面向 Microsoft office 365 的新式身份验证

Secure Mail 支持面向 Microsoft office 365 的新式身份验证用作 Active Directory 联合身份验证服务 (AD FS) 或身份提供程序 (IDP)。新式身份验证是基于 OAuth 令牌的身份验证与用户名和密码的结合使用。使用 iOS 设备的 Secure Mail 用户在连接到 Office 365 时可以利用基于证书的身份验证。登录到 Secure Mail 时,用户通过客户端证书进行身份验证,而非通过键入其凭据进行身份验证。

在继续操作之前,请执行以下操作:

  1. 为 Microsoft office 365 启用新式身份验证 (OAuth)
  2. 在防火墙中启用 Office 365 端点、URL 和 IP 地址范围,以确保网络连接达到最佳状态。有关详细信息,请参阅 Office 365 URL 和 IP 地址范围上的 Microsoft 文档。

Citrix Endpoint Management 策略必备条件

在 Citrix Endpoint Management 控制台中启用以下策略:

对于运行 iOS 的设备:

  • Office 365 身份验证机制:此策略用于指示在 Office 365 中配置帐户时使用 OAuth 机制进行身份验证。此策略具有必须配置的以下值:

    • 不使用 OAuth:在帐户配置期间使用此策略进行基本身份验证。
    • 将 OAuth 与用户名和密码结合使用: 在身份验证期间使用此策略作为 OAuth 协议。用户必须为 OAuth 流提供用户名和密码以及多重身份验证代码(可选)。
    • 将 OAuth 与客户端证书结合使用:如果将 Office 365 配置为执行基于证书的身份验证,请使用此策略。默认配置是不使用 OAuth

对于运行 Android 的设备:

  • 对 O365 使用新式身份验证:在身份验证期间使用此策略作为 OAuth 协议。
  • 新式身份验证的自定义用户代理:此策略用于更改新式身份验证的默认用户代理字符串。

iOS 和 Android 设备共用的策略:

  • 可信 Exchange Online 主机名:使用此策略定义在配置帐户时使用 OAuth 机制进行身份验证的可信 Exchange Online 主机名的列表。这是逗号分隔的格式,例如 server.company.com, server.company.co.uk。此列表可以包含默认值或虚 URL,但不能为空。默认值为 outlook.office365.com
  • 可信 AD FS 主机名:使用此策略定义密码在 Office 365 OAuth 身份验证过程中填充的 Web 页面的可信 AD FS 主机名列表。此列表是逗号分隔的格式,例如 sts.companyname.com, sts.company.co.uk。如果该列表为空,Secure Mail 将不自动填充密码。Secure Mail 将列出的主机名与 Office 365 身份验证过程中遇到的 Web 页面的主机名进行匹配,并检查页面是否使用 HTTPS 协议。例如,sts.company.com 是列出的一个主机名且用户导航到 https://sts.company.com 时,在页面具有密码字段的情况下,Secure Mail 将填充密码。默认值为 login.microsoftonline.com
  • Secure Mail Exchange Server: 使用此策略定义 Exchange Server 的地址。

在设备上刷新策略后,Secure Mail for iOS 现在将通过新式身份验证启用。

限制

  • 如果您在您的环境中使用新式身份验证,则无法使用适用于 iOS 的丰富推送通知功能。有关丰富的推送通知的详细信息,请参阅 Secure Mail 的推送通知
  • 在设置运行基于证书的身份验证时,不支持多个帐户。

Secure Mail 策略

下表列出了根据 Exchange 基础结构需要的 Secure Mail 策略:

Exchange 基础结构 Office 365 身份验证机制/对 O365 使用新式身份验证 可信 AD FS Online 主机名 可信 Exchange Online 主机名 Secure Mail Exchange Server 后台网络服务 (iOS) 后台网络服务 (Android)
本地 不适用 不适用 Exchange 本地主机名 本地 本地
混合* AD FS/IDP Outlook.office365.com 或虚 URL Exchange 本地主机名 本地、Exchange Online 主机名 本地、Exchange 本地主机名、AD FS/IDP(仅限内部)
Exchange Online AD FS/IDP Outlook.office365.com 或虚 URL Outlook.office365.com Exchange Online 主机名 Exchange 本地主机名、AD FS、IDP

*Secure Mail 支持具有已迁移邮箱的混合 Exchange 基础结构。

如果本地用户的邮箱已迁移到 Exchange Online,Secure Mail 将自动检测此更改,并提示用户使用新式身份验证,而无需重新配置其帐户。

注意:

仅当您的邮件服务器和 AD FS 为内部时才配置后台网络服务。

Secure Mail 与 OAuth 支持列表

下表列出了 iOS 和 Android 设备上的 Secure Mail OAuth 支持列表:

身份验证类型 IDP/外部 AD FS IDP/内部 AD FS Azure AD Intune
用户名和密码
客户端证书 仅限 iOS

面向 Microsoft office 365 的新式身份验证