Office 365 – Vaihtoehtoisen kirjautumistunnuksen rajoitukset

Intune
Minulla ei ole paljoa taustatietoa tästä muusta kuin siitä, että se on ollut mukana alkuperäisen ominaisuuden julkaisusta lähtien. Muistiinpanoissa on aina sanottu: ”Jos olet Intune-asiakas, joka käyttää SCCM Connectoria, saatetaan tarvita lisämäärityksiä”. Se kertoo minulle, että kyseessä on jonkinlainen ongelma, mutta ehkä joku Intunen kanssa enemmän tekemisissä oleva voi auttaa täsmentämään yksityiskohtia.
Exchange Hybrid Autodiscover: Domain Joined
Pääasiallinen ongelma tässä on epäsuhta tiloissa voimassa olevien ja pilvessä voimassa olevien tunnistetietojen välillä. Exchange Hybrid -ympäristössä Autodiscover-tietueet osoittavat edelleen toimitiloissa olevaan Exchangeen, jossa käyttäjä todennetaan ja suoritetaan sitten Autodiscover-haku. Jos käyttäjällä on pilvipalvelun postilaatikko, käyttäjä ohjataan Office 365:een, jossa tehdään toinen Autodiscover-haku ja todennus, minkä jälkeen palautetaan Autodiscover-vastaus. Ongelmaksi muodostuu se, että tarvitaan erilaiset tunnistetiedot toimitiloissa (jotka eivät tiedä mitään vaihtoehtoisesta kirjautumistunnuksesta) ja pilvipalvelussa (joka odottaa vaihtoehtoista kirjautumistunnusta).
Toimialueeseen liitetyissä koneissa sisäänkirjautuneet tunnistetiedot riittävät todennukseen toimitiloissa olevaan Exchangeen, minkä jälkeen käyttäjä saa tavanomaisen yksittäisen kehotuksen todennukseen Exchange Onlineen. Ainoa ero tässä on se, että Office 365:n kehotteessa kirjautumisruutuun on täytetty väärät tunnistetiedot ja käyttäjän on syötettävä vaihtoehtoinen kirjautumistunnus.
Exchange Hybrid Autodiscover: Non-Domain Joined
Koneissa, joihin ei ole liitetty verkkotunnusta, käyttäjälle näytetään kehotteet sekä tiloissa että pilvipalvelussa tietämättä, kumpaa alustaa kehote koskee. Tuloksena on, että vaikka sisäänkirjautumiskehotuksissa on teknisesti mahdollista navigoida, on epätodennäköistä, että käyttäjät tietävät, mitkä tunnistetiedot on annettava minkäkin kehotuksen aikana.
Tässä tilanteessa on todella hankalaa tietää, mitä tiliä pitää käyttää, kun käytössäsi on tiloissa olevia julkisia kansioita, joita pilvipalvelun postilaatikkokäyttäjät voivat käyttää. Tiloissa olevien julkisten kansioiden välityspostilaatikko palautetaan osana pilvipalvelun Autodiscover-vastausta, ja jossain vaiheessa Outlookia avattaessa käyttäjän odotetaan syöttävän tiloissa olevat tunnistetiedot. Sanoisin, että tämä kokoonpano on lähes käyttökelvoton.
Exchange Hybrid Autodiscover: Mac
Käytettäessä uutta ”Outlook for Mac”, Vaihtoehtoisen kirjautumistunnuksen tunnistetietojen yhteensopimattomuus aiheuttaa sen, että Outlook epäonnistuu automaattisen tiliasetuksen aikana. Käyttäjän on määritettävä Outlook manuaalisesti käyttämään kohdetta ”https://outlook.office365.com/EWS/Exchange.asmx”.
Office ProPlus
Käyttäytyminen tässä on hieman outoa. Kun käyttäjä käyttää vaihtoehtoista kirjautumistunnusta, Office ProPlus asentuu ja näkyy aktivoituna kyseisen käyttäjän tilillä pilvessä, mutta paikallisissa sovelluksissa se näyttää sinut kirjautuneena tiloissa olevalla UPN-tunnuksellasi.
Tuloksena on, että Office-sovelluksissa ei näy linkkejä OneDrive for Business -palveluun eikä OneDrive for Business Sync Client -asiakasta voida asentaa. Vaikka pystytkin kirjautumaan ulos tiloissa olevasta UPN:stä ja kirjautumaan sisään vaihtoehtoisella kirjautumistunnuksellasi, kyseenalaistan sen, siirtyisikö Office ProPlus jonkin ajan kuluttua ”vähennettyyn toimintatilaan”, jos se jätetään kirjautuneena sisään tiloissa olevalla tilillä.
Remote Connectivity Analyzer
Ei tämä ole kriittinen asia, mutta Remote Connectivity Analyzer Autodiscover -testi ei osaa käsitellä vaihtoehtoista kirjautumistunnusta Exchange Hybridin kanssa kaksinkertaisen todennuskehotuksen vuoksi.
Azure Application Proxy
Kuten alla oleva kommentoija huomautti, uudessa Azure Application Proxy -ohjelmassa on alaviite, jossa todetaan: ”Azure Active Directory -hakemistossa olevien UPN-tunnusten on oltava identtisiä tiloissa olevan Active Directory -hakemiston UPN-tunnusten kanssa, jotta esiautentikointi toimisi”. Varmista, että Azure Active Directory on synkronoitu toimitilojen Active Directory -hakemiston kanssa.”” Tämä tarkoittaa, että vaihtoehtoinen kirjautumistunnus ei ole yhteensopiva tässä tilanteessa.
Kolmansien osapuolten identiteettipalveluntarjoajat (IDP:t)
Microsoftilla on kolmannen osapuolen testattuja IDP:itä varten ohjelma nimeltä ”Works with Office 365 – Identity”. Osa tätä ohjelmaa on luettelo testatuista palveluntarjoajista sekä mahdolliset poikkeukset, jotka saattavat olla tiedossa näiden tuotteiden kanssa. Tämän ohjelman huomautuksissa mainitaan, että ”Use of Sign-in by Alternate ID to UPN is also not tested in this program”. Periaatteessa mielipiteesi voivat siis vaihdella, kun käytät vaihtoehtoista kirjautumistunnusta minkä tahansa kolmannen osapuolen IDP:n kanssa.