Autenticação moderna com o Microsoft Office 365
O Secure Mail oferece suporte à autenticação moderna com o Microsoft Office 365 para os Serviços de Federação do Active Directory (AD FS) ou o Provedor de Identidade (IDP). A autenticação moderna é uma autenticação baseada no token OAuth com o nome de usuário e senha. Usuários do Secure Mail com dispositivos iOS podem aproveitar a autenticação baseada em certificado ao conectar-se com o Office 365. Quando eles fazem login no Secure Mail, os usuários se autenticam usando um certificado de cliente, em vez de digitar suas credenciais.
Antes de prosseguir, faça o seguinte:
- Ative a autenticação moderna (OAuth) para o Microsoft Office 365.
- Ative os pontos de extremidade, URLs e intervalos de endereços IP do Office 365 em seu firewall para garantir a conectividade de rede ideal. Para obter detalhes, consulte a documentação da Microsoft sobre URLs do Office 365 e intervalo de endereços IP.
Nota:
- Para migrar ou criar uma solução de caixa de correio híbrida do Exchange, consulte Configurações de dispositivo do Exchange ActiveSync com implantações híbridas do Exchange na documentação da Microsoft.
Pré-requisitos da política do Citrix Endpoint Management
Ative as seguintes políticas no console Citrix Endpoint Management:
Para dispositivos que executam o iOS:
-
Mecanismo de autenticação do Office 365: Use esta política para indicar o mecanismo OAuth usado para autenticação durante a configuração de uma conta no Office 365. Essa política possui os seguintes valores que você deve configurar:
- Não usar OAuth: Use esta política para autenticação básica durante a configuração da conta.
- Usar OAuth com nome de usuário e senha: Use esta política para o protocolo OAuth durante a autenticação. Os usuários devem fornecer seu nome de usuário e senha e, opcionalmente, um código de autenticação multifator para o fluxo OAuth.
- Usar OAuth com certificado do cliente: Use esta política se o Office 365 estiver configurado para executar a autenticação baseada em certificado. A configuração padrão é Não usar OAuth.
Para dispositivos que executam o Android:
- Usar autenticação moderna para o O365: Use esta política para o protocolo OAuth durante a autenticação.
-
Política SSO da Web para encapsulamento: Use esta política para encapsular o tráfego OAuth para passar por Com túnel – SSO de Web. Para isso:
- Defina a política Usar o SSO da Web para encapsulamento como Ativado.
- Na política de acesso à rede, selecione a opção Com túnel - SSO de Web.
Nota:
Para obter informações sobre como ativar o STA, consulte Conexão a um servidor de email via STA.
- Exclua os nomes de host relacionados ao OAuth da política de Serviços em segundo plano.
Políticas comuns para dispositivos iOS e Android:
- Agente de usuário personalizado para autenticação moderna: Use esta política para alterar a sequência do agente do usuário padrão para autenticação moderna.
- Nomes de host on-line confiáveis do Exchange: Use esta política para definir uma lista de nomes de host confiáveis do Exchange Online que usam o mecanismo de OAuth para autenticação ao configurar uma conta. É um formato de lista separada por vírgulas, como server.company.com, server.company.co.uk. Essa lista pode conter um valor padrão ou URLs intuitivas, mas não pode estar vazia. O valor padrão é outlook.office365.com.
-
Nomes de host AD FS confiáveis: Use essa política para definir uma lista de nomes de host confiáveis do AD FS para páginas da Web em que a senha é preenchida durante a autenticação do Office 365 OAuth. Este é um formato separado por vírgulas, como, por exemplo,
sts.companyname.com, sts.company.co.uk
. Se a lista estiver vazia, o Secure Mail não insere as senhas automaticamente. O Secure Mail faz a correspondência entre os nomes de host listados com o nome de host da página Web encontrada durante a autenticação do Office 365 e verifica se a página usa o protocolo HTTPS. Por exemplo, quandosts.company.com
é um nome de host listado e o usuário navega atéhttps://sts.company.com
, o Secure Mail insere a senha se a página tiver um campo de senha. O valor padrão élogin.microsoftonline.com
. - Exchange Server do Secure Mail: Use esta política para definir o endereço do seu Exchange Server. Você pode usar essa política para definir o endereço do servidor local ou o endereço do servidor Cloud, conforme a sua necessidade.
- Configurar o redirecionamento HTTP 451: Para obter mais informações sobre como configurar os redirecionamentos, consulte o artigo do Knowledge Center Secure Mail ActiveSync redirect 451.
Agora o Secure Mail para iOS é ativado com autenticação moderna após as políticas serem atualizadas no dispositivo.
Limitações
- Se você estiver usando a autenticação moderna em seu ambiente, o recurso de notificações por push em rich text para iOS não estará disponível. Para obter detalhes sobre as notificações por push avançadas, consulte Notificações por push para o Secure Mail.
- Não há suporte para várias contas nas configurações que executam a autenticação baseada em certificado.
Políticas do Secure Mail
As duas tabelas a seguir listam as políticas de Secure Mail necessárias com base em sua infraestrutura do Exchange:
Infraestrutura do Exchange | Mecanismo de autenticação do Office 365 / Usar autenticação moderna para O365 | Nomes de host AD FS online confiáveis | Nomes de host online confiáveis do Exchange |
---|---|---|---|
No local | O | N/D | N/D |
Híbrido* | I | AD FS/IDP |
Outlook.office365.com ou URL intuitiva |
Exchange online | I | AD FS/IDP |
Outlook.office365.com ou URL intuitiva |
Infraestrutura do Exchange | Exchange Server do Secure Mail | Serviços de rede em segundo plano (iOS) | Serviços de rede em segundo plano (Android) |
---|---|---|---|
No local | Nome do host local do Exchange | No local | No local |
Híbrido* | no local, nomes de host online do Exchange | No local, nome de host local do Exchange | No local, nome de host local do Exchange, AD FS/IDP (somente interno) |
Exchange online | Outlook.office365.com |
Nomes de host online do Exchange | Nome do host local do Exchange, AD FS, IDP |
*O Secure Mail suporta uma infraestrutura híbrida do Exchange com caixas de correio migradas.
Se a caixa de correio dos usuários locais for migrada para o Exchange online, o Secure Mail detectará automaticamente essa alteração e solicitará aos usuários uma autenticação moderna sem a necessidade de reconfigurar a conta.
Secure Mail com matriz de suporte OAuth
A tabela a seguir lista a matriz de suporte do Secure Mail OAuth em dispositivos iOS e Android:
Tipo de autenticação | IDP/AD FS externo | IDP/AD FS interno | Azure AD | Intune |
---|---|---|---|---|
Nome de usuário e senha | Sim | Sim | Sim | Sim |
Certificado de cliente | Sim | Somente Android | Não | Não |