Utilizzo dell'autenticazione moderna ibrida con Outlook per iOS e AndroidUsing hybrid Modern Authentication with Outlook for iOS and Android

L'app Outlook per iOS e Android è stato progettato come il modo migliore per sperimentare Microsoft 365 o Office 365 sul dispositivo mobile facendo leva sui servizi Microsoft per aiutare a trovare, pianificare e definire la priorità della vita quotidiana e del lavoro.The Outlook app for iOS and Android is designed as the best way to experience Microsoft 365 or Office 365 on your mobile device by leveraging Microsoft services to help find, plan, and prioritize your daily life and work. Outlook fornisce la protezione, la privacy e il supporto necessari garantendo la sicurezza dei dati aziendali tramite funzionalità quali l'accesso condizionale di Azure Active Directory e i criteri di protezione dell'app Intune.Outlook provides the security, privacy, and support you need while protecting corporate data via capabilities such as Azure Active Directory conditional access and Intune app protection policies. Nelle sezioni seguenti viene fornita una panoramica dell'architettura di autenticazione moderna ibrida, dei prerequisiti necessari per la sua implementazione e di come distribuire in modo sicuro Outlook per iOS e Android per le cassette postali di Exchange.The following sections provide an overview of the hybrid Modern Authentication architecture, the required pre-requisites for its deployment, and how to securely deploy Outlook for iOS and Android for Exchange on-premises mailboxes.

Architettura Microsoft Cloud per i clienti dell'edizione ibrida di Exchange ServerMicrosoft Cloud architecture for hybrid Exchange Server customers

Outlook per iOS e Android è un'applicazione supportata dal cloud. Questo significa che l'esperienza dell'utente consiste in un'app installata in locale dotata di un servizio sicuro e scalabile in esecuzione in Microsoft Cloud.Outlook for iOS and Android is a cloud-backed application. This means your experience consists of a locally installed app powered by a secure and scalable service running in the Microsoft Cloud.

Per le cassette postali di Exchange Server, l'architettura di Outlook per iOS e Android è integrata direttamente nel cloud Microsoft, offrendo ai clienti i vantaggi aggiuntivi di sicurezza, privacy, conformità integrata e operazioni trasparenti che Microsoft commette nel Centro protezione Microsoft e nel Centro protezione di Azure.For Exchange Server mailboxes, Outlook for iOS and Android's architecture is built directly into the Microsoft Cloud, providing customers the additional benefits of security, privacy, built-in compliance, and transparent operations that Microsoft commits to in the Microsoft Trust Center and Azure Trust Center.

Autenticazione moderna ibrida in Outlook per iOS e Android

All'interno dell'architettura basata su Microsoft 365 o Office 365, Outlook per iOS e Android utilizza la tecnologia Microsoft Sync nativo per la sincronizzazione dei dati protetta da una connessione protetta TLS end-to-end, tra Microsoft 365 o Office 365 e l'app.Within the Microsoft 365 or Office 365-based architecture, Outlook for iOS and Android utilizes the native Microsoft sync technology for data synchronization which is protected by a TLS-secured connection end-to-end, between Microsoft 365 or Office 365 and the app.

La connessione Exchange ActiveSync (EAS) tra Exchange Online e l'ambiente locale consente la sincronizzazione dei dati locali degli utenti e include quattro settimane di posta elettronica, tutti i dati del calendario, tutti i dati dei contatti e lo stato fuori sede nel tenant di Exchange Online.The Exchange ActiveSync (EAS) connection between Exchange Online and the on-premises environment enables synchronization of the users' on-premises data and includes four weeks of email, all calendar data, all contact data, and out-of-office status in your Exchange Online tenant. Questi dati verranno rimossi automaticamente da Exchange Online dopo 30 giorni dopo l'eliminazione dell'account in Azure Active Directory.This data will be removed automatically from Exchange Online after 30 days when the account is deleted in Azure Active Directory.

La sincronizzazione dei dati tra l'ambiente locale ed Exchange Online si verifica indipendentemente dal comportamento degli utenti. In questo modo, è possibile inviare nuovi messaggi ai dispositivi molto rapidamente.Data synchronization between the on-premises environment and Exchange Online happens independent of user behavior. This ensures that we can send new messages to the devices very quickly.

L'elaborazione delle informazioni in Microsoft Cloud abilita funzioni e funzionalità avanzate, come la categorizzazione della posta elettronica per Posta in arrivo evidenziata, un'esperienza personalizzata per viaggi e calendario e una velocità di ricerca migliorata.Processing information in the Microsoft Cloud enables advanced features and capabilities, such as the categorization of email for the Focused Inbox, customized experience for travel and calendar, and improved search speed. L'adozione del cloud per l'elaborazione intensiva e la riduzione al minimo delle risorse necessarie per i dispositivi degli utenti consente di ottimizzare la stabilità e le prestazioni dell'app.Relying on the cloud for intensive processing and minimizing the resources required from users' devices enhances the app's performance and stability. Infine, consente a Outlook di creare funzionalità che interagiscono su tutti gli account di posta elettronica, indipendentemente dalle funzionalità tecnologiche dei server sottostanti (come le diverse versioni di Exchange Server, Microsoft 365 o Office 365).Lastly, it allows Outlook to build features that work across all email accounts, regardless of the technological capabilities of the underlying servers (such as different versions of Exchange Server, Microsoft 365, or Office 365).

In particolare, questa nuova architettura è caratterizzata dai miglioramenti seguenti:Specifically, this new architecture has the following improvements:

  1. Supporto di Enterprise Mobility + Security: I clienti possono trarre vantaggio da Microsoft Enterprise Mobility + Security (EMS), compresi Microsoft Intune e Azure Active Directory Premium, per abilitare l'accesso condizionale e i criteri di protezioni dell'app Intune, che consentono di controllare e proteggere i dati di messaggistica aziendali sul dispositivo mobile.Enterprise Mobility + Security support: Customers can take advantage of Microsoft Enterprise Mobility + Security (EMS) including Microsoft Intune and Azure Active Directory Premium, to enable conditional access and Intune app protection policies, which control and secure corporate messaging data on the mobile device.

  2. Fully Powered by Microsoft Cloud: i dati delle cassette postali locali vengono sincronizzati in Exchange Online, che offre i vantaggi delle operazioni di sicurezza, privacy, conformità e trasparenza che Microsoft commette nel Centro protezione Microsoft.Fully powered by Microsoft Cloud: The on-premises mailbox data is synchronized into Exchange Online, which provides the benefits of security, privacy, compliance and transparent operations that Microsoft commits to in the Microsoft Trust Center.

  3. OAuth consente di proteggere le password degli utenti: Outlook si avvale dell'autenticazione moderna ibrida (OAuth) per la protezione delle credenziali degli utenti. L'autenticazione moderna ibrida fornisce a Outlook un meccanismo sicuro per accedere ai dati di Exchange senza mai toccare o archiviare le credenziali dell'utente. All'accesso, l'utente effettua l'autenticazione direttamente in una piattaforma di identità (Azure Active Directory o un provider di identità locale come ADFS) e riceve un token di accesso, che garantisce l'accesso di Outlook ai file o alle cassette postali dell'utente. Il servizio non ha mai accesso alla password dell'utente.OAuth protects users' passwords: Outlook leverages hybrid Modern Authentication (OAuth) to protect users' credentials. Hybrid Modern Authentication provides Outlook with a secure mechanism to access the Exchange data without ever touching or storing a user's credentials. At sign in, the user authenticates directly against an identity platform (either Azure Active Directory or an on-premises identity provider like ADFS) and receives an access token in return, which grants Outlook access to the user's mailbox or files. At no time does the service have access to the user's password.

  4. Fornisce ID dispositivo univoci: Ogni connessione di Outlook è registrata in modo univoco in Microsoft Intune e, pertanto, può essere gestita come una connessione univoca.Provides Unique Device IDs: Each Outlook connection is uniquely registered in Microsoft Intune and can therefore be managed as a unique connection.

