面向 Microsoft office 365 的新式验证
Secure Mail 支持面向 Microsoft office 365 的新式验证用作 Active Directory 联合身份验证服务 (AD FS) 或身份提供程序 (IDP)。新式验证是基于 OAuth 令牌的身份验证与用户名和密码的结合使用。使用 iOS 设备的 Secure Mail 用户在连接到 Office 365 时可以利用基于证书的身份验证。登录到 Secure Mail 时,用户通过客户端证书进行身份验证,而非通过键入其凭据进行身份验证。
在继续操作之前,请执行以下操作:
- 为 Microsoft office 365 启用新式验证 (OAuth)
- 在防火墙中启用 Office 365 端点、URL 和 IP 地址范围,以确保网络连接达到最佳状态。有关详细信息,请参阅 Office 365 URL 和 IP 地址范围上的 Microsoft 文档。
注意:
- 要迁移或创建混合 Exchange 邮箱解决方案,请参阅 Microsoft 文档中的 Exchange ActiveSync device settings with Exchange hybrid deployments(Exchange ActiveSync 设备设置与 Exchange 混合部署)。
Citrix Endpoint Management 策略必备条件
在 Citrix Endpoint Management 控制台中启用以下策略:
对于运行 iOS 的设备:
-
Office 365 身份验证机制:此策略用于指示在 Office 365 中配置帐户时使用 OAuth 机制进行身份验证。此策略具有必须配置的以下值:
- 不使用 OAuth:在帐户配置期间使用此策略进行基本身份验证。
- 将 OAuth 与用户名和密码结合使用: 在身份验证期间使用此策略作为 OAuth 协议。用户必须为 OAuth 流提供用户名和密码以及多重身份验证代码(可选)。
- 将 OAuth 与客户端证书结合使用:如果将 Office 365 配置为执行基于证书的身份验证,请使用此策略。默认配置是不使用 OAuth。
对于运行 Android 的设备:
- 对 O365 使用新式验证:在身份验证期间使用此策略作为 OAuth 协议。
-
使用 Web SSO 进行通道传输策略:使用此策略可借助“通道 - Web SSO”通过通道传输 OAuth 流量。请执行以下操作:
- 将使用 Web SSO 进行通道传输策略设置为开。
- 在“网络访问”策略中,选择通道 - Web SSO 选项。
注意:
有关启用 STA 的信息,请参阅通过 STA 连接到邮件服务器。
- 从后台服务策略中排除与 OAuth 有关的任何主机名。
iOS 和 Android 设备共用的策略:
- 新式验证的自定义用户代理:此策略用于更改新式验证的默认用户代理字符串。
- 可信 Exchange Online 主机名:使用此策略定义在配置帐户时使用 OAuth 机制进行身份验证的可信 Exchange Online 主机名的列表。这是逗号分隔的格式,例如 server.company.com, server.company.co.uk。此列表可以包含默认值或虚 URL,但不能为空。默认值为 outlook.office365.com。
-
可信 AD FS 主机名:使用此策略定义密码在 Office 365 OAuth 身份验证过程中填充的 Web 页面的可信 AD FS 主机名列表。此列表是逗号分隔的格式,例如
sts.companyname.com, sts.company.co.uk。如果该列表为空,Secure Mail 将不自动填充密码。Secure Mail 将列出的主机名与 Office 365 身份验证过程中遇到的 Web 页面的主机名进行匹配,并检查页面是否使用 HTTPS 协议。例如,sts.company.com是列出的一个主机名且用户导航到https://sts.company.com时,在页面具有密码字段的情况下,Secure Mail 将填充密码。默认值为login.microsoftonline.com。 - Secure Mail Exchange Server: 使用此策略定义 Exchange Server 的地址。可以使用此策略根据您的要求定义本地服务器地址或云服务器地址。
- 配置 HTTP 451 重定向: 有关如何配置重定向的详细信息,请参阅知识中心文章 Secure Mail ActiveSync redirect 451(Secure Mail ActiveSync 重定向 451)。
在设备上刷新策略后,Secure Mail for iOS 现在将通过新式验证启用。
限制
- 如果您在您的环境中使用新式验证,则无法使用适用于 iOS 的丰富推送通知功能。有关丰富的推送通知的详细信息,请参阅 Secure Mail 的推送通知。
- 在设置运行基于证书的身份验证时,不支持多个帐户。
Secure Mail 策略
以下两个表列出了根据 Exchange 基础结构需要的 Secure Mail 策略:
| Exchange 基础结构 | Office 365 身份验证机制/对 O365 使用新式验证 | 可信 AD FS Online 主机名 | 可信 Exchange Online 主机名 |
|---|---|---|---|
| 本地 | 关 | 不适用 | 不适用 |
| 混合* | 开 | AD FS/IDP |
Outlook.office365.com 或虚 URL |
| Exchange Online | 开 | AD FS/IDP |
Outlook.office365.com 或虚 URL |
| Exchange 基础结构 | Secure Mail Exchange Server | 后台网络服务 (iOS) | 后台网络服务 (Android) |
|---|---|---|---|
| 本地 | Exchange 本地主机名 | 本地 | 本地 |
| 混合* | 本地、Exchange Online 主机名 | 本地、Exchange 本地主机名 | 本地、Exchange 本地主机名、AD FS/IDP(仅限内部) |
| Exchange Online | Outlook.office365.com |
Exchange Online 主机名 | Exchange 本地主机名、AD FS、IDP |
*Secure Mail 支持具有已迁移邮箱的混合 Exchange 基础结构。
如果本地用户的邮箱已迁移到 Exchange Online,Secure Mail 将自动检测此更改,并提示用户使用新式验证,而无需重新配置其帐户。
Secure Mail 与 OAuth 支持列表
下表列出了 iOS 和 Android 设备上的 Secure Mail OAuth 支持列表:
| 身份验证类型 | IDP/外部 AD FS | IDP/内部 AD FS | Azure AD | Intune |
|---|---|---|---|---|
| 用户名和密码 | 是 | 是 | 是 | 是 |
| 客户端证书 | 是 | 仅限 Android | 否 | 否 |
面向 Microsoft office 365 的新式验证
已复制!
失败!