摘要:具有启用了新式身份验证的帐户的用户如何在 Exchange Online 中快速设置其 Outlook for iOS 和 Android 帐户。
使用已启用新式身份验证的帐户 (Microsoft 365 或 Office 365 帐户或使用混合新式身份验证) 本地帐户的用户可通过两种方式设置自己的 Outlook for iOS 和 Android 帐户:自动检测和单一登录。 此外,Outlook for iOS 和 Android 还使 IT 管理员能够将帐户配置“推送”到其Microsoft 365 和Office 365用户,并控制 Outlook for iOS 和 Android 是否支持个人帐户。
新式验证
新式身份验证是身份验证和授权方法的组合的一个总称,包括:
身份验证方法:多重身份验证;基于客户端证书的身份验证。
授权方法:Microsoft实现开放授权 (OAuth) 。
使用 Microsoft 身份验证库 (MSAL) 启用新式身份验证。 基于 MSAL 的身份验证是 Outlook for iOS 和 Android 用来访问 Microsoft 365 或 Office 365 中的Exchange Online邮箱。 由桌面和移动设备上的 Office 应用使用的 MSAL 身份验证涉及用户直接登录到 Microsoft Entra ID(Microsoft 365 和 Office 365 的标识提供者),而不是向 Outlook 提供凭据。
基于 MSAL 的身份验证将 OAuth 用于启用新式身份验证的帐户 (Microsoft 365 或 Office 365 帐户或使用混合新式身份验证) 的本地帐户。 它还为 Outlook for iOS 和 Android 提供了一种安全机制,无需访问用户凭据即可访问电子邮件。 登录时,用户直接使用 Microsoft Entra ID 进行身份验证,并接收访问/刷新令牌对作为回报。 访问令牌授予 Outlook for iOS 和 Android 对 Microsoft 365 或 Office 365 (中的相应资源的访问权限,例如用户的邮箱) 。 刷新令牌用于在当前访问令牌过期时获取新的访问或刷新令牌对。 OAuth 为 Outlook 提供了访问 Microsoft 365 或 Office 365 的安全机制,而无需或存储用户的凭据。
有关令牌生存期的信息,请参阅 Microsoft 标识平台 中的可配置令牌生存期。 可以调整令牌生存期值;有关详细信息,请参阅 使用条件访问配置身份验证会话管理。 如果选择缩短令牌生存期,还可以降低 Outlook for iOS 和 Android 的性能,因为较短的生存期会增加应用程序必须获取新访问令牌的次数。
以前授予的访问令牌在过期之前是有效的。 用于身份验证的标识模型会影响密码过期的处理方式。 There are three scenarios:
对于联合标识模型,本地标识提供者需要向Microsoft Entra ID发送密码过期声明,否则,Microsoft Entra ID无法在密码过期时采取行动。 For more information, see Configure AD FS to Send Password Expiry Claims.
密码哈希同步不支持密码过期。 此方案意味着,以前获取访问和刷新令牌对的应用将继续运行,直到超过令牌对的生存期或用户更改密码。 有关详细信息,请参阅使用 Microsoft Entra Connect Sync 实现密码同步。
直通身份验证要求在 Microsoft Entra Connect 中启用密码写回。 有关详细信息,请参阅Microsoft Entra直通身份验证:常见问题。
令牌过期后,客户端会尝试使用刷新令牌来获取新的访问令牌,但由于用户的密码已更改,因此刷新令牌将失效, (假设本地和Microsoft Entra ID) 之间发生了目录同步。 无效的刷新令牌强制用户重新进行身份验证,以获取新的访问令牌和刷新令牌对。
AutoDetect
Outlook for iOS 和 Android 提供了一种名为“自动检测”的解决方案,可帮助最终用户快速设置其帐户。 AutoDetect 将首先根据 SMTP 域确定用户拥有的帐户类型。 此服务涵盖的帐户类型包括 Microsoft 365、Office 365、Outlook.com、Google、Yahoo 和 iCloud。 接下来,AutoDetect 根据该帐户类型对用户设备上的应用进行适当的配置。 此解决方案可节省用户的时间,并无需手动输入主机名和端口号等配置设置。
对于新式身份验证(由所有Microsoft 365 或Office 365帐户和使用混合新式身份验证的本地帐户使用)自动检测查询Exchange Online用户帐户信息,然后在用户的设备上配置 Outlook for iOS 和 Android,以便应用可以连接到Exchange Online。 在此过程中,用户所需的唯一信息是其 SMTP 地址和凭据。
下图显示了通过 AutoDetect 配置的帐户配置示例:
如果用户的 AutoDetect 失败,以下图像显示了使用手动配置的备用帐户配置路径:
单一登录
使用 Microsoft 身份验证库 (MSAL) 的所有Microsoft应用都支持单一登录。 此外,当应用与 Microsoft Authenticator 或 Microsoft 公司门户 应用一起使用时,也支持单一登录。
在以下情况下,其他Microsoft应用 ((例如Word移动) )可以共享和重复使用令牌:
当应用使用相同的签名证书进行签名,并使用相同的服务终结点或受众 URL ((如 Microsoft 365 或 Office 365 URL) ) 时。 In this case, the token is stored in app shared storage.
当应用使用或支持中转站应用的单一登录时,令牌存储在代理应用中时。 Microsoft Authenticator is an example of a broker app. 在中转站应用方案中,尝试登录到 Outlook for iOS 和 Android 后,MSAL 将启动 Microsoft Authenticator 应用,该应用将与 Microsoft Entra ID 建立连接以获取令牌。 然后,只要配置的令牌生存期允许,它就会保留令牌并将其用于来自其他应用的身份验证请求。
有关详细信息,请参阅 在 macOS 和 iOS 上配置 SSO。
如果用户已在其设备上登录到另一个Microsoft应用(例如Word或公司门户),则 Outlook for iOS 和 Android 将检测该令牌并将其用于其自己的身份验证。 检测到此类令牌时,在 Outlook for iOS 和 Android 中添加帐户的用户将在“设置”菜单的“帐户”下看到“已发现的帐户”可用。 新用户在初始帐户设置屏幕中看到其帐户。
下图显示了首次用户通过单一登录进行帐户配置的示例:
如果用户已拥有 Outlook for iOS 和 Android(例如个人帐户),但由于他们最近注册而检测到 Microsoft 365 或 Office 365 帐户,则单一登录路径如下图所示:
通过企业移动性管理进行帐户设置配置
Outlook for iOS 和 Android 使 IT 管理员可以使用混合新式身份验证将帐户配置“推送”到 Microsoft 365 或 Office 365 帐户或本地帐户。 此功能适用于任何统一终结点管理 (UEM) 提供商谁使用适用于 iOS 的托管应用程序配置通道或 Android 企业通道中的 Android。
对于已注册 Microsoft Intune 的用户,可以使用 Azure 门户中的 Intune 部署帐户配置设置。
在 UEM 提供程序中设置帐户设置配置并且用户注册其设备后,Outlook for iOS 和 Android 将检测到帐户“已找到”,然后提示用户添加该帐户。 用户完成设置过程需要输入的唯一信息是其密码。 然后,用户的邮箱内容将加载,用户可以开始使用该应用。
有关启用此功能所需的帐户设置配置密钥的详细信息,请参阅部署 Outlook for iOS 和 Android 应用程序配置 设置中的帐户设置配置部分。
组织允许的帐户模式
尊重最大客户的数据安全性和合规性策略是Microsoft 365 和Office 365价值的关键支柱。 某些公司要求在其企业环境中捕获所有通信信息,并确保设备仅用于公司通信。 为了支持这些要求,可以将企业托管设备上的 Outlook for iOS 和 Android 配置为仅允许在 Outlook for iOS 和 Android 中预配单个公司帐户。 与帐户设置配置一样,此功能适用于使用适用于 iOS 的托管应用程序配置通道或 Android 企业版通道中的 Android 的任何 UEM 提供程序。 使用混合新式身份验证的 Microsoft 365 和 Office 365 帐户或本地帐户支持此功能;但是,只能将单个公司帐户添加到 Outlook for iOS 和 Android。
有关需要配置为部署组织允许帐户模式的设置的详细信息,请参阅部署 Outlook for iOS 和 Android 应用程序配置设置中的组织允许帐户模式部分。
注意
可以同时配置帐户设置配置和组织允许的帐户模式,以简化帐户设置。
若要确保这些用户只能在具有Intune的已注册设备上访问公司电子邮件, (无论是 iOS 还是 Android Enterprise) ,都需要使用Microsoft Entra条件访问策略和授予控件“要求设备标记为合规”和“需要批准的客户端应用”。 有关创建此类策略的详细信息,请参阅基于应用的条件访问Microsoft Entra。
重要
要求设备标记为合规授权控制要求设备由Intune管理。
The first policy allows Outlook for iOS and Android, and it blocks OAuth capable Exchange ActiveSync clients from connecting to Exchange Online. 请参阅“步骤 1 - 为Exchange Online配置Microsoft Entra条件访问策略”,但对于第五步,请选择“要求设备标记为合规”、“需要批准的客户端应用”和“需要所有选定的控件”。
第二个策略阻止使用基本身份验证的Exchange ActiveSync客户端连接到Exchange Online。 请参阅“步骤 2 - 使用 Active Sync (EAS) 为Exchange Online配置Microsoft Entra条件访问策略”。
Outlook for iOS 和 Android 中的共享设备模式
Outlook for Android 和 iOS 支持 共享设备模式,可在多个用户使用的设备(例如在一线员工或展台方案中)上实现安全无缝的登录体验。 使用共享设备模式,你的组织可以确保个人和组织数据受到保护,并且用户可以快速轻松地访问他们有权访问的资源。
什么是共享设备模式?