  5. Sblocca nuove funzionalità su iOS e Android: questo aggiornamento consente all'app di Outlook di usufruire delle funzionalità native di Microsoft 365 o Office 365 che non sono supportate oggi in Exchange locale, ad esempio facendo leva su una ricerca completa di Exchange Online e posta in arrivo mirata.Unlocks new features on iOS and Android: This update enables the Outlook app to take advantage of native Microsoft 365 or Office 365 features that are not supported in Exchange on-premises today, such as leveraging full Exchange Online search and Focused Inbox. Queste funzionalità saranno disponibili solo quando si utilizza Outlook per iOS e Android.These features will only be available when using Outlook for iOS and Android.

Nota

La gestione dei dispositivi tramite l'interfaccia di amministrazione di Exchange locale (EAC) non è possibile.Device management through the on-premises Exchange admin center (EAC) is not possible. È necessario disporre di Intune per gestire i dispositivi mobili.Intune is required to manage mobile devices.

Sicurezza dei dati, accesso e controlliData security, access, and auditing controls

Con la sincronizzazione dei dati locali con Exchange Online, i clienti hanno delle domande sulla sicurezza dei dati in Exchange Online.With on-premises data being synchronized with Exchange Online, customers have questions about how the data is protected in Exchange Online. La crittografia in Microsoft Cloud illustra la modalità di utilizzo di BitLocker per la crittografia a livello di volume.Encryption in the Microsoft Cloud discusses how BitLocker is used for volume-level encryption. La crittografia del servizio con la chiave del cliente è supportata nell'architettura di Outlook per iOS e Android, ma si noti che l'utente deve disporre di una licenza di Office 365 Enterprise E5 (o le versioni corrispondenti di tali piani per il governo o l'istruzione) per avere un criterio di crittografia assegnato utilizzando il cmdlet Set-MailUser.Service Encryption with Customer Key is supported in the Outlook for iOS and Android architecture, but note that the user must have an Office 365 Enterprise E5 license (or the corresponding versions of those plans for Government or Education) to have an encryption policy assigned using the set-mailuser cmdlet.

Per impostazione predefinita, i tecnici Microsoft dispongono di privilegi amministrativi pari a zero e di accesso a zero in piedi ai contenuti dei clienti in Microsoft 365 o Office 365.By default, Microsoft engineers have zero standing administrative privileges and zero standing access to customer content in Microsoft 365 or Office 365. Controlli di accesso amministrativo discute screening del personale, controlli in background, archivio protetto e cassetta di archiviazione dei clienti e altro ancora.Administrative Access Controls discusses personnel screening, background checks, Lockbox and Customer Lockbox, and more.

Controlli di controllo dell'ISO sulla documentazione relativa all'assicurazione del servizio fornisce lo stato dei controlli controllati dagli standard e dalle normative sulla sicurezza delle informazioni globali che sono stati implementati da Microsoft 365 e Office 365.ISO Audited Controls on Service Assurance documentation provides the status of audited controls from global information security standards and regulations that Microsoft 365 and Office 365 have implemented.

Flusso di connessioneConnection flow

Quando Outlook per iOS e Android è abilitato con l'autenticazione moderna ibrida, il flusso di connessione è il seguente.When Outlook for iOS and Android is enabled with hybrid Modern Authentication, the connection flow is as follows.

Flusso di autenticazione nell'autenticazione moderna ibrida

  1. Dopo che l'utente inserisce il proprio indirizzo di posta elettronica, Outlook per iOS e Android si connette al servizio di rilevamento automatico.After the user enters their email address, Outlook for iOS and Android connects to the AutoDetect service. Il servizio di rilevamento automatico determina il tipo di cassetta postale avviando una query di individuazione automatica per Exchange Online.AutoDetect determines the mailbox type by initiating an AutoDiscover query to Exchange Online. Exchange Online determina che la cassetta postale dell'utente è locale e restituisce un reindirizzamento 302 al servizio di rilevamento automatico con l'URL di individuazione automatica locale.Exchange Online determines that the user's mailbox is on-premises and returns a 302-redirect to AutoDetect with the on-premises Autodiscover URL. Il servizio di rilevamento automatico inizia una query nel servizio di individuazione automatica locale per determinare l'endpoint di ActiveSync per l'indirizzo di posta elettronica.AutoDetect initiates a query against the on-premises AutoDiscover service to determine the ActiveSync endpoint for the email address. L'URL tentato in locale è simile a questo esempio: https://autodiscover.contoso.com/autodiscover/autodiscover.json?Email=test%40contoso.com&Protocol=activesync&RedirectCount=3 .The URL attempted on-premises is similar to this example: https://autodiscover.contoso.com/autodiscover/autodiscover.json?Email=test%40contoso.com&Protocol=activesync&RedirectCount=3.

  2. Il servizio di rilevamento automatico avvia una connessione all'URL di ActiveSync locale ottenuto al passaggio 1 con un token di connessione vuoto. Il token di connessione vuoto indica ad ActiveSync locale che il client supporta l'autenticazione moderna. ActiveSync locale invia una risposta 401 e include l'intestazione WWW-Authenticate: Bearer. All'interno dell'intestazione WWW-Authenticate: Bearer è presente il valore authorization_uri che identifica l'endpoint di Azure Active Directory (AAD) da utilizzare per ottenere un token OAuth.AutoDetect initiates a connection to the on-premises ActiveSync URL returned in Step 1 above with an empty bearer challenge. The empty bearer challenge tells the on-premises ActiveSync that the client supports Modern Authentication. On-premises ActiveSync responds with a 401-challenge response and includes the WWW-Authenticate: Bearer header. Within the WWW-Authenticate: Bearer header is the authorization_uri value that identifies the Azure Active Directory (AAD) endpoint that should be used to obtain an OAuth token.

  3. Il servizio di rilevamento automatico restituisce l'endpoint AAD al client. Il client inizia il flusso di accesso e l'utente visualizza un modulo Web (o viene reindirizzato all'app Microsoft Authenticator) dove può immettere le credenziali. A seconda della configurazione dell'identità, potrebbe causare o non causare un reindirizzamento dell'endpoint federato a un provider di identità locale. Infine, il client ottiene una coppia di token di accesso e aggiornamento, denominata AT1/RT1. Il token di accesso ha l'ambito del client di Outlook per iOS e Android con un gruppo di destinatari dell'endpoint di Exchange Online.AutoDetect returns the AAD endpoint to the client. The client begins the log-in flow and the user is presented with a Web form (or redirected to the Microsoft Authenticator app) and can enter credentials. Depending on the identity configuration, this may or may not involve a federated endpoint redirect to an on-premises identity provider. Ultimately, the client obtains an access-and-refresh token pair, which is named AT1/RT1. This access token is scoped to the Outlook for iOS and Android client with an audience of the Exchange Online endpoint.

  4. Outlook per iOS e Android stabilisce una connessione a Exchange Online e invia una richiesta di provisioning che include il token di accesso dell'utente (AT1) e l'endpoint di ActiveSync locale.Outlook for iOS and Android establishes a connection to Exchange Online and issues a provisioning request which includes the user's access token (AT1) and the on-premises ActiveSync endpoint.

  5. L'API di provisioning MRS all'interno di Exchange Online utilizza AT1 come input e ottiene una seconda coppia di token di accesso e aggiornamento (denominata AT2/RT2) per accedere alla cassetta postale locale tramite una chiamata in Active Directory.The MRS provisioning API within Exchange Online utilizes AT1 as input and obtains a second access-and-refresh token pair (named AT2/RT2) to access the on-premises mailbox via an on-behalf-of call to Active Directory. Questo secondo token di accesso ha l'ambito con il client in Exchange Online e un gruppo di destinatari dell'endopoint dello spazio dei nomi di ActiveSync.This second access token is scoped with the client being Exchange Online and an audience of the on-premises ActiveSync namespace endpoint.

  6. Se non viene effettuato il provisioning della cassetta postale, l'API di provisioning crea una cassetta postale.If the mailbox is not provisioned, then the provisioning API creates a mailbox.

  7. L'API di provisioning MRS stabilisce una connessione sicura per l'endpoint di ActiveSync locale e sincronizza i dati di messaggistica dell'utente utilizzando il token di accesso AT2 come meccanismo di autenticazione. RT2 viene utilizzato periodicamente per generare un nuovo AT2 in modo che i dati possano essere sincronizzati in background senza l'intervento dell'utente.The MRS provisioning API establishes a secure connection to the on-premises ActiveSync endpoint and synchronizes the user's messaging data using the AT2 access token as the authentication mechanism. RT2 is used periodically to generate a new AT2 so that data can be synchronized in the background without user intervention.

