问题
有没有办法清除 Windows 10 上的本地缓存文件和/或注册表项,以帮助使 Outlook M365 的单点登录现代身份验证体验正常工作,一旦清除这些数据,应用程序将不得不再次提示进行现代身份验证?(我知道它会再次将这些数据存储在本地)
或者
有哪些选项可帮助在 Exchange Online/Azure AD 级别保持启用 M365 现代身份验证,但无论使用 Outlook M365 桌面应用程序登录的用户是谁,都在特定设备上强制执行基本身份验证?
最终目标:需要Outlook M365 桌面应用程序提示输入所选配置文件的密码在特定计算机上启动时,无论选择了什么 Outlook 用户配置文件,即使该配置文件帐户在上次启动时已通过现代身份验证成功进行身份验证(例如,即使是 3 分钟前)。
尝试过的事情
禁用缓存 Exchange 模式,清除所有本地缓存文件并启用它(单独时间)
切换用户识别 | 始终提示输入登录凭据通过注册表设置在所有缓存模式下启用或禁用选项,将每个配置的所有适用值设置为可能
清除凭证管理器中的所有凭证
在谷歌上搜索了好几次,但还是找不到有用的帖子
存在 Office GPO 设置“防止保存基本身份验证策略的凭据“,但由于始终使用现代身份验证,因此设置它不适用。不过,我在这里找不到任何与现代身份验证等效的选项。
阅读主刷新令牌并考虑找出这个令牌在本地机器上的位置,以及在该级别的解决方案来擦除、防止保存等,看看是否有帮助,但似乎有点蛮力启动
了解使用条件访问策略通用身份和设备访问策略但我不确定这是否可以解决这个问题,或者在深入研究之前是否有更简单的方法
要求/问题
使用 Outlook M365 桌面应用程序,而不需要使用 Web 上的 Outlook \ OWA
选择任何 Outlook M365 桌面应用程序配置文件并始终让其提示进行身份验证
- 如果 user1 配置文件先前已使用现代身份验证进行身份验证,则 user2 即使在 PC 重新启动后也可以继续并选择 user1 配置文件,并且它允许他们无需密码提示即可访问
无论如何都需要保持 Azure AD/Exchange Online 上的现代身份验证启用,以便使用自己的 Windows 配置文件登录的自己的计算机上的用户仍然可以使用无缝单点登录。
最好不要在 Azure AD 帐户上启用 MFA\2FA 作为解决方案,而只让其使用现代身份验证或基本身份验证。
如果可以使用现代身份验证来执行此操作,则在这些计算机上使用基本身份验证让 Outlook 提示输入凭据并不是必需的。
环境细节
- Windows 10 企业版(20H2)
- Windows 用户帐户使用未分配 Azure AD 许可证但可进行 Azure AD 同步的本地 AD 帐户自动登录 Windows。用户登录时无需登录 Windows,只需选择 Outlook 配置文件即可访问电子邮件。
- Azure AD M365 许可帐户无法登录这些计算机上的 Windows
- Outlook M365(适用于企业的 M365 应用)
- Azure AD 帐户将通过构建配置文件连接到 Exchange Online 邮箱,并在选择时进行身份验证
- 可能是 5 个不同的 Azure AD 帐户/Exchange Online 邮箱需要在一天中的不同时间进行连接
- Exchange Online(邮箱连接)
- 通过 Azure AD Connect 从本地 AD 同步 Azure AD
- 传递哈希同步配置
答案1
以下是上述讨论的总结。
Outlook M365 桌面应用程序提示输入密码,而 Outlook 的经典方法无法停止它。
进一步的研究表明,当 Outlook 接受密码时,它会更新.tbres配置文件目录中的文件
AppData\Local\Microsoft\Token Broker\Cache。
Token Broker 是一个 Windows 进程,可帮助管理应用程序和 Windows 应用商店的权限。它由 Web Account Manager 的 Windows 服务实现,描述如下:
Web 帐户管理器使用此服务为应用程序和服务提供单点登录。
这意味着 Outlook M365 桌面应用程序使用 Token Broker 进程来存储其凭据,这解释了为什么常用的补救措施不起作用。这些.tbres文件通常被认为包含(除其他外)凭据信息。
当发布者清除密码时,Outlook 提示输入密码
<User>\AppData\Local\Microsoft\TokenBroker\Cache,但重启后该功能就停止工作了。
我最后的建议是自动删除.tbres被 Outlook 修改的文件,最好在启动 Outlook 之前完成。
答案2
重要的:这仅适用于登录的 Windows 用户帐户没有 M365 许可证、SSO 不隐式工作且所有 M365 许可用户都通过 M365 桌面应用程序的Sign in功能登录到他们的 M365 帐户的情况。
使用未分配 M365 许可证的用户帐户配置文件登录 Windows,因此如果尝试则无法进行身份验证。
完全地禁用展望 M365缓存 Exchange 模式用于登录的 Windows 用户帐户配置文件。
- 使用注册表编辑器添加一个
DWORD名为NoOSTunder 的类型HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Outlook\OST,其值为2
- 使用注册表编辑器添加一个
现在为 Microsoft 365 应用配置启用共享计算机激活在机器上。
- 使用注册表编辑器添加一个字符串值(
Reg_SZ),其SharedComputerLicensing设置为1以下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration。
- 使用注册表编辑器添加一个字符串值(
为了确保没有密码就无法访问 M365 帐户,M365 帐户在离开之前必须始终退出 M365 Office 桌面应用程序帐户。
外表:
File|Office Account|Sign OutWord\Excel:
File|Account|Sign Out使用以下方式注销 M365 帐户单词,Excel, 或者外表还会注销所有其他 M365 Office 桌面应用程序。
奖金发现
验证身份团队独立于已登录的其他 M365 桌面应用程序,因此请明确退出并登录 Teams,并与其他 M365 桌面应用程序结合使用。
Chrome 和 Edge 网络浏览器还需要为每个浏览器单独登录和退出一次,并作为此配置中的单独实体。
因此,根据微软的所有语言Microsoft 365 应用版共享计算机激活概述关于许可令牌和激活的帖子,我将总结并引用一些适用的关键点。
在某些情况下,Microsoft 365 应用会提示用户提供信息。例如,用户可能会看到“激活 Office”对话框。
我相信在这种特定的场景中这是适用的,并且它适用于所有情况,而不是这里的某些情况。
如果用户已获得 Microsoft 365 应用许可,则许可令牌将存储在用户的配置文件文件夹中的计算机上,并且 Microsoft 365 应用已激活
在这种情况下似乎也是如此,但是在这种情况下不会保留令牌,以允许后续对 M365 进行身份验证,以便在注销后无需密码即可进行身份验证。
对登录共享计算机的每个用户重复这些步骤。每个用户都会获得一个唯一的许可令牌。仅仅因为一个用户在计算机上激活了 Microsoft 365 应用并不意味着 Microsoft 365 应用已为登录该计算机的所有其他用户激活。
当您仅登录此配置中的 M365 桌面应用程序时,这将适用于每个应用程序或 M365 Web 身份验证会话,而不会在注销后保留令牌,因此在后续身份验证尝试中始终需要密码。