Usar autenticação moderna híbrida com o Outlook para iOS e Android

O aplicativo outlook para iOS e Android foi projetado como a melhor maneira de experimentar o Microsoft 365 ou Office 365 em seu dispositivo móvel usando os serviços da Microsoft para ajudar a encontrar, planejar e priorizar sua vida diária e trabalho. O Outlook fornece a segurança, a privacidade e os suportes necessários ao proteger dados corporativos por meio de recursos como Microsoft Entra acesso condicional e políticas de proteção de aplicativo do Intune. As seções a seguir fornecem uma visão geral da arquitetura híbrida de Autenticação Moderna, os pré-requisitos necessários para sua implantação e como implantar com segurança as caixas de correio locais do Outlook para iOS e Android for Exchange.

Arquitetura do Microsoft Cloud para clientes de Exchange Server híbridos

O Outlook para iOS e Android é um aplicativo com backup de nuvem. Essa característica indica que sua experiência consiste em um aplicativo instalado localmente alimentado por um serviço seguro e escalonável em execução na Nuvem da Microsoft.

Para caixas de correio Exchange Server, a arquitetura do Outlook para iOS e Android é incorporada diretamente ao Microsoft Cloud, fornecendo aos clientes mais benefícios, como segurança, privacidade, conformidade interna e operações transparentes às quais a Microsoft se compromete no Microsoft Trust Center e no Azure Trust Center.

Dentro da arquitetura baseada no Microsoft 365 ou Office 365, o Outlook para iOS e Android usa a tecnologia nativa de sincronização da Microsoft para sincronização de dados protegida por uma conexão TLS de ponta a ponta, entre o Microsoft 365 ou Office 365 e o aplicativo.

A conexão Exchange ActiveSync (EAS) entre Exchange Online e o ambiente local permite a sincronização dos dados locais dos usuários e inclui quatro semanas de email, todos os dados de calendário, todos os dados de contato e status fora do escritório em seu locatário Exchange Online. Esses dados serão removidos automaticamente do Exchange Online após 30 dias, quando a conta é excluída no Microsoft Entra ID.

A sincronização de dados entre o ambiente local e Exchange Online acontece independentemente do comportamento do usuário. Essa independência garante que possamos enviar novas mensagens rapidamente aos dispositivos.

O processamento de informações no Microsoft Cloud permite recursos e recursos avançados, como a categorização de email para a Caixa de Entrada Focada, a experiência personalizada para viagens e calendário e a velocidade de pesquisa aprimorada. Confiar na nuvem para processamento intensivo e minimizar os recursos necessários dos dispositivos dos usuários melhora o desempenho e a estabilidade do aplicativo. Por fim, ele permite que o Outlook crie recursos que funcionam em todas as contas de email, independentemente das funcionalidades tecnológicas dos servidores subjacentes (como versões diferentes de Exchange Server, Microsoft 365 ou Office 365).

Especificamente, essa nova arquitetura tem as seguintes melhorias:

1. Enterprise Mobility + Security suporte: os clientes podem aproveitar o Microsoft Enterprise Mobility + Security (EMS), incluindo Microsoft Intune e Microsoft Entra ID P1 ou P2, para habilitar o acesso condicional e as políticas de proteção de aplicativo do Intune, que controlam e protegem dados de mensagens corporativas no dispositivo móvel.

2. Totalmente alimentados pelo Microsoft Cloud: os dados da caixa de correio local são sincronizados em Exchange Online, o que fornece os benefícios de segurança, privacidade, conformidade e operações transparentes com as quais a Microsoft se compromete no Microsoft Trust Center.

3. O OAuth protege as senhas dos usuários: o Outlook usa o OAuth (Autenticação Moderna híbrida) para proteger as credenciais dos usuários. A Autenticação Moderna Híbrida fornece ao Outlook um mecanismo seguro para acessar os dados do Exchange sem nunca tocar ou armazenar as credenciais de um usuário. Na entrada, o usuário se autentica diretamente em uma plataforma de identidade (Microsoft Entra ID ou um provedor de identidade local como o ADFS) e recebe um token de acesso em troca, o que concede ao Outlook acesso à caixa de correio ou arquivos do usuário. O serviço não tem acesso à senha do usuário em nenhum momento.

4. Fornece IDs exclusivas do dispositivo: cada conexão do Outlook é registrada exclusivamente em Microsoft Intune e, portanto, pode ser gerenciada como uma conexão exclusiva.

5. Desbloqueia novos recursos no iOS e Android: essa atualização permite que o aplicativo do Outlook aproveite os recursos nativos do Microsoft 365 ou Office 365 que não têm suporte no Exchange local hoje, como usar a pesquisa Exchange Online completa e a Caixa de Entrada Focada. Esses recursos só estarão disponíveis ao usar o Outlook para iOS e Android.

