Usar autenticação moderna híbrida com o Outlook para iOS e Android

O aplicativo Outlook para iOS e Android foi projetado como a melhor maneira de experimentar o Microsoft 365 ou Office 365 em seu dispositivo móvel usando o serviços Microsoft para ajudar a encontrar, planejar e priorizar sua vida diária e trabalho. Outlook fornece a segurança, a privacidade e os suportes necessários ao mesmo tempo que protege os dados corporativos por meio de recursos como acesso condicional Azure Active Directory políticas de proteção Intune aplicativo. As seções a seguir fornecem uma visão geral da arquitetura de Autenticação Moderna híbrida, os pré-requisitos necessários para sua implantação e como implantar com segurança o Outlook para iOS e Android para caixas de correio Exchange locais.

Arquitetura do Microsoft Cloud para clientes Exchange Server híbridos

Outlook para iOS e Android é um aplicativo com suporte de nuvem. Essa característica indica que sua experiência consiste em um aplicativo instalado localmente alimentado por um serviço seguro e escalonável em execução no Microsoft Cloud.

Para caixas de correio do Exchange Server, a arquitetura do Outlook para iOS e Android é integrada diretamente ao Microsoft Cloud, fornecendo aos clientes mais benefícios, como segurança, privacidade, conformidade interna e operações transparentes com as quais a Microsoft se compromete na Central de Confiabilidade da Microsoft e na Central de Confiabilidade do Azure.

Dentro da arquitetura baseada em Microsoft 365 ou Office 365, o Outlook para iOS e Android usa a tecnologia nativa de sincronização da Microsoft para sincronização de dados protegida por uma conexão protegida por TLS de ponta a ponta, entre Microsoft 365 ou Office 365 e o aplicativo.

A conexão Exchange ActiveSync (EAS) entre o Exchange Online e o ambiente local permite a sincronização dos dados locais dos usuários e inclui quatro semanas de email, todos os dados de calendário, todos os dados de contato e status de ausência temporária em seu locatário do Exchange Online. Esses dados serão removidos automaticamente Exchange Online após 30 dias quando a conta for excluída no Azure Active Directory.

A sincronização de dados entre o ambiente local e o Exchange Online ocorre independentemente do comportamento do usuário. Essa independência garante que possamos enviar novas mensagens aos dispositivos rapidamente.

O processamento de informações no Microsoft Cloud permite recursos e funcionalidades avançados, como a categorização de email para a Caixa de Entrada Destaques, experiência personalizada para viagem e calendário e velocidade de pesquisa aprimorada. Contar com a nuvem para processamento intensivo e minimizar os recursos necessários dos dispositivos dos usuários melhora o desempenho e a estabilidade do aplicativo. Por fim, ele permite Outlook criar recursos que funcionam em todas as contas de email, independentemente das funcionalidades tecnológicas dos servidores subjacentes (como versões diferentes do Exchange Server, Microsoft 365 ou Office 365).

Especificamente, essa nova arquitetura tem as seguintes melhorias:

1. Enterprise Mobility + Security suporte: os clientes podem aproveitar Microsoft Enterprise Mobility + Security (EMS), incluindo Microsoft Intune e Azure Active Directory Premium , para habilitar o acesso condicional e Intune de proteção de aplicativo, que controlam e protege dados de mensagens corporativas no dispositivo móvel.

2. Totalmente da plataforma Microsoft Cloud: os dados da caixa de correio local são sincronizados com o Exchange Online, que fornece os benefícios da segurança, privacidade, conformidade e operações transparentes com as quais a Microsoft se compromete na Central de Confiabilidade da Microsoft.

3. O OAuth protege as senhas dos usuários: o Outlook usa a Autenticação Moderna Híbrida (OAuth) para proteger as credenciais dos usuários. A Autenticação Moderna Híbrida Outlook um mecanismo seguro para acessar os Exchange sem nunca tocar ou armazenar as credenciais de um usuário. Na entrada, o usuário se autentica diretamente em uma plataforma de identidade (Azure Active Directory ou um provedor de identidade local, como o ADFS) e recebe um token de acesso em troca, que concede Outlook acesso à caixa de correio ou aos arquivos do usuário. O serviço não tem acesso à senha do usuário em nenhum momento.

4. Fornece IDs de dispositivo exclusivas: cada Outlook é registrada exclusivamente no Microsoft Intune e, portanto, pode ser gerenciada como uma conexão exclusiva.

5. Desbloqueia novos recursos no iOS e no Android: essa atualização permite que o aplicativo Outlook aproveite os recursos nativos do Microsoft 365 ou do Office 365 que não têm suporte no Exchange local atualmente, como o uso da pesquisa completa do Exchange Online e da Caixa de Entrada Destaques. Esses recursos só estarão disponíveis ao usar o Outlook para iOS e Android.

Observação

O gerenciamento de dispositivos por meio do EAC (centro de administração) Exchange local não é possível. Intune é necessário para gerenciar dispositivos móveis.

Controles de segurança, acesso e auditoria de dados

Com os dados locais sendo sincronizados com o Exchange Online, os clientes têm dúvidas sobre como os dados são protegidos no Exchange Online. A criptografia no Microsoft Cloud discute como o BitLocker é usado para criptografia em nível de volume. A Criptografia de Serviço com a Chave do Cliente do Microsoft Purview tem suporte no Outlook para arquitetura iOS e Android, mas observe que o usuário deve ter uma licença do Office 365 Enterprise E5 (ou as versões correspondentes desses planos para o Governo ou Educação) para ter uma política de criptografia atribuída usando o cmdlet set-mailuser.

Por padrão, os engenheiros da Microsoft não têm privilégios administrativos permanentes e nenhum acesso permanente ao conteúdo do cliente Microsoft 365 ou Office 365. Os Controles de Acesso Administrativo discutem triagem de pessoal, verificações em segundo plano, Sistema de Proteção de Dados do Cliente e muito mais.

A documentação controles auditados iso na garantia de serviço fornece o status de controles auditados de padrões globais de segurança de informações e regulamentos que Microsoft 365 e Office 365 implementaram.

Fluxo de conexão

Quando Outlook para iOS e Android está habilitado com a Autenticação Moderna híbrida, o fluxo de conexão é o seguinte.

1. Depois que o usuário inserir seu endereço de email, Outlook para iOS e Android se conectará ao serviço AutoDetect. A Detecção Automática determina o tipo de caixa de correio iniciando uma consulta de Descoberta Automática para Exchange Online. Exchange Online determina que a caixa de correio do usuário é local e retorna um redirecionamento 302 para Detecção Automática com a URL de Descoberta Automática local. A Detecção Automática inicia uma consulta no serviço de Descoberta Automática local para determinar o ponto de extremidade ActiveSync para o endereço de email. A URL tentada localmente é semelhante a este exemplo: <https://autodiscover.contoso.com/autodiscover/autodiscover.json?Email=test%40contoso.com&Protocol=activesync&RedirectCount=3>.

2. A Detecção Automática inicia uma conexão com a URL do ActiveSync local retornada na Etapa 1 acima com um desafio de portador vazio. O desafio de portador vazio informa ao ActiveSync local que o cliente dá suporte à Autenticação Moderna. O ActiveSync local responde com uma resposta de desafio 401 e inclui o cabeçalho WWW-Authenticate: Bearer . Dentro do cabeçalho WWW-Authenticate: Bearer está o valor authorization_uri que identifica o ponto de extremidade Azure Active Directory (AAD) que deve ser usado para obter um token OAuth.

3. AutoDetect retorna o AAD de extremidade para o cliente. O cliente inicia o fluxo de logon e o usuário é apresentado a um formulário da Web (ou redirecionado para o aplicativo Microsoft Authenticator) e pode inserir credenciais. Dependendo da configuração de identidade, esse processo pode ou não envolver um redirecionamento de ponto de extremidade federado para um provedor de identidade local. Por fim, o cliente obtém um par de tokens de acesso e atualização, chamado AT1/RT1. Esse token de acesso tem como escopo o Outlook para cliente iOS e Android com uma audiência do Exchange Online ponto de extremidade.

4. Outlook para iOS e Android estabelece uma conexão com o Exchange Online e emite uma solicitação de provisionamento que inclui o token de acesso do usuário (AT1) e o ponto de extremidade ActiveSync local.

5. A API de provisionamento mrs no Exchange Online usa AT1 como entrada e obtém um segundo par de tokens de acesso e atualização (chamado AT2/RT2) para acessar a caixa de correio local por meio de uma chamada em nome do Active Directory. Esse segundo token de acesso tem como escopo o cliente Exchange Online e um público-alvo do ponto de extremidade do namespace ActiveSync local.

6. Se a caixa de correio não for provisionada, a API de provisionamento criará uma caixa de correio.

7. A API de provisionamento mrs estabelece uma conexão segura com o ponto de extremidade ActiveSync local e sincroniza os dados de mensagens do usuário usando o token de acesso AT2 como o mecanismo de autenticação. O RT2 é usado periodicamente para gerar um novo AT2 para que os dados possam ser sincronizados em segundo plano sem intervenção do usuário.

8. Os dados são retornados ao cliente.

Requisitos técnicos e de licenciamento

A arquitetura de Autenticação Moderna híbrida tem os seguintes requisitos técnicos:

Observação

As contas locais que aproveitam a Autenticação Moderna híbrida com o Outlook mobile não têm suporte com locatários de Community e Defesa do Office 365 governo dos EUA, locatários do Office 365 Alemanha e Office 365 China operados por locatários da 21Vianet.

