Moderne Authentifizierung mit Microsoft Office 365

Secure Mail unterstützt moderne Authentifizierung mit Microsoft Office 365 für Active Directory Federation Services (AD FS) oder Identity Provider (IDP). Moderne Authentifizierung ist eine OAuth-Token-basierte Authentifizierung mit Benutzername und Kennwort. Secure Mail-Benutzer mit iOS-Geräten können die zertifikatbasierte Authentifizierung nutzen, wenn sie eine Verbindung zu Office 365 herstellen. Wenn sie sich bei Secure Mail anmelden, authentifizieren sich Benutzer mithilfe eines Clientzertifikats, anstatt ihre Anmeldeinformationen einzugeben.

Bevor Sie fortfahren, führen Sie die folgenden Schritte aus:

1. Aktivieren Sie die moderne Authentifizierung (OAuth) für Microsoft Office 365.
2. Aktivieren Sie Office 365-Endpunkte, URLs und IP-Adressbereiche in Ihrer Firewall, um eine optimale Netzwerkkonnektivität sicherzustellen. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter Office 365-URLs und IP-Adressbereiche.

Hinweis:

• Informationen zum Migrieren oder Erstellen einer hybriden Exchange-Postfachlösung finden Sie in der Microsoft-Dokumentation unter Exchange ActiveSync-Geräteeinstellungen mit Exchange-Hybridbereitstellungen.

Voraussetzungen für Citrix Endpoint Management™-Richtlinien

Aktivieren Sie die folgenden Richtlinien in der Citrix Endpoint Management-Konsole:

-  **Für Geräte mit iOS:**

-  **Office 365-Authentifizierungsmechanismus:** Verwenden Sie diese Richtlinie, um den OAuth-Mechanismus anzugeben, der bei der Konfiguration eines Kontos in Office 365 für die Authentifizierung verwendet wird. Diese Richtlinie hat die folgenden Werte, die Sie konfigurieren müssen:

-  **OAuth nicht verwenden:** Verwenden Sie diese Richtlinie für die Standardauthentifizierung während der Kontokonfiguration.
-  **OAuth mit Benutzername und Kennwort verwenden:** Verwenden Sie diese Richtlinie für das OAuth-Protokoll während der Authentifizierung. Benutzer müssen ihren Benutzernamen und ihr Kennwort sowie optional einen Multifaktor-Authentifizierungscode für den OAuth-Flow angeben.
-  **OAuth mit Clientzertifikat verwenden:** Verwenden Sie diese Richtlinie, wenn Office 365 für die zertifikatbasierte Authentifizierung konfiguriert ist. Die Standardkonfiguration ist **OAuth nicht verwenden**.

-  **Für Geräte mit Android:**

-  **Moderne Authentifizierung für O365 verwenden:** Verwenden Sie diese Richtlinie für das OAuth-Protokoll während der Authentifizierung.
-  **Web-SSO für Tunneling-Richtlinie:** Verwenden Sie diese Richtlinie, um den OAuth-Datenverkehr über Tunneled – Web-SSO zu tunneln. Gehen Sie dazu wie folgt vor:
-  Setzen Sie die Richtlinie **Web-SSO für Tunneling verwenden** auf **Ein**.
-  Wählen Sie die Option **Tunneled – Web-SSO** in der Richtlinie für den Netzwerkzugriff aus.
    > **Hinweis:**
    >
    > Informationen zum Aktivieren von STA finden Sie unter [Verbindung zu einem Mailserver über STA](/de-de/citrix-secure-mail/configuring-background-services-secure-mail#connection-to-a-mail-server-via-the-sta).
-  Schließen Sie alle Hostnamen, die mit OAuth in Verbindung stehen, von der Richtlinie **Hintergrunddienste** aus.

• Richtlinien, die für iOS- und Android-Geräte gemeinsam sind:

