Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und AndroidUsing hybrid Modern Authentication with Outlook for iOS and Android

Die Outlook-App für IOS und Android ist die beste Möglichkeit, Microsoft 365 oder Office 365 auf Ihrem mobilen Gerät zu erleben, indem Microsoft-Dienste zur Unterstützung der Suche, Planung und Priorisierung Ihres täglichen Lebens und ihrer Arbeit genutzt werden.The Outlook app for iOS and Android is designed as the best way to experience Microsoft 365 or Office 365 on your mobile device by leveraging Microsoft services to help find, plan, and prioritize your daily life and work. Outlook bietet Sicherheit, Datenschutz und Unterstützung, die Sie beim Schutz von Unternehmensdaten über Funktionen wie Azure Active Directory bedingten Zugriff und InTune-App-Schutzrichtlinien benötigen.Outlook provides the security, privacy, and support you need while protecting corporate data via capabilities such as Azure Active Directory conditional access and Intune app protection policies. Die folgenden Abschnitte bieten eine Übersicht über die Architektur der modernen Hybrid Authentifizierung, die erforderlichen Voraussetzungen für die Bereitstellung und die sichere Bereitstellung von Outlook für IOS und Android für lokale Postfächer von Exchange.The following sections provide an overview of the hybrid Modern Authentication architecture, the required pre-requisites for its deployment, and how to securely deploy Outlook for iOS and Android for Exchange on-premises mailboxes.

Microsoft Cloud-Architektur für Exchange Server-HybridkundenMicrosoft Cloud architecture for hybrid Exchange Server customers

Outlook für iOS und Android ist eine cloudgestützte Anwendung. Dies bedeutet, dass Ihre Benutzeroberfläche aus einer lokal installierten App besteht, die von einem sicheren und skalierbaren Dienst unterstützt wird, der in der Microsoft Cloud ausgeführt wird.Outlook for iOS and Android is a cloud-backed application. This means your experience consists of a locally installed app powered by a secure and scalable service running in the Microsoft Cloud.

Für Exchange Server-Postfächer wird Outlook für IOS und die Architektur von Android direkt in die Microsoft-Cloud integriert und bietet Kunden zusätzliche Vorteile wie Sicherheit, Datenschutz, integrierte Compliance und transparente Vorgänge, die Microsoft im Microsoft Trust Center und im Azure Trust Centerausführt.For Exchange Server mailboxes, Outlook for iOS and Android's architecture is built directly into the Microsoft Cloud, providing customers the additional benefits of security, privacy, built-in compliance, and transparent operations that Microsoft commits to in the Microsoft Trust Center and Azure Trust Center.

Moderne Hybrid Authentifizierung in Outlook für IOS und Android

In der Microsoft 365-oder Office 365-basierten Architektur verwendet Outlook für IOS und Android die systemeigene Microsoft-Synchronisierungstechnologie für die Datensynchronisierung, die durch eine TLS-gesicherte Verbindung zwischen Microsoft 365 oder Office 365 und der APP geschützt ist.Within the Microsoft 365 or Office 365-based architecture, Outlook for iOS and Android utilizes the native Microsoft sync technology for data synchronization which is protected by a TLS-secured connection end-to-end, between Microsoft 365 or Office 365 and the app.

Die Exchange ActiveSync (EAS)-Verbindung zwischen Exchange Online und der lokalen Umgebung ermöglicht die Synchronisierung der lokalen Daten der Benutzer und umfasst vier Wochen e-Mail, alle Kalenderdaten, alle Kontaktdaten und Abwesenheitsstatus in Ihrem Exchange Online Mandanten.The Exchange ActiveSync (EAS) connection between Exchange Online and the on-premises environment enables synchronization of the users' on-premises data and includes four weeks of email, all calendar data, all contact data, and out-of-office status in your Exchange Online tenant. Diese Daten werden nach 30 Tagen automatisch aus Exchange Online entfernt, wenn das Konto in Azure Active Directory gelöscht wird.This data will be removed automatically from Exchange Online after 30 days when the account is deleted in Azure Active Directory.

Die Synchronisierung von Daten zwischen der lokalen Umgebung und Exchange Online erfolgt unabhängig vom Benutzerverhalten. Dadurch wird sichergestellt, dass wir neue Nachrichten sehr schnell an die Geräte senden können.Data synchronization between the on-premises environment and Exchange Online happens independent of user behavior. This ensures that we can send new messages to the devices very quickly.

Die Verarbeitung von Informationen in der Microsoft Cloud ermöglicht erweiterte Features und Funktionen, wie die Kategorisierung von E-Mails für den Posteingang mit Fokus, angepasste Benutzeroberflächen für Reise und Kalender sowie eine verbesserte Suchgeschwindigkeit.Processing information in the Microsoft Cloud enables advanced features and capabilities, such as the categorization of email for the Focused Inbox, customized experience for travel and calendar, and improved search speed. Indem intensive Verarbeitungsvorgänge in die Cloud ausgelagert und die auf den Benutzergeräten erforderlichen Ressourcen minimiert werden, können die Leistung und Stabilität der App verbessert werden.Relying on the cloud for intensive processing and minimizing the resources required from users' devices enhances the app's performance and stability. Schließlich ermöglicht Outlook das Erstellen von Features, die für alle e-Mail-Konten funktionieren, unabhängig von den technologischen Funktionen der zugrunde liegenden Server (wie unterschiedliche Versionen von Exchange Server, Microsoft 365 oder Office 365).Lastly, it allows Outlook to build features that work across all email accounts, regardless of the technological capabilities of the underlying servers (such as different versions of Exchange Server, Microsoft 365, or Office 365).

Diese neue Architektur weist insbesondere die folgenden Verbesserungen auf:Specifically, this new architecture has the following improvements:

  1. Unterstützung von Enterprise Mobility + Security: Kunden können die Vorteile von Microsoft Enterprise Mobility + Security (EMS) einschließlich Microsoft Intune und Azure Active Directory Premium nutzen, um bedingten Zugriff und Intune-App-Schutzrichtlinien zu aktivieren, die Nachrichtendaten von Unternehmen auf dem mobilen Gerät kontrollieren und sichern.Enterprise Mobility + Security support: Customers can take advantage of Microsoft Enterprise Mobility + Security (EMS) including Microsoft Intune and Azure Active Directory Premium, to enable conditional access and Intune app protection policies, which control and secure corporate messaging data on the mobile device.

  2. Vollständig von Microsoft Cloud betrieben: die lokalen Postfachdaten werden in Exchange Online synchronisiert, was die Vorteile von Sicherheit, Datenschutz, Compliance und transparenten Vorgängen bietet, die Microsoft im Microsoft Trust Centereinsetzt.Fully powered by Microsoft Cloud: The on-premises mailbox data is synchronized into Exchange Online, which provides the benefits of security, privacy, compliance and transparent operations that Microsoft commits to in the Microsoft Trust Center.

  3. OAuth schützt Benutzerkennwörter: Outlook nutzt die moderne Hybridauthentifizierung (OAuth), um die Anmeldeinformationen von Benutzern zu schützen. Die moderne Hybridauthentifizierung stellt Outlook einen sicheren Mechanismus für den Zugriff auf die Exchange-Daten zur Verfügung, ohne die Anmeldeinformationen eines Benutzers anfassen oder speichern zu müssen. Bei der Anmeldung authentifiziert sich der Benutzer direkt bei einer Identitätsplattform (entweder Azure Active Directory oder ein lokaler Identitätsanbieter wie AD FS) und erhält von dieser ein Zugriffstoken, dass Outlook Zugriff auf das Postfach oder die Dateien des Benutzers gewährt. Zu keinem Zeitpunkt hat der Dienst Zugriff auf das Kennwort des Benutzers.OAuth protects users' passwords: Outlook leverages hybrid Modern Authentication (OAuth) to protect users' credentials. Hybrid Modern Authentication provides Outlook with a secure mechanism to access the Exchange data without ever touching or storing a user's credentials. At sign in, the user authenticates directly against an identity platform (either Azure Active Directory or an on-premises identity provider like ADFS) and receives an access token in return, which grants Outlook access to the user's mailbox or files. At no time does the service have access to the user's password.

  4. Bereitstellung eindeutiger Geräte-IDs: Jede Outlook-Verbindung wird in Microsoft Intune eindeutig registriert und kann daher als eindeutige Verbindung verwaltet werden.Provides Unique Device IDs: Each Outlook connection is uniquely registered in Microsoft Intune and can therefore be managed as a unique connection.

  5. Entsperrt neue Funktionen für IOS und Android: mit diesem Update kann die Outlook-App Native Microsoft 365-oder Office 365-Features nutzen, die in Exchange lokal heute nicht unterstützt werden, beispielsweise die vollständige Exchange Online Suche und den fokussierten Posteingang.Unlocks new features on iOS and Android: This update enables the Outlook app to take advantage of native Microsoft 365 or Office 365 features that are not supported in Exchange on-premises today, such as leveraging full Exchange Online search and Focused Inbox. Diese Features stehen nur zur Verfügung, wenn Sie Outlook für iOS und Android verwenden.These features will only be available when using Outlook for iOS and Android.

