Autenticação moderna com o Microsoft Office 365

O Secure Mail oferece suporte à autenticação moderna com o Microsoft Office 365 para os Serviços de Federação do Active Directory (AD FS) ou o Provedor de Identidade (IDP). A autenticação moderna é uma autenticação baseada no token OAuth com o nome de usuário e senha. Usuários do Secure Mail com dispositivos iOS podem aproveitar a autenticação baseada em certificado ao conectar-se com o Office 365. Quando eles fazem login no Secure Mail, os usuários se autenticam usando um certificado de cliente, em vez de digitar suas credenciais.

Antes de prosseguir, faça o seguinte:

  1. Ative a autenticação moderna (OAuth) para o Microsoft Office 365.
  2. Ative os pontos de extremidade, URLs e intervalos de endereços IP do Office 365 em seu firewall para garantir a conectividade de rede ideal. Para obter detalhes, consulte a documentação da Microsoft sobre URLs do Office 365 e intervalo de endereços IP.

Nota:

Pré-requisitos da política do Citrix Endpoint Management

Ative as seguintes políticas no console Citrix Endpoint Management:

Para dispositivos que executam o iOS:

  • Mecanismo de autenticação do Office 365: Use esta política para indicar o mecanismo OAuth usado para autenticação durante a configuração de uma conta no Office 365. Essa política possui os seguintes valores que você deve configurar:

    • Não usar OAuth: Use esta política para autenticação básica durante a configuração da conta.
    • Usar OAuth com nome de usuário e senha: Use esta política para o protocolo OAuth durante a autenticação. Os usuários devem fornecer seu nome de usuário e senha e, opcionalmente, um código de autenticação multifator para o fluxo OAuth.
    • Usar OAuth com certificado do cliente: Use esta política se o Office 365 estiver configurado para executar a autenticação baseada em certificado. A configuração padrão é Não usar OAuth.

Para dispositivos que executam o Android:

  • Usar autenticação moderna para o O365: Use esta política para o protocolo OAuth durante a autenticação.
  • Política SSO da Web para encapsulamento: Use esta política para encapsular o tráfego OAuth para passar por Com túnel – SSO de Web. Para isso:
    • Defina a política Usar o SSO da Web para encapsulamento como Ativado.
    • Na política de acesso à rede, selecione a opção Com túnel - SSO de Web.

      Nota:

      Para obter informações sobre como ativar o STA, consulte Conexão a um servidor de email via STA.

    • Exclua os nomes de host relacionados ao OAuth da política de Serviços em segundo plano.

Políticas comuns para dispositivos iOS e Android:

  • Agente de usuário personalizado para autenticação moderna: Use esta política para alterar a sequência do agente do usuário padrão para autenticação moderna.
  • Nomes de host on-line confiáveis do Exchange: Use esta política para definir uma lista de nomes de host confiáveis do Exchange Online que usam o mecanismo de OAuth para autenticação ao configurar uma conta. É um formato de lista separada por vírgulas, como server.company.com, server.company.co.uk. Essa lista pode conter um valor padrão ou URLs intuitivas, mas não pode estar vazia. O valor padrão é outlook.office365.com.
  • Nomes de host AD FS confiáveis: Use essa política para definir uma lista de nomes de host confiáveis do AD FS para páginas da Web em que a senha é preenchida durante a autenticação do Office 365 OAuth. Este é um formato separado por vírgulas, como, por exemplo, sts.companyname.com, sts.company.co.uk. Se a lista estiver vazia, o Secure Mail não insere as senhas automaticamente. O Secure Mail faz a correspondência entre os nomes de host listados com o nome de host da página Web encontrada durante a autenticação do Office 365 e verifica se a página usa o protocolo HTTPS. Por exemplo, quando sts.company.com é um nome de host listado e o usuário navega até https://sts.company.com, o Secure Mail insere a senha se a página tiver um campo de senha. O valor padrão é login.microsoftonline.com.
  • Exchange Server do Secure Mail: Use esta política para definir o endereço do seu Exchange Server. Você pode usar essa política para definir o endereço do servidor local ou o endereço do servidor Cloud, conforme a sua necessidade.
  • Configurar o redirecionamento HTTP 451: Para obter mais informações sobre como configurar os redirecionamentos, consulte o artigo do Knowledge Center Secure Mail ActiveSync redirect 451.

Agora o Secure Mail para iOS é ativado com autenticação moderna após as políticas serem atualizadas no dispositivo.

Limitações

  • Se você estiver usando a autenticação moderna em seu ambiente, o recurso de notificações por push em rich text para iOS não estará disponível. Para obter detalhes sobre as notificações por push avançadas, consulte Notificações por push para o Secure Mail.
  • Não há suporte para várias contas nas configurações que executam a autenticação baseada em certificado.

Políticas do Secure Mail

As duas tabelas a seguir listam as políticas de Secure Mail necessárias com base em sua infraestrutura do Exchange:

Infraestrutura do Exchange Mecanismo de autenticação do Office 365 / Usar autenticação moderna para O365 Nomes de host AD FS online confiáveis Nomes de host online confiáveis do Exchange
No local O N/D N/D
Híbrido* I AD FS/IDP Outlook.office365.com ou URL intuitiva
Exchange online I AD FS/IDP Outlook.office365.com ou URL intuitiva
Infraestrutura do Exchange Exchange Server do Secure Mail Serviços de rede em segundo plano (iOS) Serviços de rede em segundo plano (Android)
No local Nome do host local do Exchange No local No local
Híbrido* no local, nomes de host online do Exchange No local, nome de host local do Exchange No local, nome de host local do Exchange, AD FS/IDP (somente interno)
Exchange online Outlook.office365.com Nomes de host online do Exchange Nome do host local do Exchange, AD FS, IDP

*O Secure Mail suporta uma infraestrutura híbrida do Exchange com caixas de correio migradas.

Se a caixa de correio dos usuários locais for migrada para o Exchange online, o Secure Mail detectará automaticamente essa alteração e solicitará aos usuários uma autenticação moderna sem a necessidade de reconfigurar a conta.

Secure Mail com matriz de suporte OAuth

A tabela a seguir lista a matriz de suporte do Secure Mail OAuth em dispositivos iOS e Android:

Tipo de autenticação IDP/AD FS externo IDP/AD FS interno Azure AD Intune
Nome de usuário e senha Sim Sim Sim Sim
Certificado de cliente Sim Somente Android Não Não
Autenticação moderna com o Microsoft Office 365