1. Exchange configuração local:

   • Exchange Server Atualização Cumulativa 1 (CU1) 2019 ou posterior, atualização Exchange Server cumulativa 8 (CU8) 2016 ou posterior, ou Exchange Server 2013 CU19 ou posterior em todos os servidores Exchange. Em implantações híbridas (Exchange e Exchange Online) ou em organizações que usam o Arquivamento do Exchange Online (EOA) com a implantação do Exchange local, você precisa implantar a CU mais atual ou uma CU antes da mais atual.

   • Todos Exchange 2007 ou Exchange 2010 devem ser removidos do ambiente. Essas versões Exchange estão fora do suporte base e não funcionarão com Intune gerenciados Outlook para iOS e Android. Nessa arquitetura, o Outlook para iOS e Android usa o OAuth como o mecanismo de autenticação. Uma das alterações de configuração locais que ocorrem habilita o ponto de extremidade OAuth para o Microsoft Cloud como o ponto de extremidade de autorização padrão. Quando essa alteração é feita, os clientes podem começar a negociar o uso do OAuth. Como essa alteração abrange toda a organização, as caixas de correio do Exchange 2010 frente ao Exchange 2013 ou 2016 pensarão incorretamente que podem fazer o OAuth e acabarão em um estado desconectado, pois o Exchange 2010 não dá suporte ao OAuth como um mecanismo de autenticação.

2. Sincronização do Active Directory. Sincronização do Active Directory de todo o diretório de destinatários de email local com Azure Active Directory, por meio do Azure AD Conexão. Se você tiver a filtragem de atributo e aplicativo do Azure AD habilitada na configuração do Azure AD Conexão, verifique se os seguintes aplicativos estão selecionados:

   • Office 365 ProPlus
   • Exchange Online
   • Azure RMS
   • Intune

   Se você não tiver a filtragem de atributo e aplicativo do Azure AD habilitada na configuração do Azure AD Conexão, todos os aplicativos necessários já serão selecionados por padrão.

   Importante

   Outlook para iOS e Android usa a Lista de Endereços Global Exchange Online do locatário para caixas de correio locais que aproveitam a Autenticação Moderna híbrida. Se todos os destinatários de email não forem sincronizados no Azure Active Directory, os usuários terão problemas de fluxo de email.

3. Exchange configuração híbrida: requer uma relação híbrida completa entre Exchange local com Exchange Online.

   • Uma organização Microsoft 365 ou Office 365 híbrida é configurada em configuração híbrida completa usando o modo de Topologia Híbrida Clássica do Exchange e é configurada conforme especificado no Assistente de Implantação do Exchange.

     Observação

     Não há suporte para a Autenticação Moderna Híbrida com o Agente Híbrido.

   • Requer uma Microsoft 365 ou Office 365 Enterprise, Business ou Education.

   • Os dados da caixa de correio local são sincronizados na mesma região do datacenter em que a organização do Microsoft 365 ou do Office 365 está configurada ou com a região do datacenter definida na PreferredDataLocation da conta. Para obter mais informações sobre onde Microsoft 365 e Office 365 dados estão localizados, visite a Central de Confiabilidade da Microsoft. Para obter mais informações sobre PreferredDataLocation, consulte Recursos multigeográficos.

   • Os nomes de host de URL externa para Exchange ActiveSync e Descoberta Automática devem ser publicados como entidades de serviço para Azure Active Directory por meio do Assistente de Configuração Híbrida.

   • A Descoberta Automática e Exchange ActiveSync namespaces devem estar acessíveis pela Internet e não podem ser frontados por uma solução de pré-autenticação.

   • Verifique se o descarregamento de SSL ou TLS não está sendo usado entre o balanceador de carga e os servidores Exchange, pois essa configuração afetará o uso do token OAuth. Há suporte para ponte SSL e TLS (terminação e nova criptografia).

4. Intune configuração: Intune implantações autônomas e de cogerenciamento têm suporte (não há suporte para mobilidade básica e segurança para Microsoft 365).

5. Microsoft 365 e Office 365 licenciamento:

   • Outlook para iOS e Android é gratuito para uso do consumidor na Loja de Aplicativos do iOS e no Google Play. No entanto, os usuários comerciais exigem uma assinatura Microsoft 365 ou Office 365 que inclua os aplicativos da área de trabalho do Office: Microsoft 365 Apps for Business, Microsoft 365 Business Standard, Microsoft 365 Apps para Grandes Empresas, Office 365 Enterprise E3, Office 365 Enterprise E5 ou as versões correspondentes desses planos para Governo ou Educação. Os usuários comerciais com as seguintes assinaturas têm permissão para usar o aplicativo móvel Outlook em dispositivos com telas integradas de 10,1" diagonalmente ou menos: Office 365 Enterprise E1, Office 365 F1, Office 365 A1, Microsoft 365 Business Basic e se você tiver apenas uma licença Exchange Online (sem Office). Se você tiver apenas Exchange licença local (Exchange Server), não será licenciado para usar o aplicativo.
   • O uso de recursos avançados do Exchange Online (por exemplo, Criptografia de Serviço com Chave de Cliente ou Recursos Multigeográficos) exige que o usuário local tenha a licença de assinatura Office 365 ou Microsoft 365 aplicável no Centro de Administração Microsoft 365.

