我们目前在从不支持现代身份验证的应用程序访问 Office 365 电子邮件时遇到问题。
我们的设置:
- Office 365 - ADFS 3.0 联合域
- 现代身份验证 - 已为 Exchange Online 启用
- 对所有用户强制实施 Azure 多重身份验证
在过去的 6 个月里,这种设置一直有效,但突然就不行了。我向 Office 365 支持部门提交了一个案例,并联系了身份团队。目前,我们仍在与他们一起调查该问题,他们正在重建我们的环境以解决问题。
等待他们的答复,我希望在这里找到一些答案。我们启用了现代身份验证,因此所有支持它的新应用程序都会通过网络浏览器重定向我们以输入 MFA 信息。这适用于所有新应用程序,例如适用于 Android 和 iOS 的 Outlook 应用程序。
有用户抱怨该应用程序,其中一些人想使用默认的 iOS 和 Android 邮件/日历。直到 1 个月前,我们还可以通过在 Azure 多重身份验证中创建应用密码来绕过现代身份验证:https://docs.microsoft.com/en-us/azure/multi-factor-authentication/multi-factor-authentication-whats-next#app-passwords
迄今为止的测试步骤:
没有 ADFS(云身份;[电子邮件保护]) -> 有效。因此,它似乎与 ADFS 和 Modern Auth + MFA 有关。
联合域的 MFA 已禁用 -> 错误。邮件应用显示“密码错误”。
此时我无法测试现代身份验证。禁用后,系统会提示用户输入凭据。
到目前为止,我的结论是微软对现代身份验证进行了后端更改。感觉他们确实启用了某些功能,只要您为租户启用现代身份验证,您就会被强制/限制只能使用支持现代身份验证的应用程序。
过去,我们能够使用我之前提到的应用程序密码绕过这个问题,但有一天——大约 1 个月前(我们这边没有任何变化),所有使用 Classic/Native(基本身份验证)应用程序的用户都被提示输入密码,然后它就停止工作了。即使使用新创建的应用程序密码……
微软正在创建一个类似的测试环境,他们将首先捕获 Fiddler 跟踪来解决问题。与此同时……
有人遇到过同样的问题吗?有什么想法吗?
答案1
我们最终通过删除与 Office 365 的域联合解决了这个问题。
当然,我们仍然需要单点登录和无缝登录,因此我们将 ADFS 替换为:
- https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso
- https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication
有了它,而不是 ADFS,我们设法让应用密码再次工作。我相信微软在后端做了一些改变,就像我在问题中提到的那样……无法证明这一点,但不知何故它不再起作用了。
这是一个很好的选择。