Демистификация моделей идентификации Exchange Online и аутентификации (часть 6)

• Демистификация моделей идентификации Exchange Online и аутентификации (часть 2)
• Демистификация моделей идентификации Exchange Online и аутентификации (часть 3)
• Демистификация моделей идентификации Exchange Online и аутентификации (часть 4)
• Демистификация моделей идентификации Exchange Online и аутентификации (часть 5)
• Демистификация моделей идентификации Exchange Online и аутентификации (часть 7)

Введение

В части 5 этой серии статей, посвященной доступным моделям удостоверений и истории проверки подлинности для Exchange Online, мы сосредоточились на истории проверки подлинности Exchange Online, какой она была до сих пор. Мы подробно рассмотрели, из чего состоит современная проверка подлинности и как выглядит процесс проверки подлинности для клиентов Outlook с поддержкой ADAL.

Давайте идти.

Включение поддержки клиентов ADAL на уровне арендатора

Итак, как обсуждалось ранее в этой серии статей, большинство клиентов Office 365 уже автоматически переведены на современную модель проверки подлинности. Однако для использования современной проверки подлинности для клиентов на основе ADAL, таких как настольный клиент Outlook, необходимо выполнить одну или две вещи (в зависимости от версии соответствующего клиента Outlook). Во-первых, убедитесь, что поддержка современной проверки подлинности включена в клиенте Exchange Online.

Чтобы включить это, нам нужно подключиться к Exchange Online с помощью PowerShell и установить для параметра « Oauth2ClientProfileEnabled » значение « true ». Этот параметр находится под существительным « OrganizationConfig ». Давайте сначала проверим, включена ли она для нашего клиента Exchange Online. Мы можем сделать это с помощью следующей команды:

Рисунок 1. Проверка состояния конфигурации параметра OAuth2ClientProfileEnabled

Как видите, в моем случае установлено значение false. Поэтому нам нужно включить его с помощью следующей команды:

Рисунок 2. Установка OAuth2ClientProfileEnabled в значение «True»

Примечание:
Невозможно включить современную проверку подлинности для клиентов на основе ADAL в Exchange Online с помощью пользовательского интерфейса. Однако некоторое время назад мне сказали, что когда-нибудь в будущем это будет возможно с помощью простой ручки.

Меня несколько раз спрашивали, повлияет ли включение « OAuth2ClientProfileEnabled » на настольные клиенты Outlook 2013, которые в настоящее время используют базовую аутентификацию на основе аутентификации. Ответ — нет, это не повлияет на этих клиентов, если на клиентской машине не установлен требуемый ключ реестра (подробнее об этом ключе позже). Однако имейте в виду, что это повлияет на настольные клиенты Outlook 2016, поскольку они будут пытаться использовать современную проверку подлинности по умолчанию. Я упоминаю об этом, поскольку организации обычно хотят внести изменения, подобные этому, посредством тестового прогона на группе выбранных пилотных пользователей, прежде чем включить их для всех в организации. Поэтому, если вы используете Office 2016 в своей организации, вам следует отключить современную аутентификацию с помощью соответствующего ключа реестра (подробнее об этом ключе в следующем разделе).

Важный:
Команда Office 365 ожидает, что клиенты будут использовать настольную версию Outlook 2016 в режиме проверки подлинности по умолчанию, который, как уже упоминалось, является современной проверкой подлинности. Если вы отключите ADAL в настольном клиенте Outlook 2016, чтобы использовать старый метод базовой проверки подлинности, в то время как современная проверка подлинности включена в клиенте Exchange Online, вы можете столкнуться с ошибками, связанными с IDCRL. Надеемся, что в ближайшем будущем они будут исправлены, но нет нужды говорить, что ключевым фактором является тщательное тестирование.

Включение ADAL для современных клиентов аутентификации

Итак, подготовив клиентскую сторону, давайте переключимся на клиентскую сторону. Как я уже упоминал, единственными настольными версиями Outlook, которые поддерживают современную проверку подлинности с помощью компонента ADAL, являются Outlook 2013 и Outlook 2016.

Для Outlook 2013 необходимо установить обновление за март 2015 г. При этом вы, конечно, всегда должны стремиться использовать последние накопительные обновления, доступные для клиента. Outlook 2013 также требует установки ключа реестра на клиентском компьютере. Для настольного клиента Outlook 2013 необходимо задать следующие ключи реестра:

Таблица 1. Включение ADAL для настольного клиента Outlook 2013

Outlook 2016 по умолчанию поддерживает современную аутентификацию через компонент ADAL. Поэтому нет необходимости устанавливать какие-либо ключи реестра в чистой среде Outlook 2016. Однако, как упоминалось в предыдущем разделе, вы можете на некоторое время отключить современную аутентификацию для всех пользователей, кроме пилотных пользователей. Чтобы отключить современную проверку подлинности в настольном клиенте Outlook 2016, необходимо использовать следующий раздел реестра:

Рисунок 3. Отключение ADAL в настольном клиенте Outlook 2016

Когда ADAL отключен, мы получаем старую добрую базовую аутентификацию, как показано на рис. 4.

Рис. 4. ADAL отключен в Outlook 2016 — простой запрос аутентификации

Если вы используете клиентские устройства на базе Windows 10 с клиентами Outlook 2016, у которых современная проверка подлинности отключена, как указано выше, имейте в виду, что у вас могут возникнуть проблемы со службой автообнаружения, зависающей при поиске настроек вашего почтового сервера при настройке профиля. Чтобы это исправить, вам нужно добавить следующий раздел реестра:

Таблица 2. Отключение аутентификации MSO для настольного клиента Outlook 2016

Как видите, настольный клиент Outlook 2016 был явно разработан и протестирован с учетом современной проверки подлинности.

Использование клиента Outlook для настольных ПК после включения современной проверки подлинности

Давайте попробуем запустить настольный клиент Outlook, в данном случае Outlook 2016, но это будет то же самое для Outlook 2013, чтобы увидеть, как это работает со стороны конечного пользователя. Вместо старого диалогового окна учетных данных Outlook конечный пользователь теперь увидит современный экран входа в систему.

В зависимости от модели идентификации, используемой в вашей организации, и от того, используют ли конечные пользователи клиент, присоединенный к домену, взаимодействие будет отличаться. Для « Облачных удостоверений » и « Синхронизированных удостоверений с включенной синхронизацией хэшей паролей » пользователю будет предложено ввести учетные данные при первом запуске Outlook. Но помните, это будет только в первый раз, так как токены входа и обновления вступят в силу оттуда. Таким образом, если клиент не используется в течение более длительного времени, токен входа в систему будет обновляться с использованием токена обновления прозрачным образом, что означает, что конечному пользователю не будет предлагаться пройти аутентификацию.

Рис. 5. Конечному пользователю предлагается пройти аутентификацию в нефедеративном сценарии

Если вы используете модель «федеративных удостоверений», а клиент присоединен к домену, конечный пользователь получит прозрачную процедуру входа в систему, аналогичную браузеру Outlook в веб-клиенте (OotW). Если клиент не присоединен к домену, ему будет представлена страница входа в AD FS, как показано на рис. 5.

Рис. 6. Конечному пользователю предлагается пройти аутентификацию в федеративном сценарии.

На этом завершается часть 6 этой статьи, состоящей из нескольких частей, в которой я расскажу вам о новой истории современной проверки подлинности и о том, как она влияет на клиентов, подключающихся к Exchange Online.

• Демистификация моделей идентификации Exchange Online и аутентификации (часть 2)
• Демистификация моделей идентификации Exchange Online и аутентификации (часть 3)
• Демистификация моделей идентификации Exchange Online и аутентификации (часть 4)
• Демистификация моделей идентификации Exchange Online и аутентификации (часть 5)
• Демистификация моделей идентификации Exchange Online и аутентификации (часть 7)