Observação

O gerenciamento de dispositivos por meio do centro de administração local do Exchange (EAC) não é possível. O Intune é necessário para gerenciar dispositivos móveis.

Controles de segurança, acesso e auditoria de dados

Com os dados locais sendo sincronizados com Exchange Online, os clientes têm dúvidas sobre como os dados são protegidos no Exchange Online. A criptografia no Microsoft Cloud discute como o BitLocker é usado para criptografia no nível do volume. A Criptografia de Serviço com a Chave do Cliente do Microsoft Purview tem suporte na arquitetura do Outlook para iOS e Android, mas observe que o usuário deve ter uma licença Office 365 Enterprise E5 (ou as versões correspondentes desses planos para Governo ou Educação) para ter uma política de criptografia atribuída usando o cmdlet set-mailuser.

Por padrão, os engenheiros da Microsoft não têm privilégios administrativos permanentes e zero acesso permanente ao conteúdo do cliente no Microsoft 365 ou Office 365. Os Controles de Acesso Administrativo discutem a triagem de pessoal, verificações em segundo plano, lockbox e caixa de bloqueio do cliente e muito mais.

A documentação de Controles Auditados do ISO no Service Assurance fornece o status de controles auditados de padrões e regulamentos globais de segurança da informação que o Microsoft 365 e Office 365 implementaram.

Fluxo de conexão

Quando o Outlook para iOS e Android está habilitado com a Autenticação Moderna híbrida, o fluxo de conexão é o seguinte.

1. Depois que o usuário insere seu endereço de email, o Outlook para iOS e Android se conecta ao serviço AutoDetect. AutoDetect determina o tipo de caixa de correio iniciando uma consulta AutoDiscover para Exchange Online. Exchange Online determina que a caixa de correio do usuário é local e retorna um redirecionamento de 302 para AutoDetect com a URL de Descoberta Automática local. O AutoDetect inicia uma consulta no serviço de AutoDiscover local para determinar o ponto de extremidade ActiveSync para o endereço de email. A tentativa de URL no local é semelhante a este exemplo: <https://autodiscover.contoso.com/autodiscover/autodiscover.json?Email=test%40contoso.com&Protocol=activesync&RedirectCount=3>.

2. O AutoDetect inicia uma conexão com a URL do ActiveSync local retornada na Etapa 1 acima com um desafio de portador vazio. O desafio de portador vazio informa ao ActiveSync local que o cliente dá suporte à Autenticação Moderna. O ActiveSync local responde com uma resposta de desafio 401 e inclui o cabeçalho WWW-Authenticate: Bearer . No cabeçalho WWW-Authenticate: Bearer é o valor authorization_uri que identifica o ponto de extremidade Microsoft Entra que deve ser usado para obter um token OAuth.

3. AutoDetect retorna o ponto de extremidade Microsoft Entra para o cliente. O cliente inicia o fluxo de log e o usuário é apresentado com um formulário Web (ou redirecionado para o aplicativo Microsoft Authenticator) e pode inserir credenciais. Dependendo da configuração de identidade, esse processo pode ou não envolver um redirecionamento de ponto de extremidade federado para um provedor de identidade local. Em última análise, o cliente obtém um par de tokens de acesso e atualização, que se chama AT1/RT1. Esse token de acesso é escopo para o cliente Outlook para iOS e Android com um público-alvo do ponto de extremidade Exchange Online.

4. O Outlook para iOS e Android estabelece uma conexão com Exchange Online e emite uma solicitação de provisionamento que inclui o token de acesso do usuário (AT1) e o ponto de extremidade activeSync local.

5. A API de provisionamento de MRS no Exchange Online usa o AT1 como entrada e obtém um segundo par de tokens de acesso e atualização (chamado AT2/RT2) para acessar a caixa de correio local por meio de uma chamada em nome do Active Directory. Este segundo token de acesso é escopo com o cliente sendo Exchange Online e uma audiência do ponto de extremidade do namespace activeSync local.

6. Se a caixa de correio não estiver provisionada, a API de provisionamento criará uma caixa de correio.

7. A API de provisionamento mrs estabelece uma conexão segura com o ponto de extremidade activeSync local e sincroniza os dados de mensagens do usuário usando o token de acesso AT2 como o mecanismo de autenticação. O RT2 é usado periodicamente para gerar um novo AT2 para que os dados possam ser sincronizados em segundo plano sem intervenção do usuário.

8. Os dados são retornados ao cliente.

Requisitos técnicos e de licenciamento

A arquitetura de Autenticação Moderna híbrida tem os seguintes requisitos técnicos:

Observação

As contas locais que aproveitam a Autenticação Moderna híbrida com o Outlook mobile não têm suporte com Office 365 locatários da Comunidade e Defesa do Governo dos EUA, Office 365 locatários alemães e Office 365 China operada por 21 locatários daVianet.

1. Configuração local do Exchange:

   • Exchange Server CU1 (Atualização Cumulativa 1) 2019 ou posterior, Exchange Server CU8 (Atualização Cumulativa 8) de 2016 ou posterior, ou Exchange Server CU19 2013 ou posterior em todos os servidores do Exchange. Em implantações híbridas (Exchange local e Exchange Online) ou em organizações que usam Arquivamento do Exchange Online (EOA) com sua implantação local do Exchange, você precisa implantar a CU mais atual ou uma CU antes da mais atual.

   • Todos os servidores exchange 2007 ou Exchange 2010 devem ser removidos do ambiente. Essas versões do Exchange estão sem suporte e não funcionarão com o Outlook gerenciado pelo Intune para iOS e Android. Nesta arquitetura, o Outlook para iOS e Android usa o OAuth como o mecanismo de autenticação. Uma das alterações de configuração locais que ocorrem permite o ponto de extremidade OAuth para o Microsoft Cloud como o ponto de extremidade de autorização padrão. Quando essa alteração é feita, os clientes podem começar a negociar o uso do OAuth. Como essa alteração abrange toda a organização, as caixas de correio do Exchange 2010 encadeadas pelo Exchange 2013 ou 2016 pensarão incorretamente que podem fazer OAuth e acabarão em um estado desconectado, já que o Exchange 2010 não dá suporte ao OAuth como um mecanismo de autenticação.

2. Sincronização do Active Directory. Sincronização do Active Directory de todo o diretório de destinatário de email local com Microsoft Entra ID, por meio do Microsoft Entra Connect. Se você tiver Microsoft Entra aplicativo e filtragem de atributo habilitado na configuração do Microsoft Entra Connect, verifique se os seguintes aplicativos estão selecionados:

   • Office 365 ProPlus
   • Exchange Online
   • Azure RMS
   • Intune

   Se você não tiver Microsoft Entra aplicativo e filtragem de atributo habilitada na configuração Microsoft Entra Connect, todos os aplicativos necessários já serão selecionados por padrão.

   Importante

   O Outlook para iOS e Android usa a lista de endereços global Exchange Online do locatário para caixas de correio locais que aproveitam a Autenticação Moderna híbrida. Se todos os destinatários de email não forem sincronizados em Microsoft Entra ID, os usuários terão problemas de fluxo de email.

3. Configuração híbrida do Exchange: requer uma relação híbrida completa entre o Exchange local com Exchange Online.

   • Uma organização híbrida do Microsoft 365 ou Office 365 está configurada em configuração híbrida completa usando o modo topologia híbrida clássica do Exchange e é configurada conforme especificado no Assistente de Implantação do Exchange.

     Observação

     A Autenticação Moderna Híbrida não tem suporte com o Agente Híbrido.

   • Requer uma organização do Microsoft 365 ou Office 365 Enterprise, Empresas ou Educação.

   • Os dados da caixa de correio local são sincronizados na mesma região do datacenter em que a organização do Microsoft 365 ou Office 365 está configurada ou na região do datacenter definida no PreferredDataLocation da conta. Para obter mais informações sobre onde os dados do Microsoft 365 e Office 365 estão localizados, visite o Centro de Confiança da Microsoft. Para obter mais informações sobre PreferredDataLocation, consulte Recursos multi-geográficos.

   • Os nomes de host de URL externa para Exchange ActiveSync e AutoDiscover devem ser publicados como entidades de serviço para Microsoft Entra ID por meio do Assistente de Configuração Híbrida.

   • Namespaces autoDiscover e Exchange ActiveSync devem estar acessíveis pela Internet e não podem ser frontados por uma solução de pré-autenticação.

   • Verifique se o descarregamento de SSL ou TLS não está sendo usado entre o balanceador de carga e seus servidores exchange, pois essa configuração afetará o uso do token OAuth. Há suporte para a ponte SSL e TLS (terminação e reencritação).

4. Configuração do Intune: há suporte para implantações autônomas e de Cogerenciamento do Intune (não há suporte para Mobilidade básica e segurança para o Microsoft 365).

5. Licenciamento do Microsoft 365 e Office 365:

   • O Outlook para iOS e Android é gratuito para uso do consumidor na loja de aplicativos do iOS e no Google Play. No entanto, os usuários comerciais exigem uma assinatura do Microsoft 365 ou Office 365 que inclua os aplicativos da área de trabalho do Office: Microsoft 365 Apps for Business, Microsoft 365 Business Standard, Microsoft 365 Apps para Grandes Empresas, Office 365 Enterprise E3, Office 365 Enterprise E5 ou as versões correspondentes desses planos para Governo ou Educação. Os usuários comerciais com as seguintes assinaturas podem usar o aplicativo móvel do Outlook em dispositivos com telas integradas 10.1" na diagonal ou menos: Office 365 Enterprise E1, Office 365 F1, Office 365 A1, Microsoft 365 Business Basic e se você tiver apenas um Exchange Online licença (sem Office). Se você tiver apenas uma licença do Exchange local (Exchange Server), não será licenciado para usar o aplicativo.
   • O uso de recursos avançados de Exchange Online (por exemplo, a Criptografia de Serviço com Chave do Cliente ou Recursos Multi-Geográficos) exige que o usuário local tenha a licença de assinatura Office 365 ou Microsoft 365 aplicável no Centro de Administração Microsoft 365.

   Para obter mais informações sobre como atribuir uma licença, consulte Adicionar usuários individualmente ou em massa.

6. Licenciamento do EMS: cada usuário local deve ter uma das seguintes licenças:

   • Autônomo do Intune + Microsoft Entra ID P1 ou P2 ou Microsoft Entra ID P1 ou P2
   • Enterprise Mobility + Security E3, Enterprise Mobility + Security E5

Etapas de implementação

Habilitar o suporte para autenticação moderna híbrida em sua organização requer cada uma das seguintes etapas, que são detalhadas nas seguintes seções:

1. Criar uma política de Acesso Condicional:
2. Criar uma política de proteção de aplicativo do Intune
3. Habilitar a Autenticação Moderna Híbrida

Criar uma política de Acesso Condicional:

Quando uma organização decide padronizar como os usuários acessam os dados do Exchange, usando o Outlook para iOS e Android como o único aplicativo de email para usuários finais, eles podem configurar uma política de acesso condicional que bloqueia outros métodos de acesso móvel. O Outlook para iOS e Android se autentica por meio do objeto de identidade Microsoft Entra e se conecta ao Exchange Online. Portanto, você precisará criar políticas de acesso condicional Microsoft Entra para restringir a conectividade do dispositivo móvel a Exchange Online. Para fazer essa tarefa, você precisará de duas políticas de acesso condicional, com cada política direcionada a todos os usuários potenciais. Detalhes sobre como criar essas políticas podem ser encontrados no Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.

1. Siga as etapas em Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis. Essa política permite o Outlook para iOS e Android, mas bloqueia o OAuth e a autenticação básica capazes de Exchange ActiveSync clientes móveis de se conectarem a Exchange Online.

   Observação

   Essa política garante que os usuários móveis possam acessar todos os pontos de extremidade do Office usando os aplicativos aplicáveis.

2. Siga as etapas em Bloquear Exchange ActiveSync em todos os dispositivos, o que impede que Exchange ActiveSync clientes que usam a autenticação básica em dispositivos não móveis se conectem a Exchange Online.

   As políticas acima usam o controle de concessão Exigir política de proteção de aplicativo, o que garante que uma Política de Proteção de Aplicativo do Intune seja aplicada à conta associada no Outlook para iOS e Android antes de conceder acesso. Se o usuário não for atribuído a uma Política de Proteção de Aplicativo do Intune, não estiver licenciado para o Intune ou o aplicativo não estiver incluído na Política de Proteção de Aplicativo do Intune, a política impedirá que o usuário obtenha um token de acesso e obtenha acesso aos dados de mensagens.

3. Por fim, siga Bloquear a autenticação herdada com Microsoft Entra Acesso Condicional para bloquear a autenticação herdada para outros protocolos do Exchange em dispositivos iOS e Android; essa política deve ter como alvo apenas o Microsoft 365 ou Office 365 Exchange Online aplicativos de nuvem e plataformas de dispositivos iOS e Android. Essa abordagem garante que aplicativos móveis usando protocolos Do Exchange Web Services, IMAP4 ou POP3 com autenticação básica não possam se conectar a Exchange Online.

Importante

Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso condicional baseado em aplicativo com o Intune.

Para impedir que outros clientes de dispositivo móvel (como o cliente de email nativo incluído no sistema operacional móvel) se conectem ao seu ambiente local (que se autentica por meio da autenticação básica em Active Directory local):

Você pode usar as regras internas de acesso de dispositivo móvel do Exchange e impedir que todos os dispositivos móveis se conectem definindo o seguinte comando no Shell de Gerenciamento do Exchange:

Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block

Observação

Ao implementar o cmdlet local acima, esteja ciente de que ele pode afetar os usuários que se conectam ao Exchange local com seus dispositivos móveis.

Criar uma política de proteção de aplicativo do Intune

Depois que a Autenticação Moderna híbrida estiver habilitada, todos os usuários móveis locais poderão usar o Outlook para iOS e Android usando a arquitetura baseada em Office 365 ou Microsoft 365. Portanto, é importante proteger dados corporativos com uma política de proteção de aplicativo do Intune.