  8. I dati vengono restituiti al client.Data is returned to the client.

Requisiti tecnici e relativi alle licenzeTechnical and licensing requirements

L'architettura di autenticazione moderna ibrida è caratterizzata dai seguenti requisiti tecnici:The hybrid Modern Authentication architecture has the following technical requirements:

Nota

Gli account locali che sfruttano l'autenticazione moderna ibrida con Outlook Mobile non sono supportati con Office 365 US Government community and Defense Tenants, Office 365 Germany Tenants e Office 365 China gestito da 21Vianet Tenants.On-premises accounts leveraging hybrid Modern Authentication with Outlook mobile are not supported with Office 365 US Government Community and Defense tenants, Office 365 Germany tenants, and Office 365 China operated by 21Vianet tenants.

  1. Configurazione locale di Exchange:Exchange on-premises setup:

    • Exchange Server 2019 Cumulative Update 1 (CU1) o versioni successive, Exchange Server 2016 Cumulative Update 8 (CU8) o versione successiva oppure Exchange Server 2013 CU19 o versioni successive su tutti i server Exchange.Exchange Server 2019 Cumulative Update 1 (CU1) or later, Exchange Server 2016 Cumulative Update 8 (CU8) or later, or Exchange Server 2013 CU19 or later on all Exchange servers. Nelle distribuzioni ibride (Exchange locale ed Exchange Online) o in organizzazioni che utilizzano l'archiviazione Exchange Online (EOA) con la distribuzione di Exchange locale, è necessario distribuire il CU più recente o un CU prima della più recente.In hybrid deployments (on-premises Exchange and Exchange Online) or in organizations that use Exchange Online Archiving (EOA) with their on-premises Exchange deployment, you need to deploy the most current CU or one CU prior to the most current.

    • Tutti i server di Exchange 2007 o Exchange 2010 devono essere rimossi dall'ambiente.All Exchange 2007 or Exchange 2010 servers must be removed from the environment. Queste versioni di Exchange sono fuori dal supporto principale e non funzionano con Outlook per iOS e Android gestiti da Intune.These versions of Exchange are out of mainstream support and will not work with Intune-managed Outlook for iOS and Android. In questa architettura, Outlook per iOS e Android utilizza OAuth come meccanismo di autenticazione.In this architecture, Outlook for iOS and Android uses OAuth as the authentication mechanism. Una delle modifiche di configurazione locali che si verifica abilita l'endpoint OAuth con Microsoft Cloud come endpoint di autorizzazione predefinito.One of the on-premises configuration changes that occurs enables the OAuth endpoint to the Microsoft Cloud as the default authorization endpoint. Quando viene apportata questa modifica, i client possono iniziare a negoziare l'uso di OAuth.When this change is made, clients can start negotiating the use of OAuth. Trattandosi di una modifica a livello di organizzazione, le cassette postali di Exchange 2010 guidate da Exchange 2013 o 2016 penseranno erroneamente di essere in grado di eseguire OAuth ma verranno disconnesse, perché Exchange 2010 non supporta OAuth come meccanismo di autenticazione.Because this is an organization-wide change, Exchange 2010 mailboxes fronted by either Exchange 2013 or 2016 will incorrectly think they can perform OAuth and will end up in a disconnected state, since Exchange 2010 does not support OAuth as an authentication mechanism.

  2. Sincronizzazione di Active Directory.Active Directory Synchronization. Sincronizzazione di Active Directory dell'intera directory dei destinatari di posta elettronica locale con Azure Active Directory, tramite Azure AD Connect.Active Directory synchronization of the entire on-premises mail recipient directory with Azure Active Directory, via Azure AD Connect. Se nella configurazione di Azure AD Connect è abilitata l' applicazione Azure ad e il filtro degli attributi , verificare che siano selezionate le applicazioni seguenti:If you have Azure AD app and attribute filtering enabled in Azure AD Connect configuration, ensure that the following applications are selected:

    • Office 365 ProPlusOffice 365 ProPlus

    • Exchange OnlineExchange Online

    • Azure RMSAzure RMS

    • IntuneIntune

    Se non si dispone dell' applicazione Azure ad e del filtro degli attributi abilitato nella configurazione di Azure ad Connect, tutte le applicazioni necessarie sono già selezionate per impostazione predefinita.If you do not have Azure AD app and attribute filtering enabled in Azure AD Connect configuration, all required applications are already selected by default.

    Importante

    Outlook per iOS e Android utilizza l'elenco indirizzi globale di Exchange Online del tenant per le cassette postali locali che sfruttano l'autenticazione moderna ibrida.Outlook for iOS and Android uses the tenant's Exchange Online Global Address List for on-premises mailboxes that leverage hybrid Modern Authentication. Se tutti i destinatari di posta elettronica non vengono sincronizzati in Azure Active Directory, gli utenti sperimenteranno i problemi del flusso di posta.If all mail recipients are not synchronized into Azure Active Directory, users will experience mail flow issues.

  3. Configurazione ibrida di Exchange: Richiede una relazione ibrida completa tra Exchange locale ed Exchange Online.Exchange hybrid setup: Requires full hybrid relationship between Exchange on-premises with Exchange Online.

    • Un'organizzazione ibrida di Microsoft 365 o Office 365 è configurata in una configurazione ibrida completa utilizzando la modalità di topologia ibrida classica di Exchange ed è impostata come specificato nell'Assistente per la distribuzione di Exchange.A hybrid Microsoft 365 or Office 365 organization is configured in full hybrid configuration using Exchange Classic Hybrid Topology mode and is set up as specified in the Exchange Deployment Assistant.

      Nota

      L'autenticazione moderna ibrida non è supportata con l' agente ibrido.Hybrid Modern Authentication is not supported with the Hybrid Agent.

    • Richiede un'organizzazione di Microsoft 365 o Office 365 Enterprise, business o Education.Requires a Microsoft 365 or Office 365 Enterprise, Business, or Education organization.

    • I dati delle cassette postali locali vengono sincronizzati nella stessa area del datacenter in cui è configurata l'organizzazione Microsoft 365 o Office 365.The on-premises mailbox data is synchronized in the same datacenter region where that Microsoft 365 or Office 365 organization is set up. Per ulteriori informazioni su dove si trovano i dati di Microsoft 365 e Office 365, visitare il Centro protezione Microsoft.For more information about where Microsoft 365 and Office 365 data is located, visit the Microsoft Trust Center.

    • I nomi host degli URL esterni per Exchange ActiveSync e Individuazione automatica devono essere pubblicati come entità servizio per Azure Active Directory con la procedura guidata di configurazione ibrida.The external URL host names for Exchange ActiveSync and AutoDiscover must be published as service principals to Azure Active Directory through the Hybrid Configuration Wizard.

    • Gli spazi dei nomi di Individuazione automatica ed Exchange ActiveSync devono essere accessibili da Internet e non possono essere applicazioni per una soluzione di pre-autenticazione.AutoDiscover and Exchange ActiveSync namespaces must be accessible from the Internet and cannot be fronted by a pre-authentication solution.

    • Verificare che l'offload di SSL o TLS non sia in uso tra il bilanciamento del carico e i server di Exchange poiché potrebbe influire sull'utilizzo del token OAuth. È supportato il bridgind SSL e TLS (terminazione e riesecuzione della crittografia).Ensure SSL or TLS offloading is not being used between the load balancer and your Exchange servers, as this will affect the use of the OAuth token. SSL and TLS bridging (termination and re-encryption) is supported.

  4. Installazione di Intune: sono supportate entrambe le distribuzioni autonome e di cogestione di Intune (la sicurezza e la mobilità di base per Microsoft 365 non sono supportate).Intune setup: Both Intune standalone and Co-Management deployments are supported (Basic Mobility and Security for Microsoft 365 is not supported).

