Microsoft Office 365 现代身份验证

Secure Mail 支持通过 Microsoft Office 365 对 Active Directory Federation Services (AD FS) 或身份提供程序 (IDP) 进行现代身份验证。现代身份验证是基于 OAuth 令牌的身份验证，使用用户名和密码。使用 iOS 设备的 Secure Mail 用户在连接到 Office 365 时可以利用基于证书的身份验证。当他们登录 Secure Mail 时，用户通过使用客户端证书进行身份验证，而不是键入其凭据。

在继续之前，请执行以下操作：

1. 为 Microsoft Office 365 启用现代身份验证 (OAuth)。
2. 在防火墙中启用 Office 365 端点、URL 和 IP 地址范围，以确保最佳网络连接。有关详细信息，请参阅 Microsoft 文档中的 Office 365 URL 和 IP 地址范围。

注意：

• 要迁移或创建混合 Exchange 邮箱解决方案，请参阅 Microsoft 文档中的 Exchange ActiveSync 设备设置与 Exchange 混合部署。

Citrix Endpoint Management™ 策略先决条件

在 Citrix Endpoint Management 控制台中启用以下策略：

-  **对于运行 iOS 的设备：**

-  **Office 365 身份验证机制：** 使用此策略指示在 Office 365 上配置帐户时用于身份验证的 OAuth 机制。此策略具有您必须配置的以下值：

-  **不使用 OAuth：** 在帐户配置期间，将此策略用于基本身份验证。
-  **将 OAuth 与用户名和密码结合使用：** 在身份验证期间，将此策略用于 OAuth 协议。用户必须提供其用户名和密码，并可选择提供 OAuth 流程的多重身份验证代码。
-  **将 OAuth 与客户端证书结合使用：** 如果 Office 365 配置为执行基于证书的身份验证，请使用此策略。默认配置为**不使用 OAuth**。

-  **对于运行 Android 的设备：**

-  **对 O365 使用现代身份验证：** 在身份验证期间，将此策略用于 OAuth 协议。
-  **用于隧道的 Web SSO 策略：** 使用此策略将 OAuth 流量通过隧道 - Web SSO 进行隧道传输。为此：
-  将**用于隧道的 Web SSO** 策略设置为**开**。
-  在网络访问策略中选择**隧道 - Web SSO** 选项。
    > **注意：**
    >
    > 有关启用 STA 的信息，请参阅[通过 STA 连接到邮件服务器](/zh-cn/citrix-secure-mail/configuring-background-services-secure-mail#connection-to-a-mail-server-via-the-sta)。
-  从**后台服务**策略中排除与 OAuth 相关的任何主机名。

• iOS 和 Android 设备通用的策略：

• 用于现代身份验证的自定义用户代理： 使用此策略更改现代身份验证的默认用户代理字符串。
• 受信任的 Exchange Online 主机名： 使用此策略定义受信任的 Exchange Online 主机名列表，这些主机名在配置帐户时使用 OAuth 机制进行身份验证。这是一种逗号分隔的格式，例如 server.company.com, server.company.co.uk。此列表可以包含默认值或自定义 URL，但不能为空。默认值为 outlook.office365.com。
• 受信任的 AD FS 主机名： 使用此策略定义受信任的 AD FS 主机名列表，用于在 Office 365 OAuth 身份验证期间自动填充密码的网页。这是一种逗号分隔的格式，例如 sts.companyname.com, sts.company.co.uk。如果列表为空，Secure Mail 不会自动填充密码。Secure Mail 会将列出的主机名与在 Office 365 身份验证期间遇到的网页主机名进行匹配，并检查该页面是否使用 HTTPS 协议。例如，当 sts.company.com 是列出的主机名且用户导航到 https://sts.company.com 时，如果页面具有密码字段，Secure Mail 将填充密码。默认值为 login.microsoftonline.com。
• Office 365 Exchange Server： 使用此策略定义 Cloud 上存在的 Office 365 邮箱的主机名。主机名是单个值，例如 outlook.office365.com。默认值为 outlook.office365.com。
• Secure Mail Exchange Server： 使用此策略定义 Exchange Server 的地址。您可以根据需要使用此策略定义本地服务器地址或云服务器地址。

• 配置 HTTP 451 重定向： 有关如何配置重定向的更多信息，请参阅知识中心文章 Secure Mail ActiveSync redirect 451。

• 在设备上刷新策略后，Secure Mail for iOS 现已启用现代身份验证。

• Exchange Server 配置选项

您可以使用 outlook.office365.com 或 Microsoft 统一域 outlook.cloud.microsoft 配置 Secure Mail。

使用 outlook.office365.com 进行配置

要将 outlook.office365.com 作为 Secure Mail Exchange Server 配置 Secure Mail：

• 将 Secure Mail Exchange Server 设置为 outlook.office365.com。
• 将 outlook.office365.com:443 添加到后台网络服务。
• 将受信任的 Exchange Online 主机名保留为默认值 outlook.office365.com。
• 将 Office 365 Exchange Server 保留为默认值 outlook.office365.com。

使用 Microsoft 统一域 outlook.cloud.microsoft 进行配置

要将 outlook.cloud.microsoft 作为 Secure Mail Exchange Server 配置 Secure Mail：

• 将 Secure Mail Exchange Server 设置为 outlook.cloud.microsoft。
• 将 outlook.cloud.microsoft:443 添加到后台网络服务。
• 将 outlook.cloud.microsoft 添加到受信任的 Exchange Online 主机名。
• 将 Office 365 Exchange Server 保留为默认值 outlook.office365.com。请勿将其替换为新域。

限制

• 如果在您的环境中使用现代身份验证，则 iOS 的富推送通知功能不可用。有关富推送通知的详细信息，请参阅 Secure Mail 的推送通知。
• 在运行基于证书的身份验证的设置中，不支持多个帐户。

Secure Mail 策略

下表列出了根据您的 Exchange 基础架构所需的 Secure Mail 策略：

*Secure Mail 支持具有已迁移邮箱的混合 Exchange 基础架构。

如果本地用户的邮箱迁移到 Exchange Online，Secure Mail 会自动检测此更改并提示用户进行现代身份验证，而无需重新配置其帐户。

Secure Mail 的 OAuth 支持矩阵

下表列出了 Secure Mail 在 iOS 和 Android 设备上的 OAuth 支持矩阵：