Crie políticas de proteção de aplicativo do Intune para iOS e Android usando as etapas documentadas em Como criar e atribuir políticas de proteção de aplicativo. No mínimo, cada política deve cumprir as seguintes condições:

1. Eles incluem todos os aplicativos móveis da Microsoft, como Word, Excel ou PowerPoint, pois essa inclusão garantirá que os usuários possam acessar e manipular dados corporativos em qualquer aplicativo da Microsoft de forma segura.

2. Eles imitam os recursos de segurança que o Exchange fornece para dispositivos móveis, incluindo:

   • Exigir um PIN para acesso (que inclui Selecionar Tipo, comprimento PIN, Permitir PIN Simples, Permitir impressão digital)
   • Criptografar dados do aplicativo
   • Impedir a execução de aplicativos gerenciados em dispositivos "jailbroken" e enraizados

3. Eles são atribuídos a todos os usuários. Essa atribuição ampla garante que todos os usuários estejam protegidos, independentemente de usarem o Outlook para iOS e Android.

Além dos requisitos mínimos de política acima, você deve considerar a implantação de configurações avançadas de política de proteção , como Restringir corte, cópia e colar com outros aplicativos para evitar ainda mais o vazamento de dados corporativos. Para obter mais informações sobre as configurações disponíveis, confira Configurações de política de proteção de aplicativo Android em configurações de política de proteção de aplicativo do Microsoft Intune e iOS.

Importante

Para aplicar políticas de proteção de aplicativos do Intune contra aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune. Para obter mais informações, consulte Configurações de política de proteção de aplicativo Android no Microsoft Intune.

Habilitar a Autenticação Moderna Híbrida

1. Se você ainda não habilitou a Autenticação Moderna Híbrida, examine os pré-requisitos conforme descrito na visão geral e pré-requisitos da Autenticação Moderna Híbrida para usá-la com servidores locais Skype for Business e Exchange. Depois de concluir os pré-requisitos, execute as etapas em Como configurar Exchange Server local para usar a Autenticação Moderna híbrida.

2. Criar uma regra de acesso ao dispositivo local do Exchange permite que Exchange Online se conecte ao ambiente local usando o protocolo ActiveSync:

   If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
   

   Observação

   O gerenciamento de dispositivos por meio do centro de administração local do Exchange não é possível. O Intune é necessário para gerenciar dispositivos móveis.

3. Crie uma regra de acesso ao dispositivo local do Exchange que impede que os usuários se conectem ao ambiente local com o Outlook para iOS e Android com autenticação básica no protocolo Exchange ActiveSync:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
   

   Observação

   Depois que essa regra for criada, o Outlook para iOS e Android com usuários básicos de autenticação será bloqueado.

4. Verifique se o maxRequestLength Exchange ActiveSync local está configurado para corresponder ao MaxSendSize/MaxReceiveSize da configuração de transporte:

   • Caminho: %ExchangeInstallPath%\FrontEnd\HttpProxy\Sync\web.config
   • Propriedade: maxRequestLength
   • Valor: definido no tamanho do KB (10 MB é 10240, por exemplo)

Recursos do cliente que não têm suporte

Os recursos a seguir não têm suporte para caixas de correio locais usando a Autenticação Moderna híbrida com o Outlook para iOS e Android.

• Sincronização de rascunho de pasta e rascunho de mensagens
• Exibindo mais de quatro semanas de email usando o link "Carregar Mais Mensagens" na parte inferior da lista de mensagens
• Acesso ao calendário compartilhado e acesso ao calendário de delegados
• Acesso compartilhado e delegado a dados da caixa de correio
• Hora de sair da Cortana/Tempo de Viagem
• Locais de reunião avançados
• Gerenciamento de tarefas com o Microsoft To Do
• Suplementos
• Calendários Interessantes
• Reproduzir meus emails
• Rotulagem de confidencialidade
• S/MIME

Os seguintes recursos só têm suporte quando a infraestrutura local usa Exchange Server 2016 e posterior:

• Anexos de calendário

Perguntas frequentes sobre fluxo de conexão

P: Minha organização tem uma política de segurança que exige que as conexões de entrada da Internet sejam restritas a endereços IP aprovados ou FQDNs. Essa configuração é possível com essa arquitetura?

R: A Microsoft recomenda que os pontos de extremidade locais para protocolos AutoDiscover e ActiveSync sejam abertos e acessíveis da Internet sem restrições. Em determinadas situações que podem não ser possíveis. Por exemplo, se você estiver em um período de coexistência com outra solução UEM (gerenciamento unificado de ponto de extremidade) de terceiros, talvez queira colocar restrições no protocolo ActiveSync para impedir que os usuários ignorem a solução UEM enquanto migram para o Intune e o Outlook para iOS e Android. Se você precisar colocar restrições no firewall local ou em dispositivos de borda do gateway, a Microsoft recomenda filtrar com base em pontos de extremidade FQDN. Se os pontos de extremidade FQDN não puderem ser usados, filtre em endereços IP. Verifique se as seguintes sub-redes IP e FQDNs estão incluídas em sua lista de permissões:

• Todos os Exchange Online intervalos de sub-rede de IP e FQDNs, conforme definido em Mais pontos de extremidade não incluídos no serviço Web de URL e endereço IP do Microsoft 365 ou Office 365.

• Os intervalos de sub-rede de FQDNs e IP do AutoDetect definidos em pontos de extremidade adicionais não incluídos no microsoft 365 ou Office 365 endereço IP e no serviço Web de URL. Essas sub-redes IP e FQDNs são necessárias porque o serviço AutoDetect estabelece conexões com a infraestrutura local.

• Todos os FQDNs do aplicativo móvel do Outlook e Android e Office, conforme definido no Microsoft 365 e Office 365 URLs e intervalos de endereços IP.

P: Minha organização atualmente usa uma solução UEM de terceiros para controlar a conectividade do dispositivo móvel. Se eu expor o namespace Exchange ActiveSync na Internet, isso introduzirá uma maneira de os usuários ignorarem a solução UEM de terceiros durante o período de coexistência. Como posso evitar essa situação?

R: Há três soluções em potencial para resolver esse problema:

1. Implemente regras de acesso de dispositivo móvel do Exchange para controlar quais dispositivos são aprovados para se conectar.
2. Algumas soluções UEM de terceiros se integram às regras de acesso de dispositivo móvel do Exchange, bloqueando o acesso não aprovado, ao mesmo tempo em que adicionam dispositivos aprovados na propriedade ActiveSyncAllowedDeviceIDs do usuário.
3. Implemente restrições de IP no namespace Exchange ActiveSync.

P: Posso usar o Azure ExpressRoute para gerenciar o tráfego entre o Microsoft Cloud e meu ambiente local?

R: A conectividade com o Microsoft Cloud requer conectividade com a Internet. A Microsoft recomenda expor o AutoDiscover e Exchange ActiveSync diretamente à Internet; para obter mais informações, consulte Microsoft 365 e Office 365 Princípios de Conectividade de Rede. No entanto, o Azure ExpressRoute tem suporte para cenários híbridos do Exchange. Para obter mais informações, consulte Azure ExpressRoute para Microsoft 365 e Office 365.

Com o ExpressRoute, não há espaço IP privado para conexões do ExpressRoute, nem pode haver resolução DNS "privada". Isso significa que qualquer ponto de extremidade que sua empresa deseja usar no ExpressRoute deve resolve em DNS público. Se esse ponto de extremidade for resolvido para um IP contido nos prefixos anunciados associados ao circuito do ExpressRoute (sua empresa deve configurar esses prefixos no portal do Azure quando você habilitar o emparelhamento da Microsoft na conexão ExpressRoute), a conexão de saída de Exchange Online para o ambiente local será roteada pelo circuito do ExpressRoute. Sua empresa precisará garantir que o tráfego de retorno associado a essas conexões passe pelo circuito do ExpressRoute (evitando o roteamento assimétrico).

Importante

Como sua empresa adicionará os namespaces Exchange AutoDiscover e ActiveSync aos prefixos anunciados no circuito do ExpressRoute, a única maneira de alcançar os pontos de extremidade Exchange AutoDiscover e ActiveSync será por meio do ExpressRoute. Em outras palavras, o único dispositivo móvel que poderá se conectar ao local por meio dos namespaces AutoDiscover e ActiveSync será o Outlook para iOS e Android. Todos os outros clientes (como os clientes de email nativos de dispositivos móveis) não poderão se conectar ao ambiente local, pois a conexão não será estabelecida a partir do Microsoft Cloud. Isso ocorre porque não pode haver sobreposições do espaço ip público anunciado para a Microsoft no circuito do ExpressRoute e do espaço IP público anunciado em seus circuitos de Internet.

P: Dado que apenas quatro semanas de dados de mensagem são sincronizados com Exchange Online, isso significa que as consultas de pesquisa executadas no Outlook para iOS e Android não podem retornar informações além dos dados disponíveis no dispositivo local?

R: Quando uma consulta de pesquisa é executada no Outlook para iOS e Android, os itens que correspondem à consulta de pesquisa são retornados se estiverem localizados no dispositivo. Além disso, a consulta de pesquisa é passada para o Exchange local por meio de Exchange Online. O Exchange local executa a consulta de pesquisa na caixa de correio local e retorna os resultados para Exchange Online, que retransmite os resultados para o cliente. Os resultados da consulta local são armazenados em Exchange Online por um dia antes de serem excluídos.

P: Como fazer sabe que a conta de email foi adicionada corretamente no Outlook para iOS e Android?

R: As caixas de correio locais adicionadas por meio da Autenticação Moderna híbrida são rotuladas como Exchange (híbrida) nas configurações da conta no Outlook para iOS e Android, semelhantes ao exemplo a seguir:

Perguntas frequentes sobre autenticação

P: Quais configurações de identidade têm suporte com a Autenticação Moderna híbrida e o Outlook para iOS e Android?

R: As seguintes configurações de identidade com Microsoft Entra ID têm suporte com a Autenticação Moderna híbrida:

• Identidade federada com qualquer provedor de identidade local com suporte de Microsoft Entra ID
• Sincronização de hash de senha por meio do Microsoft Entra Connect
• Autenticação de passagem por meio do Microsoft Entra Connect

P: Qual mecanismo de autenticação é usado para o Outlook para iOS e Android? As credenciais são armazenadas no Microsoft 365 ou Office 365?

R: Consulte Configuração da conta com autenticação moderna no Exchange Online.

P: O Outlook para iOS e Android e outros aplicativos móveis do Microsoft Office dão suporte ao logon único?

R: Consulte Configuração da conta com autenticação moderna no Exchange Online.

P: Qual é o tempo de vida dos tokens gerados e usados pela ADAL (Biblioteca de Autenticação do Active Directory) no Outlook para iOS e Android?

R: Consulte Configuração da conta com autenticação moderna no Exchange Online.

P: O que acontece com o token de acesso quando a senha de um usuário é alterada?

R: Consulte Configuração da conta com autenticação moderna no Exchange Online.

P: Há uma maneira de um usuário ignorar o AutoDetect ao adicionar sua conta ao Outlook para iOS e Android?

R: Sim, um usuário pode ignorar o AutoDetect a qualquer momento e configurar manualmente a conexão usando a autenticação básica pelo protocolo Exchange ActiveSync. Para garantir que o usuário não estabeleça uma conexão com seu ambiente local por meio de um mecanismo que não dá suporte a políticas de proteção de aplicativo Microsoft Entra Acesso Condicional ou Intune, o Administrador do Exchange local precisa configurar uma regra de acesso de dispositivo do Exchange que bloqueia a conexão ActiveSync. Para fazer essa tarefa, digite o seguinte comando no Shell de Gerenciamento do Exchange:

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

P: O que acontece quando uma organização passa da autenticação básica com o Outlook para iOS e Android para a autenticação moderna híbrida?

R: Depois que uma organização habilita a autenticação moderna híbrida seguindo as etapas de implementação acima, os usuários finais precisam excluir seu perfil de conta existente no Outlook para iOS e Android, pois o perfil usa autenticação básica. Em seguida, os usuários finais podem criar um novo perfil que usará a autenticação moderna híbrida.

Solução de problemas

Abaixo estão os problemas ou erros mais comuns com caixas de correio locais usando a Autenticação Moderna híbrida com o Outlook para iOS e Android.

AutoDiscover e ActiveSync

Durante a criação do perfil, o usuário deve apresentar uma caixa de diálogo Autenticação Moderna semelhante à da seguinte captura de tela:

Se, em vez disso, o usuário for presenteado com uma das caixas de diálogo a seguir, haverá um problema com os pontos de extremidade locais Autodiscover ou ActiveSync.

Aqui está um exemplo de um usuário que está sendo apresentado com a experiência de autenticação básica herdada Exchange ActiveSync:

E aqui está um exemplo do que os usuários veem quando o AutoDetect não é capaz de descobrir a configuração das caixas de correio locais dos usuários.

Em qualquer cenário, verifique se o ambiente local está configurado corretamente. Para fazer essa tarefa: na Galeria do TechNet, baixe e execute o script para Validar a configuração de Autenticação Moderna Híbrida para Outlook para iOS e Android.

Ao examinar a saída do script, você deverá ver a seguinte saída do AutoDiscover:

{
    "Protocol": "activesync",
    "Url": "https://mail.contoso.com/Microsoft-Server-ActiveSync"
}

O ponto de extremidade do ActiveSync local deve retornar a seguinte resposta, em que o cabeçalho WWW-Authenticate inclui um authorization_uri:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@5de110f8-2e0f-4d45-891d-bcf2218e253d,00000004-0000-0ff1-ce00-000000000000@contoso.com", token_types="app_asserted_user_v1 service_asserted_app_v1", authorization_uri="https://login.windows.net/common/oauth2/authorize"
Www-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →5ca2c827-5147-474c-8457-63c4e5099c6e

Se as respostas AutoDiscover ou ActiveSync não forem semelhantes aos exemplos acima, você poderá investigar as seguintes causas para serem as possíveis:

1. Se o ponto de extremidade AutoDiscover não puder ser atingido, é provável que haja um problema de configuração de firewall ou balanceador de carga (por exemplo, as restrições de IP são configuradas e os intervalos de IP necessários não estão presentes). Além disso, pode haver um dispositivo na frente do Exchange que exige pré-autenticação para acessar o ponto de extremidade AutoDiscover.

2. Se o ponto de extremidade AutoDiscover não retornar a URL correta, haverá um problema de configuração com o valor ExternalURL do diretório virtual ActiveSync.

3. Se o ponto de extremidade ActiveSync não puder ser atingido, haverá um problema de configuração de firewall ou balanceador de carga. Novamente, um exemplo é que as restrições de IP estão configuradas e os intervalos de IP necessários não estão presentes. Além disso, pode haver um dispositivo na frente do Exchange que exige pré-autenticação para acessar o ponto de extremidade ActiveSync.

4. Se o ponto de extremidade ActiveSync não contiver um valor authorization_uri, verifique se o servidor de autenticação EvoSTS está configurado como o ponto de extremidade padrão usando o Shell de Gerenciamento do Exchange:

   Get-AuthServer EvoSts | Format-List IsDefaultAuthorizationEndpoint
   

5. Se o ponto de extremidade ActiveSync não contiver um cabeçalho WWW-Authenticate, um dispositivo na frente do Exchange poderá estar respondendo à consulta.

Problemas de sincronização do cliente

Há alguns cenários que podem resultar em dados obsoletos no Outlook para iOS e Android. Normalmente, essa condição de dados é devido a um problema com o segundo token de acesso (o token usado pela MRS em Exchange Online para sincronizar os dados com o ambiente local). Os dois motivos mais comuns para esse problema são:

• Descarregamento do SSL/TLS local.
• Problemas de metadados de certificado EvoSTS.

Com o descarregamento do SSL/TLS, os tokens são emitidos para um uri específico e esse valor inclui o valor do protocolo ("https://"). Quando o balanceador de carga descarrega O SSL/TLS, a solicitação recebida pelo Exchange entra por meio de HTTP, resultando em uma incompatibilidade de declaração devido ao valor do protocolo ser http://. O exemplo a seguir mostra um cabeçalho de resposta de um rastreamento do Fiddler:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@00c118a9-2de9-41d3-b39a-81648a7a5e4d", authorization_uri="https://login.windows.net/common/oauth2/authorize", error="invalid_token"
WWW-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →2323088f-8838-4f97-a88d-559bfcf92866
x-ms-diagnostics →2000003;reason="The hostname component of the audience claim value is invalid. Expected 'https://mail.contoso.com'. Actual 'http://mail.contoso.com'.";error_category="invalid_resource"

Conforme especificado acima na seção Requisitos técnicos e de licenciamento, não há suporte para descarregamento de SSL/TLS para fluxos OAuth.

Para metadados de certificado EvoSTS, os metadados de certificado usados pelo EvoSTS são ocasionalmente atualizados no Microsoft 365 ou Office 365. A caixa de correio de arbitragem local do Exchange que tem a capacidade de organização de "OrganizationCapabilityManagement" é responsável por detectar as alterações e por atualizar os metadados correspondentes localmente; esse processo é executado a cada oito horas.

Os administradores do Exchange podem encontrar essa caixa de correio executando o seguinte cmdlet usando o Shell de Gerenciamento do Exchange:

$x=Get-mailbox -arbitration | ? {$_.PersistedCapabilities -like "OrganizationCapabilityManagement"};Get-MailboxDatabaseCopyStatus $x.database.name

No servidor que hospeda o banco de dados para a caixa de correio de arbitragem OrganizationCapabilityManagement, examine os logs de eventos do aplicativo para eventos com uma fonte de MSExchange AuthAdmin. Os eventos devem informar se o Exchange pode atualizar os metadados. Se os metadados estiverem desatualizados, você poderá atualizá-lo manualmente com este ccmdlet:

Set-AuthServer EvoSts -RefreshAuthMetadata

Você também pode criar uma tarefa agendada que executa o comando acima a cada 24 horas.

Exchange Online estatísticas

Você pode usar os cmdlets Exchange Online a seguir para ver informações estatísticas para cada caixa de correio sincronizada local.

1. Primeiro, obtenha o local da caixa de correio local sincronizada no locatário, especificando a identidade da caixa de correio local (por exemplo, jane@contoso.com).

   $m = Get-MailboxLocation <identity>
   

2. Para ver estatísticas relacionadas à caixa de correio, use

   Get-MailboxStatistics $m.id
   

3. Para ver estatísticas de dispositivos móveis (como ver quando o Outlook para iOS e Android foi sincronizado pela última vez com Exchange Online), use

   Get-MobileDeviceStatistics -Mailbox $m.id
   

Para obter mais informações, confira Get-MailboxStatistics e Get-MobileDeviceStatistics.

Outros problemas

Há outros problemas que podem impedir que a Autenticação Moderna híbrida funcione corretamente. Para obter mais informações, confira a seção solução de problemas em Anunciar a Autenticação Moderna Híbrida para Exchange Local.