   Para obter mais informações sobre como atribuir uma licença, consulte Adicionar usuários individualmente ou em massa.

6. Licenciamento do EMS: cada usuário local deve ter uma das seguintes licenças:

   • Intune autônomo + Azure Active Directory Premium 1 ou Azure Active Directory Premium 2
   • Enterprise Mobility + Security E3, Enterprise Mobility + Security E5

Etapas de implementação

Habilitar o suporte para a Autenticação Moderna híbrida em sua organização requer cada uma das seguintes etapas, que são detalhadas nas seções a seguir:

1. Criar uma política de Acesso Condicional:
2. Criar uma política Intune proteção de aplicativo
3. Habilitar autenticação moderna híbrida

Criar uma política de Acesso Condicional:

Quando uma organização decide padronizar como os usuários acessam dados do Exchange, usando o Outlook para iOS e Android como o único aplicativo de email para usuários finais, eles podem configurar uma política de acesso condicional que bloqueia outros métodos de acesso móvel. Outlook para iOS e Android é autenticado por meio do objeto de identidade Azure Active Directory e, em seguida, conecta-se ao Exchange Online. Portanto, você precisará criar políticas de Azure Active Directory de acesso condicional para restringir a conectividade de dispositivo móvel Exchange Online. Para fazer essa tarefa, você precisará de duas políticas de acesso condicional, com cada política direcionada a todos os usuários potenciais. Detalhes sobre como criar essas políticas podem ser encontrados no Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.

1. Siga as etapas em Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis. Essa política permite Outlook para iOS e Android, mas impede que o OAuth e a autenticação básica Exchange ActiveSync clientes móveis se conectem ao Exchange Online.

   Observação

   Essa política garante que os usuários móveis possam acessar todos os Office de extremidade usando os aplicativos aplicáveis.

2. Siga as etapas em Bloquear Exchange ActiveSync em todos os dispositivos, o que impede que Exchange ActiveSync que os clientes que usam a autenticação básica em dispositivos não móveis se conectem Exchange Online.

   As políticas acima usam o controle de concessão Exigir política de proteção de aplicativo, que garante que uma Política de Proteção de Aplicativo do Intune seja aplicada à conta associada no Outlook para iOS e Android antes de conceder acesso. Se o usuário não estiver atribuído a uma Política de Proteção de Aplicativo do Intune, não estiver licenciado para o Intune ou se o aplicativo não estiver incluído na Política de Proteção de Aplicativo do Intune, a política impedirá que o usuário obtenha um token de acesso e obtenha acesso aos dados de mensagens.

3. Por fim, siga Como bloquear a autenticação herdada para o Azure AD com acesso condicional para bloquear a autenticação herdada para outros protocolos do Exchange em dispositivos iOS e Android; essa política deve ser direcionada apenas a aplicativos de nuvem Microsoft 365 ou Office 365 Exchange Online e plataformas de dispositivo iOS e Android. Essa abordagem garante que os aplicativos móveis que usam Exchange Web Services, IMAP4 ou POP3 com autenticação básica não possam se conectar Exchange Online.

Importante

Para aproveitar as políticas de acesso condicional baseadas em aplicativo, o Microsoft Authenticator aplicativo deve ser instalado em dispositivos iOS. Para dispositivos Android, o Portal da Empresa do Intune aplicativo é necessário. Para obter mais informações, consulte Acesso condicional baseado em aplicativo com Intune.

Para impedir que outros clientes de dispositivo móvel (como o cliente de email nativo incluído no sistema operacional móvel) se conectem ao seu ambiente local (que se autentica por meio da autenticação básica no Active Directory local):

Você pode usar as regras internas de acesso Exchange dispositivo móvel e impedir que todos os dispositivos móveis se conectem definindo o seguinte comando no Shell de Gerenciamento do Exchange:

Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block

Observação

Ao implementar o cmdlet local acima, lembre-se de que isso pode afetar os usuários que se conectam Exchange locais com seus dispositivos móveis.

Criar uma política Intune proteção de aplicativo

Depois que a Autenticação Moderna híbrida estiver habilitada, todos os usuários móveis locais poderão usar o Outlook para iOS e Android usando a arquitetura baseada em Microsoft 365 ou Office 365 aplicativo. Portanto, é importante proteger dados corporativos com uma política de proteção Intune aplicativo.

Crie Intune de proteção de aplicativo para iOS e Android usando as etapas documentadas em Como criar e atribuir políticas de proteção de aplicativo. No mínimo, cada política deve atender às seguintes condições:

1. Eles incluem todos os aplicativos móveis da Microsoft, como Word, Excel ou PowerPoint, pois essa inclusão garantirá que os usuários possam acessar e manipular dados corporativos em qualquer aplicativo da Microsoft de maneira segura.

2. Eles imitam os recursos de segurança que Exchange fornece para dispositivos móveis, incluindo:

   • Exigir um PIN para acesso (que inclui Selecionar Tipo, Comprimento do PIN, Permitir PIN Simples, Permitir impressão digital)
   • Criptografando dados do aplicativo
   • Bloqueando a execução de aplicativos gerenciados em dispositivos "desbloqueados por jailbreak" e com raiz

3. Eles são atribuídos a todos os usuários. Essa atribuição ampla garante que todos os usuários estejam protegidos, independentemente de usarem Outlook para iOS e Android.

Além dos requisitos mínimos de política acima, você deve considerar a implantação de configurações de política de proteção avançada, como Restringir recortar , copiar e colar com outros aplicativos para evitar ainda mais o vazamento de dados corporativos. Para obter mais informações sobre as configurações disponíveis, consulte as configurações de política de proteção de aplicativo Android nas configurações Microsoft Intune e política de proteção de aplicativo do iOS.

Importante

Para aplicar Intune de proteção de aplicativo em aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune. Para obter mais informações, consulte O que esperar quando seu aplicativo Android é gerenciado por políticas de proteção de aplicativo.

Habilitar autenticação moderna híbrida

1. Se você não habilitou a Autenticação Moderna híbrida, examine os pré-requisitos conforme descrito na visão geral da Autenticação Moderna Híbrida e os pré-requisitos para usá-la com servidores Skype for Business e Exchange locais. Depois de concluir os pré-requisitos, execute as etapas em Como configurar o Exchange Server local para usar a Autenticação Moderna híbrida.

2. Crie uma Exchange de permissão de acesso ao dispositivo local para permitir que Exchange Online se conecte ao seu ambiente local usando o protocolo ActiveSync:

   If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
   

   Observação

   O gerenciamento de dispositivos por meio do centro de administração Exchange local não é possível. Intune é necessário para gerenciar dispositivos móveis.

3. Crie uma Exchange de acesso ao dispositivo local que impeça que os usuários se conectem ao ambiente local com o Outlook para iOS e Android com autenticação básica pelo protocolo Exchange ActiveSync:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
   

   Observação

   Depois que essa regra for criada, Outlook para iOS e Android com usuários de autenticação Básica serão bloqueados.

4. Verifique se o Exchange ActiveSync maxRequestLength local está configurado para corresponder ao MaxSendSize/MaxReceiveSize da configuração de transporte:

   • Caminho: %ExchangeInstallPath%\FrontEnd\HttpProxy\Sync\web.config
   • Propriedade: maxRequestLength
   • Valor: definido em tamanho KB (10 MB é 10240, por exemplo)

Recursos do cliente que não têm suporte

Os recursos a seguir não têm suporte para caixas de correio locais usando a Autenticação Moderna híbrida com Outlook para iOS e Android.

• Sincronização de mensagens de rascunho e pasta de rascunho
• Exibindo mais de quatro semanas de email usando o link "Carregar Mais Mensagens" na parte inferior da lista de mensagens
• Acesso de calendário compartilhado e acesso de calendário delegado
• Acesso compartilhado e delegado a dados da caixa de correio
• Cortana hora de sair/tempo de viagem
• Locais de reunião avançados
• Gerenciamento de tarefas com Microsoft To Do
• Suplementos
• Calendários Interessantes
• Reproduzir Meus Emails
• Rotulagem de confidencialidade
• S/MIME

Os seguintes recursos só têm suporte quando a infraestrutura local usa o Exchange Server 2016 e posterior:

• Anexos de calendário

Perguntas frequentes Flow conexão

P: Minha organização tem uma política de segurança que exige que as conexões de entrada da Internet sejam restritas a endereços IP ou FQDNs aprovados. Essa configuração é possível com essa arquitetura?

R: A Microsoft recomenda que os pontos de extremidade locais para os protocolos De Descoberta Automática e ActiveSync sejam abertos e acessíveis pela Internet sem restrições. Em determinadas situações isso pode não ser possível. Por exemplo, se você estiver em um período de coexistência com outra solução UEM (gerenciamento de ponto de extremidade unificado) de terceiros, convém colocar restrições no protocolo ActiveSync para impedir que os usuários ignorem a solução UEM enquanto migra para o Intune e o Outlook para iOS e Android. Se você precisar colocar restrições em seus dispositivos de borda de firewall ou gateway locais, a Microsoft recomenda a filtragem com base nos pontos de extremidade do FQDN. Se os pontos de extremidade FQDN não puderem ser usados, filtre os endereços IP. Verifique se as seguintes sub-redes IP e FQDNs estão incluídos na lista de permitidos:

• Todos Exchange Online FQDNs e intervalos de sub-rede IP, conforme definido em Mais pontos de extremidade não incluídos no serviço Web Microsoft 365 ou Office 365 IP e URL.