共享设备模式是以前由 azure AD) Microsoft Entra ID (启用的一项功能,用于配置设备进行单一登录 (SSO) 和单一注销。当用户登录到受支持的应用(如 Outlook)时,该登录将应用于为共享设备模式配置的所有应用。 同样,当用户注销时,所有受支持的应用都会注销并清除本地数据。
共享设备模式适用于:
在轮班开始时拿起任何可用设备的一线员工。
零售、医疗保健或制造环境中的共享平板电脑或手机。
安全访问电子邮件和日历,而不会有跨用户数据泄露的风险。
重要
共享设备模式必须由组织的 IT 管理员使用共享设备模式文档概述和适当的设备配置工具(如Microsoft Intune)启用。
Outlook 在共享设备模式下的工作原理
为共享设备模式配置时,Outlook 的行为方式不同于支持共享使用情况的常规体验:
| 功能 | 行为 |
|---|---|
| 登录 | 用户使用其Microsoft Entra ID帐户登录。 |
| 跨应用的 SSO | 登录后,用户还将登录到支持共享设备模式的其他应用。 |
| 注销 | 用户可以从共享设备启动器注销,也可以在 Outlook 中手动注销。 这会注销所有应用并清除本地数据。 |
| 数据管理 | 注销时会删除缓存的电子邮件、日历和联系人数据。 |
| 多用户支持 | 一次仅支持一个用户;不允许并发多用户会话。 |
提示
为了尽量减少登录摩擦,Outlook 使用共享设备模式配置提供的设备范围的身份验证令牌。
设备和应用设置
若要使用 Outlook Mobile 启用共享设备模式,请执行以下作:
使用 Microsoft Intune 或启用共享设备模式的首选 MDM 解决方案预配设备。
从官方应用商店安装 Outlook for Android 或 iOS。
确保已安装最新版本的 Outlook。
确保设备上的所有其他共享应用都与共享设备模式兼容。
可以在共享设备模式概述中找到更多指南。
限制和注意事项
共享设备模式不支持 Outlook 中的 个人帐户 。
仅支持Microsoft Entra ID工作帐户。
用户必须在 会话结束时注销 ,以确保数据隐私。
脱机支持不可用:由于设备脱机时无法支持全局注销信号,因此如果 Outlook 配置为共享设备模式,则 Outlook for iOS 和 Android 无法在脱机时支持使用应用。 此外,在注销时会清除数据以保护用户信息。
可能需要持久状态 (的功能(如草稿或本地搜索历史记录) )可能不会跨会话保留。
疑难解答
如果 Outlook 看起来不遵循共享设备模式:
验证是否已为共享设备模式正确配置设备。
检查 Outlook Mobile 以及共享设备模式配置所依赖的其他应用的更新。
确保登录策略和条件访问策略不会阻止访问。
可以收集日志或使用 Microsoft Endpoint Manager 报告工具来识别设置问题。
设置共享设备模式
如果组织已在使用共享设备模式,则 Outlook iOS 和 Android 应用不需要特殊配置。 如果尚未设置共享设备模式,请联系组织的移动设备管理团队,了解如何对其进行设置。 如果不熟悉此功能,请参阅以下文章: