Около месяца у меня был открыт запрос поддержки Microsoft, и, к сожалению, они не соответствуют моему обычному опыту поддержки MS. Я отправлю это здесь.
Около месяца назад мы внедрили прокси-сервер приложения Azure AD для внешнего интерфейса нашего локального Exchange 2010, чтобы мы могли выполнять MFA для OWA и мобильных устройств (технически MFA для регистрации в OWA и InTune и с использованием условного доступа на EAS для требуется InTune. Вуаля.) В целом работает отлично. Для Outlook Anywhere и EWS мы просто разрешаем сквозную аутентификацию вместо предварительной аутентификации, потому что в Ex2010 эти протоколы не будут выполнять MFA для клиентов, что для нас нормально.
ОДНАКО - Outlook для Mac (2016) больше не будет работать.
ВАЖНОЕ РЕДАКТИРОВАНИЕ - Как и в названии, это только когда вне сайта, через AADAP. Когда они подключаются к серверу CAS напрямую (локально или через VPN), он работает так же, как и всегда. Наши серверы CAS не изменились.
Итак, EWS работает. Если я отключу свой компьютер с Windows, Outlook все равно сможет подключиться к EWS, потому что я могу установить свое ООО и увидеть свободный / занятый.
Outlook для Mac не подключается. Он жалуется на Kerberos, просит меня ввести новую информацию и никогда не подключается. При поддержке MS мы сделали захват SSL с Чарльзом (аналогично Fiddler), и они говорят, что проблема в том, что мы разрешаем NTLM и Negotiate в EWS, и AADAP всегда будет передавать клиенту только самый надежный метод, и Mac Outlook выиграл Работаю с Negotiate.
В качестве теста вчера вечером я удалил Negotiate в качестве поставщика аутентификации Windows в IIS на наших серверах CAS, и мой Mac начал работать, теперь, по словам Чарльза, с использованием базовой аутентификации. Однако внешние клиенты Windows перестали иметь доступ к EWS, поэтому OOO, MailTips, free / busy были сломаны. У нас гораздо больше пользователей Windows, чем пользователей Mac, поэтому мы вернулись. Я все еще работаю с MS, но команда Azure AD, похоже, не работает, специалист по Exchange не в своей тарелке (он не виноват), и они даже не привлекали команду Outlook для Mac.
У кого-нибудь есть идеи, с чего начать?
Несколько недель назад у меня был телефонный звонок с менеджером по продукту для Azure AD. Они добавили функцию в App Proxy для обнаружения подключений Mac Office, а затем представили только тип AUTH, который он может использовать. Итак, ура.