Moderne Authentifizierung mit Microsoft Office 365

Secure Mail unterstützt die moderne Authentifizierung mit Microsoft Office 365 für Active Directory-Verbunddienste (AD FS) oder Identitätsanbieter (IdP). Die moderne Authentifizierung ist eine OAuth-tokenbasierte Authentifizierung mit Benutzernamen und Kennwort. Secure Mail-Benutzer mit IOS-Geräten können die zertifikatbasierte Authentifizierung beim Herstellen einer Verbindung mit Office 365 nutzen. Bei der Anmeldung bei Secure Mail erfolgt die Authentifizierung mit einem Clientzertifikat anstelle der Anmeldeinformationen.

Bevor Sie fortfahren, führen Sie folgen Schritte aus:

  1. Moderne Authentifizierung mit Microsoft Office 365 wurde aktiviert:
  2. Aktivieren Sie Office 365-Endpunkte, -URLS und -IP-Adressbereiche in Ihrer Firewall, um eine optimale Netzwerkverbindung zu gewährleisten. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter URLs und IP-Adressbereiche für Office 365.

Voraussetzungen bezüglich Richtlinien in Citrix Endpoint Management

Aktivieren Sie die folgenden Richtlinien in der Citrix Endpoint Management-Konsole:

Für iOS-Geräte:

  • Office 365-Authentifizierungsmethode: Über diese Richtlinie geben Sie den OAuth-Mechanismus an, der beim Konfigurieren eines Kontos in Office 365 für die Authentifizierung verwendet werden soll. Für die Richtlinie müssen Sie die folgenden Werte konfigurieren:

    • Nicht OAuth verwenden: Verwenden Sie diese Richtlinie für die Standardauthentifizierung bei der Kontokonfiguration.
    • OAuth mit Benutzername und Kennwort verwenden: Verwenden Sie diese Richtlinie für das OAuth-Protokoll bei der Authentifizierung. Die Benutzer müssen ihren Benutzernamen und ihr Kennwort sowie optional einen Multifaktor-Authentifizierungscode für den OAuth-Fluss angeben.
    • OAuth mit Clientzertifikat verwenden Verwenden Sie diese Richtlinie, wenn Office 365 für die zertifikatsbasierte Authentifizierung konfiguriert ist. Die Standardkonfiguration ist Nicht OAuth verwenden.

Android-Geräte:

  • Moderne Authentifizierung für Office 365 verwenden: Verwenden Sie diese Richtlinie für das OAuth-Protokoll bei der Authentifizierung.
  • Benutzerdefinierter Benutzeragent für moderne Authentifizierung: Verwenden Sie diese Richtlinie zum Ändern der Standard-Benutzeragent-Zeichenfolge für die moderne Authentifizierung.

Richtlinien für iOS- und Android-Geräte:

  • Vertrauenswürdige Exchange Online-Hostnamen: Verwenden Sie diese Richtlinie zum Definieren einer Liste vertrauenswürdiger Exchange Online-Hostnamen, die den OAuth-Mechanismus für die Authentifizierung beim Konfigurieren eines Kontos verwenden. Verwenden Sie Kommas zum Trennen der Einträge, beispielsweise server.firma.de, server.firma.com. Die Liste kann einen Standardwert oder Vanity-URLs enthalten, sie darf jedoch nicht leer sein. Der Standardwert ist outlook.office365.com.
  • Vertrauenswürdige AD FS-Hostnamen: Definieren Sie eine Liste mit Namen vertrauenswürdiger AD FS-Hosts für Webseiten, auf denen das Kennwort bei der Office 365-OAuth-Authentifizierung eingetragen wird. Die Angabe erfolgt durch Kommas getrennt, z. B. sts.companyname.com, sts.company.co.uk. Wenn die Liste leer ist, trägt Secure Mail Kennwörter nicht automatisch ein. Secure Mail vergleicht die aufgelisteten Hostnamen mit dem Hostnamen der Webseite, die bei der Office 365-Authentifizierung erkannt wird, und überprüft, ob die Seite HTTPS verwendet. Ist beispielsweise der Hostname sts.company.com in der Liste enthalten und ein Benutzer navigiert zu https://sts.company.com, trägt Secure Mail das Kennwort ein, wenn die Seite ein Kennwortfeld enthält. Der Standardwert ist login.microsoftonline.com.
  • Secure Mail Exchange Server: Verwenden Sie diese Richtlinie zum Angeben der Adresse Ihres Exchange-Servers.

Die moderne Authentifizierung kann jetzt für Secure Mail für iOS verwendet werden, sobald die Richtlinien auf dem Gerät aktualisiert wurden.

Einschränkungen

  • Wenn Sie die moderne Authentifizierung verwenden, sind keine Pushbenachrichtigungen mit Rich-Inhalt unter iOS möglich. Informationen zu Pushbenachrichtigungen mit Rich-Inhalt finden Sie unter Pushbenachrichtigungen für Secure Mail.
  • Mehrfachkonten werden bei Verwendung der zertifikatbasierten Authentifizierung nicht unterstützt.

Secure Mail-Richtlinien

Die folgende Tabelle enthält die je nach Exchange-Infrastruktur erforderlichen Secure Mail-Richtlinien:

Exchange-Infrastruktur Moderne Authentifizierung mit Office 365 Vertrauenswürdige AD FS-Hostnamen Vertrauenswürdige Exchange Online-Hostnamen. Secure Mail Exchange Server Hintergrundnetzwerkdienste (iOS) Hintergrundnetzwerkdienste (Android)
On-premise AUS Nicht verfügbar Nicht verfügbar On-Premise-Exchange-Hostname On-premise On-premise
Hybrid* EIN AD FS/IDP Outlook.office365.com oder Vanity-URL On-Premise-Exchange-Hostname On-Premise, Exchange Online-Hostnamen On-Premise, On-Premise-Exchange-Hostname, AD FS/IDP (nur intern)
Exchange Online EIN AD FS/IDP Outlook.office365.com oder Vanity-URL Outlook.office365.com Exchange Online-Hostnamen On-Premise-Exchange-Hostname, AD FS, IDP

*Secure Mail unterstützt eine hybride Exchange-Infrastruktur mit migrierten Postfächern.

Wird ein On-Premise-Postfach zu Exchange Online migriert, erkennt Secure Mail dies automatisch und fordert den Benutzer zur modernen Authentifizierung auf, ohne dass sein Konto neu konfiguriert werden muss.

Hinweis:

Konfigurieren Sie Hintergrundnetzwerkdienste nur dann, wenn der E-Mail-Server und AD FS intern sind.

Matrix: Secure Mail mit OAuth-Unterstützung

Die folgende Tabelle enthält die Matrix der Secure Mail-OAuth-Unterstützung für iOS- und Android-Geräte:

Authentifizierungstyp IDP/AD FS extern IDP/AD FS intern Azure AD Intune
Benutzername und Kennwort Ja Ja Ja Ja
Clientzertifikat Nur iOS Nein Nein Nein

Moderne Authentifizierung mit Microsoft Office 365