Office 365 – Las limitaciones del ID de inicio de sesión alternativo

Intune
No tengo muchos antecedentes sobre esto, aparte de que ha estado ahí desde el lanzamiento de la función original. Las notas siempre han dicho: «Si usted es un cliente de Intune que utiliza el Conector SCCM, puede haber una configuración adicional requerida». Eso me dice que hay algún tipo de problema, pero tal vez alguien más involucrado con Intune puede ayudar a completar los detalles.
Exchange Hybrid Autodiscover: Dominio unido
El problema principal aquí es el desajuste entre las credenciales que son válidas en las instalaciones y las credenciales que son válidas en la nube. En un entorno de Exchange híbrido, los registros de detección automática siguen apuntando al Exchange local, donde el usuario se autentica y luego realiza una búsqueda de detección automática. Si el usuario tiene un buzón en la nube, el usuario es redirigido a Office 365 donde se realiza otra búsqueda de Autodiscover, con autenticación, y luego se devuelve la respuesta de Autodiscover. El problema que se produce es que se necesitan credenciales diferentes para las instalaciones (que no saben nada sobre el ID de inicio de sesión alternativo) y la nube (que espera el ID de inicio de sesión alternativo).
Para los equipos unidos a un dominio, las credenciales de inicio de sesión son suficientes para autenticarse en el Exchange local y, a continuación, el usuario recibe la solicitud habitual para autenticarse en Exchange Online. La única diferencia que notará aquí es que el aviso para Office 365 tiene las credenciales incorrectas rellenadas en el cuadro de inicio de sesión y debe introducir su ID de inicio de sesión alternativo.
Descubrimiento automático híbrido de Exchange: No unido a un dominio
En el caso de los equipos no unidos a un dominio, al usuario se le presentan avisos tanto para las instalaciones como para la nube sin saber para qué plataforma es el aviso. El resultado es que, si bien es técnicamente posible navegar por los avisos de inicio de sesión, es poco probable que sus usuarios sepan qué credenciales proporcionar durante cada aviso.
Donde esto se vuelve realmente difícil de saber qué cuenta usar es cuando tiene carpetas públicas locales que ha hecho accesibles para los usuarios de buzones en la nube. El buzón proxy para las carpetas públicas locales se devuelve como parte de la respuesta de detección automática de la nube y, en algún momento, al abrir Outlook, se espera que introduzca las credenciales locales. Yo diría que esta configuración es casi inutilizable.
Exchange Hybrid Autodiscover: Mac
Cuando se utiliza el nuevo «Outlook para Mac», la falta de coincidencia de credenciales del ID de inicio de sesión alternativo hará que Outlook falle durante la configuración automática de la cuenta. El usuario tendrá que configurar manualmente Outlook para utilizar el objetivo de «https://outlook.office365.com/EWS/Exchange.asmx».
Office ProPlus
El comportamiento aquí es algo extraño. Cuando un usuario está utilizando el ID de inicio de sesión alternativo, Office ProPlus se instalará y se mostrará activado bajo la cuenta de ese usuario en la nube, sin embargo en las aplicaciones locales, le mostrará conectado bajo su UPN local.
El resultado es que no verá los enlaces a su OneDrive para la Empresa dentro de las aplicaciones de Office y el Cliente de Sincronización de OneDrive para la Empresa no estará configurado. Mientras que usted es capaz de cerrar la sesión de la UPN en las instalaciones e iniciar sesión con su ID de inicio de sesión alternativo, me pregunto si Office ProPlus iría en «modo de funcionalidad reducida» después de un período de tiempo si se deja conectado con la cuenta en las instalaciones.
Analizador de conectividad remota
No es que esto sea un problema crítico, pero la prueba de descubrimiento automático del analizador de conectividad remota no sabe cómo manejar el ID de inicio de sesión alternativo con Exchange Hybrid debido a la solicitud de doble autenticación.
Proxy de aplicaciones de Azure
Como señala el comentarista a continuación, el nuevo proxy de aplicaciones de Azure tiene una nota a pie de página que dice: «Los UPN de Azure Active Directory deben ser idénticos a los UPN de su Active Directory local para que la preautenticación funcione. Asegúrese de que su Azure Active Directory está sincronizado con su Active Directory local». Esto significa que el ID de inicio de sesión alternativo no es compatible en esta situación.
Proveedores de identidad de terceros (IDPs)
Microsoft tiene un programa para IDPs de terceros probados llamado «Works with Office 365 – Identity». Parte de este programa es una lista de proveedores probados junto con cualquier excepción que pueda ser conocida con esos productos. En las notas de este programa se indica que «el uso del inicio de sesión mediante un ID alternativo al UPN tampoco se ha probado en este programa». Así que básicamente su kilometraje puede variar cuando se utiliza el ID de inicio de sesión alternativo con cualquiera de estos IDP de terceros.