• Benutzerdefinierter User-Agent für moderne Authentifizierung: Verwenden Sie diese Richtlinie, um die Standard-User-Agent-Zeichenfolge für die moderne Authentifizierung zu ändern.
• Vertrauenswürdige Exchange Online-Hostnamen: Verwenden Sie diese Richtlinie, um eine Liste vertrauenswürdiger Exchange Online-Hostnamen zu definieren, die den OAuth-Mechanismus für die Authentifizierung bei der Konfiguration eines Kontos verwenden. Dies ist ein durch Kommas getrenntes Format, z. B. server.company.com, server.company.co.uk. Diese Liste kann entweder einen Standardwert oder Vanity-URLs enthalten, darf aber nicht leer sein. Der Standardwert ist outlook.office365.com.
• Vertrauenswürdige AD FS-Hostnamen: Verwenden Sie diese Richtlinie, um eine Liste vertrauenswürdiger AD FS-Hostnamen für Webseiten zu definieren, auf denen das Kennwort während der Office 365 OAuth-Authentifizierung automatisch ausgefüllt wird. Dies ist ein durch Kommas getrenntes Format, z. B. sts.companyname.com, sts.company.co.uk. Wenn die Liste leer ist, füllt Secure Mail Kennwörter nicht automatisch aus. Secure Mail gleicht die aufgelisteten Hostnamen mit dem Hostnamen der Webseite ab, die während der Office 365-Authentifizierung aufgerufen wird, und prüft, ob die Seite das HTTPS-Protokoll verwendet. Wenn beispielsweise sts.company.com ein aufgelisteter Hostname ist und der Benutzer zu https://sts.company.com navigiert, füllt Secure Mail das Kennwort aus, sofern die Seite ein Kennwortfeld enthält. Der Standardwert ist login.microsoftonline.com.
• Office 365 Exchange-Server: Verwenden Sie diese Richtlinie, um den Hostnamen für das Office 365-Postfach in der Cloud zu definieren. Der Hostname ist ein einzelner Wert, z. B. outlook.office365.com. Der Standardwert ist outlook.office365.com.
• Secure Mail Exchange-Server: Verwenden Sie diese Richtlinie, um die Adresse Ihres Exchange-Servers zu definieren. Sie können diese Richtlinie verwenden, um je nach Anforderung entweder die lokale Serveradresse oder die Cloud-Serveradresse zu definieren.

• HTTP 451-Umleitung konfigurieren: Weitere Informationen zum Konfigurieren der Umleitungen finden Sie im Knowledge Center-Artikel Secure Mail ActiveSync-Umleitung 451.

• Secure Mail für iOS ist jetzt mit moderner Authentifizierung aktiviert, nachdem die Richtlinien auf dem Gerät aktualisiert wurden.

• Konfigurationsoptionen für Exchange Server

Sie können Secure Mail entweder mit outlook.office365.com oder der vereinheitlichten Microsoft-Domäne outlook.cloud.microsoft konfigurieren.

Konfiguration mit outlook.office365.com

So konfigurieren Sie Secure Mail mit outlook.office365.com als Secure Mail Exchange-Server:

• Legen Sie den Secure Mail Exchange-Server auf outlook.office365.com fest.
• Fügen Sie outlook.office365.com:443 zu Hintergrund-Netzwerkdiensten hinzu.
• Behalten Sie Vertrauenswürdige Exchange Online-Hostnamen als Standardwert outlook.office365.com bei.
• Behalten Sie Office 365 Exchange-Server als Standardwert outlook.office365.com bei.

Konfiguration mit der vereinheitlichten Microsoft-Domäne outlook.cloud.microsoft

So konfigurieren Sie Secure Mail mit outlook.cloud.microsoft als Secure Mail Exchange-Server:

• Legen Sie den Secure Mail Exchange-Server auf outlook.cloud.microsoft fest.
• Fügen Sie outlook.cloud.microsoft:443 zu Hintergrund-Netzwerkdiensten hinzu.
• Fügen Sie outlook.cloud.microsoft zu Vertrauenswürdige Exchange Online-Hostnamen hinzu.
• Behalten Sie Office 365 Exchange-Server als Standardwert outlook.office365.com bei. Ersetzen Sie ihn nicht durch die neue Domäne.

Einschränkungen

• Wenn Sie in Ihrer Umgebung moderne Authentifizierung verwenden, ist die Funktion für Rich-Push-Benachrichtigungen für iOS nicht verfügbar. Weitere Informationen zu Rich-Push-Benachrichtigungen finden Sie unter Push-Benachrichtigungen für Secure Mail.
• Mehrere Konten werden in Setups mit zertifikatbasierter Authentifizierung nicht unterstützt.

Secure Mail-Richtlinien

Die folgenden zwei Tabellen listen die Secure Mail-Richtlinien auf, die basierend auf Ihrer Exchange-Infrastruktur erforderlich sind:

*Secure Mail unterstützt eine hybride Exchange-Infrastruktur mit migrierten Postfächern.

Wenn das Postfach von lokalen Benutzern zu Exchange Online migriert wird, erkennt Secure Mail diese Änderung automatisch und fordert die Benutzer zur modernen Authentifizierung auf, ohne dass eine Neukonfiguration ihres Kontos erforderlich ist.

Secure Mail mit OAuth-Unterstützungsmatrix

Die folgende Tabelle listet die Secure Mail OAuth-Unterstützungsmatrix auf iOS- und Android-Geräten auf: