Authentification moderne avec Microsoft Office 365

Secure Mail prend en charge l’authentification moderne avec Microsoft Office 365 pour les services de fédération Active Directory (AD FS) ou le fournisseur d’identité (IDP). L’authentification moderne est une authentification basée sur des jetons OAuth avec un nom d’utilisateur et un mot de passe. Les utilisateurs de Secure Mail disposant d’appareils iOS peuvent tirer parti de l’authentification basée sur des certificats lors de la connexion à Office 365. Lorsqu’ils se connectent à Secure Mail, les utilisateurs s’authentifient à l’aide d’un certificat client, au lieu de saisir leurs informations d’identification.

Avant de continuer, procédez comme suit :

1. Activez l’authentification moderne (OAuth) pour Microsoft Office 365.
2. Activez les points de terminaison, les URL et les plages d’adresses IP d’Office 365 dans votre pare-feu pour garantir une connectivité réseau optimale. Pour plus de détails, consultez la documentation Microsoft sur les URL et plages d’adresses IP d’Office 365.

Remarque :

• Pour migrer ou créer une solution de boîte aux lettres Exchange hybride, consultez les paramètres d’appareil Exchange ActiveSync avec les déploiements hybrides Exchange dans la documentation Microsoft.

Conditions préalables aux stratégies Citrix Endpoint Management™

Activez les stratégies suivantes dans la console Citrix Endpoint Management :

-  **Pour les appareils iOS :**

-  **Mécanisme d'authentification Office 365 :** Utilisez cette stratégie pour indiquer le mécanisme OAuth utilisé pour l'authentification lors de la configuration d'un compte sur Office 365. Cette stratégie a les valeurs suivantes que vous devez configurer :

-  **Ne pas utiliser OAuth :** Utilisez cette stratégie pour l'authentification de base lors de la configuration du compte.
-  **Utiliser OAuth avec nom d'utilisateur et mot de passe :** Utilisez cette stratégie pour le protocole OAuth lors de l'authentification. Les utilisateurs doivent fournir leur nom d'utilisateur et leur mot de passe et, éventuellement, un code d'authentification multifacteur pour le flux OAuth.
-  **Utiliser OAuth avec certificat client :** Utilisez cette stratégie si Office 365 est configuré pour effectuer une authentification basée sur des certificats. La configuration par défaut est **Ne pas utiliser OAuth**.

-  **Pour les appareils Android :**

-  **Utiliser l'authentification moderne pour O365 :** Utilisez cette stratégie pour le protocole OAuth lors de l'authentification.
-  **Stratégie Web SSO pour le tunneling :** Utilisez cette stratégie pour acheminer le trafic OAuth via le tunneling – Web SSO. Pour ce faire :
-  Définissez la stratégie **Utiliser le Web SSO pour le tunneling** sur **Activé**.
-  Sélectionnez l'option **Tunnelisé - Web SSO** dans la stratégie d'accès réseau.
    > **Remarque :**
    >
    > Pour plus d'informations sur l'activation de STA, consultez [Connexion à un serveur de messagerie via le STA](/fr-fr/citrix-secure-mail/configuring-background-services-secure-mail#connection-to-a-mail-server-via-the-sta).
-  Excluez tous les noms d'hôte liés à OAuth de la stratégie **Services d'arrière-plan**.

• Stratégies communes aux appareils iOS et Android :

• Agent utilisateur personnalisé pour l’authentification moderne : Utilisez cette stratégie pour modifier la chaîne d’agent utilisateur par défaut pour l’authentification moderne.
• Noms d’hôte Exchange Online approuvés : Utilisez cette stratégie pour définir une liste de noms d’hôte Exchange Online approuvés qui utilisent le mécanisme OAuth pour l’authentification lors de la configuration d’un compte. Il s’agit d’un format séparé par des virgules, tel que server.company.com, server.company.co.uk. Cette liste peut contenir une valeur par défaut ou des URL personnalisées, mais ne peut pas être vide. La valeur par défaut est outlook.office365.com.
• Noms d’hôte AD FS approuvés : Utilisez cette stratégie pour définir une liste de noms d’hôte AD FS approuvés pour les pages web où le mot de passe est renseigné lors de l’authentification OAuth Office 365. Il s’agit d’un format séparé par des virgules, tel que sts.companyname.com, sts.company.co.uk. Si la liste est vide, Secure Mail ne renseigne pas automatiquement les mots de passe. Secure Mail compare les noms d’hôte répertoriés avec le nom d’hôte de la page web rencontrée lors de l’authentification Office 365 et vérifie si la page utilise le protocole HTTPS. Par exemple, lorsque sts.company.com est un nom d’hôte répertorié et que l’utilisateur navigue vers https://sts.company.com, Secure Mail renseigne le mot de passe, à condition que la page contienne un champ de mot de passe. La valeur par défaut est login.microsoftonline.com.
• Serveur Exchange Office 365 : Utilisez cette stratégie pour définir le nom d’hôte de la boîte aux lettres Office 365 présente sur le cloud. Le nom d’hôte est une valeur unique telle que outlook.office365.com. La valeur par défaut est outlook.office365.com.
• Serveur Exchange Secure Mail : Utilisez cette stratégie pour définir l’adresse de votre serveur Exchange. Vous pouvez utiliser cette stratégie pour définir l’adresse du serveur sur site ou l’adresse du serveur cloud, en fonction de vos besoins.

• Configurer la redirection HTTP 451 : Pour plus d’informations sur la configuration des redirections, consultez l’article du Centre de connaissances Redirection Secure Mail ActiveSync 451.

• Secure Mail pour iOS est désormais activé avec l’authentification moderne après l’actualisation des stratégies sur l’appareil.

• Options de configuration du serveur Exchange

Vous pouvez configurer Secure Mail en utilisant outlook.office365.com ou le domaine unifié Microsoft outlook.cloud.microsoft.

Configuration à l’aide de outlook.office365.com

Pour configurer Secure Mail avec outlook.office365.com comme serveur Exchange Secure Mail :

• Définissez le Serveur Exchange Secure Mail sur outlook.office365.com.
• Ajoutez outlook.office365.com:443 aux Services réseau d’arrière-plan.
• Conservez Noms d’hôte Exchange Online approuvés avec la valeur par défaut outlook.office365.com.
• Conservez Serveur Exchange Office 365 avec la valeur par défaut outlook.office365.com.

Configuration à l’aide du domaine unifié Microsoft outlook.cloud.microsoft

Pour configurer Secure Mail avec outlook.cloud.microsoft comme serveur Exchange Secure Mail :

• Définissez le Serveur Exchange Secure Mail sur outlook.cloud.microsoft.
• Ajoutez outlook.cloud.microsoft:443 aux Services réseau d’arrière-plan.
• Ajoutez outlook.cloud.microsoft aux Noms d’hôte Exchange Online approuvés.
• Conservez Serveur Exchange Office 365 avec la valeur par défaut outlook.office365.com. Ne le remplacez pas par le nouveau domaine.

Limitations

• Si vous utilisez l’authentification moderne dans votre environnement, la fonctionnalité de notifications push enrichies pour iOS n’est pas disponible. Pour plus de détails sur les notifications push enrichies, consultez Notifications push pour Secure Mail.
• Les comptes multiples ne sont pas pris en charge sur les configurations utilisant l’authentification basée sur des certificats.

Stratégies Secure Mail

Les deux tableaux suivants répertorient les stratégies Secure Mail requises en fonction de votre infrastructure Exchange :

*Secure Mail prend en charge une infrastructure Exchange hybride avec des boîtes aux lettres migrées.

Si la boîte aux lettres des utilisateurs sur site est migrée vers Exchange Online, Secure Mail détecte automatiquement ce changement et invite les utilisateurs à utiliser l’authentification moderne sans qu’il soit nécessaire de reconfigurer leur compte.

Matrice de prise en charge OAuth de Secure Mail

Le tableau suivant répertorie la matrice de prise en charge OAuth de Secure Mail sur les appareils iOS et Android :