Authentification moderne à l’aide de Microsoft Office 365

Secure Mail prend en charge l’authentification moderne à l’aide de Microsoft Office 365 pour Active Directory Federation Services (ADFS) ou pour un fournisseur d’identité (IdP). L’authentification moderne est une authentification basée sur un jeton OAuth avec nom d’utilisateur et mot de passe. Les utilisateurs Secure Mail équipés d’appareils iOS peuvent bénéficier de l’authentification basée sur les certificats pour se connecter à Office 365. Lorsqu’ils se connectent à Secure Mail, les utilisateurs s’authentifient à l’aide d’un certificat client, au lieu de taper leurs informations d’identification.

Avant de continuer, procédez comme suit :

  1. Activez l’authentification moderne (OAuth) pour Microsoft Office 365.
  2. Activez les points de terminaison Office 365, les URL et les plages d’adresses IP dans votre pare-feu pour garantir une connectivité réseau optimale. Pour plus de détails, consultez la documentation Microsoft sur les URL et plages d’adresses IP Office 365.

Remarque :

Conditions préalables de la stratégie Citrix Endpoint Management

Activez les stratégies suivantes dans la console Citrix Endpoint Management :

Pour les appareils fonctionnant sous iOS :

  • Mécanisme d’authentification Office 365 : utilisez cette stratégie pour spécifier le mécanisme OAuth utilisé pour l’authentification lors de la configuration d’un compte sur Office 365. Cette stratégie comporte les valeurs suivantes que vous devez configurer :

    • Ne pas utiliser OAuth : utilisez cette stratégie pour l’authentification de base lors de la configuration du compte.
    • Utiliser OAuth avec nom d’utilisateur et mot de passe : utilisez cette stratégie pour le protocole OAuth lors de l’authentification. Les utilisateurs doivent fournir leur nom d’utilisateur et leur mot de passe, et éventuellement un code d’authentification à plusieurs facteurs pour le flux OAuth.
    • Utiliser OAuth avec certificat client : utilisez cette stratégie si Office 365 est configuré pour effectuer une authentification basée sur un certificat. La configuration par défaut est Ne pas utiliser OAuth.

Pour les appareils fonctionnant sous Android :

  • Utiliser l’authentification moderne pour O365 : utilisez cette stratégie pour le protocole OAuth lors de l’authentification.
  • SSO Web pour le tunneling : utilisez cette stratégie pour créer un tunnel de manière à ce que le trafic OAuth ait lieu sur Tunnel - SSO Web. Pour ce faire :
    • Définissez la stratégie Utiliser SSO Web pour le tunneling sur Activé.
    • Sélectionnez l’option Tunnel - SSO Web dans la stratégie d’accès réseau.

      Remarque :

      Pour plus d’informations sur l’activation de STA, consultez la rubrique Connexion à un serveur de messagerie via STA.

    • Excluez les noms d’hôte associés à OAuth de la stratégie Services d’arrière-plan.

Stratégies communes aux appareils iOS et Android :

  • Agent utilisateur personnalisé pour l’authentification moderne : utilisez cette stratégie pour modifier la chaîne de l’agent utilisateur par défaut pour l’authentification moderne.
  • Noms d’hôte Exchange Online approuvés : utilisez cette stratégie pour définir une liste de noms d’hôtes Exchange Online approuvés qui utilisent le mécanisme OAuth pour l’authentification lors de la configuration d’un compte. Il s’agit d’un format séparé par des virgules, tel que serveur.entreprise.com, serveur.entreprise.fr. Cette liste peut contenir une valeur par défaut ou des URL de redirection vers un microsite, mais ne peut pas être vide. La valeur par défaut est outlook.office365.com.
  • Noms d’hôte AD FS de confiance : utilisez cette stratégie pour définir une liste de noms d’hôte AD FS approuvés pour les pages Web où le mot de passe est renseigné lors de l’authentification OAuth Office 365. Il s’agit d’un format séparé par des virgules, tel que sts.companyname.com, sts.company.co.uk. Si la liste est vide, Secure Mail ne remplit pas automatiquement les mots de passe. Secure Mail fait correspondre les noms d’hôte répertoriés au nom d’hôte de la page Web rencontré lors de l’authentification Office 365 et vérifie si la page utilise le protocole HTTPS. Par exemple, lorsque sts.company.com est un nom d’hôte répertorié, si l’utilisateur accède à https://sts.company.com, Secure Mail remplit le mot de passe si la page comporte un champ de mot de passe. La valeur par défaut est login.microsoftonline.com.
  • Serveur Exchange Secure Mail : utilisez cette stratégie pour définir l’adresse de votre serveur Exchange Server. Vous pouvez utiliser cette stratégie pour définir l’adresse du serveur local ou l’adresse du serveur cloud en fonction de vos besoins.
  • Configuration de la redirection HTTP 451 : pour plus d’informations sur la configuration des redirections, consultez l’article du Knowledge Center sur la redirection 451 avec Secure Mail ActiveSync.

Secure Mail pour iOS est maintenant activé avec l’authentification moderne une fois les stratégies actualisées sur l’appareil.

Limitations

  • Si vous utilisez l’authentification moderne dans votre environnement, la fonctionnalité de notifications push enrichies pour iOS n’est pas disponible. Pour plus de détails sur les notifications push enrichies, consultez la section Notifications push pour Secure Mail.
  • Plusieurs comptes ne sont pas pris en charge sur les configurations exécutant l’authentification basée sur les certificats.

Stratégies Secure Mail

Les deux tableaux suivants répertorient les stratégies Secure Mail requises en fonction de votre infrastructure Exchange :

Infrastructure Exchange Mécanisme d’authentification Office 365/Utiliser l’authentification moderne pour O365 Noms d’hôte ADFS de confiance Noms d’hôte Exchange Online approuvés
Local OFF SO SO
Hybride* ON ADFS/IDP Outlook.office365.com ou URL de redirection vers un microsite
Exchange Online ON ADFS/IDP Outlook.office365.com ou URL de redirection vers un microsite
Infrastructure Exchange Serveur Exchange Secure Mail Services réseau d’arrière-plan (iOS) Services réseau d’arrière-plan (Android)
Local Nom d’hôte Exchange local Local Local
Hybride* Local, noms d’hôte Exchange Online Local, Nom d’hôte local Exchange Local, nom d’hôte Exchange local, AD FS/IDP (interne uniquement)
Exchange Online Outlook.office365.com Noms d’hôte Exchange Online Nom d’hôte Exchange local, ADFS, IDP

* Secure Mail prend en charge une infrastructure Exchange hybride avec des boîtes aux lettres migrées.

Si la boîte aux lettres des utilisateurs locaux est migrée vers Exchange Online, Secure Mail détecte automatiquement cette modification et invite les utilisateurs à utiliser une authentification moderne sans avoir à reconfigurer leur compte.

Secure Mail avec matrice de prise en charge OAuth

Le tableau suivant répertorie la matrice de prise en charge de Secure Mail OAuth sur les appareils iOS et Android :

Type d’authentification IDP/ADFS externe IDP/ADFS interne Azure AD Intune
Nom d’utilisateur et mot de passe Oui Oui Oui Oui
Certificat client Oui Android uniquement Non Non
Authentification moderne à l’aide de Microsoft Office 365