• Os intervalos de sub-rede IP e FQDNs de Detecção Automática definidos em pontos de extremidade adicionais não incluídos no serviço Web Microsoft 365 ou Office 365 IP do Office 365. Essas sub-redes IP e FQDNs são necessárias porque o serviço AutoDetect estabelece conexões com a infraestrutura local.

• Todos Outlook FQDNs de aplicativo móvel do iOS e Android e Office, conforme definido no Microsoft 365 e Office 365 URLs e intervalos de endereços IP.

P: Minha organização atualmente usa uma solução UEM de terceiros para controlar a conectividade do dispositivo móvel. Se eu expor o namespace Exchange ActiveSync na Internet, isso apresentará uma maneira para os usuários ignorarem a solução UEM de terceiros durante o período de coexistência. Como posso evitar essa situação?

R: Há três soluções potenciais para resolver esse problema:

1. Implemente Exchange regras de acesso de dispositivo móvel para controlar quais dispositivos são aprovados para se conectar.
2. Algumas soluções UEM de terceiros se integram Exchange regras de acesso de dispositivo móvel, bloqueando o acesso não aprovado, enquanto adiciona dispositivos aprovados na propriedade ActiveSyncAllowedDeviceIDs do usuário.
3. Implemente restrições de IP Exchange ActiveSync namespace.

P: Posso usar o Azure ExpressRoute para gerenciar o tráfego entre o Microsoft Cloud e meu ambiente local?

R: A conectividade com o Microsoft Cloud requer conectividade com a Internet. A Microsoft recomenda expor a Descoberta Automática e Exchange ActiveSync diretamente à Internet; para obter mais informações, consulte Microsoft 365 e Office 365 de conectividade de rede. No entanto, o Azure ExpressRoute tem suporte para cenários Exchange híbridos. Para obter mais informações, consulte o Azure ExpressRoute para Microsoft 365 e Office 365.

Com o ExpressRoute, não há espaço IP privado para conexões do ExpressRoute, nem pode haver resolução DNS "privada". Isso significa que qualquer ponto de extremidade que sua empresa deseja usar no ExpressRoute deve ser resolvido no DNS público. Se esse ponto de extremidade for resolvido para um IP contido nos prefixos anunciados associados ao circuito do ExpressRoute (sua empresa deve configurar esses prefixos no portal do Azure quando você habilitar o emparelhamento da Microsoft na conexão do ExpressRoute), a conexão de saída do Exchange Online para o ambiente local será roteada pelo circuito do ExpressRoute. Sua empresa precisará garantir que o tráfego de retorno associado a essas conexões passa pelo circuito do ExpressRoute (evitando o roteamento assimétrico).

Importante

Como sua empresa adicionará os namespaces Exchange AutoDiscover e ActiveSync aos prefixos anunciados no circuito do ExpressRoute, a única maneira de acessar os pontos de extremidade Exchange Descoberta Automática e ActiveSync será por meio do ExpressRoute. Em outras palavras, o único dispositivo móvel que poderá se conectar ao local por meio dos namespaces de Descoberta Automática e ActiveSync será Outlook para iOS e Android. Todos os outros clientes (como clientes de email nativos de dispositivos móveis) não poderão se conectar ao ambiente local, pois a conexão não será estabelecida no Microsoft Cloud. Isso ocorre porque não pode haver sobreposições do espaço IP público anunciado à Microsoft no circuito do ExpressRoute e o espaço IP público anunciado nos circuitos da Internet.

P: Considerando que apenas quatro semanas de dados de mensagem são sincronizados com o Exchange Online, isso significa que as consultas de pesquisa executadas no Outlook para iOS e Android não podem retornar informações além dos dados disponíveis no dispositivo local?

R: Quando uma consulta de pesquisa é executada no Outlook para iOS e Android, os itens que correspondem à consulta de pesquisa serão retornados se estiverem localizados no dispositivo. Além disso, a consulta de pesquisa é passada para Exchange local por meio de Exchange Online. Exchange local executa a consulta de pesquisa na caixa de correio local e retorna os resultados para Exchange Online, que retransmite os resultados para o cliente. Os resultados da consulta local são armazenados em Exchange Online um dia antes de serem excluídos.

P: Como fazer saber que a conta de email foi adicionada corretamente no Outlook para iOS e Android?

R: Caixas de correio locais que são adicionadas por meio da Autenticação Moderna híbrida são rotuladas como Exchange ( híbrida) nas configurações de conta no Outlook para iOS e Android, semelhante ao exemplo a seguir:

Perguntas frequentes sobre autenticação

P: Quais configurações de identidade têm suporte com autenticação moderna híbrida e Outlook para iOS e Android?

R: As seguintes configurações de identidade com Azure Active Directory têm suporte com a Autenticação Moderna híbrida:

• Identidade Federada com qualquer provedor de identidade local que seja compatível com Azure Active Directory
• Sincronização de hash de senha por meio Azure Active Directory Conexão
• Autenticação de passagem por meio Azure Active Directory Conexão

P: Qual mecanismo de autenticação é usado para Outlook para iOS e Android? As credenciais são armazenadas em Microsoft 365 ou Office 365?

R: Consulte a configuração da conta com autenticação moderna Exchange Online.

P: O Outlook para iOS e Android e outros Microsoft Office aplicativos móveis dão suporte ao logon único?

R: Consulte a configuração da conta com autenticação moderna Exchange Online.

P: Qual é o tempo de vida dos tokens gerados e usados pela ADAL (Biblioteca de Autenticação do Active Directory) no Outlook para iOS e Android?

R: Consulte a configuração da conta com autenticação moderna Exchange Online.

P: O que acontece com o token de acesso quando a senha de um usuário é alterada?

R: Consulte a configuração da conta com autenticação moderna Exchange Online.

P: Há uma maneira de um usuário ignorar a Detecção Automática ao adicionar sua conta ao Outlook para iOS e Android?

R: Sim, um usuário pode ignorar a Detecção Automática a qualquer momento e configurar manualmente a conexão usando a autenticação Básica por meio do protocolo Exchange ActiveSync usuário. Para garantir que o usuário não estabeleça uma conexão com seu ambiente local por meio de um mecanismo que não dá suporte ao Acesso Condicional ou às políticas de proteção de aplicativo do Azure Active Directory Intune, o Administrador do Exchange local precisa configurar uma regra de acesso ao dispositivo Exchange que bloqueia a conexão ActiveSync. Para fazer essa tarefa, digite o seguinte comando no shell de Exchange Gerenciamento:

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

P: O que acontece quando uma organização passa da autenticação básica com Outlook para iOS e Android para autenticação moderna híbrida?

R: Depois que uma organização habilita a autenticação moderna híbrida seguindo as etapas de implementação acima, os usuários finais precisam excluir seu perfil de conta existente no Outlook para iOS e Android, pois o perfil usa autenticação básica. Os usuários finais podem criar um novo perfil que usará a autenticação moderna híbrida.

Solução de problemas

Abaixo estão os problemas ou erros mais comuns com caixas de correio locais usando a Autenticação Moderna híbrida com Outlook para iOS e Android.

Descoberta Automática e ActiveSync

Durante a criação do perfil, o usuário deve ter uma caixa de diálogo autenticação moderna semelhante à da seguinte captura de tela:

Se, em vez disso, o usuário for apresentado a uma das caixas de diálogo a seguir, haverá um problema com os pontos de extremidade locais de Descoberta Automática ou ActiveSync.

Aqui está um exemplo de um usuário que está sendo apresentado à experiência de autenticação básica Exchange ActiveSync herdada:

E aqui está um exemplo do que os usuários veem quando a Detecção Automática não consegue descobrir a configuração das caixas de correio locais dos usuários.

Em qualquer um dos cenários, verifique se o ambiente local está configurado corretamente. Para realizar essa tarefa: na Galeria do TechNet, baixe e execute o script para validar a configuração da Autenticação Moderna Híbrida para Outlook iOS e Android.

Ao examinar a saída do script, você deverá ver a seguinte saída da Descoberta Automática:

{
    "Protocol": "activesync",
    "Url": "https://mail.contoso.com/Microsoft-Server-ActiveSync"
}

O ponto de extremidade ActiveSync local deve retornar a seguinte resposta, em que o cabeçalho WWW-Authenticate inclui um authorization_uri:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@5de110f8-2e0f-4d45-891d-bcf2218e253d,00000004-0000-0ff1-ce00-000000000000@contoso.com", token_types="app_asserted_user_v1 service_asserted_app_v1", authorization_uri="https://login.windows.net/common/oauth2/authorize"
Www-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →5ca2c827-5147-474c-8457-63c4e5099c6e

Se as respostas de Descoberta Automática ou ActiveSync não forem semelhantes aos exemplos acima, você poderá investigar as seguintes causas possíveis:

1. Se o ponto de extremidade de Descoberta Automática não puder ser alcançado, é provável que haja um problema de configuração de firewall ou balanceador de carga (por exemplo, as restrições de IP estão configuradas e os intervalos de IP necessários não estão presentes). Além disso, pode haver um dispositivo na frente do Exchange que exija a pré-autenticação para acessar o ponto de extremidade da Descoberta Automática.

2. Se o ponto de extremidade de Descoberta Automática não retornar a URL correta, haverá um problema de configuração com o valor ExternalURL do diretório virtual ActiveSync.

3. Se o ponto de extremidade ActiveSync não puder ser alcançado, haverá um problema de configuração de firewall ou balanceador de carga. Novamente, um exemplo é que as restrições de IP estão configuradas e os intervalos de IP necessários não estão presentes. Além disso, pode haver um dispositivo na frente do Exchange que exija a pré-autenticação para acessar o ponto de extremidade activeSync.

4. Se o ponto de extremidade ActiveSync não contiver um valor de authorization_uri, verifique se o servidor de autenticação EvoSTS está configurado como o ponto de extremidade padrão usando o Shell de Gerenciamento do Exchange:

   Get-AuthServer EvoSts | Format-List IsDefaultAuthorizationEndpoint
   

5. Se o ponto de extremidade ActiveSync não contiver um cabeçalho WWW-Authenticate, um dispositivo na frente do Exchange poderá estar respondendo à consulta.

Problemas de sincronização do cliente

Há alguns cenários que podem fazer com que os dados sejam obsoletos Outlook para iOS e Android. Normalmente, essa condição de dados ocorre devido a um problema com o segundo token de acesso (o token usado pelo MRS no Exchange Online para sincronizar os dados com o ambiente local). Os dois motivos mais comuns para esse problema são:

• Descarregamento de SSL/TLS local.
• Problemas de metadados do certificado EvoSTS.

Com o descarregamento de SSL/TLS, os tokens são emitidos para um URI específico e esse valor inclui o valor de protocolo ("https://"). Quando o balanceador de carga descarrega SSL/TLS, a solicitação recebida pelo Exchange é recebida via HTTP, resultando em uma incompatibilidade de declaração devido ao valor do protocolo que está sendo http://. O exemplo a seguir ilustra um cabeçalho de resposta de um rastreamento do Fiddler:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@00c118a9-2de9-41d3-b39a-81648a7a5e4d", authorization_uri="https://login.windows.net/common/oauth2/authorize", error="invalid_token"
WWW-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →2323088f-8838-4f97-a88d-559bfcf92866
x-ms-diagnostics →2000003;reason="The hostname component of the audience claim value is invalid. Expected 'https://mail.contoso.com'. Actual 'http://mail.contoso.com'.";error_category="invalid_resource"

Conforme especificado acima na seção Requisitos técnicos e de licenciamento, o descarregamento de SSL/TLS não tem suporte para fluxos OAuth.

Para metadados de certificado EvoSTS, os metadados de certificado usados pelo EvoSTS são ocasionalmente atualizados no Microsoft 365 ou Office 365. A Exchange de arbitragem local que tem a capacidade de organização de "OrganizationCapabilityManagement" é responsável por detectar as alterações e atualizar os metadados correspondentes localmente; esse processo é executado a cada oito horas.

Exchange administradores podem encontrar essa caixa de correio executando o seguinte cmdlet usando Exchange Management Shell:

$x=Get-mailbox -arbitration | ? {$_.PersistedCapabilities -like "OrganizationCapabilityManagement"};Get-MailboxDatabaseCopyStatus $x.database.name

No servidor que hospeda o banco de dados para a caixa de correio de arbitragem OrganizationCapabilityManagement, examine os logs de eventos do aplicativo para eventos com uma fonte de MSExchange AuthAdmin. Os eventos devem informar se você Exchange atualizar os metadados. Se os metadados estão desatualizados, você pode atualize-os manualmente com este ccmdlet:

Set-AuthServer EvoSts -RefreshAuthMetadata

Você também pode criar uma tarefa agendada que executa o comando acima a cada 24 horas.

Exchange Online estatísticas

Você pode usar os seguintes Exchange Online cmdlets para ver informações estatísticas para cada caixa de correio local sincronizada.

1. Primeiro, obtenha o local da caixa de correio local sincronizada no locatário, especificando a identidade da caixa de correio local (por exemplo, jane@contoso.com).

   $m = Get-MailboxLocation <identity>
   

2. Para ver estatísticas relacionadas à caixa de correio, use

   Get-MailboxStatistics $m.id
   

3. Para ver as estatísticas de dispositivo móvel (como ver quando Outlook para iOS e Android sincronizados pela última vez com Exchange Online), use

   Get-MobileDeviceStatistics -Mailbox $m.id
   

Para obter mais informações, consulte Get-MailboxStatistics e Get-MobileDeviceStatistics.

Outros problemas

Há outros problemas que podem impedir que a Autenticação Moderna híbrida funcione corretamente. Para obter mais informações, consulte a seção de solução de problemas em Anunciando a Autenticação Moderna Híbrida para Exchange local.