  5. Licenze Microsoft 365 e Office 365:Microsoft 365 and Office 365 licensing:

    • L'app Outlook per iOS e Android è gratuita per l'utilizzo dei clienti dall'App Store iOS e da Google Play.Outlook for iOS and Android is free for consumer usage from the iOS App store and from Google Play. Tuttavia, gli utenti commerciali richiedono un abbonamento a Microsoft 365 o Office 365 che include le applicazioni desktop di Office: Microsoft 365 Apps for business, Microsoft 365 business standard, Microsoft 365 Apps for Enterprise, Office 365 Enterprise E3, Office 365 Enterprise E5 o le versioni corrispondenti di tali piani per il governo o l'istruzione.However, commercial users require a Microsoft 365 or Office 365 subscription that includes the Office desktop applications: Microsoft 365 Apps for Business, Microsoft 365 Business Standard, Microsoft 365 Apps for enterprise, Office 365 Enterprise E3, Office 365 Enterprise E5, or the corresponding versions of those plans for Government or Education. Gli utenti commerciali con le sottoscrizioni seguenti sono autorizzati a utilizzare l'app per dispositivi mobili di Outlook con gli schermi integrati 10,1 "diagonalmente o meno: Office 365 Enterprise E1, Office 365 F1, Office 365 a1, Microsoft 365 Business Basic e, se si dispone solo di una licenza di Exchange Online (senza Office).Commercial users with the following subscriptions are allowed to use the Outlook mobile app on devices with integrated screens 10.1" diagonally or less: Office 365 Enterprise E1, Office 365 F1, Office 365 A1, Microsoft 365 Business Basic, and if you only have an Exchange Online license (without Office). Se si dispone solo di una licenza di Exchange locale (Exchange Server), non si ha la licenza di usare l'app.If you only have an Exchange on-premises (Exchange Server) license, you are not licensed to use the app.

    • L'utilizzo di funzionalità avanzate di Exchange Online, ad esempio la crittografia del servizio con la chiave del cliente o le funzionalità multi-Geo, richiede all'utente locale di essere assegnata la licenza di sottoscrizione di Office 365 o Microsoft 365 applicabile all'interno dell'interfaccia di amministrazione di Microsoft 365.Use of advanced Exchange Online features (e.g., Service Encryption with Customer Key or Multi-Geo Capabilities) require the on-premises user to be assigned the applicable Office 365 or Microsoft 365 subscription license within the Microsoft 365 Admin Center.

    Per ulteriori informazioni su come assegnare una licenza, vedere [aggiungere gli utenti singolarmente o in blocco] ( https://docs.microsoft.com/microsoft-365/admin/add-users/add-users .For more information on how to assign a license, see [Add users individually or in bulk](https://docs.microsoft.com/microsoft-365/admin/add-users/add-users.

  6. Licenze di EMS: ogni utente locale deve avere una delle licenze seguenti:EMS licensing: Each on-premises user must have one of the following licenses:

    • Intune autonomo + Azure Active Directory Premium 1 o Azure Active Directory Premium 2Intune standalone + Azure Active Directory Premium 1 or Azure Active Directory Premium 2

    • Enterprise Mobility + Security E3, Enterprise Mobility + Security E5Enterprise Mobility + Security E3, Enterprise Mobility + Security E5

Passaggi per l'implementazioneImplementation steps

L'attivazione del supporto per l'autenticazione moderna ibrida nell'organizzazione richiede ognuno dei seguenti passaggi, descritti in modo dettagliato nelle sezioni seguenti:Enabling support for hybrid Modern Authentication in your organization requires each of the following steps, which are detailed in the following sections:

  1. Creare i criteri di accesso condizionaleCreate a conditional access policy

  2. Creare i criteri di protezione delle app di IntuneCreate an Intune app protection policy

  3. Abilitare l'autenticazione moderna ibridaEnable hybrid Modern Authentication

Creare i criteri di accesso condizionaleCreate a conditional access policy

Quando un'organizzazione decide di standardizzare la modalità di accesso degli utenti ai dati di Exchange, utilizzando Outlook per iOS e Android come unica app di posta elettronica per gli utenti finali, è possibile configurare dei criteri di accesso condizionale in grado di bloccare altri metodi di accesso mobile.When an organization decides to standardize how users access Exchange data, using Outlook for iOS and Android as the only email app for end users, they can configure a conditional access policy that blocks other mobile access methods. Outlook per iOS e Android esegue l'autenticazione tramite l'identità dell'oggetto di Azure Active Directory e quindi stabilisce una connessione con Exchange Online.Outlook for iOS and Android authenticates via the Azure Active Directory identity object and then connects to Exchange Online. Di conseguenza, sarà necessario creare dei criteri di accesso condizionale di Azure Active Directory per limitare la connettività dei dispositivi mobili a Exchange Online.Therefore, you will need to create Azure Active Directory conditional access policies to restrict mobile device connectivity to Exchange Online. A questo scopo, sono necessari due criteri di accesso condizionale, ognuno dei quali assegnato a tutti gli utenti potenziali.To do this, you will need two conditional access policies, with each policy targeting all potential users. I dettagli sulla creazione di questi criteri sono disponibili in Richiedi criteri di protezione delle app per l'accesso alle app cloud con accesso condizionale.Details on creating these policies can be found in Require app protection policy for cloud app access with Conditional Access.

  1. Seguire "passaggio 1: configurare un criterio di accesso condizionale di Azure AD per Microsoft 365 o Office 365" nello scenario 1: le app microsoft 365 e office 365 richiedono applicazioni approvate con i criteri di protezione delle app, che consentono a Outlook per iOS e Android, ma blocca i client di Exchange ActiveSync in grado di connettersi a Exchange Online.Follow "Step 1: Configure an Azure AD Conditional Access policy for Microsoft 365 or Office 365" in Scenario 1: Microsoft 365 and Office 365 apps require approved apps with app protection policies, which allows Outlook for iOS and Android, but blocks OAuth capable Exchange ActiveSync clients from connecting to Exchange Online.

    Nota

    Questo criterio garantisce agli utenti mobili la possibilità di accedere a tutti gli endpoint di Office utilizzando le app applicabili.This policy ensures mobile users can access all Office endpoints using the applicable apps.

  2. Seguire "passaggio 2: configurare un criterio di accesso condizionale di Azure AD per Exchange Online con ActiveSync (EAS)" in scenario 1: le app Microsoft 365 e Office 365 richiedono applicazioni approvate con i criteri di protezione delle app, che impediscono ai client di Exchange ActiveSync di sfruttare l'autenticazione di base di connettersi a Exchange Online.Follow "Step 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)" in Scenario 1: Microsoft 365 and Office 365 apps require approved apps with app protection policies, which prevents Exchange ActiveSync clients leveraging basic authentication from connecting to Exchange Online.

    I criteri di cui sopra sfruttano il controllo Grant richiedono criteri di protezione delle app, garantendo che un criterio di protezione delle app di Intune venga applicato all'account associato in Outlook per iOS e Android prima di concedere l'accesso.The above policies leverage the grant control Require app protection policy, which ensures that an Intune App Protection Policy is applied to the associated account within Outlook for iOS and Android prior to granting access. Se l'utente non è assegnato a un criterio di protezione delle app di Intune, non è concesso in licenza per Intune o l'app non è inclusa nei criteri di protezione delle app di Intune, il criterio impedisce all'utente di ottenere un token di accesso e di accedere ai dati di messaggistica.If the user isn't assigned to an Intune App Protection Policy, isn't licensed for Intune, or the app isn't included in the Intune App Protection Policy, then the policy prevents the user from obtaining an access token and gaining access to messaging data.

  3. Infine, seguire la procedura: bloccare l'autenticazione legacy ad Azure ad con accesso condizionale per bloccare l'autenticazione legacy per altri protocolli di Exchange su dispositivi iOS e Android; Questo criterio dovrebbe essere destinato solo a Microsoft 365 o a Office 365 cloud app di Exchange Online e alle piattaforme per dispositivi iOS e Android.Finally, follow How to: Block legacy authentication to Azure AD with Conditional Access to block legacy authentication for other Exchange protocols on iOS and Android devices; this policy should target only Microsoft 365 or Office 365 Exchange Online cloud app and iOS and Android device platforms. Ciò assicura che le app mobili che utilizzano i servizi Web Exchange, i protocolli IMAP4 o POP3 con l'autenticazione di base non possano connettersi a Exchange Online.This ensures mobile apps using Exchange Web Services, IMAP4, or POP3 protocols with basic authentication cannot connect to Exchange Online.

Importante

Per sfruttare i criteri di accesso condizionale basati sulle app, è necessario installare l'app Microsoft Authenticator sui dispositivi iOS.To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. Per i dispositivi Android, è necessaria l'app portale aziendale di Intune.For Android devices, the Intune Company Portal app is required. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.For more information, see App-based conditional access with Intune.

Per impedire che altri client di dispositivi mobili (come il client di posta elettronica nativo incluso nel sistema operativo mobile) si connettano al proprio ambiente locale (che esegue l'autenticazione di base per Active Directory locale), si hanno due opzioni:In order to block other mobile device clients (such as the native mail client included in the mobile operating system) from connecting to your on-premises environment (which authenticate via basic authentication against on-premises Active Directory), you have two options:

  1. È possibile utilizzare le regole di accesso ai dispositivi mobili per Exchange integrate e impedire a tutti i dispositivi mobili di connettersi tramite l'impostazione seguente in Exchange Management Shell:You can leverage the built-in Exchange mobile device access rules and block all mobile devices from connecting by setting the following in the Exchange Management Shell:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. Dopo aver installato il connettore di Exchange locale, è possibile utilizzare un criterio di accesso condizionale locale con Intune. Per ulteriori informazioni, vedere Creare criteri di accesso condizionale per Exchange locale ed Exchange Online dedicato legacy.You can leverage an on-premises conditional access policy within Intune after installing the on-premises Exchange connector. For more information, see Create a conditional access policy for Exchange on-premises and legacy Exchange Online Dedicated.

    Nota

    Quando si implementa una delle opzioni locali citate in precedenza, tenere presente che potrebbero interessare anche la connessione degli utenti a Exchange tramite i dispositivi mobili.When implementing either of the above on-premises options, be aware that it may impact users connecting to Exchange on their mobile devices.

Creare i criteri di protezione delle app di IntuneCreate an Intune app protection policy

Dopo aver abilitato l'autenticazione moderna ibrida, tutti gli utenti di dispositivi mobili locali sono in grado di sfruttare Outlook per iOS e Android utilizzando l'architettura basata su Microsoft 365 o Office 365.After hybrid Modern Authentication is enabled, all on-premises mobile users are able to leverage Outlook for iOS and Android using the Microsoft 365 or Office 365-based architecture. Di conseguenza, è importante proteggere i dati aziendali con i criteri di protezione delle app di Intune.Therefore, it's important to protect corporate data with an Intune app protection policy.

Creare i criteri di protezione delle app di Intune per iOS e Android seguendo la procedura descritta in Come creare e assegnare criteri di protezione delle app. Ogni criterio deve avere le caratteristiche seguenti:Create Intune app protection policies for both iOS and Android using the steps documented in How to create and assign app protection policies. At a minimum, each policy must include the following:

  1. Deve includere tutte le applicazioni mobili Microsoft, come Word, Excel o PowerPoint, poiché questo garantisce che gli utenti possano accedere e utilizzare i dati aziendali all'interno di qualsiasi app Microsoft in modo sicuro.They include all Microsoft mobile applications, such as Word, Excel, or PowerPoint, as this will ensure that users can access and manipulate corporate data within any Microsoft app in a secure fashion.

  2. Deve simulare le funzionalità di protezione fornite da Exchange per i dispositivi mobili, tra cui:They mimic the security features that Exchange provides for mobile devices, including:

    • Richiesta di un PIN di accesso (con Selezione tipo, Lunghezza PIN, Consenti PIN semplice, Consenti tramite impronta digitale)Requiring a PIN for access (which includes Select Type, PIN length, Allow Simple PIN, Allow fingerprint)

    • Crittografia dei dati dell'appEncrypting app data

    • Blocco dell'esecuzione delle app gestite nei dispositivi jailbroken e rootedBlocking managed apps from running on "jailbroken" and rooted devices

  3. Devono essere assegnati a tutti gli utenti. In questo modo tutti gli utenti sono protetti, indipendentemente dal fatto che usino Outlook per iOS e Android.They are assigned to all users. This ensures that all users are protected, regardless of whether they use Outlook for iOS and Android.

Oltre ai requisiti minimi dei criteri indicati in precedenza, occorre prendere in considerazione la distribuzione di impostazioni dei criteri di protezione avanzata come Limita le operazioni taglia, copia e incolla con le altre app per evitare ulteriori perdite di dati aziendali. Per ulteriori informazioni sulle impostazioni disponibili, vedere Impostazioni dei criteri di protezione delle app di Android in Microsoft Intune e Impostazioni dei criteri di protezione delle app per iOS.In addition to the above minimum policy requirements, you should consider deploying advanced protection policy settings like Restrict cut, copy and paste with other apps to further prevent corporate data leakage. For more information on the available settings, see Android app protection policy settings in Microsoft Intune and iOS app protection policy settings.

Importante

Per applicare i criteri di protezione delle app di Intune sulle app nei dispositivi Android non registrati in Intune, l'utente deve installare anche il Portale aziendale Intune. Per ulteriori informazioni, vedere Aspettative dalla gestione dell'app per Android con criteri di protezione delle app.To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal. For more information, see What to expect when your Android app is managed by app protection policies.

Abilitare l'autenticazione moderna ibridaEnable hybrid Modern Authentication

  1. Se non è stata abilitata l'autenticazione moderna ibrida, rivedere i prerequisiti come indicato in Hybrid Modern Authentication Overview and Prerequisites for using it with on-premises Skype for Business and Exchange Servers.If you haven't enabled hybrid Modern Authentication, review the prerequisites as outlined in Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. Dopo aver completato i prerequisiti, eseguire la procedura illustrata in come configurare Exchange Server locale per l'utilizzo dell'autenticazione moderna ibrida.After you've completed the prerequisites, do the steps in How to configure Exchange Server on-premises to use hybrid Modern Authentication.

  2. Creare una regola di accesso ai dispositivi di Exchange in locale per consentire a Exchange Online di connettersi all'ambiente locale utilizzando il protocollo ActiveSync:Create an Exchange on-premises device access allow rule to allow Exchange Online to connect to your on-premises environment using the ActiveSync protocol:

    If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
    

    Nota

    La gestione dei dispositivi tramite l'interfaccia di amministrazione di Exchange locale non è possibile.Device management through the on-premises Exchange admin center is not possible. È necessario disporre di Intune per gestire i dispositivi mobili.Intune is required to manage mobile devices.

  3. Creare una regola di accesso ai dispositivi di Exchange locale che impedisca agli utenti di connettersi all'ambiente locale con Outlook per iOS e Android con autenticazione di base sul protocollo Exchange ActiveSync:Create an Exchange on-premises device access rule that prevents users from connecting to the on-premises environment with Outlook for iOS and Android with basic authentication over the Exchange ActiveSync protocol:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
    

    Nota

    Dopo aver creato la regola, Outlook per iOS e Android con gli utenti di autenticazione di base verrà bloccato.Once this rule is created, Outlook for iOS and Android with Basic authentication users will be blocked.

  4. Verificare che il maxRequestLength di Exchange ActiveSync locale sia configurato in modo da corrispondere a MaxSendSize/MaxReceiveSize della configurazione del trasporto:Ensure your on-premises Exchange ActiveSync maxRequestLength is configured to match your transport configuration's MaxSendSize/MaxReceiveSize:

    • Percorso %ExchangeInstallPath%\FrontEnd\HttpProxy\Sync\web.configPath: %ExchangeInstallPath%\FrontEnd\HttpProxy\Sync\web.config

    • Proprietà maxRequestLengthProperty: maxRequestLength

    • Valore: impostato in dimensioni KB (ad esempio, 10 MB è 10240)Value: set in KB size (10MB is 10240, for example)

Funzionalità client non supportateClient features that aren't supported

Le funzionalità seguenti non sono supportate per le cassette postali locali che usano l'autenticazione moderna ibrida con Outlook per iOS e Android.The following features are not supported for on-premises mailboxes using hybrid Modern Authentication with Outlook for iOS and Android.

  • Sincronizzazione tra le bozze e la cartella BozzaDraft folder and Draft messages synchronization

  • Accesso del calendario condiviso e accesso ai calendari delegatiShared calendar access and delegate calendar access

  • Accesso ai dati delle cassette postali condiviso e delegatoShared and delegate mailbox data access

  • Cortana tempo di uscita/tempo di percorrenzaCortana Time to Leave / Travel Time

  • Allegati del calendarioCalendar attachments

  • Posizioni ricche di riunioniRich meeting locations

  • Gestione delle attività con Microsoft To-DoTask management with Microsoft To-Do

  • Componenti aggiuntiviAdd-ins

  • Calendari interessantiInteresting Calendars

  • Riprodurre i messaggi di posta elettronicaPlay My Emails

  • Etichettatura della sensibilitàSensitivity labeling

  • S/MIMES/MIME

Domande frequenti sul flusso di connessioneConnection Flow FAQ

D: L'organizzazione ha un criterio di sicurezza che richiede che le connessioni Internet in ingresso siano limitate a FQDN e indirizzi IP approvati. È possibile con questa architettura?Q: My organization has a security policy that requires Internet inbound connections to be restricted to approved IP addresses or FQDNs. Is that possible with this architecture?

R: È consigliabile che gli endpoint locali per i protocolli di Individuazione automatica e ActiveSync siano aperti e accessibili da Internet senza alcuna limitazione.A: Microsoft recommends that the on-premises endpoints for AutoDiscover and ActiveSync protocols be opened and accessible from the Internet without any restrictions. In alcuni casi potrebbe non essere possibile.In certain situations that may not be possible. Ad esempio, se si è in un periodo di coesistenza con un'altra soluzione di terze parti Unified Endpoint Management (UEM), è possibile che si desideri applicare restrizioni al protocollo ActiveSync per impedire agli utenti di ignorare la soluzione UEM durante la migrazione a Intune e Outlook per iOS e Android.For example, if you're in a co-existence period with another third-party unified endpoint management (UEM) solution, you may want to place restrictions on the ActiveSync protocol to prevent users from bypassing the UEM solution while you migrate to Intune and Outlook for iOS and Android. Se è necessario applicare limitazioni ai dispositivi gateway o firewall locali, è consigliabile filtrare per endpoint FQDN.If you must place restrictions on your on-premises firewall or gateway edge devices, Microsoft recommends filtering based on FQDN endpoints. Se non è possibile usare gli endpoint FQDN, filtrare per indirizzi IP.If FQDN endpoints cannot be used, then filter on IP addresses. Verificare che gli FQDN e le subnet IP seguenti siano nell'elenco elementi consentiti:Make sure the following IP subnets and FQDNs are whitelisted:

D: la mia organizzazione utilizza attualmente una soluzione di UEM di terze parti per controllare la connettività dei dispositivi mobili.Q: My organization currently uses a third-party UEM solution to control mobile device connectivity. Se si espone lo spazio dei nomi di Exchange ActiveSync su Internet, in questo modo gli utenti possono ignorare la soluzione di terze parti di UEM durante il periodo di coesistenza.If I expose the Exchange ActiveSync namespace on the Internet, that introduces a way for users to bypass the third-party UEM solution during the co-existence period. Come è possibile evitarlo?How can I prevent this?

R: Esistono tre possibili soluzioni per risolvere il problema:A: There are three potential solutions to resolving this issue:

  1. Implementare le regole di accesso ai dispositivi mobili per Exchange per controllare quali dispositivi sono autorizzati alla connessione.Implement Exchange mobile device access rules to control which devices are approved to connect.

  2. Alcune soluzioni di UEM di terze parti si integrano con le regole di accesso ai dispositivi mobili di Exchange, bloccando l'accesso non approvato, mentre aggiungono i dispositivi approvati nella proprietà ActiveSyncAllowedDeviceIDs dell'utente.Some third-party UEM solutions integrate with Exchange mobile device access rules, blocking unapproved access, while adding approved devices in the user's ActiveSyncAllowedDeviceIDs property.

  3. Implementare limitazioni IP nello spazio dei nomi di Exchange ActiveSync.Implement IP restrictions on the Exchange ActiveSync namespace.

D: È possibile utilizzare Azure ExpressRoute per gestire il traffico tra Microsoft Cloud e l'ambiente locale?Q: Can I leverage Azure ExpressRoute for managing traffic between the Microsoft Cloud and my on-premises environment?

R: La connettività a Microsoft Cloud richiede una connessione Internet.A: Connectivity to the Microsoft Cloud requires Internet connectivity. Microsoft consiglia di esporre l'individuazione automatica e Exchange ActiveSync direttamente a Internet; Per ulteriori informazioni, vedere i principi di connettività di rete di Microsoft 365 e Office 365.Microsoft recommends exposing AutoDiscover and Exchange ActiveSync directly to the Internet; for more information, see Microsoft 365 and Office 365 Network Connectivity Principles. Tuttavia, Azure ExpressRoute è supportato per gli scenari ibridi di Exchange.However, Azure ExpressRoute is supported for Exchange hybrid scenarios. Per ulteriori informazioni, vedere Azure ExpressRoute per Microsoft 365 e Office 365.For more information, see Azure ExpressRoute for Microsoft 365 and Office 365.

Con ExpressRoute, non vi è alcuno spazio IP privato per le connessioni ExpressRoute e non può esserci una risoluzione DNS "privata". Questo significa che qualsiasi endpoint che l'organizzazione vuole usare su ExpressRoute deve essere risolto nel DNS pubblico. Se tale endpoint viene risolto in un IP contenuto nei prefissi annunciati associati al circuito ExpressRoute (l'organizzazione deve configurare tali prefissi nel portale di Azure quando si abilita il peering Microsoft sulla connessione ExpressRoute), la connessione in uscita da Exchange Online all'ambiente locale viene inoltrata tramite il circuito ExpressRoute. L'organizzazione deve verificare che il traffico di ritorno associato a tali connessioni passi attraverso il circuito ExpressRoute (evitando il routing asimmetrico).With ExpressRoute, there is no private IP space for ExpressRoute connections, nor can there be "private" DNS resolution. That means that any endpoint your company wants to use over ExpressRoute must resolve in public DNS. If that endpoint resolves to an IP that is contained in the advertised prefixes associated with the ExpressRoute circuit (your company must configure those prefixes in the Azure portal when you enable Microsoft peering on the ExpressRoute connection), then the outbound connection from Exchange Online to your on-premises environment will route through the ExpressRoute circuit. Your company will have to ensure that the return traffic associated with these connections goes through the ExpressRoute circuit (avoiding asymmetric routing).

Importante

Poiché la società aggiungerà gli spazi dei nomi di individuazione automatica di Exchange e ActiveSync ai prefissi annunciati nel circuito ExpressRoute, l'unico modo per raggiungere gli endpoint di individuazione automatica di Exchange e di ActiveSync sarà tramite ExpressRoute.Because your company will be adding the Exchange AutoDiscover and ActiveSync namespaces to the advertised prefixes in the ExpressRoute circuit, the only way to reach the Exchange AutoDiscover and ActiveSync endpoints will be via the ExpressRoute. In altre parole, l'unico dispositivo mobile che sarà in grado di connettersi all'ambiente locale tramite gli spazi dei nomi di individuazione automatica e ActiveSync sarà Outlook per iOS e Android.In other words, the only mobile device that will be able to connect to on-premises via the AutoDiscover and ActiveSync namespaces will be Outlook for iOS and Android. Tutti gli altri client (ad esempio i client di posta elettronica nativi dei dispositivi mobili) non saranno in grado di connettersi all'ambiente locale poiché la connessione non verrà stabilita dal cloud Microsoft.All other clients (such as mobile devices' native mail clients) will be unable to connect to the on-premises environment as the connection will not be established from the Microsoft Cloud. Ciò è dovuto al fatto che non è possibile sovrapporsi allo spazio IP pubblico pubblicizzato a Microsoft sul circuito di ExpressRoute e allo spazio IP pubblico pubblicizzato nei circuiti Internet.This is because there cannot be any overlaps of the public IP space advertised to Microsoft on the ExpressRoute circuit and the public IP space advertised on your Internet circuit(s).

D: Dato che vengono sincronizzati i dati dei messaggi relativi solo a quattro settimane con Exchange Online, questo significa che le query di ricerca eseguite in Outlook per iOS e Android non possono restituire informazioni oltre i dati disponibili sul dispositivo locale?Q: Given only four weeks of message data is synchronized to Exchange Online, does this mean that search queries executed in Outlook for iOS and Android cannot return information beyond the data available on the local device?

R: Quando viene eseguita una query di ricerca in Outlook per iOS e Android, gli elementi che corrispondono alla query di ricerca vengono restituiti se si trovano sul dispositivo. Inoltre, la query di ricerca viene passata a Exchange locale tramite Exchange Online. Exchange locale esegue la query di ricerca nella cassetta postale locale e restituisce i risultati a Exchange Online, che li inoltra al client. I risultati della query locale vengono archiviati in Exchange Online per un giorno prima di essere eliminati.A: When a search query is performed in Outlook for iOS and Android, items that match the search query are returned if they are located on the device. In addition, the search query is passed to Exchange on-premises via Exchange Online. Exchange on-premises executes the search query against the on-premises mailbox and returns the results to Exchange Online, which relays the results to the client. The on-premises query results are stored in Exchange Online for one day before being deleted.

D: Come si può sapere se l'account di posta elettronica è stato aggiunto correttamente in Outlook per iOS e Android?Q: How do I know that the email account is added correctly in Outlook for iOS and Android?

R: Le cassette postali locali aggiunte tramite l'autenticazione moderna ibrida sono etichettate come Exchange (ibrido) nelle impostazioni dell'account in Outlook per iOS e Android, come riportato nell'esempio seguente:A: On-premises mailboxes that are added via hybrid Modern Authentication are labelled as Exchange (Hybrid) in the account settings in Outlook for iOS and Android, similar to the following example:

Un esempio di un account Outlook per iOS e Android configurato per l'autenticazione moderna ibrida

Domande frequenti sull'autenticazioneAuthentication FAQ

D: Quali configurazioni di identità sono supportate con l'autenticazione moderna ibrida e Outlook per iOS e Android?Q: What identity configurations are supported with hybrid Modern Authentication and Outlook for iOS and Android?

R: Le seguenti configurazioni di identità con Azure Active Directory sono supportate con l'autenticazione moderna ibrida:A: The following identity configurations with Azure Active Directory are supported with hybrid Modern Authentication:

  • Identità federative con qualsiasi provider di identità locale supportato da Azure Active DirectoryFederated Identity with any on-premises identity provider that is supported by Azure Active Directory

  • Sincronizzazione dell'hash delle password tramite Azure Active Directory ConnectPassword Hash Synchronization via Azure Active Directory Connect

  • Autenticazione pass-through tramite Azure Active Directory ConnectPass-through Authentication via Azure Active Directory Connect

D: Quale meccanismo di autenticazione viene utilizzato per Outlook per iOS e Android?Q: What authentication mechanism is used for Outlook for iOS and Android? Le credenziali sono archiviate in Microsoft 365 o Office 365?Are credentials stored in Microsoft 365 or Office 365?

A: vedere configurazione dell'account con l'autenticazione moderna in Exchange Online.A: See Account setup with modern authentication in Exchange Online.

D: Outlook per iOS e Android e altre app per dispositivi mobili di Microsoft Office supportano Single Sign-On?Q: Do Outlook for iOS and Android and other Microsoft Office mobile apps support single sign-on?

A: vedere configurazione dell'account con l'autenticazione moderna in Exchange Online.A: See Account setup with modern authentication in Exchange Online.

D: Che cos'è la durata dei token generati e usati da Active Directory Authentication Library (ADAL) in Outlook per iOS e Android?Q: What is the lifetime of the tokens generated and used by the Active Directory Authentication Library (ADAL) in Outlook for iOS and Android?

A: vedere configurazione dell'account con l'autenticazione moderna in Exchange Online.A: See Account setup with modern authentication in Exchange Online.

D: Cosa accade al token di accesso quando viene modificata la password dell'utente?Q: What happens to the access token when a user's password is changed?

A: vedere configurazione dell'account con l'autenticazione moderna in Exchange Online.A: See Account setup with modern authentication in Exchange Online.

D: Esiste un modo con cui l'utente può ignorare il servizio di rilevamento automatico quando aggiunge il proprio account a Outlook per iOS e Android?Q: Is there a way for a user to bypass AutoDetect when adding their account to Outlook for iOS and Android?

R: Sì, un utente può ignorare il servizio di rilevamento automatico in qualsiasi momento e configurare manualmente la connessione con l'autenticazione di base sul protocollo Exchange ActiveSync. Per far sì che l'utente non stabilisca una connessione al proprio ambiente locale con un meccanismo che non supporta l'accesso condizionale di Azure Active Directory o i criteri di protezione delle app di Intune, l'amministratore di Exchange locale deve configurare una regola di accesso ai dispositivi Exchange che impedisca la connessione ActiveSync. A tale scopo, digitare il comando seguente in Exchange Management Shell:A: Yes, a user can bypass AutoDetect at any time and manually configure the connection using Basic authentication over the Exchange ActiveSync protocol. To ensure that the user does not establish a connection to your on-premises environment via a mechanism that does not support Azure Active Directory Conditional Access or Intune app protection policies, the on-premises Exchange Administrator needs to configure an Exchange device access rule that blocks the ActiveSync connection. To do this, type the following command in the Exchange Management Shell:

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Risoluzione dei problemiTroubleshooting

Di seguito sono riportati i problemi o gli errori più comuni con le cassette postali locali che usano l'autenticazione moderna ibrida con Outlook per iOS e Android.Below are the most common issues or errors with on-premises mailboxes using hybrid Modern Authentication with Outlook for iOS and Android.

Individuazione automatica e ActiveSyncAutoDiscover and ActiveSync

Durante la creazione del profilo, l'utente deve presentare una finestra di dialogo di autenticazione moderna simile alla seguente:During profile creation, the user should be presented a Modern Authentication dialog similar to this:

Finestre di dialogo che dovrebbero essere visualizzate dagli utenti durante la configurazione corretta dell'autenticazione moderna ibrida

Se invece l'utente viene presentato con una delle finestre di dialogo seguenti, si verifica un problema con gli endpoint locali di individuazione automatica o ActiveSync.If, instead, the user is presented with one of the following dialogs, then there is an issue with either the Autodiscover or ActiveSync on-premises endpoints.

Di seguito è riportato un esempio di un utente presentato con l'esperienza di autenticazione di base legacy di Exchange ActiveSync:Here is an example of a user being presented with the legacy Basic authentication Exchange ActiveSync experience:

Una finestra di dialogo che indica che è in corso la presentazione di un utente con l'esperienza Exchange ActiveSync di autenticazione di base legacy

Di seguito è riportato un esempio di ciò che gli utenti visualizzano quando il rilevamento automatico non è in grado di individuare la configurazione delle cassette postali locali degli utenti.And here's an example of what users see when AutoDetect isn't able to discover the configuration for users' on-premises mailboxes.

Una finestra di dialogo che gli utenti visualizzano quando AutoDetect non è in grado di scoprire la configurazione delle cassette postali locali

In uno scenario qualsiasi, verificare che l'ambiente locale sia configurato correttamente.In either scenario, verify that your on-premises environment is correctly configured. A tale scopo: dalla raccolta TechNet, scaricare ed eseguire lo script per la convalida dell'installazione di autenticazione moderna ibrida per Outlook per iOS e Android.To do this: from the TechNet Gallery, download and execute the script for Validating Hybrid Modern Authentication setup for Outlook for iOS and Android.

Quando si esamina l'output dallo script, è consigliabile eseguire le operazioni seguenti dall'individuazione automatica:When you review the output from the script, you should be seeing the following from AutoDiscover:

{
    "Protocol": "activesync",
    "Url": "https://mail.contoso.com/Microsoft-Server-ActiveSync"
}

L'endpoint di ActiveSync locale deve restituire la risposta seguente, in cui l'intestazione WWW-Authenticate include un authorization_uri:The on-premises ActiveSync endpoint should return the following response, where the WWW-Authenticate header includes an authorization_uri:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@5de110f8-2e0f-4d45-891d-bcf2218e253d,00000004-0000-0ff1-ce00-000000000000@contoso.com", token_types="app_asserted_user_v1 service_asserted_app_v1", authorization_uri="https://login.windows.net/common/oauth2/authorize"
Www-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →5ca2c827-5147-474c-8457-63c4e5099c6e

Se le risposte di individuazione automatica o ActiveSync non sono simili agli esempi riportati sopra, è possibile esaminare quanto segue come possibili cause:If the AutoDiscover or ActiveSync responses are not similar to the above examples, you can investigate the following as possible causes:

  1. Se non è possibile raggiungere l'endpoint di individuazione automatica, è probabile che esista un firewall o un problema di configurazione del bilanciamento del carico, ad esempio le restrizioni IP sono configurate e gli intervalli IP necessari non sono presenti.If the AutoDiscover endpoint cannot be reached, then it's likely there's a firewall or load balancer configuration issue (for example, IP restrictions are configured and the required IP ranges are not present). Inoltre, potrebbe essere presente un dispositivo di fronte a Exchange che richiede la preautenticazione per accedere all'endpoint dell'individuazione automatica.Also, there may be a device in front of Exchange requiring pre-authentication to access the AutoDiscover endpoint.

  2. Se l'endpoint di individuazione automatica non restituisce l'URL corretto, è presente un problema di configurazione con il valore ExternalURL della directory virtuale ActiveSync.If the AutoDiscover endpoint does not return the correct URL, then there is a configuration issue with the ActiveSync virtual directory's ExternalURL value.

  3. Se non è possibile raggiungere l'endpoint ActiveSync, è presente un problema di configurazione del firewall o del bilanciamento del carico.If the ActiveSync endpoint cannot be reached, then there is a firewall or load balancer configuration issue. Di nuovo, un esempio è la configurazione delle restrizioni IP e gli intervalli IP necessari non sono presenti.Again, one example is IP restrictions are configured and the required IP ranges are not present. Inoltre, potrebbe essere presente un dispositivo di fronte a Exchange che richiede la preautenticazione per accedere all'endpoint di ActiveSync.Also, there may be a device in front of Exchange requiring pre-authentication to access the ActiveSync endpoint.

  4. Se l'endpoint di ActiveSync non contiene un valore authorization_uri, verificare che il server di autenticazione di EvoSTS sia configurato come endpoint predefinito tramite Exchange Management Shell:If the ActiveSync endpoint does not contain an authorization_uri value, verify that the EvoSTS authentication server is configured as the default endpoint using Exchange Management Shell:

    Get-AuthServer EvoSts | Format-List IsDefaultAuthorizationEndpoint
    
  5. Se l'endpoint di ActiveSync non contiene un'intestazione WWW-Authenticate, un dispositivo di fronte a Exchange potrebbe rispondere alla query.If the ActiveSync endpoint does not contain a WWW-Authenticate header, then a device in front of Exchange may be responding to the query.

Problemi relativi alla sincronizzazione dei clientClient synchronization issues

Esistono alcuni scenari in cui i dati potrebbero non essere aggiornati in Outlook per iOS e Android.There are a few scenarios that can result in data being stale in Outlook for iOS and Android. In genere, si tratta di un problema con il secondo token di accesso (il token utilizzato dalla signora in Exchange Online per sincronizzare i dati con l'ambiente locale).Typically, this is due to an issue with the second access token (the token used by MRS in Exchange Online to synchronize the data with the on-premises environment). I due motivi più comuni per questo problema sono i seguenti:The two most common reasons for this issue are:

  • Offload SSL/TLS locale.SSL/TLS offloading on-premises.

  • Problemi relativi ai metadati del certificato di EvoSTS.EvoSTS certificate metadata issues.

Con l'offload SSL/TLS, i token vengono emessi per un URI specifico e questo valore include il valore del protocollo ("https://").With SSL/TLS offloading, tokens are issued for a specific uri and that value includes the protocol value ("https://"). Quando il bilanciamento del carico Scarica SSL/TLS, la richiesta di Exchange viene ricevuta tramite HTTP, causando una mancata corrispondenza delle attestazioni dovuta al valore del protocollo http://.When the load balancer offloads SSL/TLS, the request Exchange receives comes in via HTTP, resulting in a claim mismatch due to the protocol value being http://. Di seguito è riportato un esempio di intestazione di risposta da una traccia Fiddler:The following is an example of a response header from a Fiddler trace:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@00c118a9-2de9-41d3-b39a-81648a7a5e4d", authorization_uri="https://login.windows.net/common/oauth2/authorize", error="invalid_token"
WWW-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →2323088f-8838-4f97-a88d-559bfcf92866
x-ms-diagnostics →2000003;reason="The hostname component of the audience claim value is invalid. Expected 'https://mail.contoso.com'. Actual 'http://mail.contoso.com'.";error_category="invalid_resource"

Come specificato sopra nella sezione requisiti tecnici e di licenza, la ripartizione del carico di dati SSL/TLS non è supportata per i flussi OAuth.As specified above in the section Technical and licensing requirements, SSL/TLS offloading is not supported for OAuth flows.

Per i metadati dei certificati di EvoSTS, i metadati dei certificati sfruttati da EvoSTS vengono occasionalmente aggiornati in Microsoft 365 o Office 365.For EvoSTS Certificate Metadata, the certificate metadata leveraged by EvoSTS is occasionally updated in Microsoft 365 or Office 365. La cassetta postale di arbitraggio locale di Exchange con capacità organizzativa di "OrganizationCapabilityManagement" è responsabile del rilevamento delle modifiche e dell'aggiornamento dei metadati corrispondenti in locale. Questo processo viene eseguito ogni otto ore.The Exchange on-premises arbitration mailbox that has the organization capability of "OrganizationCapabilityManagement" is responsible for detecting the changes and for updating the corresponding metadata on-premises; this process executes every eight hours.

Gli amministratori di Exchange possono trovare questa cassetta postale eseguendo il cmdlet seguente utilizzando Exchange Management Shell:Exchange Administrators can find this mailbox by executing the following cmdlet using Exchange Management Shell:

$x=Get-mailbox -arbitration | ? {$_.PersistedCapabilities -like "OrganizationCapabilityManagement"};Get-MailboxDatabaseCopyStatus $x.database.name

Nel server che ospita il database per la cassetta postale di arbitraggio di OrganizationCapabilityManagement, esaminare i registri eventi dell'applicazione per gli eventi con un'origine di MSExchange AuthAdmin.On the server hosting the database for the OrganizationCapabilityManagement arbitration mailbox, review the application event logs for events with a source of MSExchange AuthAdmin. Gli eventi dovrebbero indicare se Exchange è stato in grado di aggiornare i metadati.The events should tell you if Exchange was able to refresh the metadata. Se i metadati non sono aggiornati, è possibile aggiornarli manualmente con questo ccmdlet:If the metadata is out of date, you can manually refresh it with this ccmdlet:

Set-AuthServer EvoSts -RefreshAuthMetadata

È inoltre possibile creare un'attività pianificata che esegua il comando precedente ogni 24 ore.You can also create a scheduled task that executes the above command every 24 hours.

Statistiche di Exchange OnlineExchange Online statistics

È possibile utilizzare i seguenti cmdlet di Exchange Online per visualizzare informazioni statistiche per ogni cassetta postale sincronizzata in locale.You can use the following Exchange Online cmdlets to see statistical information for each synchronized on-premises mailbox.

  1. Per prima cosa, ottenere il percorso della cassetta postale locale sincronizzata nel tenant, specificando l'identità della cassetta postale locale (ad esempio, jane@contoso.com).First, obtain the location of the synchronized on-premises mailbox in the tenant, specifying the on-premises mailbox's identity (for example, jane@contoso.com).

    $m = Get-MailboxLocation <identity>
    
  2. Per visualizzare le statistiche relative alle cassette postali, utilizzareTo see mailbox-related statistics, use

    Get-MailboxStatistics $m.id
    
  3. Per visualizzare le statistiche dei dispositivi mobili (come vedere quando Outlook per iOS e Android è sincronizzato con l'ultima sincronizzazione con Exchange Online), utilizzareTo see mobile device statistics (like seeing when Outlook for iOS and Android last synchronized to Exchange Online), use

    Get-MobileDeviceStatistics -Mailbox $m.id
    

Per ulteriori informazioni, vedere Get-MailboxStatistics e Get-MobileDeviceStatistics.For more information, see Get-MailboxStatistics and Get-MobileDeviceStatistics.

Altri problemiOther issues

Esistono altri problemi che potrebbero impedire il corretto funzionamento dell'autenticazione moderna ibrida.There are other issues that may prevent hybrid Modern Authentication from functioning correctly. Per ulteriori informazioni, vedere la sezione risoluzione dei problemi nell' annuncio dell'autenticazione moderna ibrida per Exchange locale.For more information, see the troubleshooting section in Announcing Hybrid Modern Authentication for Exchange On-Premises.