我有一个 Microsoft 支持案例开放了大约一个月,遗憾的是他们没有达到我通常的 MS 支持经验。所以我会把这个贴在这里。
大约一个月前,我们在本地 Exchange 2010 前端实施了 Azure AD 应用程序代理,以便我们可以为 OWA 和移动设备执行 MFA(技术上,为 OWA 和 InTune 注册的 MFA,并在 EAS 上使用条件访问需要 InTune。瞧。)它通常工作得很好。对于 Outlook Anywhere 和 EWS,我们只是允许直通身份验证而不是预身份验证,因为在 Ex2010 上,这些协议不会为客户端执行 MFA,这对我们来说很好。
但是 - Outlook for Mac (2016) 将不再工作。
重要编辑- 如标题所示,这仅在场外时通过 AADAP 进入。当他们直接连接到 CAS 服务器时(在本地或 VPN 上),它的工作方式与往常一样。我们的 CAS 服务器没有改变。
因此,EWS 正在工作。如果我将我的 Windows 机器放在外部,Outlook 仍然可以连接到 EWS,因为我可以设置我的 OOO 并查看空闲/忙碌。
Outlook for Mac 将无法连接。它抱怨 Kerberos,要求我输入新信息,但从不连接。在 MS 支持下,我们使用 Charles(类似于 Fiddler)进行了 SSL 捕获,他们说问题是我们允许在 EWS 中进行 NTLM 和协商,而 AADAP 将始终且仅将最强的方法传递给客户端,而 Mac Outlook 赢了不与协商工作。
作为测试,昨晚我在 CAS 服务器上的 IIS 中删除了 Negotiate 作为 Windows Auth 提供程序,我的 Mac 开始工作,现在根据 Charles 的说法使用 Basic auth。但是,外部的 Windows 客户端无法访问 EWS,因此 OOO、邮件提示、忙/闲都被破坏了。我们的 Windows 用户比 Mac 用户多得多,所以我们恢复了。我仍在与 MS 合作,但 Azure AD 团队似乎已经消失了,Exchange 家伙已经脱离了他的元素(对他来说没有错),他们甚至从未参与过 Outlook for Mac 团队。
有人对从哪里开始有任何想法吗?
几周前,我与 Azure AD 的产品经理通了电话。他们将一项功能推送到 App Proxy 以检测 Mac Office 连接,然后只显示它可以使用的 AUTH 类型。所以,是的。