoczesnym uwierzytelnianiem w Exchange Online.

Q: Czy istnieje sposób na ominięcie funkcji AutoDetect przez użytkownika podczas dodawania konta do programu Outlook dla systemów iOS i Android?

A: Tak, użytkownik może w dowolnym momencie ominąć funkcję AutoDetect i ręcznie skonfigurować połączenie przy użyciu uwierzytelniania podstawowego za pośrednictwem protokołu Exchange ActiveSync. Aby upewnić się, że użytkownik nie nawiąże połączenia ze środowiskiem lokalnym za pośrednictwem mechanizmu, który nie obsługuje zasad dostępu warunkowego usługi Azure Active Directory ani zasad ochrony aplikacji usługi Intune, lokalny administrator programu Exchange musi skonfigurować regułę dostępu do urządzenia programu Exchange, która blokuje połączenie ActiveSync. Aby wykonać to zadanie, wpisz następujące polecenie w powłoce Exchange Management Shell:

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook dla iOS i Android" -AccessLevel Block

Q: Co się stanie, gdy organizacja przejdzie z uwierzytelniania podstawowego w programie Outlook dla systemów iOS i Android na hybrydowe nowoczesne uwierzytelnianie?

A: Po tym, jak organizacja włączy hybrydowe nowoczesne uwierzytelnianie zgodnie z powyższymEtapy wdrożeniaużytkownicy końcowi muszą usunąć swój istniejący profil konta w programie Outlook dla systemów iOS i Android, ponieważ profil korzysta z uwierzytelniania podstawowego. Użytkownicy końcowi mogą następnie utworzyć nowy profil, który będzie korzystał z hybrydowego nowoczesnego uwierzytelniania.

Rozwiązywanie problemów

Poniżej przedstawiono najczęstsze problemy lub błędy dotyczące lokalnych skrzynek pocztowych korzystających z hybrydowego nowoczesnego uwierzytelniania w programie Outlook dla systemów iOS i Android.

Automatyczne wykrywanie i ActiveSync

Podczas tworzenia profilu użytkownikowi powinno zostać wyświetlone okno dialogowe Nowoczesne uwierzytelnianie, podobne do tego na poniższym zrzucie ekranu:

Jeśli zamiast tego użytkownikowi zostanie wyświetlone jedno z poniższych okien dialogowych, oznacza to problem z lokalnymi punktami końcowymi automatycznego wykrywania lub ActiveSync.

Oto przykład użytkownika, któremu przedstawiono starsze środowisko uwierzytelniania podstawowego Exchange ActiveSync:

Oto przykład tego, co widzą użytkownicy, gdy funkcja AutoDetect nie może wykryć konfiguracji lokalnych skrzynek pocztowych użytkowników.

W obu scenariuszach sprawdź, czy środowisko lokalne jest poprawnie skonfigurowane. Aby wykonać to zadanie: z Galerii TechNet pobierz i uruchom skrypt dlaSprawdzanie poprawności konfiguracji nowoczesnego uwierzytelniania hybrydowego dla programu Outlook dla systemów iOS i Android.

Podczas przeglądania danych wyjściowych skryptu powinny być widoczne następujące dane wyjściowe funkcji AutoDiscover:

{ "Protokół": "activesync", "Url": "https://mail.contoso.com/Microsoft-Server-ActiveSync"}

Lokalny punkt końcowy ActiveSync powinien zwrócić następującą odpowiedź, gdzie nagłówek WWW-Authenticate zawiera Authorization_uri:

Content-Length →0Date →Mon, 29 stycznia 2018 19:51:46 GMTServer →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trust_issuers="0000000 1-0000-0000-c000-000000000000@5de110f8-2e0f-4d45-891d-bcf2218e253d,00000004-0000-0ff1-ce00-000000000000@contoso.com", token_types="app_asserted_user_v1" service_asserted_app_v1",authorization_uri="https://login.windows.net/common/oauth2/authorize"Www-Authenticate →Basic realm="mail.contoso.com"X-Powered-By →ASP.NETrequest-id →5ca2c827-5147-474c-8457-63c4e5099c6e

Jeśli odpowiedzi AutoDiscover lub ActiveSync nie są podobne do powyższych przykładów, możesz zbadać następujące możliwe przyczyny:

1. Jeśli nie można osiągnąć punktu końcowego automatycznego wykrywania, prawdopodobnie występuje problem z konfiguracją zapory lub modułu równoważenia obciążenia (na przykład skonfigurowano ograniczenia adresów IP i nie ma wymaganych zakresów adresów IP). Ponadto przed programem Exchange może znajdować się urządzenie wymagające wstępnego uwierzytelnienia w celu uzyskania dostępu do punktu końcowego automatycznego wykrywania.

2. Jeśli punkt końcowy funkcji AutoDiscover nie zwraca poprawnego adresu URL, oznacza to problem z konfiguracją wartości ExternalURL katalogu wirtualnego ActiveSync.

3. Jeśli nie można osiągnąć punktu końcowego ActiveSync, oznacza to problem z konfiguracją zapory lub modułu równoważenia obciążenia. Ponownie, jednym z przykładów są skonfigurowane ograniczenia adresów IP, a wymagane zakresy adresów IP nie są obecne. Ponadto przed serwerem Exchange może znajdować się urządzenie wymagające wstępnego uwierzytelnienia w celu uzyskania dostępu do punktu końcowego ActiveSync.

4. Jeśli punkt końcowy ActiveSync nie zawiera wartościauthorization_uri, sprawdź, czy serwer uwierzytelniania EvoSTS jest skonfigurowany jako domyślny punkt końcowy przy użyciu powłoki Exchange Management Shell:

   Get-AuthServer EvoSts | Lista formatów IsDefaultAuthorizationEndpoint

5. Jeśli punkt końcowy programu ActiveSync nie zawiera nagłówka WWW-Authenticate, urządzenie znajdujące się przed programem Exchange może odpowiadać na kwerendę.

Problemy z synchronizacją klienta

Istnieje kilka scenariuszy, które mogą spowodować, że dane w programie Outlook dla systemów iOS i Android będą nieaktualne. Zazwyczaj ten stan danych jest spowodowany problemem z drugim tokenem dostępu (tokenem używanym przez MRS w usłudze Exchange Online do synchronizowania danych ze środowiskiem lokalnym). Dwie najczęstsze przyczyny tego problemu to:

• Odciążanie SSL/TLS lokalnie.
• Problemy z metadanymi certyfikatu EvoSTS.

W przypadku odciążania SSL/TLS tokeny są wydawane dla określonego identyfikatora URI, a ta wartość obejmuje wartość protokołu („https://”). Gdy system równoważenia obciążenia odciąża protokół SSL/TLS, żądanie odebrane przez Exchange przychodzi przez HTTP, co powoduje niezgodność roszczeń, ponieważ wartość protokołu to http://. Poniższy przykład przedstawia nagłówek odpowiedzi ze śladu programu Fiddler:

Content-Length →0Data →Mon, 29 stycznia 2018 19:51:46 GMTServer →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trust_issuers="0000000 1-0000-0000-c000-000000000000@00c118a9-2de9-41d3-b39a-81648a7a5e4d", autoryzacja_uri="https://login.windows.net/common/oauth2/authorize", error="invalid_token"WWW-Authenticate →Podstawowa dziedzina="mail.contoso .com"X-Powered-By →ASP.NETrequest-id →2323088f-8838-4f97-a88d-559bfcf92866x-ms-diagnostics →2000003;reason="Składnik nazwy hosta wartości żądania odbiorców jest nieprawidłowy. Oczekiwano „https://mail.contoso.com”. Rzeczywisty „http://mail.contoso.com”.”; błąd _category="nieprawidłowy_zasób"

Jak określono powyżej w sekcjiWymagania techniczne i licencyjne, odciążanie SSL/TLS nie jest obsługiwane w przypadku przepływów OAuth.

W przypadku metadanych certyfikatu EvoSTS metadane certyfikatu używane przez EvoSTS są czasami aktualizowane w usłudze Microsoft 365 lub Office 365. Lokalna skrzynka pocztowa arbitrażu programu Exchange, która ma funkcję organizacyjną „OrganizationCapabilityManagement”, jest odpowiedzialna za wykrywanie zmian i aktualizowanie odpowiednich metadanych lokalnie; ten proces jest wykonywany co osiem godzin.

Administratorzy programu Exchange mogą znaleźć tę skrzynkę pocztową, wykonując następujące polecenie cmdlet przy użyciu powłoki zarządzania programu Exchange:

$x=Get-mailbox -arbitration | ? {$_.PersistedCapabilities - jak "OrganizationCapabilityManagement"};Get-MailboxDatabaseCopyStatus $x.database.name

Na serwerze obsługującym bazę danych dla skrzynki pocztowej arbitrażu OrganizationCapabilityManagement przejrzyj dzienniki zdarzeń aplikacji pod kątem zdarzeń ze źródłemMSExchange AuthAdmin. Zdarzenia powinny informować, czy program Exchange może odświeżyć metadane. Jeśli metadane są nieaktualne, możesz je ręcznie odświeżyć za pomocą tego polecenia ccmdlet:

Set-AuthServer EvoSts -RefreshAuthMetadata

Możesz także utworzyć zaplanowane zadanie, które wykonuje powyższe polecenie co 24 godziny.

Giełda Statystyki online

Możesz użyć następujących poleceń cmdlet usługi Exchange Online, aby wyświetlić informacje statystyczne dla każdej zsynchronizowanej lokalnej skrzynki pocztowej.

1. Najpierw uzyskaj lokalizację zsynchronizowanej lokalnej skrzynki pocztowej w dzierżawie, określając tożsamość lokalnej skrzynki pocztowej (na przykład jane@contoso.com).

   $m = Get-MailboxLocation 

2. Aby zobaczyć statystyki związane ze skrzynką pocztową, użyj

   Get-MailboxStatistics $m.id

3. Aby wyświetlić statystyki urządzeń przenośnych (np. kiedy program Outlook dla systemu iOS i Android był ostatnio synchronizowany z usługą Exchange Online), użyj

   Get-MobileDeviceStatistics -Mailbox $m.id

Aby uzyskać więcej informacji, zobaczGet-MailboxStatisticsIGet-MobileDeviceStatistics.

Inne sprawy

Istnieją inne problemy, które mogą uniemożliwić prawidłowe działanie nowoczesnego uwierzytelniania hybrydowego. Aby uzyskać więcej informacji, zobacz sekcję rozwiązywania problemów wOgłaszamy hybrydowe nowoczesne uwierzytelnianie dla lokalnego programu Exchange.