Usar autenticação moderna híbrida com o Outlook para iOS e Android

A aplicação Outlook para iOS e Android foi concebida como a melhor forma de experimentar o Microsoft 365 ou o Office 365 no seu dispositivo móvel ao utilizar os serviços Microsoft para ajudar a localizar, planear e priorizar o seu dia-a-dia e o seu trabalho. O Outlook fornece a segurança, a privacidade e os suportes de que precisa enquanto protege os dados empresariais através de capacidades como o Acesso Condicional do Microsoft Entra e as políticas de proteção de aplicações do Intune. As secções seguintes fornecem uma descrição geral da arquitetura de Autenticação Moderna híbrida, os pré-requisitos necessários para a sua implementação e como implementar em segurança caixas de correio do Outlook para iOS e Android para Exchange no local.

Arquitetura da Microsoft Cloud para clientes híbridos do Exchange Server

O Outlook para iOS e Android é uma aplicação com suporte na cloud. Esta característica indica que a sua experiência consiste numa aplicação instalada localmente com tecnologia de um serviço seguro e dimensionável em execução na Microsoft Cloud.

Para caixas de correio do Exchange Server, a arquitetura do Outlook para iOS e Android é incorporada diretamente na Microsoft Cloud, proporcionando aos clientes mais benefícios, como segurança, privacidade, conformidade incorporada e operações transparentes que a Microsoft consolida no Centro de Confiança da Microsoft e no Centro de Confiança do Azure.

Na arquitetura baseada no Microsoft 365 ou office 365, o Outlook para iOS e Android utiliza a tecnologia de sincronização nativa da Microsoft para sincronização de dados protegida por uma ligação de ponto a ponto protegida por TLS, entre o Microsoft 365 ou o Office 365 e a aplicação.

A ligação do Exchange ActiveSync (EAS) entre o Exchange Online e o ambiente no local permite a sincronização dos dados no local dos utilizadores e inclui quatro semanas de e-mail, todos os dados do calendário, todos os dados de contacto e estado fora do escritório no seu inquilino do Exchange Online. Estes dados serão removidos automaticamente do Exchange Online após 30 dias quando a conta for eliminada no Microsoft Entra ID.

A sincronização de dados entre o ambiente no local e o Exchange Online ocorre independentemente do comportamento do utilizador. Esta independência garante que podemos enviar rapidamente novas mensagens para os dispositivos.

O processamento de informações na Microsoft Cloud permite funcionalidades e capacidades avançadas, como a categorização do e-mail para a Caixa de Entrada Destaques, a experiência personalizada para viagens e calendário e uma velocidade de pesquisa melhorada. Depender da cloud para processamento intensivo e minimizar os recursos necessários dos dispositivos dos utilizadores melhora o desempenho e a estabilidade da aplicação. Por fim, permite ao Outlook criar funcionalidades que funcionam em todas as contas de e-mail, independentemente das capacidades tecnológicas dos servidores subjacentes (como versões diferentes do Exchange Server, Microsoft 365 ou Office 365).

Especificamente, esta nova arquitetura tem as seguintes melhorias:

1. Suporte do Enterprise Mobility + Security: os clientes podem tirar partido do Microsoft Enterprise Mobility + Security (EMS), incluindo o Microsoft Intune e o Microsoft Entra ID P1 ou P2, para ativar o acesso condicional e as políticas de proteção de aplicações do Intune, que controlam e protegem os dados de mensagens empresariais no dispositivo móvel.

2. Totalmente alimentados pela Microsoft Cloud: os dados da caixa de correio no local são sincronizados com o Exchange Online, que proporciona os benefícios da segurança, privacidade, conformidade e operações transparentes que a Microsoft consolida no Centro de Confiança da Microsoft.

3. O OAuth protege as palavras-passe dos utilizadores: o Outlook utiliza a Autenticação Moderna Híbrida (OAuth) para proteger as credenciais dos utilizadores. A Autenticação Moderna Híbrida fornece ao Outlook um mecanismo seguro para aceder aos dados do Exchange sem nunca tocar ou armazenar as credenciais de um utilizador. No início de sessão, o utilizador autentica-se diretamente numa plataforma de identidade (o Microsoft Entra ID ou um fornecedor de identidade no local, como o ADFS) e recebe um token de acesso em troca, o que concede ao Outlook acesso à caixa de correio ou aos ficheiros do utilizador. O serviço não tem acesso à palavra-passe do utilizador em nenhum momento.

4. Fornece IDs de Dispositivo Exclusivos: cada ligação do Outlook é registada exclusivamente no Microsoft Intune e, por conseguinte, pode ser gerida como uma ligação exclusiva.

5. Desbloqueia novas funcionalidades no iOS e Android: esta atualização permite que a aplicação Outlook tire partido das funcionalidades nativas do Microsoft 365 ou do Office 365 que não são suportadas atualmente no Exchange no local, como utilizar a pesquisa completa do Exchange Online e a Caixa de Entrada Destaques. Estas funcionalidades só estarão disponíveis quando utilizar o Outlook para iOS e Android.

Observação

A gestão de dispositivos através do Centro de administração do Exchange (EAC) no local não é possível. O Intune é necessário para gerir dispositivos móveis.

Segurança de dados, acesso e controlos de auditoria

Com os dados no local a serem sincronizados com o Exchange Online, os clientes têm dúvidas sobre como os dados são protegidos no Exchange Online. A encriptação na Microsoft Cloud aborda a forma como o BitLocker é utilizado para encriptação ao nível do volume. A Encriptação de Serviço com a Chave de Cliente do Microsoft Purview é suportada na arquitetura do Outlook para iOS e Android, mas tenha em atenção que o utilizador tem de ter uma licença do Office 365 Enterprise E5 (ou as versões correspondentes desses planos para Administração Pública ou Educação) para ter uma política de encriptação atribuída com o cmdlet set-mailuser.

Por predefinição, os engenheiros da Microsoft não têm privilégios administrativos permanentes e nenhum acesso permanente aos conteúdos dos clientes no Microsoft 365 ou office 365. Os Controlos de Acesso Administrativo abordam a filtragem de pessoal, as verificações em segundo plano, o Lockbox e o Sistema de Proteção de Dados do Cliente e muito mais.

A documentação Controlos Auditados do ISO no Service Assurance fornece o estado dos controlos auditados das normas e regulamentos globais de segurança de informações que o Microsoft 365 e o Office 365 implementaram.

Fluxo de ligação

Quando o Outlook para iOS e Android está ativado com a Autenticação Moderna híbrida, o fluxo de ligação é o seguinte.

1. Depois de o utilizador introduzir o respetivo endereço de e-mail, o Outlook para iOS e Android liga-se ao serviço Deteção Automática. A Deteção Automática determina o tipo de caixa de correio ao iniciar uma consulta de Deteção Automática no Exchange Online. O Exchange Online determina que a caixa de correio do utilizador está no local e devolve um redirecionamento 302 para a Deteção Automática com o URL de Deteção Automática no local. A Deteção Automática inicia uma consulta no serviço de Deteção Automática no local para determinar o ponto final do ActiveSync para o endereço de e-mail. O URL tentado no local é semelhante a este exemplo: <https://autodiscover.contoso.com/autodiscover/autodiscover.json?Email=test%40contoso.com&Protocol=activesync&RedirectCount=3>.

2. A Deteção Automática inicia uma ligação ao URL do ActiveSync no local devolvido no Passo 1 acima com um desafio de portador vazio. O desafio do portador vazio indica ao ActiveSync no local que o cliente suporta a Autenticação Moderna. O ActiveSync no local responde com uma resposta 401-challenge e inclui o cabeçalho WWW-Authenticate: Bearer . No cabeçalho WWW-Authenticate: Bearer está o valor authorization_uri que identifica o ponto final do Microsoft Entra que deve ser utilizado para obter um token OAuth.

3. A Deteção Automática devolve o ponto final do Microsoft Entra ao cliente. O cliente inicia o fluxo de início de sessão e o utilizador é apresentado com um formulário Web (ou redirecionado para a aplicação Microsoft Authenticator) e pode introduzir credenciais. Dependendo da configuração de identidade, este processo pode ou não envolver um redirecionamento de ponto final federado para um fornecedor de identidade no local. Em última análise, o cliente obtém um par de tokens de acesso e atualização, com o nome AT1/RT1. Este token de acesso está no âmbito do cliente Outlook para iOS e Android com uma audiência do ponto final do Exchange Online.

4. O Outlook para iOS e Android estabelece uma ligação ao Exchange Online e emite um pedido de aprovisionamento que inclui o token de acesso do utilizador (AT1) e o ponto final do ActiveSync no local.

5. A API de aprovisionamento MRS no Exchange Online utiliza a AT1 como entrada e obtém um segundo par de tokens de acesso e atualização (denominado AT2/RT2) para aceder à caixa de correio no local através de uma chamada em nome do Active Directory. Este segundo token de acesso tem como âmbito o cliente do Exchange Online e uma audiência do ponto final do espaço de nomes do ActiveSync no local.

6. Se a caixa de correio não estiver aprovisionada, a API de aprovisionamento cria uma caixa de correio.

7. A API de aprovisionamento MRS estabelece uma ligação segura ao ponto final do ActiveSync no local e sincroniza os dados de mensagens do utilizador com o token de acesso AT2 como mecanismo de autenticação. O RT2 é utilizado periodicamente para gerar uma nova AT2 para que os dados possam ser sincronizados em segundo plano sem intervenção do utilizador.

8. Os dados são devolvidos ao cliente.

Requisitos técnicos e de licenciamento

A arquitetura de Autenticação Moderna híbrida tem os seguintes requisitos técnicos:

Observação

As contas no local que tiram partido da Autenticação Moderna híbrida com o Outlook Mobile não são suportadas com inquilinos da Comunidade e Defesa do Office 365 para o Governo Norte-Americano, inquilinos do Office 365 Germany e o Office 365 China operado por inquilinos da 21Vianet.

1. Configuração do Exchange no local:

   • Atualização Cumulativa 1 (CU1) do Exchange Server 2019 ou posterior, Atualização Cumulativa 8 (CU8) do Exchange Server 2016 ou posterior, ou Exchange Server 2013 CU19 ou posterior em todos os servidores exchange. Nas implementações híbridas (exchange no local e Exchange Online) ou em organizações que utilizam o Arquivo do Exchange Online (EOA) com a respetiva implementação do Exchange no local, tem de implementar a CU mais atual ou uma CU antes da mais atual.

   • Todos os servidores do Exchange 2007 ou Exchange 2010 têm de ser removidos do ambiente. Estas versões do Exchange estão sem suporte base e não funcionarão com o Outlook para iOS e Android gerido pelo Intune. Nesta arquitetura, o Outlook para iOS e Android utiliza o OAuth como mecanismo de autenticação. Uma das alterações de configuração no local que ocorrem permite o ponto final OAuth para a Microsoft Cloud como o ponto final de autorização predefinido. Quando esta alteração é efetuada, os clientes podem começar a negociar a utilização do OAuth. Uma vez que esta alteração abrange toda a organização, as caixas de correio do Exchange 2010 apresentadas pelo Exchange 2013 ou 2016 irão pensar incorretamente que podem fazer OAuth e acabarão num estado desligado, uma vez que o Exchange 2010 não suporta o OAuth como um mecanismo de autenticação.

2. Sincronização do Active Directory. Sincronização do Active Directory de todo o diretório de destinatários de correio no local com o Microsoft Entra ID, através do Microsoft Entra Connect. Se tiver a aplicação Microsoft Entra e a filtragem de atributos ativadas na configuração do Microsoft Entra Connect, certifique-se de que as seguintes aplicações estão selecionadas:

   • Office 365 ProPlus
   • Exchange Online
   • Azure RMS
   • Intune

   Se não tiver a aplicação Microsoft Entra e a filtragem de atributos ativadas na configuração do Microsoft Entra Connect, todas as aplicações necessárias já estão selecionadas por predefinição.

   Importante

   O Outlook para iOS e Android utiliza a Lista de Endereços Globais do Exchange Online do inquilino para caixas de correio no local que tiram partido da Autenticação Moderna híbrida. Se todos os destinatários de correio não estiverem sincronizados com o ID do Microsoft Entra, os utilizadores terão problemas de fluxo de correio.

3. Configuração híbrida do Exchange: requer uma relação híbrida completa entre o Exchange no local com o Exchange Online.

   • Uma organização híbrida do Microsoft 365 ou office 365 é configurada em configuração híbrida completa com o modo de Topologia Híbrida Clássica do Exchange e é configurada conforme especificado no Assistente de Implementação do Exchange.

     Observação

     A Autenticação Moderna Híbrida não é suportada com o Agente Híbrido.

   • Requer uma organização do Microsoft 365 ou Office 365 Enterprise, Empresas ou Educação.

   • Os dados da caixa de correio no local são sincronizados na mesma região do datacenter onde essa organização do Microsoft 365 ou Office 365 está configurada ou para a região do datacenter definida na PreferredDataLocation da conta. Para obter mais informações sobre onde estão localizados os dados do Microsoft 365 e do Office 365, visite o Centro de Confiança da Microsoft. Para obter mais informações sobre PreferredDataLocation, veja Multi-Geo Capabilities (Capacidades Multigeográficos).

   • Os nomes de anfitrião de URL externos para Exchange ActiveSync e AutoDiscover têm de ser publicados como principais de serviço no Microsoft Entra ID através do Assistente de Configuração Híbrida.

   • A Deteção Automática e os espaços de nomes do Exchange ActiveSync têm de estar acessíveis a partir da Internet e não podem ser apresentados por uma solução de pré-autenticação.

   • Certifique-se de que a descarga de SSL ou TLS não está a ser utilizada entre o balanceador de carga e os servidores do Exchange, uma vez que esta configuração afetará a utilização do token OAuth. A bridge SSL e TLS (terminação e reencriptografia) é suportada.

4. Configuração do Intune: as implementações autónomas e de Cogestão do Intune são suportadas (o Basic Mobility and Security for Microsoft 365 não é suportado).

5. Licenciamento do Microsoft 365 e do Office 365:

   • O Outlook para iOS e Android é gratuito para utilização por parte do consumidor a partir da App Store do iOS e do Google Play. No entanto, os utilizadores comerciais necessitam de uma subscrição do Microsoft 365 ou do Office 365 que inclua as aplicações de ambiente de trabalho do Office: Microsoft 365 Apps para Empresas, Microsoft 365 Empresas Standard, Microsoft 365 Apps para Grandes Empresas, Office 365 Enterprise E3, Office 365 Enterprise E5 ou as versões correspondentes desses planos para Administração Pública ou Educação. Os utilizadores comerciais com as seguintes subscrições podem utilizar a aplicação Outlook para dispositivos móveis em dispositivos com ecrãs integrados de 10,1" na diagonal ou menos: Office 365 Enterprise E1, Office 365 F1, Office 365 A1, Microsoft 365 Empresas Básicas e se tiver apenas uma licença do Exchange Online (sem o Office). Se tiver apenas uma licença do Exchange no local (Exchange Server), não tem licença para utilizar a aplicação.
   • A utilização de funcionalidades avançadas do Exchange Online (por exemplo, Encriptação de Serviços com Chave de Cliente ou Capacidades Multigeográficos) requer que o utilizador no local tenha a licença de subscrição do Office 365 ou Microsoft 365 aplicável no Centro de Administração do Microsoft 365.

   Para obter mais informações sobre como atribuir uma licença, consulte Adicionar utilizadores individualmente ou em massa.

6. Licenciamento em EMS: cada utilizador no local tem de ter uma das seguintes licenças:

   • Intune autónomo + Microsoft Entra ID P1 ou P2 ou Microsoft Entra ID P1 ou P2
   • Enterprise Mobility + Security E3, Enterprise Mobility + Security E5

Passos de implementação

Ativar o suporte para a Autenticação Moderna híbrida na sua organização requer cada um dos seguintes passos, que são detalhados nas secções seguintes:

1. Criar uma política de Acesso Condicional:
2. Criar uma política de proteção de aplicações do Intune
3. Ativar a Autenticação Moderna Híbrida

Criar uma política de Acesso Condicional:

Quando uma organização decide uniformizar a forma como os utilizadores acedem aos dados do Exchange, utilizando o Outlook para iOS e Android como a única aplicação de e-mail para utilizadores finais, podem configurar uma política de acesso condicional que bloqueia outros métodos de acesso móvel. O Outlook para iOS e Android autentica-se através do objeto de identidade do Microsoft Entra e, em seguida, liga-se ao Exchange Online. Por conseguinte, terá de criar políticas de Acesso Condicional do Microsoft Entra para restringir a conectividade de dispositivos móveis ao Exchange Online. Para efetuar esta tarefa, precisará de duas políticas de acesso condicional, com cada política direcionada a todos os potenciais utilizadores. Pode encontrar detalhes sobre como criar estas políticas em Acesso Condicional: exigir aplicações cliente aprovadas ou política de proteção de aplicações.

1. Siga os passos em Exigir aplicações cliente aprovadas ou política de proteção de aplicações com dispositivos móveis. Esta política permite que o Outlook para iOS e Android, mas bloqueia a ligação dos clientes móveis do Exchange ActiveSync com capacidade de autenticação básica e OAuth ao Exchange ActiveSync.

   Observação

   Esta política garante que os utilizadores móveis podem aceder a todos os pontos finais do Office através das aplicações aplicáveis.

2. Siga os passos em Bloquear o Exchange ActiveSync em todos os dispositivos, o que impede que os clientes do Exchange ActiveSync que utilizam autenticação básica em dispositivos não móveis se liguem ao Exchange Online.

   As políticas acima utilizam o controlo de concessão Exigir política de proteção de aplicações, o que garante que uma Política de Proteção de Aplicações do Intune é aplicada à conta associada no Outlook para iOS e Android antes de conceder acesso. Se o utilizador não estiver atribuído a uma Política de Proteção de Aplicações do Intune, não estiver licenciado para o Intune ou se a aplicação não estiver incluída na Política de Proteção de Aplicações do Intune, a política impede que o utilizador obtenha um token de acesso e obtenha acesso aos dados de mensagens.

3. Por fim, siga Bloquear a autenticação legada com o Acesso Condicional do Microsoft Entra para bloquear a autenticação legada para outros protocolos do Exchange em dispositivos iOS e Android; esta política deve visar apenas a aplicação em nuvem do Microsoft 365 ou do Office 365 Exchange Online e as plataformas de dispositivos iOS e Android. Esta abordagem garante que as aplicações móveis que utilizam os protocolos Exchange Web Services, IMAP4 ou POP3 com autenticação básica não se conseguem ligar ao Exchange Online.

Importante

Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, veja Acesso condicional baseado na aplicação com o Intune.

Para impedir que outros clientes de dispositivos móveis (como o cliente de correio nativo incluído no sistema operativo móvel) se liguem ao seu ambiente no local (que se autenticam através da autenticação básica no Active Directory no local):

Pode utilizar as regras de acesso de dispositivos móveis do Exchange incorporadas e bloquear a ligação de todos os dispositivos móveis ao definir o seguinte comando na Shell de Gestão do Exchange:

Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block

Observação

Ao implementar o cmdlet no local acima, tenha em atenção que pode afetar os utilizadores que se ligam ao Exchange no local com os respetivos dispositivos móveis.

Criar uma política de proteção de aplicações do Intune

Depois de ativada a Autenticação Moderna híbrida, todos os utilizadores móveis no local podem utilizar o Outlook para iOS e Android com a arquitetura baseada no Microsoft 365 ou office 365. Por conseguinte, é importante proteger os dados empresariais com uma política de proteção de aplicações do Intune.

Crie políticas de proteção de aplicações do Intune para iOS e Android com os passos documentados em Como criar e atribuir políticas de proteção de aplicações. No mínimo, cada política tem de cumprir as seguintes condições:

1. Incluem todas as aplicações móveis da Microsoft, como o Word, Excel ou PowerPoint, uma vez que esta inclusão irá garantir que os utilizadores podem aceder e manipular dados empresariais em qualquer aplicação Da Microsoft de forma segura.

2. Imitam as funcionalidades de segurança que o Exchange fornece para dispositivos móveis, incluindo:

   • Exigir um PIN para acesso (que inclui Selecionar Tipo, Comprimento do PIN, Permitir PIN Simples, Permitir impressão digital)
   • Encriptar dados da aplicação
   • Bloquear a execução de aplicações geridas em dispositivos "desbloqueados por jailbreak" e rooting

3. Eles são atribuídos a todos os usuários. Esta ampla atribuição garante que todos os utilizadores estão protegidos, independentemente de utilizarem o Outlook para iOS e Android.

Além dos requisitos de política mínimos acima indicados, deve considerar a implementação de definições de políticas de proteção avançadas, como Restringir cortar, copiar e colar com outras aplicações para impedir ainda mais a fuga de dados empresariais. Para obter mais informações sobre as definições disponíveis, consulte Definições de políticas de proteção de aplicações Android no Microsoft Intune e definições de políticas de proteção de aplicações iOS.

Importante

Para aplicar políticas de proteção de aplicativos do Intune contra aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune. Para obter mais informações, veja Definições de políticas de proteção de aplicações Android no Microsoft Intune.

Ativar a Autenticação Moderna Híbrida

1. Se ainda não ativou a Autenticação Moderna híbrida, reveja os pré-requisitos conforme descrito em Descrição geral da Autenticação Moderna Híbrida e pré-requisitos para utilizá-la com servidores do Skype para Empresas e exchange no local. Depois de concluir os pré-requisitos, siga os passos em Como configurar o Exchange Server no local para utilizar a Autenticação Moderna híbrida.

2. Crie uma regra de acesso a dispositivos do Exchange no local para permitir que o Exchange Online se ligue ao seu ambiente no local através do protocolo ActiveSync:

   If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
   

   Observação

   A gestão de dispositivos através do centro de administração do Exchange no local não é possível. O Intune é necessário para gerir dispositivos móveis.

3. Crie uma regra de acesso a dispositivos do Exchange no local que impeça os utilizadores de se ligarem ao ambiente no local com o Outlook para iOS e Android com autenticação básica através do protocolo Exchange ActiveSync:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
   

   Observação

   Assim que esta regra for criada, o Outlook para iOS e Android com utilizadores de autenticação Básica será bloqueado.

4. Certifique-se de que o Exchange ActiveSync maxRequestLength no local está configurado para corresponder ao MaxSendSize/MaxReceiveSize da configuração de transporte:

   • Caminho: %ExchangeInstallPath%\FrontEnd\HttpProxy\Sync\web.config
   • Propriedade: maxRequestLength
   • Valor: definido no tamanho KB (10 MB é 10240, por exemplo)

Funcionalidades de cliente que não são suportadas

As seguintes funcionalidades não são suportadas para caixas de correio no local através da Autenticação Moderna híbrida com o Outlook para iOS e Android.

• Sincronização de mensagens rascunhos e pastas de rascunho
• Ver mais de quatro semanas de e-mail com a ligação "Carregar Mais Mensagens" na parte inferior da lista de mensagens
• Acesso ao calendário partilhado e acesso delegado ao calendário
• Acesso a dados de caixa de correio partilhados e delegados
• Hora de Sair/Tempo de Viagem da Cortana
• Localizações de reuniões avançadas
• Gestão de tarefas com o Microsoft To Do
• Suplementos
• Calendários Interessantes
• Ouvir os Meus E-mails
• Etiquetagem de confidencialidade
• S/MIME

As seguintes funcionalidades só são suportadas quando a infraestrutura no local utiliza o Exchange Server 2016 e posterior:

• Anexos do calendário

FAQ do Fluxo de Ligação

P: A minha organização tem uma política de segurança que requer que as ligações de entrada da Internet sejam restringidas a endereços IP ou FQDNs aprovados. Essa configuração é possível com esta arquitetura?

R: A Microsoft recomenda que os pontos finais no local para os protocolos de Deteção Automática e ActiveSync sejam abertos e acessíveis a partir da Internet sem quaisquer restrições. Em determinadas situações que podem não ser possíveis. Por exemplo, se estiver num período de coexistência com outra solução de gestão de pontos finais unificados (UEM) de terceiros, poderá querer aplicar restrições ao protocolo ActiveSync para impedir que os utilizadores ignorem a solução UEM enquanto migra para o Intune e o Outlook para iOS e Android. Se tiver de colocar restrições na firewall no local ou nos dispositivos edge do gateway, a Microsoft recomenda a filtragem com base nos pontos finais do FQDN. Se não for possível utilizar pontos finais do FQDN, filtre por endereços IP. Certifique-se de que as seguintes sub-redes IP e FQDNs estão incluídas na lista de permissões:

• Todos os FQDNs do Exchange Online e intervalos de sub-rede IP conforme definido em Mais pontos finais não incluídos no Serviço Web de URL e Endereço IP do Microsoft 365 ou Office 365.

• Os intervalos de sub-rede ip e FQDNs de Deteção Automática definidos em Pontos finais adicionais não incluídos no serviço Web de Endereços IP e URL do Microsoft 365 ou do Office 365. Estas sub-redes IP e FQDNs são necessárias porque o serviço Deteção Automática estabelece ligações à infraestrutura no local.

• Todos os FQDNs de aplicações móveis do Outlook para iOS e Android e do Office, conforme definido nos intervalos de URLs e endereços IP do Microsoft 365 e do Office 365.

P: A minha organização utiliza atualmente uma solução UEM de terceiros para controlar a conectividade de dispositivos móveis. Se expor o espaço de nomes do Exchange ActiveSync na Internet, isso introduz uma forma de os utilizadores ignorarem a solução UEM de terceiros durante o período de coexistência. Como posso evitar esta situação?

R: Existem três soluções potenciais para resolver este problema:

1. Implemente regras de acesso a dispositivos móveis do Exchange para controlar que dispositivos são aprovados para ligação.
2. Algumas soluções UEM de terceiros integram-se com regras de acesso a dispositivos móveis do Exchange, bloqueando o acesso não aprovado, ao mesmo tempo que adicionam dispositivos aprovados na propriedade ActiveSyncAllowedDeviceIDs do utilizador.
3. Implementar restrições de IP no espaço de nomes do Exchange ActiveSync.

P: Posso utilizar o Azure ExpressRoute para gerir o tráfego entre o Microsoft Cloud e o meu ambiente no local?

R: A conectividade à Microsoft Cloud requer conectividade à Internet. A Microsoft recomenda expor a Deteção Automática e o Exchange ActiveSync diretamente à Internet; Para obter mais informações, consulte Microsoft 365 e Princípios de Conectividade de Rede do Office 365. No entanto, o Azure ExpressRoute é suportado para cenários híbridos do Exchange. Para obter mais informações, consulte Azure ExpressRoute para Microsoft 365 e Office 365.

Com o ExpressRoute, não existe espaço de IP privado para ligações do ExpressRoute, nem pode haver uma resolução de DNS "privada". Isto significa que qualquer ponto final que a sua empresa pretenda utilizar através do ExpressRoute tem de ser resolvido no DNS público. Se esse ponto final for resolvido para um IP contido nos prefixos anunciados associados ao circuito do ExpressRoute (a sua empresa tem de configurar esses prefixos no portal do Azure quando ativar o peering da Microsoft na ligação do ExpressRoute), a ligação de saída do Exchange Online para o seu ambiente no local será encaminhada através do circuito do ExpressRoute. A sua empresa terá de garantir que o tráfego de retorno associado a estas ligações passa pelo circuito do ExpressRoute (evitando o encaminhamento assimétrico).

Importante

Uma vez que a sua empresa irá adicionar os espaços de nomes da Deteção Automática do Exchange e do ActiveSync aos prefixos anunciados no circuito do ExpressRoute, a única forma de aceder aos pontos finais da Deteção Automática do Exchange e do ActiveSync será através do ExpressRoute. Por outras palavras, o único dispositivo móvel que conseguirá ligar-se ao local através dos espaços de nomes de Deteção Automática e ActiveSync será o Outlook para iOS e Android. Todos os outros clientes (como os clientes de correio nativos dos dispositivos móveis) não conseguirão ligar-se ao ambiente no local, uma vez que a ligação não será estabelecida a partir da Microsoft Cloud. Isto acontece porque não pode haver sobreposições do espaço ip público anunciado à Microsoft no circuito do ExpressRoute e do espaço IP público anunciado nos circuitos da Internet.

P: Dado que apenas quatro semanas de dados de mensagens são sincronizados com o Exchange Online, significa que as consultas de pesquisa executadas no Outlook para iOS e Android não podem devolver informações além dos dados disponíveis no dispositivo local?

R: Quando uma consulta de pesquisa é efetuada no Outlook para iOS e Android, os itens que correspondem à consulta de pesquisa são devolvidos se estiverem localizados no dispositivo. Além disso, a consulta de pesquisa é transmitida para o Exchange no local através do Exchange Online. O Exchange no local executa a consulta de pesquisa na caixa de correio no local e devolve os resultados para o Exchange Online, que reencaminha os resultados para o cliente. Os resultados da consulta no local são armazenados no Exchange Online durante um dia antes de serem eliminados.

P: Como posso saber se a conta de e-mail foi adicionada corretamente no Outlook para iOS e Android?

R: As caixas de correio no local que são adicionadas através da Autenticação Moderna híbrida são identificadas como Exchange (Híbrido) nas definições de conta no Outlook para iOS e Android, de forma semelhante ao seguinte exemplo:

FAQ sobre autenticação

P: Que configurações de identidade são suportadas com a Autenticação Moderna híbrida e o Outlook para iOS e Android?

R: As seguintes configurações de identidade com o Microsoft Entra ID são suportadas com a Autenticação Moderna híbrida:

• Identidade Federada com qualquer fornecedor de identidade no local suportado pelo Microsoft Entra ID
• Sincronização do Hash de Palavras-passe através do Microsoft Entra Connect
• Autenticação Pass-through através do Microsoft Entra Connect

P: Que mecanismo de autenticação é utilizado para o Outlook para iOS e Android? As credenciais são armazenadas no Microsoft 365 ou no Office 365?

R: Consulte Configuração da conta com autenticação moderna no Exchange Online.

P: O Outlook para iOS e Android e outras aplicações móveis do Microsoft Office suportam o início de sessão único?

R: Consulte Configuração da conta com autenticação moderna no Exchange Online.

P: Qual é a duração dos tokens gerados e utilizados pela Biblioteca de Autenticação do Active Directory (ADAL) no Outlook para iOS e Android?

R: Consulte Configuração da conta com autenticação moderna no Exchange Online.

P: O que acontece ao token de acesso quando a palavra-passe de um utilizador é alterada?

R: Consulte Configuração da conta com autenticação moderna no Exchange Online.

P: Existe alguma forma de um utilizador ignorar a Deteção Automática ao adicionar a conta ao Outlook para iOS e Android?

R: Sim, um utilizador pode ignorar a Deteção Automática em qualquer altura e configurar manualmente a ligação através da autenticação Básica através do protocolo exchange ActiveSync. Para garantir que o utilizador não estabelece uma ligação ao seu ambiente no local através de um mecanismo que não suporta o Acesso Condicional do Microsoft Entra ou as políticas de proteção de aplicações do Intune, o Administrador do Exchange no local tem de configurar uma regra de acesso a dispositivos Exchange que bloqueie a ligação do ActiveSync. Para efetuar esta tarefa, escreva o seguinte comando na Shell de Gestão do Exchange:

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

P: O que acontece quando uma organização passa da autenticação básica com o Outlook para iOS e Android para a autenticação moderna híbrida?

R: Depois de uma organização ativar a autenticação moderna híbrida ao seguir os passos de Implementação acima, os utilizadores finais têm de eliminar o respetivo perfil de conta existente no Outlook para iOS e Android, uma vez que o perfil utiliza a autenticação básica. Em seguida, os utilizadores finais podem criar um novo perfil que irá utilizar a autenticação moderna híbrida.

Solução de problemas

Seguem-se os problemas ou erros mais comuns com caixas de correio no local que utilizam a Autenticação Moderna híbrida com o Outlook para iOS e Android.

Deteção Automática e ActiveSync

Durante a criação do perfil, deve ser apresentada ao utilizador uma caixa de diálogo Autenticação Moderna semelhante à da seguinte captura de ecrã:

Se, em vez disso, for apresentada ao utilizador uma das seguintes caixas de diálogo, significa que existe um problema com os pontos finais da Deteção Automática ou do ActiveSync no local.

Eis um exemplo de um utilizador a ser apresentado com a experiência de autenticação Básica legada do Exchange ActiveSync:

Eis um exemplo do que os utilizadores veem quando a Deteção Automática não consegue detetar a configuração das caixas de correio no local dos utilizadores.

Em qualquer um dos cenários, verifique se o ambiente no local está configurado corretamente. Para efetuar esta tarefa: na Galeria TechNet, transfira e execute o script para Validar a Configuração da Autenticação Moderna Híbrida para o Outlook para iOS e Android.

Quando rever a saída do script, deverá ver o seguinte resultado da Deteção Automática:

{
    "Protocol": "activesync",
    "Url": "https://mail.contoso.com/Microsoft-Server-ActiveSync"
}

O ponto final do ActiveSync no local deve devolver a seguinte resposta, em que o cabeçalho de WWW-Authenticate inclui um authorization_uri:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@5de110f8-2e0f-4d45-891d-bcf2218e253d,00000004-0000-0ff1-ce00-000000000000@contoso.com", token_types="app_asserted_user_v1 service_asserted_app_v1", authorization_uri="https://login.windows.net/common/oauth2/authorize"
Www-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →5ca2c827-5147-474c-8457-63c4e5099c6e

Se as respostas de Deteção Automática ou ActiveSync não forem semelhantes aos exemplos acima, pode investigar as seguintes causas:

1. Se não for possível alcançar o ponto final de Deteção Automática, é provável que exista um problema de configuração da firewall ou do balanceador de carga (por exemplo, as restrições de IP estão configuradas e os intervalos de IP necessários não estão presentes). Além disso, pode existir um dispositivo à frente do Exchange a exigir pré-autenticação para aceder ao ponto final de Deteção Automática.

2. Se o ponto final de Deteção Automática não devolver o URL correto, existe um problema de configuração com o valor ExternalURL do diretório virtual do ActiveSync.

3. Se não for possível aceder ao ponto final do ActiveSync, existe um problema de configuração da firewall ou do balanceador de carga. Mais uma vez, um exemplo são as restrições de IP configuradas e os intervalos de IP necessários não estão presentes. Além disso, pode existir um dispositivo à frente do Exchange a exigir pré-autenticação para aceder ao ponto final do ActiveSync.

4. Se o ponto final do ActiveSync não contiver um valor de authorization_uri, verifique se o servidor de autenticação EvoSTS está configurado como o ponto final predefinido com a Shell de Gestão do Exchange:

   Get-AuthServer EvoSts | Format-List IsDefaultAuthorizationEndpoint
   

5. Se o ponto final do ActiveSync não contiver um cabeçalho de WWW-Authenticate, um dispositivo à frente do Exchange poderá estar a responder à consulta.

Problemas de sincronização do cliente

Existem alguns cenários que podem fazer com que os dados fiquem obsoletos no Outlook para iOS e Android. Normalmente, esta condição de dados deve-se a um problema com o segundo token de acesso (o token utilizado pela MRS no Exchange Online para sincronizar os dados com o ambiente no local). Os dois motivos mais comuns para este problema são:

• Descarga de SSL/TLS no local.
• Problemas de metadados do certificado EvoSTS.

Com a descarga de SSL/TLS, os tokens são emitidos para um URI específico e esse valor inclui o valor do protocolo ("https://"). Quando o balanceador de carga descarrega SSL/TLS, o pedido recebido pelo Exchange é recebido através de HTTP, o que resulta num erro de correspondência de afirmações devido ao valor do protocolo ser http://. O exemplo seguinte ilustra um cabeçalho de resposta de um rastreio do Fiddler:

Content-Length →0
Date →Mon, 29 Jan 2018 19:51:46 GMT
Server →Microsoft-IIS/10.0 Microsoft-HTTPAPI/2.0
WWW-Authenticate →Bearer client_id="00000002-0000-0ff1-ce00-000000000000", trusted_issuers="00000001-0000-0000-c000-000000000000@00c118a9-2de9-41d3-b39a-81648a7a5e4d", authorization_uri="https://login.windows.net/common/oauth2/authorize", error="invalid_token"
WWW-Authenticate →Basic realm="mail.contoso.com"
X-Powered-By →ASP.NET
request-id →2323088f-8838-4f97-a88d-559bfcf92866
x-ms-diagnostics →2000003;reason="The hostname component of the audience claim value is invalid. Expected 'https://mail.contoso.com'. Actual 'http://mail.contoso.com'.";error_category="invalid_resource"

Conforme especificado acima na secção Requisitos técnicos e de licenciamento, a descarga de SSL/TLS não é suportada para fluxos OAuth.

Para Metadados de Certificado EvoSTS, os metadados de certificado utilizados pelo EvoSTS são ocasionalmente atualizados no Microsoft 365 ou office 365. A caixa de correio de arbitragem no local do Exchange que tem a capacidade organizacional de "OrganizationCapabilityManagement" é responsável por detetar as alterações e atualizar os metadados correspondentes no local; este processo é executado a cada oito horas.

Os Administradores do Exchange podem encontrar esta caixa de correio ao executar o seguinte cmdlet com a Shell de Gestão do Exchange:

$x=Get-mailbox -arbitration | ? {$_.PersistedCapabilities -like "OrganizationCapabilityManagement"};Get-MailboxDatabaseCopyStatus $x.database.name

No servidor que aloja a base de dados da caixa de correio de arbitragem OrganizationCapabilityManagement, reveja os registos de eventos da aplicação para obter eventos com uma origem de MSExchange AuthAdmin. Os eventos devem indicar-lhe se o Exchange pode atualizar os metadados. Se os metadados estiverem desatualizados, pode atualize-os manualmente com este ccmdlet:

Set-AuthServer EvoSts -RefreshAuthMetadata

Também pode criar uma tarefa agendada que execute o comando acima a cada 24 horas.

Estatísticas do Exchange Online

Pode utilizar os seguintes cmdlets do Exchange Online para ver informações estatísticas de cada caixa de correio no local sincronizada.

1. Primeiro, obtenha a localização da caixa de correio no local sincronizada no inquilino, especificando a identidade da caixa de correio no local (por exemplo, jane@contoso.com).

   $m = Get-MailboxLocation <identity>
   

2. Para ver as estatísticas relacionadas com a caixa de correio, utilize

   Get-MailboxStatistics $m.id
   

3. Para ver estatísticas de dispositivos móveis (como ver quando o Outlook para iOS e Android foi sincronizado pela última vez com o Exchange Online), utilize

   Get-MobileDeviceStatistics -Mailbox $m.id
   

Para obter mais informações, consulte Get-MailboxStatistics e Get-MobileDeviceStatistics.

Outros problemas

Existem outros problemas que podem impedir que a Autenticação Moderna híbrida funcione corretamente. Para obter mais informações, veja a secção resolução de problemas em Anunciar a Autenticação Moderna Híbrida para o Exchange no Local.