Hinweis

Die Geräteverwaltung über das lokale Exchange Admin Center (EAC) ist nicht möglich.Device management through the on-premises Exchange admin center (EAC) is not possible. Intune ist erforderlich, um mobile Geräte zu verwalten.Intune is required to manage mobile devices.

Datensicherheit, Zugriff und überwachte KontrollenData security, access, and auditing controls

Wenn lokale Daten mit Exchange Online synchronisiert werden, haben Kunden Fragen zum Schutz der Daten in Exchange Online.With on-premises data being synchronized with Exchange Online, customers have questions about how the data is protected in Exchange Online. Bei der Verschlüsselung in der Microsoft-Cloud wird erläutert, wie BitLocker für die Verschlüsselung auf Volumen Ebene verwendet wird.Encryption in the Microsoft Cloud discusses how BitLocker is used for volume-level encryption. Die Dienst Verschlüsselung mit dem Kundenschlüssel wird in der Architektur von Outlook für IOS und Android unterstützt, beachten Sie jedoch, dass der Benutzer über eine Office 365 Enterprise E5-Lizenz (oder die entsprechenden Versionen dieser Pläne für Government oder Education) verfügen muss, damit eine Verschlüsselungsrichtlinie mithilfe des Cmdlets "MailUser" zugewiesen wird.Service Encryption with Customer Key is supported in the Outlook for iOS and Android architecture, but note that the user must have an Office 365 Enterprise E5 license (or the corresponding versions of those plans for Government or Education) to have an encryption policy assigned using the set-mailuser cmdlet.

Standardmäßig verfügen Microsoft-Techniker über Null ständige Administratorrechte und keinen ständigen Zugriff auf Kunden Inhalte in Microsoft 365 oder Office 365.By default, Microsoft engineers have zero standing administrative privileges and zero standing access to customer content in Microsoft 365 or Office 365. Administrative Zugriffssteuerungen werden das Personal Screening, Hintergrundprüfungen, Lockbox und Kunden-Lockbox und vieles mehr erläutert.Administrative Access Controls discusses personnel screening, background checks, Lockbox and Customer Lockbox, and more.

ISO audited Controls on Service Assurance Documentation enthält den Status überwachter Steuerelemente aus globalen Informations Sicherheitsstandards und-Regeln, die von Microsoft 365 und Office 365 implementiert wurden.ISO Audited Controls on Service Assurance documentation provides the status of audited controls from global information security standards and regulations that Microsoft 365 and Office 365 have implemented.

VerbindungsflussConnection flow

Wenn Outlook für iOS und Android mit moderner Hybridauthentifizierung aktiviert ist, sieht der Verbindungsfluss folgendermaßen aus.When Outlook for iOS and Android is enabled with hybrid Modern Authentication, the connection flow is as follows.

Authentifizierungsfluss bei der modernen Hybridauthentifizierung

  1. Nachdem der Benutzer seine E-Mail-Adresse eingegeben hat, stellt Outlook für iOS und Android eine Verbindung mit dem AutoDetect-Dienst her.After the user enters their email address, Outlook for iOS and Android connects to the AutoDetect service. AutoDetect bestimmt den Postfachtyp, indem eine AutoErmittlungsabfrage an Exchange Online gestartet wird.AutoDetect determines the mailbox type by initiating an AutoDiscover query to Exchange Online. Exchange Online stellt fest, dass das Postfach des Benutzers lokal ist, und gibt eine 302-Umleitung mit der lokalen AutoErmittlungs-URL an AutoDetect zurück.Exchange Online determines that the user's mailbox is on-premises and returns a 302-redirect to AutoDetect with the on-premises Autodiscover URL. AutoDetect initiiert eine Abfrage des lokalen AutoErmittlungsdiensts, um den ActiveSync-Endpunkt für die E-Mail-Adresse zu ermitteln.AutoDetect initiates a query against the on-premises AutoDiscover service to determine the ActiveSync endpoint for the email address. Die URL, die lokal versucht wird, ähnelt dem folgenden Beispiel: https://autodiscover.contoso.com/autodiscover/autodiscover.json?Email=test%40contoso.com&Protocol=activesync&RedirectCount=3 .The URL attempted on-premises is similar to this example: https://autodiscover.contoso.com/autodiscover/autodiscover.json?Email=test%40contoso.com&Protocol=activesync&RedirectCount=3.

  2. AutoDetect initiiert eine Verbindung zur lokalen ActiveSync-URL, die in Schritt 1 oben zurückgegeben wurde, mit einer leeren Bearer-Herausforderung. Die leere Bearer-Herausforderung teilt dem lokalen ActiveSync mit, dass der Client die moderne Authentifizierung unterstützt. Das lokale ActiveSync antwortet mit einer 401-Herausforderungsantwort, die den WWW-Authentificate: Bearer-Header enthält. Der „WWW-Authenticate: Bearer“-Header enthält den „authorization_uri“-Wert, der den AAD-Endpunkt (Azure Active Directory) identifiziert, der zum Abrufen eines OAuth-Tokens verwendet werden soll.AutoDetect initiates a connection to the on-premises ActiveSync URL returned in Step 1 above with an empty bearer challenge. The empty bearer challenge tells the on-premises ActiveSync that the client supports Modern Authentication. On-premises ActiveSync responds with a 401-challenge response and includes the WWW-Authenticate: Bearer header. Within the WWW-Authenticate: Bearer header is the authorization_uri value that identifies the Azure Active Directory (AAD) endpoint that should be used to obtain an OAuth token.

  3. AutoDetect gibt den AAD-Endpunkt an den Client zurück. Der Client beginnt mit dem Anmeldefluss, und dem Benutzer wird ein Webformular angezeigt (oder er wird zur Microsoft Authenticator-App umgeleitet), und er kann Anmeldeinformationen eingeben. Je nach Identitätskonfiguration kann dies eine Verbundendpunktumleitung zu einem lokalen Identitätsanbieter beinhalten. Schließlich erhält der Client ein Zugriffs- und Aktualisierungstokenpaar namens AT1/RT1. Dieses Zugriffstoken gilt für den Outlook für iOS und Android-Client mit einer Zielgruppe des Exchange Online-Endpunkts.AutoDetect returns the AAD endpoint to the client. The client begins the log-in flow and the user is presented with a Web form (or redirected to the Microsoft Authenticator app) and can enter credentials. Depending on the identity configuration, this may or may not involve a federated endpoint redirect to an on-premises identity provider. Ultimately, the client obtains an access-and-refresh token pair, which is named AT1/RT1. This access token is scoped to the Outlook for iOS and Android client with an audience of the Exchange Online endpoint.

  4. Outlook für IOS und Android stellt eine Verbindung mit Exchange Online her und gibt eine bereit stellungs Anforderung aus, die das Zugriffstoken des Benutzers (AT1) und den lokalen ActiveSync-Endpunkt enthält.Outlook for iOS and Android establishes a connection to Exchange Online and issues a provisioning request which includes the user's access token (AT1) and the on-premises ActiveSync endpoint.

  5. Die Mrs-Bereitstellung-API in Exchange Online verwendet AT1 als Eingabe und erhält ein zweites Token Paar für das Zugriffs-und-aktualisieren (mit dem Namen AT2/RT2), um über einen Anruf an Active Directory auf das lokale Postfach zuzugreifen.The MRS provisioning API within Exchange Online utilizes AT1 as input and obtains a second access-and-refresh token pair (named AT2/RT2) to access the on-premises mailbox via an on-behalf-of call to Active Directory. Dieses zweite Zugriffstoken gilt für den Client, also Exchange Online, und eine Zielgruppe des lokalen ActiveSync-Namespace-Endpunkts.This second access token is scoped with the client being Exchange Online and an audience of the on-premises ActiveSync namespace endpoint.

  6. Wenn das Postfach nicht bereitgestellt wurde, erstellt die Bereitstellungs-API ein Postfach.If the mailbox is not provisioned, then the provisioning API creates a mailbox.

  7. Die MRS-Bereitstellungs-API richtet eine sichere Verbindung zum lokalen ActiveSync-Endpunkt ein und synchronisiert die Messagingdaten des Benutzers unter Verwendung des Zugriffstokens AT2 als Authentifizierungsmechanismus. RT2 wird in regelmäßigen Abständen verwendet, um ein neues AT2 zu generieren, damit die Daten ohne Eingriff des Benutzers im Hintergrund synchronisiert werden können.The MRS provisioning API establishes a secure connection to the on-premises ActiveSync endpoint and synchronizes the user's messaging data using the AT2 access token as the authentication mechanism. RT2 is used periodically to generate a new AT2 so that data can be synchronized in the background without user intervention.

  8. Daten werden an den Client zurückgegeben.Data is returned to the client.

Technische und LizenzierungsanforderungenTechnical and licensing requirements

Für die Architektur der hybriden modernen Authentifizierung gelten die folgenden technischen Anforderungen:The hybrid Modern Authentication architecture has the following technical requirements:

Hinweis

Lokale Konten, die eine hybride moderne Authentifizierung mit Outlook Mobile nutzen, werden nicht mit Office 365 US-amerikanischen Regierungs-und Verteidigungs Mandanten, Office 365 Deutschland-Mandanten und Office 365 von 21Vianet-Mandanten betriebenem China unterstützt.On-premises accounts leveraging hybrid Modern Authentication with Outlook mobile are not supported with Office 365 US Government Community and Defense tenants, Office 365 Germany tenants, and Office 365 China operated by 21Vianet tenants.

  1. Lokales Exchange-Setup:Exchange on-premises setup:

    • Exchange Server 2019 Kumulatives Update 1 (ku1) oder höher, Exchange Server 2016 Kumulatives Update 8 (ku8) oder höher oder Exchange Server 2013 ku19 oder höher auf allen Exchange-Servern.Exchange Server 2019 Cumulative Update 1 (CU1) or later, Exchange Server 2016 Cumulative Update 8 (CU8) or later, or Exchange Server 2013 CU19 or later on all Exchange servers. In hybridbereitstellungen (lokale Exchange-und Exchange Online) oder in Organisationen, die Exchange Online Archivierung (EOA) mit Ihrer lokalen Exchange-Bereitstellung verwenden, müssen Sie die aktuellste Cu oder eine Cu vor dem aktuellsten bereitstellen.In hybrid deployments (on-premises Exchange and Exchange Online) or in organizations that use Exchange Online Archiving (EOA) with their on-premises Exchange deployment, you need to deploy the most current CU or one CU prior to the most current.

    • Alle Exchange 2007- oder Exchange 2010-Server müssen aus der Umgebung entfernt werden.All Exchange 2007 or Exchange 2010 servers must be removed from the environment. Diese Versionen von Exchange sind nicht mehr im Mainstream-Support und können nicht mit von InTune verwaltetem Outlook für IOS und Android verwendet werden.These versions of Exchange are out of mainstream support and will not work with Intune-managed Outlook for iOS and Android. In dieser Architektur verwendet Outlook für iOS und Android OAuth als Authentifizierungsmechanismus.In this architecture, Outlook for iOS and Android uses OAuth as the authentication mechanism. Eine der lokalen Konfigurationsänderungen, die vorgenommen werden, aktiviert den OAuth-Endpunkt der Microsoft Cloud als standardmäßigen Autorisierungsendpunkt.One of the on-premises configuration changes that occurs enables the OAuth endpoint to the Microsoft Cloud as the default authorization endpoint. Wenn diese Änderung vorgenommen wird, können Clients beginnen, die Verwendung von OAuth auszuhandeln.When this change is made, clients can start negotiating the use of OAuth. Da dies eine organisationsweite Änderung ist, wird für in Exchange 2013 oder Exchange 2016 verwaltete Exchange 2010-Postfächer fälschlicherweise angenommen, es könnte OAuth ausgeführt werden, und sie werden getrennt, da Exchange 2010 OAuth nicht als Authentifizierungsmechanismus unterstützt.Because this is an organization-wide change, Exchange 2010 mailboxes fronted by either Exchange 2013 or 2016 will incorrectly think they can perform OAuth and will end up in a disconnected state, since Exchange 2010 does not support OAuth as an authentication mechanism.

  2. Active Directory-Synchronisierung.Active Directory Synchronization. Active Directory Synchronisierung des gesamten lokalen e-Mail-Empfänger Verzeichnisses mit Azure Active Directory über Azure AD Connect.Active Directory synchronization of the entire on-premises mail recipient directory with Azure Active Directory, via Azure AD Connect. Wenn in Azure AD Connect-Konfiguration Azure AD App-und Attribut Filterung aktiviert ist, stellen Sie sicher, dass die folgenden Anwendungen ausgewählt sind:If you have Azure AD app and attribute filtering enabled in Azure AD Connect configuration, ensure that the following applications are selected:

    • Office 365 ProPlusOffice 365 ProPlus

    • Exchange OnlineExchange Online

    • Azure RMSAzure RMS

    • IntuneIntune

    Wenn in Azure AD Connect-Konfiguration Azure AD App-und Attribut Filterung nicht aktiviert ist, sind alle erforderlichen Anwendungen standardmäßig bereits ausgewählt.If you do not have Azure AD app and attribute filtering enabled in Azure AD Connect configuration, all required applications are already selected by default.

    Wichtig

    Outlook für IOS und Android verwendet die Exchange Online globale Adressliste des Mandanten für lokale Postfächer, die die moderne Hybrid Authentifizierung nutzen.Outlook for iOS and Android uses the tenant's Exchange Online Global Address List for on-premises mailboxes that leverage hybrid Modern Authentication. Wenn alle e-Mail-Empfänger nicht in Azure Active Directory synchronisiert werden, treten bei Benutzern Nachrichtenflussprobleme auf.If all mail recipients are not synchronized into Azure Active Directory, users will experience mail flow issues.

  3. Exchange Hybrid-Setup: Erfordert vollständige Hybridbeziehung zwischen lokalem Exchange und Exchange Online.Exchange hybrid setup: Requires full hybrid relationship between Exchange on-premises with Exchange Online.

    • Eine hybride Microsoft 365-oder Office 365-Organisation wird in vollständiger Hybrid Konfiguration mithilfe des klassischen Hybrid Topologie-Modus von Exchange konfiguriert und gemäß den Angaben im Exchange-Bereitstellungs-Assistenteneingerichtet.A hybrid Microsoft 365 or Office 365 organization is configured in full hybrid configuration using Exchange Classic Hybrid Topology mode and is set up as specified in the Exchange Deployment Assistant.

      Hinweis

      Die moderne Hybrid Authentifizierung wird mit dem Hybrid-Agentnicht unterstützt.Hybrid Modern Authentication is not supported with the Hybrid Agent.

    • Erfordert eine Microsoft 365-oder Office 365 Enterprise-, Geschäfts-oder Bildungsorganisation.Requires a Microsoft 365 or Office 365 Enterprise, Business, or Education organization.

    • Die lokalen Postfachdaten werden in derselben Rechenzentrums Region synchronisiert, in der die Microsoft 365-oder Office 365-Organisation eingerichtet ist.The on-premises mailbox data is synchronized in the same datacenter region where that Microsoft 365 or Office 365 organization is set up. Weitere Informationen darüber, wo sich die Daten zu Microsoft 365 und Office 365 befinden, finden Sie im Microsoft Trust Center.For more information about where Microsoft 365 and Office 365 data is located, visit the Microsoft Trust Center.

    • Die externen URL-Hostnamen für Exchange ActiveSync und AutoErmittlung müssen als Dienstprinzipale in Azure Active Directory über den Hybridkonfigurations-Assistenten veröffentlicht werden.The external URL host names for Exchange ActiveSync and AutoDiscover must be published as service principals to Azure Active Directory through the Hybrid Configuration Wizard.

    • Die AutoErmittlungs- und Exchange ActiveSync-Namespaces müssen über das Internet zugänglich sein und können nicht über eine Vorauthentifizierungslösung bereitgestellt werden.AutoDiscover and Exchange ActiveSync namespaces must be accessible from the Internet and cannot be fronted by a pre-authentication solution.

    • Stellen Sie sicher, dass keine SSL- oder TLS-Verschiebung zwischen dem Lastenausgleich und Ihren Exchange-Servern verwendet wird, da sich dies auf die Verwendung des OAuth-Tokens auswirkt. SSL- und TLS-Bridging (Terminierung und Wiederverschlüsselung) wird unterstützt.Ensure SSL or TLS offloading is not being used between the load balancer and your Exchange servers, as this will affect the use of the OAuth token. SSL and TLS bridging (termination and re-encryption) is supported.

  4. InTune-Setup: sowohl eigenständige InTune-als auch Co-Verwaltungs Bereitstellungen werden unterstützt (grundlegende Mobilität und Sicherheit für Microsoft 365 werden nicht unterstützt).Intune setup: Both Intune standalone and Co-Management deployments are supported (Basic Mobility and Security for Microsoft 365 is not supported).

  5. Microsoft 365 und Office 365 Lizenzierung:Microsoft 365 and Office 365 licensing:

    • Outlook für iOS und Android ist kostenlos für Privatanwender aus dem iOS-App Store und von Google Play erhältlich.Outlook for iOS and Android is free for consumer usage from the iOS App store and from Google Play. Kommerzielle Benutzer benötigen jedoch ein Microsoft 365-oder Office 365-Abonnement, das die Office-Desktopanwendungen umfasst: Microsoft 365 apps for Business, Microsoft 365 Business Standard, Microsoft 365-Apps für Unternehmen, Office 365 Enterprise E3, Office 365 Enterprise E5 oder die entsprechenden Versionen dieser Pläne für Regierungen oder Bildungseinrichtungen.However, commercial users require a Microsoft 365 or Office 365 subscription that includes the Office desktop applications: Microsoft 365 Apps for Business, Microsoft 365 Business Standard, Microsoft 365 Apps for enterprise, Office 365 Enterprise E3, Office 365 Enterprise E5, or the corresponding versions of those plans for Government or Education. Kommerzielle Benutzer mit den folgenden Abonnements dürfen die Outlook-Mobile App auf Geräten mit integrierten Bildschirmen 10,1 "Diagonal oder seltener verwenden: Office 365 Enterprise E1, Office 365 F1, Office 365 a1, Microsoft 365 Business Basic und wenn Sie nur eine Exchange Online Lizenz (ohne Office) haben.Commercial users with the following subscriptions are allowed to use the Outlook mobile app on devices with integrated screens 10.1" diagonally or less: Office 365 Enterprise E1, Office 365 F1, Office 365 A1, Microsoft 365 Business Basic, and if you only have an Exchange Online license (without Office). Wenn Sie nur eine lokale Exchange-(Exchange Server)-Lizenz besitzen, sind Sie nicht für die Verwendung der APP lizenziert.If you only have an Exchange on-premises (Exchange Server) license, you are not licensed to use the app.

    • Die Verwendung erweiterter Exchange Online Funktionen (beispielsweise Dienst Verschlüsselung mit Kundenschlüssel oder Multi-Geo-Funktionen) erfordert, dass der lokale Benutzer die entsprechende Office 365-oder Microsoft 365-Abonnementlizenz im Microsoft 365 Admin Center erhält.Use of advanced Exchange Online features (e.g., Service Encryption with Customer Key or Multi-Geo Capabilities) require the on-premises user to be assigned the applicable Office 365 or Microsoft 365 subscription license within the Microsoft 365 Admin Center.

    Weitere Informationen zum Zuweisen einer Lizenz finden Sie unter [Benutzer einzeln oder in Massen hinzufügen] ( https://docs.microsoft.com/microsoft-365/admin/add-users/add-users .For more information on how to assign a license, see [Add users individually or in bulk](https://docs.microsoft.com/microsoft-365/admin/add-users/add-users.

  6. EMS-Lizenzierung: Jeder lokale Benutzer muss eine der folgenden Lizenzen besitzen:EMS licensing: Each on-premises user must have one of the following licenses:

    • InTune Standalone + Azure Active Directory Premium 1 oder Azure Active Directory Premium 2Intune standalone + Azure Active Directory Premium 1 or Azure Active Directory Premium 2

    • Enterprise Mobility + Security E3, Enterprise Mobility + Security E5Enterprise Mobility + Security E3, Enterprise Mobility + Security E5

ImplementierungsschritteImplementation steps

Zum Aktivieren der Unterstützung für moderne Hybridauthentifizierung in Ihrer Organisation sind die folgenden Schritte nötig, die in den folgenden Abschnitten erläutert werden:Enabling support for hybrid Modern Authentication in your organization requires each of the following steps, which are detailed in the following sections:

  1. Erstellen einer Richtlinie für bedingten ZugriffCreate a conditional access policy

  2. Erstellen einer Intune-App-SchutzrichtlinieCreate an Intune app protection policy

  3. Aktivieren der modernen HybridauthentifizierungEnable hybrid Modern Authentication

Erstellen einer Richtlinie für bedingten ZugriffCreate a conditional access policy

Sobald sich Ihre Organisation entschlossen hat, den Benutzerzugriff auf Exchange-Daten zu standardisieren und Outlook für iOS und Android als die einzige E-Mail-App für Endbenutzer einzusetzen, kann eine Richtlinie für bedingten Zugriff konfiguriert werden, die andere mobile Zugriffsmethoden blockiert.When an organization decides to standardize how users access Exchange data, using Outlook for iOS and Android as the only email app for end users, they can configure a conditional access policy that blocks other mobile access methods. Outlook für iOS und Android authentifiziert Benutzer über das Azure Active Directory-Identitätsobjekt und stellt dann eine Verbindung mit Exchange Online her.Outlook for iOS and Android authenticates via the Azure Active Directory identity object and then connects to Exchange Online. Daher müssen Sie Azure Active Directory-Richtlinien für bedingten Zugriff erstellen, um die Verbindungen von mobilen Geräten zu Exchange Online zu beschränken.Therefore, you will need to create Azure Active Directory conditional access policies to restrict mobile device connectivity to Exchange Online. Zu diesem Zweck benötigen Sie zwei Richtlinien für bedingten Zugriff, wobei jede Richtlinie auf alle potenziellen Benutzer abzielt.To do this, you will need two conditional access policies, with each policy targeting all potential users. Details zum Erstellen dieser Richtlinien finden Sie unter erfordern von App-Schutzrichtlinien für Cloud-App-Zugriff mit bedingtem Zugriff.Details on creating these policies can be found in Require app protection policy for cloud app access with Conditional Access.

  1. Befolgtes "Schritt 1: Konfigurieren einer Azure AD Richtlinie für den bedingten Zugriff für Microsoft 365 oder Office 365" in Szenario 1: Microsoft 365 und Office 365-apps erfordern genehmigte apps mit App-Schutzrichtlinien, was Outlook für IOS und Android ermöglicht, aber verhindert, dass OAuth fähige Exchange ActiveSync-Clients eine Verbindung mit Exchange Online herstellen.Follow "Step 1: Configure an Azure AD Conditional Access policy for Microsoft 365 or Office 365" in Scenario 1: Microsoft 365 and Office 365 apps require approved apps with app protection policies, which allows Outlook for iOS and Android, but blocks OAuth capable Exchange ActiveSync clients from connecting to Exchange Online.

    Hinweis

    Diese Richtlinie stellt sicher, dass Mobile Benutzer mithilfe der entsprechenden apps auf alle Office-Endpunkte zugreifen können.This policy ensures mobile users can access all Office endpoints using the applicable apps.

  2. Befolgtes "Schritt 2: Konfigurieren einer Azure AD Richtlinie für den bedingten Zugriff für Exchange Online mit ActiveSync (EAS)" in Szenario 1: Microsoft 365 und Office 365 apps erfordern genehmigte apps mit App-Schutzrichtlinien, wodurch verhindert wird, dass Exchange ActiveSync-Clients die Standardauthentifizierung für die Verbindung mit Exchange Online nutzen.Follow "Step 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)" in Scenario 1: Microsoft 365 and Office 365 apps require approved apps with app protection policies, which prevents Exchange ActiveSync clients leveraging basic authentication from connecting to Exchange Online.

    Die oben genannten Richtlinien nutzen die Richtliniezum Gewähren von App-Schutz, die sicherstellt, dass eine InTune-App-Schutzrichtlinie auf das zugeordnete Konto in Outlook für IOS und Android angewendet wird, bevor der Zugriff gewährt wird.The above policies leverage the grant control Require app protection policy, which ensures that an Intune App Protection Policy is applied to the associated account within Outlook for iOS and Android prior to granting access. Wenn der Benutzer keiner InTune-App-Schutzrichtlinie zugewiesen ist, nicht für InTune lizenziert ist oder die APP nicht in der InTune-App-Schutzrichtlinie enthalten ist, verhindert die Richtlinie, dass der Benutzer ein Zugriffstoken erhält und Zugriff auf die Nachrichtendaten erhält.If the user isn't assigned to an Intune App Protection Policy, isn't licensed for Intune, or the app isn't included in the Intune App Protection Policy, then the policy prevents the user from obtaining an access token and gaining access to messaging data.

  3. Schließlich befolgen Sie die Vorgehensweise: blockieren Sie die Legacy Authentifizierung für Azure AD mit bedingtem Zugriff , um die Legacy Authentifizierung für andere Exchange-Protokolle auf IOS-und Android-Geräten zu blockieren. Diese Richtlinie sollte nur auf Microsoft 365-oder Office 365-Exchange Online Cloud-APP-und IOS-und Android-Geräteplattformen abzielen.Finally, follow How to: Block legacy authentication to Azure AD with Conditional Access to block legacy authentication for other Exchange protocols on iOS and Android devices; this policy should target only Microsoft 365 or Office 365 Exchange Online cloud app and iOS and Android device platforms. Dadurch wird sichergestellt, dass Mobile Apps mit Exchange Webdienste-, IMAP4-oder POP3-Protokollen mit Standardauthentifizierung keine Verbindung mit Exchange Online herstellen können.This ensures mobile apps using Exchange Web Services, IMAP4, or POP3 protocols with basic authentication cannot connect to Exchange Online.

Wichtig

Um die App-basierten Richtlinien für bedingten Zugriff zu verwenden, muss die Microsoft Authenticator-App auf iOS-Geräten installiert werden.To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. Für Android-Geräte ist die Intune-Unternehmens Portal-App erforderlich.For Android devices, the Intune Company Portal app is required. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.For more information, see App-based conditional access with Intune.

Um die Verbindung anderer mobiler Geräteclients (z. B. des nativen E-Mail-Clients aus dem mobilen Betriebssystem) mit Ihrer lokalen Umgebung zu blockieren (wobei die Authentifizierung über Standardauthentifizierung beim lokalen Active Directory erfolgt), haben Sie zwei Optionen:In order to block other mobile device clients (such as the native mail client included in the mobile operating system) from connecting to your on-premises environment (which authenticate via basic authentication against on-premises Active Directory), you have two options:

  1. Sie können die integrierten Exchange-Zugriffsregeln für Mobilgeräte nutzen und die Verbindung aller Mobilgeräte blockieren, indem Sie in der Exchange-Verwaltungsshell Folgendes festlegen:You can leverage the built-in Exchange mobile device access rules and block all mobile devices from connecting by setting the following in the Exchange Management Shell:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. Sie können nach der Installation des lokalen Exchange Connectors eine lokale Richtlinie für bedingten Zugriff in Intune nutzen. Weitere Informationen finden Sie unter Erstellen einer Richtlinie für bedingten Zugriff auf eine lokale Installation von Exchange und auf das ältere Exchange Online Dedicated.You can leverage an on-premises conditional access policy within Intune after installing the on-premises Exchange connector. For more information, see Create a conditional access policy for Exchange on-premises and legacy Exchange Online Dedicated.

    Hinweis

    Wenn Sie eine der oben aufgeführten lokalen Optionen implementieren, beachten Sie, dass dies Benutzer daran hindern kann, eine Verbindung mit Exchange auf ihren mobilen Geräten herzustellen.When implementing either of the above on-premises options, be aware that it may impact users connecting to Exchange on their mobile devices.

Erstellen einer Intune-App-SchutzrichtlinieCreate an Intune app protection policy

Nachdem die moderne Hybrid Authentifizierung aktiviert wurde, können alle lokalen mobilen Benutzer Outlook für IOS und Android mithilfe der Microsoft 365-oder Office 365-basierten Architektur nutzen.After hybrid Modern Authentication is enabled, all on-premises mobile users are able to leverage Outlook for iOS and Android using the Microsoft 365 or Office 365-based architecture. Daher ist es wichtig, Unternehmensdaten mit einer Intune-App-Schutzrichtlinie zu schützen.Therefore, it's important to protect corporate data with an Intune app protection policy.

Erstellen Sie Intune-App-Schutzrichtlinien für iOS und Android anhand der Schritte in Erstellen und Zuweisen von App-Schutzrichtlinien. Jede Richtlinie muss mindestens Folgendes enthalten:Create Intune app protection policies for both iOS and Android using the steps documented in How to create and assign app protection policies. At a minimum, each policy must include the following:

  1. Sie umfassen alle mobilen Microsoft-Anwendungen, z. B. Word, Excel oder PowerPoint, da dadurch sichergestellt wird, dass Benutzer auf Unternehmensdaten zugreifen und diese auf sichere Weise in einer Microsoft-App bearbeiten können.They include all Microsoft mobile applications, such as Word, Excel, or PowerPoint, as this will ensure that users can access and manipulate corporate data within any Microsoft app in a secure fashion.

  2. Sie simulieren die Sicherheitsfunktionen, die Exchange für mobile Geräte bereitstellt, z. B.:They mimic the security features that Exchange provides for mobile devices, including:

    • Für den Zugriff ist eine PIN erforderlich (die „Typ auswählen", „PIN-Länge", „Einfache PIN zulassen" und „Fingerabdruck zulassen" umfasst)Requiring a PIN for access (which includes Select Type, PIN length, Allow Simple PIN, Allow fingerprint)

    • Verschlüsseln von App-DatenEncrypting app data

    • Blockieren der Ausführung von verwalteten Apps auf per Jailbreak oder Rooting manipulierten GerätenBlocking managed apps from running on "jailbroken" and rooted devices

  3. Sie sind für alle Benutzer zugewiesen. Dadurch wird sichergestellt, dass alle Benutzer geschützt sind, unabhängig davon, ob sie Outlook für iOS und Android verwenden.They are assigned to all users. This ensures that all users are protected, regardless of whether they use Outlook for iOS and Android.

Zusätzlich zu den oben genannten minimalen Richtlinienanforderungen, sollten Sie in Erwägung ziehen, Richtlinieneinstellungen für erweiterten Schutz bereitzustellen, z. B. Ausschneiden, Kopieren und Einfügen mit anderen Apps einschränken, um Datenlecks weiter zu verhindern. Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien in Microsoft Intune und Einstellungen für App-Schutzrichtlinien für iOS.In addition to the above minimum policy requirements, you should consider deploying advanced protection policy settings like Restrict cut, copy and paste with other apps to further prevent corporate data leakage. For more information on the available settings, see Android app protection policy settings in Microsoft Intune and iOS app protection policy settings.

Wichtig

Um Intune-App-Schutzrichtlinien für Apps auf Android-Geräten anzuwenden, die nicht in Intune registriert sind, muss der Benutzer auch das Intune-Unternehmensportal installieren. Weitere Informationen finden Sie unterDas passiert, wenn Ihre Android-App von App-Schutzrichtlinien verwaltet wird.To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal. For more information, see What to expect when your Android app is managed by app protection policies.

Aktivieren der modernen HybridauthentifizierungEnable hybrid Modern Authentication

  1. Wenn Sie die moderne Hybrid Authentifizierung nicht aktiviert haben, überprüfen Sie die Voraussetzungen, wie unter Übersicht über die hybride moderne Authentifizierung und Voraussetzungen für die Verwendung mit lokalen Skype for Business und Exchange-Servernbeschrieben.If you haven't enabled hybrid Modern Authentication, review the prerequisites as outlined in Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. Nachdem Sie die erforderlichen Komponenten abgeschlossen haben, führen Sie die Schritte unter How to Configure Exchange Server on-premises to use Hybrid modern Authenticationaus.After you've completed the prerequisites, do the steps in How to configure Exchange Server on-premises to use hybrid Modern Authentication.

  2. Erstellen Sie eine lokale Exchange-Zugriffsregel für Geräte Zugriff, um Exchange Online die Verbindung mit Ihrer lokalen Umgebung mithilfe des ActiveSync-Protokolls zuzulassen:Create an Exchange on-premises device access allow rule to allow Exchange Online to connect to your on-premises environment using the ActiveSync protocol:

    If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
    

    Hinweis

    Die Geräteverwaltung über das lokale Exchange Admin Center ist nicht möglich.Device management through the on-premises Exchange admin center is not possible. Intune ist erforderlich, um mobile Geräte zu verwalten.Intune is required to manage mobile devices.

  3. Erstellen Sie eine lokale Exchange-Gerätezugriffsregel, die verhindert, dass Benutzer eine Verbindung mit der lokalen Umgebung mit Outlook für IOS und Android mit Standardauthentifizierung über das Exchange ActiveSync-Protokoll herstellen:Create an Exchange on-premises device access rule that prevents users from connecting to the on-premises environment with Outlook for iOS and Android with basic authentication over the Exchange ActiveSync protocol:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
    

    Hinweis

    Sobald diese Regel erstellt wurde, werden Outlook für IOS und Android mit Standard Authentifizierungs Benutzern blockiert.Once this rule is created, Outlook for iOS and Android with Basic authentication users will be blocked.

  4. Stellen Sie sicher, dass Ihre lokale Exchange ActiveSync-maxRequestLength so konfiguriert ist, dass Sie mit MaxSendSize/MaxReceiveSize ihrer Transportkonfiguration übereinstimmt:Ensure your on-premises Exchange ActiveSync maxRequestLength is configured to match your transport configuration's MaxSendSize/MaxReceiveSize:

    • Pfad %ExchangeInstallPath%\FrontEnd\HttpProxy\Sync\web.configPath: %ExchangeInstallPath%\FrontEnd\HttpProxy\Sync\web.config

    • Eigenschaft maxRequestLengthProperty: maxRequestLength

    • Wert: Größe in KB (Beispiel: 10 MB ist 10240)Value: set in KB size (10MB is 10240, for example)

Nicht unterstützte ClientfeaturesClient features that aren't supported

Die folgenden Features werden für lokale Postfächer mit moderner Hybridauthentifizierung mit Outlook für iOS und Android nicht unterstützt.The following features are not supported for on-premises mailboxes using hybrid Modern Authentication with Outlook for iOS and Android.

  • Ordner „Entwurf" und Synchronisierung von NachrichtenentwürfenDraft folder and Draft messages synchronization

  • Freigegebener Kalender Zugriff und Delegieren des KalenderzugriffsShared calendar access and delegate calendar access

  • Freigegebene und Stellvertreter-Postfachdaten ZugriffShared and delegate mailbox data access

  • Cortana Zeit bis zur Abreise/ReisezeitCortana Time to Leave / Travel Time

  • KalenderanlagenCalendar attachments

  • Umfangreiche Besprechungs OrteRich meeting locations

  • Vorgangsverwaltung mit Microsoft To-DoTask management with Microsoft To-Do

  • Add-InsAdd-ins

  • Interessante KalenderInteresting Calendars

  • Meine e-Mails abspielenPlay My Emails

  • Vertraulichkeits KennzeichnungSensitivity labeling

  • S/MIMES/MIME

Häufig gestellte Fragen zum VerbindungsflussConnection Flow FAQ

F.: Meine Organisation verfügt über eine Sicherheitsrichtlinie, die erfordert, dass eingehende Internetverbindungen auf genehmigte IP-Adressen oder FQDNs beschränkt werden. Ist das mit dieser Architektur möglich?Q: My organization has a security policy that requires Internet inbound connections to be restricted to approved IP addresses or FQDNs. Is that possible with this architecture?

A.: Microsoft empfiehlt, dass die lokalen Endpunkte für AutoErmittlungs- und ActiveSync-Protokolle aus dem Internet ohne jegliche Einschränkungen geöffnet werden und zugänglich sind.A: Microsoft recommends that the on-premises endpoints for AutoDiscover and ActiveSync protocols be opened and accessible from the Internet without any restrictions. In bestimmten Situationen ist dies vielleicht nicht möglich.In certain situations that may not be possible. Wenn Sie sich beispielsweise in einer Koexistenzphase mit einer anderen UEM-Lösung (Unified Endpoint Management) eines Drittanbieters befinden, möchten Sie möglicherweise Einschränkungen für das ActiveSync-Protokoll setzen, um zu verhindern, dass Benutzer die UEM-Lösung umgehen, während Sie zu InTune und Outlook für IOS und Android migrieren.For example, if you're in a co-existence period with another third-party unified endpoint management (UEM) solution, you may want to place restrictions on the ActiveSync protocol to prevent users from bypassing the UEM solution while you migrate to Intune and Outlook for iOS and Android. Wenn Sie auf Ihren lokalen Firewall- oder Gatewaygeräten Einschränkungen definieren müssen, empfiehlt Microsoft die Filterung basierend auf FQDN-Endpunkten.If you must place restrictions on your on-premises firewall or gateway edge devices, Microsoft recommends filtering based on FQDN endpoints. Wenn FQDN-Endpunkte nicht verwendet werden können, filtern Sie nach IP-Adressen.If FQDN endpoints cannot be used, then filter on IP addresses. Stellen Sie sicher, dass die folgenden IP-Subnetze und FQDNs in der Whitelist enthalten sind:Make sure the following IP subnets and FQDNs are whitelisted:

F: meine Organisation verwendet derzeit eine Drittanbieter-UEM-Lösung, um die Konnektivität mobiler Geräte zu steuern.Q: My organization currently uses a third-party UEM solution to control mobile device connectivity. Wenn ich den Exchange ActiveSync-Namespace im Internet verfügbar mache, stellt dies eine Möglichkeit für Benutzer dar, die UEM-Lösung von Drittanbietern während des Zeitraums der Koexistenz zu umgehen.If I expose the Exchange ActiveSync namespace on the Internet, that introduces a way for users to bypass the third-party UEM solution during the co-existence period. Wie kann ich dies verhindern?How can I prevent this?

A.: Es gibt drei mögliche Lösungen für dieses Problem:A: There are three potential solutions to resolving this issue:

  1. Implementieren Sie Exchange-Zugriffsregeln für Mobilgeräte, um zu steuern, welche Geräte zum Herstellen der Verbindung zugelassen werden.Implement Exchange mobile device access rules to control which devices are approved to connect.

  2. Einige UEM-Lösungen von Drittanbietern werden in die Zugriffsregeln für mobile Geräte von Exchange integriert und blockieren nicht genehmigten Zugriff, während Sie zugelassene Geräte in der ActiveSyncAllowedDeviceIDs-Eigenschaft des Benutzers hinzufügen.Some third-party UEM solutions integrate with Exchange mobile device access rules, blocking unapproved access, while adding approved devices in the user's ActiveSyncAllowedDeviceIDs property.

  3. Implementieren Sie IP-Beschränkungen für den Exchange ActiveSync-Namespace.Implement IP restrictions on the Exchange ActiveSync namespace.

F.: Kann ich Azure ExpressRoute für die Verwaltung des Datenverkehrs zwischen der Microsoft Cloud und meiner lokalen Umgebung nutzen?Q: Can I leverage Azure ExpressRoute for managing traffic between the Microsoft Cloud and my on-premises environment?

A.: Die Verbindung mit der Microsoft Cloud erfordert eine Internet-Verbindung.A: Connectivity to the Microsoft Cloud requires Internet connectivity. Microsoft empfiehlt, AutoErmittlung und Exchange ActiveSync direkt im Internet verfügbar zu machen; Weitere Informationen finden Sie unter Microsoft 365 und Office 365 Network Connectivity Principles.Microsoft recommends exposing AutoDiscover and Exchange ActiveSync directly to the Internet; for more information, see Microsoft 365 and Office 365 Network Connectivity Principles. Azure Express Route wird jedoch für Exchange-Hybrid Szenarien unterstützt.However, Azure ExpressRoute is supported for Exchange hybrid scenarios. Weitere Informationen finden Sie unter Azure Express Route für Microsoft 365 und Office 365.For more information, see Azure ExpressRoute for Microsoft 365 and Office 365.

Mit ExpressRoute gibt es keinen privaten IP-Adressraum für ExpressRoute-Verbindungen noch kann eine „private" DNS-Auflösung erfolgen. Das bedeutet, dass jeder Endpunkt, den Ihr Unternehmen über ExpressRoute nutzen möchte, im öffentlichen DNS aufgelöst werden muss. Wenn dieser Endpunkt zu einer IP-Adresse aufgelöst wird, die in den angekündigten der ExpressRoute-Leitung zugeordneten Präfixen enthalten ist (Ihr Unternehmen muss diese Präfixe im Azure-Portal konfigurieren, wenn Sie Microsoft-Peering für die ExpressRoute-Verbindung aktivieren), wird die ausgehende Verbindung von Exchange Online zu Ihrer lokalen Umgebung über die ExpressRoute-Leitung weitergeleitet. Ihr Unternehmen muss sicherstellen, dass der zurückkommende Datenverkehr im Zusammenhang mit diesen Verbindungen über die ExpressRoute-Leitung geleitet wird (Vermeiden von asymmetrischem Routing).With ExpressRoute, there is no private IP space for ExpressRoute connections, nor can there be "private" DNS resolution. That means that any endpoint your company wants to use over ExpressRoute must resolve in public DNS. If that endpoint resolves to an IP that is contained in the advertised prefixes associated with the ExpressRoute circuit (your company must configure those prefixes in the Azure portal when you enable Microsoft peering on the ExpressRoute connection), then the outbound connection from Exchange Online to your on-premises environment will route through the ExpressRoute circuit. Your company will have to ensure that the return traffic associated with these connections goes through the ExpressRoute circuit (avoiding asymmetric routing).

Wichtig

Da Ihr Unternehmen die Exchange-Auto Ermittlungs-und ActiveSync-Namespaces den angekündigten Präfixen in der Express Route-Schaltung hinzufügt, ist die einzige Möglichkeit, die Exchange-Auto Ermittlungs-und ActiveSync-Endpunkte zu erreichen, über die Express Route.Because your company will be adding the Exchange AutoDiscover and ActiveSync namespaces to the advertised prefixes in the ExpressRoute circuit, the only way to reach the Exchange AutoDiscover and ActiveSync endpoints will be via the ExpressRoute. Mit anderen Worten: das einzige mobile Gerät, das über den autodiscover-und den ActiveSync-Namespace eine Verbindung mit dem lokalen System herstellen kann, ist Outlook für IOS und Android.In other words, the only mobile device that will be able to connect to on-premises via the AutoDiscover and ActiveSync namespaces will be Outlook for iOS and Android. Alle anderen Clients (beispielsweise systemeigene e-Mail-Clients für mobile Geräte) können keine Verbindung mit der lokalen Umgebung herstellen, da die Verbindung nicht von der Microsoft-Cloud hergestellt wird.All other clients (such as mobile devices' native mail clients) will be unable to connect to the on-premises environment as the connection will not be established from the Microsoft Cloud. Dies liegt daran, dass es keine Überschneidungen des öffentlichen IP-Speicherplatzes geben kann, der Microsoft auf der Express Route-Schaltung und dem öffentlichen IP-Speicher beworben wird, der in Ihren Internet-Schaltungen beworben wird.This is because there cannot be any overlaps of the public IP space advertised to Microsoft on the ExpressRoute circuit and the public IP space advertised on your Internet circuit(s).

F.: Wenn nur Nachrichtendaten von vier Wochen mit Exchange Online synchronisiert werden, bedeutet das, dass in Outlook für iOS und Android ausgeführte Suchabfragen keine Informationen über die Daten auf dem lokalen Gerät hinaus zurückgeben können?Q: Given only four weeks of message data is synchronized to Exchange Online, does this mean that search queries executed in Outlook for iOS and Android cannot return information beyond the data available on the local device?

