Eu tive um caso de suporte da Microsoft aberto por cerca de um mês e é triste dizer que eles não estão correspondendo à minha experiência habitual com o suporte da MS. Então vou postar isso aqui.
Cerca de um mês atrás, implementamos o Proxy de Aplicativo do Azure AD para front-end nosso Exchange 2010 local, para que pudéssemos fazer MFA para OWA e dispositivos móveis (tecnicamente, MFA para registro de OWA e InTune e usando acesso condicional no EAS para requerem InTune. Voila.) Geralmente está funcionando muito bem. Para Outlook em Qualquer Lugar e EWS, estamos simplesmente permitindo autenticação de passagem em vez de pré-autenticação, porque no Ex2010, esses protocolos não farão MFA para clientes, o que é bom para nós.
NO ENTANTO - Outlook para Mac (2016) não funcionará mais.
EDIT IMPORTANTE - Como no título, isso é apenas quando fora do local, entrando pelo AADAP. Quando eles se conectam diretamente ao servidor CAS (no local ou na VPN), funciona da mesma forma que sempre funcionou. Nossos servidores CAS não mudaram.
Então, o EWS está funcionando. Se eu retirar minha máquina Windows do local, o Outlook ainda poderá se conectar ao EWS porque posso definir meu OOO e ver livre/ocupado.
O Outlook para Mac não se conecta. Ele reclama do Kerberos, pede para eu colocar novas informações e nunca conecta. Com o suporte do MS, fizemos uma captura SSL com Charles (semelhante ao Fiddler), e eles dizem que o problema é que permitimos NTLM e Negotiate no EWS, e o AADAP sempre e só passará o método mais forte para o cliente, e o Mac Outlook ganhou não funciona com Negotiate.
Como teste, ontem à noite eu removi o Negotiate como um provedor de autenticação do Windows no IIS em nossos servidores CAS, e meu Mac começou a funcionar, agora usando autenticação básica de acordo com Charles. No entanto, os clientes do Windows off-prem deixaram de poder acessar o EWS, então OOO, MailTips, free/busy foram quebrados. Temos muito mais usuários do Windows do que do Mac, então revertemos. Ainda estou trabalhando com o MS, mas a equipe do Azure AD parece ter sumido, o cara do Exchange está fora de seu elemento (sem culpa dele) e eles nunca envolveram a equipe do Outlook para Mac.
Alguém tem alguma ideia de por onde começar?
Recebi um telefonema com um gerente de produto do Azure AD algumas semanas atrás. Eles enviaram um recurso para o App Proxy para detectar conexões do Mac Office e, em seguida, apresentaram apenas o tipo AUTH que ele pode usar. Então, sim.