Moderne Authentifizierung mit Microsoft Office 365

Secure Mail unterstützt die moderne Authentifizierung mit Microsoft Office 365 für Active Directory-Verbunddienste (AD FS) oder Identitätsanbieter (IdP). Die moderne Authentifizierung ist eine OAuth-tokenbasierte Authentifizierung mit Benutzernamen und Kennwort. Secure Mail-Benutzer mit iOS-Geräten können die zertifikatbasierte Authentifizierung beim Herstellen einer Verbindung mit Office 365 nutzen. Bei der Anmeldung bei Secure Mail erfolgt die Authentifizierung mit einem Clientzertifikat anstelle der Anmeldeinformationen.

Bevor Sie fortfahren, führen Sie folgen Schritte aus:

  1. Moderne Authentifizierung mit Microsoft Office 365 wurde aktiviert:
  2. Aktivieren Sie Office 365-Endpunkte, -URLS und -IP-Adressbereiche in Ihrer Firewall, um eine optimale Netzwerkverbindung zu gewährleisten. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter URLs und IP-Adressbereiche für Office 365.

Hinweis:

Voraussetzungen bezüglich Richtlinien in Citrix Endpoint Management

Aktivieren Sie die folgenden Richtlinien in der Citrix Endpoint Management-Konsole:

Für iOS-Geräte:

  • Office 365-Authentifizierungsmethode: Über diese Richtlinie geben Sie den OAuth-Mechanismus an, der beim Konfigurieren eines Kontos in Office 365 für die Authentifizierung verwendet werden soll. Für die Richtlinie müssen Sie die folgenden Werte konfigurieren:

    • Nicht OAuth verwenden: Verwenden Sie diese Richtlinie für die Standardauthentifizierung bei der Kontokonfiguration.
    • OAuth mit Benutzername und Kennwort verwenden: Verwenden Sie diese Richtlinie für das OAuth-Protokoll bei der Authentifizierung. Die Benutzer müssen ihren Benutzernamen und ihr Kennwort sowie optional einen Multifaktor-Authentifizierungscode für den OAuth-Fluss angeben.
    • OAuth mit Clientzertifikat verwenden Verwenden Sie diese Richtlinie, wenn Office 365 für die zertifikatsbasierte Authentifizierung konfiguriert ist. Die Standardkonfiguration ist Nicht OAuth verwenden.

Android-Geräte:

  • Moderne Authentifizierung für Office 365 verwenden: Verwenden Sie diese Richtlinie für das OAuth-Protokoll bei der Authentifizierung.
  • Web-SSO zum Tunneln: Mit dieser Richtlinie können Sie den OAuth-Datenverkehr über Web-SSO tunneln. Vorgehensweise:
    • Legen Sie Richtlinie Web-SSO zum Tunneln verwenden auf Ein fest.
    • Wählen Sie die Option Tunnel - Web-SSO für die Netzwerkzugriffsrichtlinie.

      Hinweis:

      Informationen zur Aktivierung der STA finden Sie unter Verbindung mit einem E-Mail-Server über die STA.

    • Schließen Sie alle Hostnamen, die mit OAuth in Verbindung stehen, von der Richtlinie für Hintergrunddienste aus.

Richtlinien für iOS- und Android-Geräte:

  • Benutzerdefinierter Benutzeragent für moderne Authentifizierung: Verwenden Sie diese Richtlinie zum Ändern der Standard-Benutzeragent-Zeichenfolge für die moderne Authentifizierung.
  • Vertrauenswürdige Exchange Online-Hostnamen: Verwenden Sie diese Richtlinie zum Definieren einer Liste vertrauenswürdiger Exchange Online-Hostnamen, die den OAuth-Mechanismus für die Authentifizierung beim Konfigurieren eines Kontos verwenden. Verwenden Sie Kommas zum Trennen der Einträge, beispielsweise server.firma.de, server.firma.com. Die Liste kann einen Standardwert oder Vanity-URLs enthalten, sie darf jedoch nicht leer sein. Der Standardwert ist outlook.office365.com.
  • Vertrauenswürdige AD FS-Hostnamen: Definieren Sie eine Liste mit Namen vertrauenswürdiger AD FS-Hosts für Webseiten, auf denen das Kennwort bei der Office 365-OAuth-Authentifizierung eingetragen wird. Die Angabe erfolgt durch Kommas getrennt, z. B. sts.companyname.com, sts.company.co.uk. Wenn die Liste leer ist, trägt Secure Mail Kennwörter nicht automatisch ein. Secure Mail vergleicht die aufgelisteten Hostnamen mit dem Hostnamen der Webseite, die bei der Office 365-Authentifizierung erkannt wird, und überprüft, ob die Seite HTTPS verwendet. Ist beispielsweise der Hostname sts.company.com in der Liste enthalten und ein Benutzer navigiert zu https://sts.company.com, trägt Secure Mail das Kennwort ein, wenn die Seite ein Kennwortfeld enthält. Der Standardwert ist login.microsoftonline.com.
  • Secure Mail Exchange Server: Verwenden Sie diese Richtlinie zum Angeben der Adresse Ihres Exchange-Servers. Mit dieser Richtlinie können Sie je nach Anforderung entweder die on-premises Serveradresse oder die Cloud-Serveradresse definieren.
  • Konfigurieren der HTTP 451-Umleitung: Informationen zum Konfigurieren der Umleitungen finden Sie im Knowledge Center-Artikel Secure Mail ActiveSync redirect 451.

Die moderne Authentifizierung kann jetzt für Secure Mail für iOS verwendet werden, sobald die Richtlinien auf dem Gerät aktualisiert wurden.

Einschränkungen

  • Wenn Sie die moderne Authentifizierung verwenden, sind keine Pushbenachrichtigungen mit Rich-Media-Inhalt unter iOS möglich. Informationen zu Pushbenachrichtigungen mit Rich-Media-Inhalt finden Sie unter Pushbenachrichtigungen für Secure Mail.
  • Mehrfachkonten werden bei Verwendung der zertifikatbasierten Authentifizierung nicht unterstützt.

Secure Mail-Richtlinien

Die folgenden Tabellen enthalten die je nach Exchange-Infrastruktur erforderlichen Secure Mail-Richtlinien:

Exchange-Infrastruktur Office 365-Authentifizierungsmethode/Moderne Authentifizierung mit O365 Vertrauenswürdige AD FS-Hostnamen Vertrauenswürdige Exchange Online-Hostnamen
On-Premises AUS Nicht verfügbar Nicht verfügbar
Hybrid* EIN AD FS/IDP Outlook.office365.com oder Vanity-URL
Exchange Online EIN AD FS/IDP Outlook.office365.com oder Vanity-URL
Exchange-Infrastruktur Secure Mail Exchange Server Hintergrundnetzwerkdienste (iOS) Hintergrundnetzwerkdienste (Android)
On-Premises On-Premises-Exchange-Hostname On-Premises On-Premises
Hybrid* On-Premises, Exchange Online-Hostnamen On-Premises, On-Premises-Exchange-Hostname On-Premises, On-Premises-Exchange-Hostname, AD FS/IDP (nur intern)
Exchange Online Outlook.office365.com Exchange Online-Hostnamen On-Premises-Exchange-Hostname, AD FS, IDP

*Secure Mail unterstützt eine hybride Exchange-Infrastruktur mit migrierten Postfächern.

Wird ein On-Premises-Postfach zu Exchange Online migriert, erkennt Secure Mail dies automatisch und fordert den Benutzer zur modernen Authentifizierung auf, ohne dass sein Konto neu konfiguriert werden muss.

Matrix: Secure Mail mit OAuth-Unterstützung

Die folgende Tabelle enthält die Matrix der Secure Mail-OAuth-Unterstützung für iOS- und Android-Geräte:

Authentifizierungstyp IDP/AD FS extern IDP/AD FS intern Azure AD Intune
Benutzername und Kennwort Ja Ja Ja Ja
Clientzertifikat Ja Nur Android Nein Nein
Moderne Authentifizierung mit Microsoft Office 365