A.: Wenn eine Suchabfrage in Outlook für iOS und Android ausgeführt wird, werden der Suchabfrage entsprechende Elemente zurückgegeben, wenn Sie sich auf dem Gerät befinden. Darüber hinaus wird die Suchabfrage über Exchange Online an das lokale Exchange übergeben. Das lokale Exchange führt die Suchabfrage für das lokale Postfach aus und gibt die Ergebnisse an Exchange Online zurück, das die Ergebnisse an den Client weiterleitet. Die lokalen Abfrageergebnisse werden in Exchange Online einen Tag lang gespeichert und anschließend gelöscht.A: When a search query is performed in Outlook for iOS and Android, items that match the search query are returned if they are located on the device. In addition, the search query is passed to Exchange on-premises via Exchange Online. Exchange on-premises executes the search query against the on-premises mailbox and returns the results to Exchange Online, which relays the results to the client. The on-premises query results are stored in Exchange Online for one day before being deleted.

F.: Wie kann ich feststellen, ob das E-Mail-Konto ordnungsgemäß in Outlook für iOS und Android hinzugefügt wurde?Q: How do I know that the email account is added correctly in Outlook for iOS and Android?

A.: Lokale Postfächer, die über moderne Hybridauthentifizierung hinzugefügt werden, sind in den Kontoeinstellungen in Outlook für iOS und Android als Exchange (Hybrid) gekennzeichnet, ähnlich wie im folgenden Beispiel:A: On-premises mailboxes that are added via hybrid Modern Authentication are labelled as Exchange (Hybrid) in the account settings in Outlook for iOS and Android, similar to the following example:

Ein Beispiel für ein Outlook für iOS- und Android-Konto, das für die moderne Hybridauthentifizierung konfiguriert ist.

Häufig gestellte Fragen zur AuthentifizierungAuthentication FAQ

F.: Welche Identitätskonfigurationen werden mit moderner Hybridauthentifizierung und Outlook für iOS und Android unterstützt?Q: What identity configurations are supported with hybrid Modern Authentication and Outlook for iOS and Android?

A.: Die folgenden Identitätskonfigurationen in Azure Active Directory werden mit moderner Hybridauthentifizierung unterstützt:A: The following identity configurations with Azure Active Directory are supported with hybrid Modern Authentication:

  • Verbundidentität mit jedem lokalen Identitätsanbieter, der von Azure Active Directory unterstützt wirdFederated Identity with any on-premises identity provider that is supported by Azure Active Directory

  • Kennworthashsynchronisierung über Azure Active Directory ConnectPassword Hash Synchronization via Azure Active Directory Connect

  • Pass-Through-Authentifizierung über Azure Active Directory ConnectPass-through Authentication via Azure Active Directory Connect

F.: Welche Authentifizierungsmethode wird für Outlook für iOS und Android verwendet?Q: What authentication mechanism is used for Outlook for iOS and Android? Werden Anmeldeinformationen in Microsoft 365 oder Office 365 gespeichert?Are credentials stored in Microsoft 365 or Office 365?

A: siehe Kontoeinrichtung mit moderner Authentifizierung in Exchange Online.A: See Account setup with modern authentication in Exchange Online.

F.: Unterstützen Outlook für iOS und Android und andere mobile Microsoft Office-Apps einmaliges Anmelden?Q: Do Outlook for iOS and Android and other Microsoft Office mobile apps support single sign-on?

A: siehe Kontoeinrichtung mit moderner Authentifizierung in Exchange Online.A: See Account setup with modern authentication in Exchange Online.

F.: Was ist die Gültigkeitsdauer der Token, die von der Active Directory-Authentifizierungsbibliothek (ADAL) in Outlook für iOS und Android generiert und verwendet werden?Q: What is the lifetime of the tokens generated and used by the Active Directory Authentication Library (ADAL) in Outlook for iOS and Android?

A: siehe Kontoeinrichtung mit moderner Authentifizierung in Exchange Online.A: See Account setup with modern authentication in Exchange Online.

F.: Was geschieht mit dem Zugriffstoken, wenn das Kennwort eines Benutzers geändert wird?Q: What happens to the access token when a user's password is changed?

A: siehe Kontoeinrichtung mit moderner Authentifizierung in Exchange Online.A: See Account setup with modern authentication in Exchange Online.

F.: Gibt es eine Möglichkeit für einen Benutzer, beim Hinzufügen seines Kontos zu Outlook für iOS und Android AutoDetect zu umgehen?Q: Is there a way for a user to bypass AutoDetect when adding their account to Outlook for iOS and Android?

A.: Ja, ein Benutzer kann AutoDetect jederzeit umgehen und die Verbindung mit der Standardauthentifizierung über das Exchange ActiveSync-Protokoll manuell konfigurieren. Um sicherzustellen, dass der Benutzer keine Verbindung mit Ihrer lokalen Umgebung über einen Mechanismus herstellt, der Azure Active Directory-Richtlinien für bedingten Zugriff oder Intune-App-Schutzrichtlinien nicht unterstützt, muss der lokale Exchange-Administrator eine Exchange-Gerätezugriffsregel konfigurieren, die die ActiveSync-Verbindung blockiert. Geben Sie hierzu den folgenden Befehl in der Exchange-Verwaltungsshell ein:A: Yes, a user can bypass AutoDetect at any time and manually configure the connection using Basic authentication over the Exchange ActiveSync protocol. To ensure that the user does not establish a connection to your on-premises environment via a mechanism that does not support Azure Active Directory Conditional Access or Intune app protection policies, the on-premises Exchange Administrator needs to configure an Exchange device access rule that blocks the ActiveSync connection. To do this, type the following command in the Exchange Management Shell:

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

ProblembehandlungTroubleshooting

Unten stehend finden Sie die häufigsten Probleme oder Fehler im Hinblick auf lokale Postfächer mit moderner Hybridauthentifizierung mit Outlook für iOS und Android.Below are the most common issues or errors with on-premises mailboxes using hybrid Modern Authentication with Outlook for iOS and Android.

AutoErmittlung und ActiveSyncAutoDiscover and ActiveSync

Beim Erstellen eines Profils sollte dem Benutzer ein Dialog für moderne Authentifizierung wie der folgende angezeigt werden:During profile creation, the user should be presented a Modern Authentication dialog similar to this:

Dialogfelder, die Benutzern während der erfolgreichen Einrichtung der modernen Hybridauthentifizierung angezeigt werden sollten

Wenn dem Benutzer stattdessen einer der folgenden Dialoge angezeigt wird, besteht ein Problem mit den AutoErmittlungs- oder lokalen ActiveSync-Endpunkten.If, instead, the user is presented with one of the following dialogs, then there is an issue with either the Autodiscover or ActiveSync on-premises endpoints.

Hier ein Beispiel eines Benutzers, dem die ältere Exchange ActiveSync-Oberfläche mit Standardauthentifizierung angezeigt wird:Here is an example of a user being presented with the legacy Basic authentication Exchange ActiveSync experience:

Ein Dialogfeld, das angibt, dass einem Benutzer die ältere Exchange ActiveSync-Oberfläche mit Standardauthentifizierung angezeigt wird

Und hier ein Beispiel dafür, was Benutzern angezeigt wird, wenn die AutoErmittlung die Konfiguration der lokalen Postfächer von Benutzern nicht ermitteln kannAnd here's an example of what users see when AutoDetect isn't able to discover the configuration for users' on-premises mailboxes.

Ein Dialogfeld, das Benutzern angezeigt wird, wenn die AutoErmittlung die Konfiguration ihrer lokalen Postfächer nicht ermitteln kann

Stellen Sie in beiden Fällen sicher, dass Ihre lokale Umgebung richtig konfiguriert ist. Gehen Sie zu diesem Zweck folgendermaßen vor: Laden Sie aus dem TechNet-Katalog das Skript zum Validieren der Einrichtung der hybriden modernen Authentifizierung für Outlook für iOS und Android herunter.In either scenario, verify that your on-premises environment is correctly configured. To do this: from the TechNet Gallery, download and execute the script for Validating Hybrid Modern Authentication setup for Outlook for iOS and Android.

Wenn Sie die Ausgabe des Skripts überprüfen, sollte die AutoErmittlung Folgendes anzeigen:When you review the output from the script, you should be seeing the following from AutoDiscover:

{
    "Protocol": "activesync",
    "Url": "https://mail.contoso.com/Microsoft-Server-ActiveSync"
}

Der lokale ActiveSync-Endpunkt sollte die folgende Antwort zurückgeben, wobei der WWW-Authenticate-Header eine authorization_uri enthält:The on-premises ActiveSync endpoint should return the following response, where the WWW-Authenticate header includes an authorization_uri:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@5de110f8-2e0f-4d45-891d-bcf2218e253d,00000004-0000-0ff1-ce00-000000000000@contoso.com", token_types="app_asserted_user_v1 service_asserted_app_v1", authorization_uri="https://login.windows.net/common/oauth2/authorize"
Www-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →5ca2c827-5147-474c-8457-63c4e5099c6e

Wenn die AutoErmittlungs- oder ActiveSync-Antworten nicht den oben aufgeführten Beispielen ähneln, können Sie folgendermaßen nach möglichen Ursachen suchen:If the AutoDiscover or ActiveSync responses are not similar to the above examples, you can investigate the following as possible causes:

  1. Wenn der AutoErmittlungsendpunkt nicht erreicht werden kann, ist es wahrscheinlich, dass ein Firewall- oder Load Balancer-Konfigurationsproblem besteht (z. B. sind IP-Beschränkungen konfiguriert und die erforderlichen IP-Adressbereiche sind nicht vorhanden). Darüber hinaus gibt es möglicherweise ein Gerät, das Exchange vorgeschaltet ist und das eine Vorabauthentifizierung für den Zugriff auf den AutoErmittlungsendpunkt erfordert.If the AutoDiscover endpoint cannot be reached, then it's likely there's a firewall or load balancer configuration issue (for example, IP restrictions are configured and the required IP ranges are not present). Also, there may be a device in front of Exchange requiring pre-authentication to access the AutoDiscover endpoint.

  2. Wenn der AutoErmittlungsendpunkt nicht die richtige URL zurückgibt, besteht ein Konfigurationsproblem mit dem ExternalURL-Wert des virtuellen ActiveSync-Verzeichnisses.If the AutoDiscover endpoint does not return the correct URL, then there is a configuration issue with the ActiveSync virtual directory's ExternalURL value.

  3. Wenn der ActiveSync-Endpunkt nicht erreicht werden kann, besteht ein Firewall- oder Load Balancer-Konfigurationsproblem. In diesem Fall sind wie bereits erwähnt möglicherweise IP-Beschränkungen konfiguriert und die erforderlichen IP-Adressbereiche sind nicht vorhanden. Darüber hinaus gibt es möglicherweise ein Gerät, das Exchange vorgeschaltet ist und das eine Vorabauthentifizierung für den Zugriff auf den ActiveSync-Endpunkt erfordert.If the ActiveSync endpoint cannot be reached, then there is a firewall or load balancer configuration issue. Again, one example is IP restrictions are configured and the required IP ranges are not present. Also, there may be a device in front of Exchange requiring pre-authentication to access the ActiveSync endpoint.

  4. Wenn der ActiveSync-Endpunkt keinen authorization_uri-Wert enthält, stellen Sie mithilfe der Exchange-Verwaltungsshell sicher, dass der EvoSTS-Authentifizierungsserver als der standardmäßige Endpunkt konfiguriert ist:If the ActiveSync endpoint does not contain an authorization_uri value, verify that the EvoSTS authentication server is configured as the default endpoint using Exchange Management Shell:

    Get-AuthServer EvoSts | Format-List IsDefaultAuthorizationEndpoint
    
  5. Wenn der ActiveSync-Endpunkt keinen WWW-Authenticate-Header enthält, reagiert das Gerät vor Exchange eventuell auf die Abfrage.If the ActiveSync endpoint does not contain a WWW-Authenticate header, then a device in front of Exchange may be responding to the query.

Probleme bei der ClientsynchronisierungClient synchronization issues

Es gibt ein paar Szenarien, die dazu führen können, dass Daten in Outlook für iOS und Android veraltet sind. Der Grund dafür liegt in der Regel bei einem Problem mit dem zweiten Zugriffstoken (das Token, das von MRS in Exchange Online zum Synchronisieren der Daten mit der lokalen Umgebung verwendet wird). Die beiden häufigsten Gründe für dieses Problem sind folgende:There are a few scenarios that can result in data being stale in Outlook for iOS and Android. Typically, this is due to an issue with the second access token (the token used by MRS in Exchange Online to synchronize the data with the on-premises environment). The two most common reasons for this issue are:

  • Lokales SSL/TLS-Offloading.SSL/TLS offloading on-premises.

  • Metadatenprobleme mit dem EvoSTS-Zertifikat.EvoSTS certificate metadata issues.

Beim SSL/TLS-Offloading werden Token für eine bestimmten URI ausgestellt und dieser Wert enthält den Protokollwert („https://“). Wenn der Load Balancer SSL/TLS auslagert, geht die Anforderung, die Exchange erhält, über HTTP ein, was zu einem Anspruchskonflikt führt, da der Protokollwert http:// lautet. Im Folgenden sehen Sie ein Beispiel eines Antwort-Headers von einer Fiddler-Ablaufverfolgung.With SSL/TLS offloading, tokens are issued for a specific uri and that value includes the protocol value ("https://"). When the load balancer offloads SSL/TLS, the request Exchange receives comes in via HTTP, resulting in a claim mismatch due to the protocol value being http://. The following is an example of a response header from a Fiddler trace:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@00c118a9-2de9-41d3-b39a-81648a7a5e4d", authorization_uri="https://login.windows.net/common/oauth2/authorize", error="invalid_token"
WWW-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →2323088f-8838-4f97-a88d-559bfcf92866
x-ms-diagnostics →2000003;reason="The hostname component of the audience claim value is invalid. Expected 'https://mail.contoso.com'. Actual 'http://mail.contoso.com'.";error_category="invalid_resource"

Wie oben im Abschnitt Technische und Lizenzierungsanforderungen angegeben, wird SSL/TLS-Offloading für OAuth-Datenströme nicht unterstützt.As specified above in the section Technical and licensing requirements, SSL/TLS offloading is not supported for OAuth flows.

Für EvoSTS-Zertifikat Metadaten werden die von EvoSTS genutzten Zertifikat Metadaten gelegentlich in Microsoft 365 oder Office 365 aktualisiert.For EvoSTS Certificate Metadata, the certificate metadata leveraged by EvoSTS is occasionally updated in Microsoft 365 or Office 365. Das lokale Exchange-Vermittlungspostfach, das über die Organisationsfunktion von "OrganizationCapabilityManagement" verfügt, ist für die Erkennung der Änderungen und für die lokale Aktualisierung der entsprechenden Metadaten verantwortlich; Dieser Vorgang wird alle acht Stunden ausgeführt.The Exchange on-premises arbitration mailbox that has the organization capability of "OrganizationCapabilityManagement" is responsible for detecting the changes and for updating the corresponding metadata on-premises; this process executes every eight hours.

Exchange-Administratoren können dieses Postfach finden, indem Sie das folgende Cmdlet mithilfe der Exchange-Verwaltungsshell ausführen:Exchange Administrators can find this mailbox by executing the following cmdlet using Exchange Management Shell:

$x=Get-mailbox -arbitration | ? {$_.PersistedCapabilities -like "OrganizationCapabilityManagement"};Get-MailboxDatabaseCopyStatus $x.database.name

Überprüfen Sie auf dem Server, der die Datenbank für das OrganizationCapabilityManagement-Vermittlungspostfach hostet, die Anwendungsereignisprotokolle auf Ereignisse mit der Quelle MSExchange AuthAdmin. Anhand dieser Ereignisse sollten Sie feststellen können, ob Exchange die Metadaten aktualisieren konnte. Wenn die Metadaten nicht mehr aktuell sind, können Sie sie mit diesem Cmdlet manuell aktualisieren:On the server hosting the database for the OrganizationCapabilityManagement arbitration mailbox, review the application event logs for events with a source of MSExchange AuthAdmin. The events should tell you if Exchange was able to refresh the metadata. If the metadata is out of date, you can manually refresh it with this ccmdlet:

Set-AuthServer EvoSts -RefreshAuthMetadata

Sie können auch eine geplante Aufgabe erstellen, die den oben angegebenen Befehl alle 24 Stunden ausführt.You can also create a scheduled task that executes the above command every 24 hours.

Exchange Online StatistikExchange Online statistics

Sie können die folgenden Exchange Online-Cmdlets verwenden, um statistische Informationen für jedes synchronisierte lokale Postfach anzuzeigen.You can use the following Exchange Online cmdlets to see statistical information for each synchronized on-premises mailbox.

  1. Ermitteln Sie zunächst den Speicherort des synchronisierten lokalen Postfachs im Mandanten, und geben Sie dabei die Identität des lokalen Postfachs an (beispielsweise Jane@contoso.com).First, obtain the location of the synchronized on-premises mailbox in the tenant, specifying the on-premises mailbox's identity (for example, jane@contoso.com).

    $m = Get-MailboxLocation <identity>
    
  2. Um Post fachbezogene Statistiken anzuzeigen, verwenden SieTo see mailbox-related statistics, use

    Get-MailboxStatistics $m.id
    
  3. Verwenden Sie zum Anzeigen von Statistiken für mobile Geräte (beispielsweise sehen, wann Outlook für IOS und Android zuletzt mit Exchange Online synchronisiert wurde)To see mobile device statistics (like seeing when Outlook for iOS and Android last synchronized to Exchange Online), use

    Get-MobileDeviceStatistics -Mailbox $m.id
    

Weitere Informationen finden Sie unter Get-MailboxStatistics und Get-MobileDeviceStatistics.For more information, see Get-MailboxStatistics and Get-MobileDeviceStatistics.

Andere ProblemeOther issues

Es gibt auch andere Probleme, die verhindern, dass die hybride moderne Authentifizierung ordnungsgemäß funktioniert. Weitere Informationen finden Sie im Abschnitt zur Problembehandlung unter Ankündigung von hybrider moderner Authentifizierung für Exchange lokal.There are other issues that may prevent hybrid Modern Authentication from functioning correctly. For more information, see the troubleshooting section in Announcing Hybrid Modern Authentication for Exchange On-Premises.