Office 365 – Le limitazioni dell’ID di accesso alternativo
Intune
Non ho molte informazioni su questo argomento, se non che è stato presente fin dal rilascio della funzione originale. Le note hanno sempre detto: “Se sei un cliente di Intune che utilizza il connettore SCCM, potrebbe essere richiesta una configurazione aggiuntiva”. Questo mi dice che c’è qualche tipo di problema, ma forse qualcuno più coinvolto con Intune può aiutare a riempire i dettagli.
Exchange Hybrid Autodiscover: Domain Joined
Il problema principale qui è la mancata corrispondenza tra le credenziali che sono valide in sede e le credenziali che sono valide nel cloud. In un ambiente Exchange Hybrid, i record Autodiscover puntano ancora all’Exchange on-premises dove un utente si autentica e poi esegue una ricerca Autodiscover. Se l’utente ha una cassetta postale nel cloud, viene reindirizzato a Office 365 dove viene eseguita un’altra ricerca Autodiscover, con autenticazione, e quindi viene restituita la risposta Autodiscover. Il problema che si verifica è che sono necessarie credenziali diverse per l’on-premises (che non sa nulla dell’Alternate Login ID) e il cloud (che si aspetta l’Alternate Login ID).
Per le macchine unite al dominio, le credenziali di accesso sono sufficienti per autenticarsi all’Exchange on-premises e poi l’utente riceve il solito singolo prompt per autenticarsi a Exchange Online. L’unica differenza che noterai qui è che il prompt per Office 365 ha le credenziali sbagliate popolate nella casella di accesso e devi inserire il tuo ID di accesso alternativo.
Exchange Hybrid Autodiscover: Non-Domain Joined
Per le macchine non-domain joined, l’utente viene presentato con richieste sia per i locali che per il cloud senza sapere per quale piattaforma è la richiesta. Il risultato è che mentre è tecnicamente possibile navigare tra le richieste di login, è improbabile che i vostri utenti sappiano quali credenziali fornire durante quale richiesta.
Il punto in cui diventa veramente difficile sapere quale account usare è quando avete cartelle pubbliche on-premises che avete reso accessibili agli utenti delle mailbox cloud. La casella di posta proxy per le cartelle pubbliche on-premises viene restituita come parte della risposta di Autodiscover cloud e ad un certo punto, quando si apre Outlook, ci si aspetta di inserire le credenziali on-premises. Direi che questa configurazione è quasi inutilizzabile.
Exchange Hybrid Autodiscover: Mac
Quando si usa il nuovo “Outlook per Mac”, la mancata corrispondenza delle credenziali dell’ID di accesso alternativo farà fallire Outlook durante la configurazione automatica dell’account. L’utente dovrà configurare manualmente Outlook per utilizzare l’obiettivo di “https://outlook.office365.com/EWS/Exchange.asmx”.
Office ProPlus
Il comportamento qui è un po’ strano. Quando un utente utilizza l’ID di accesso alternativo, Office ProPlus verrà installato e mostrato attivato con l’account di quell’utente nel cloud, ma nelle applicazioni locali ti mostrerà connesso con il tuo UPN on-premises.
Il risultato è che non vedrai i collegamenti al tuo OneDrive for Business nelle applicazioni di Office e il client di sincronizzazione OneDrive for Business non verrà impostato. Mentre sei in grado di uscire dall’UPN on-premises e accedere con il tuo ID di accesso alternativo, mi chiedo se Office ProPlus andrebbe in “modalità di funzionalità ridotta” dopo un periodo di tempo se lasciato collegato con l’account on-premises.
Remote Connectivity Analyzer
Non che questo sia un problema critico, ma il test Autodiscover di Remote Connectivity Analyzer non sa come gestire l’ID di accesso alternativo con Exchange Hybrid a causa della richiesta di doppia autenticazione.
Azure Application Proxy
Come notato dal commentatore qui sotto, il nuovo Azure Application Proxy ha una nota che afferma: “Gli UPN in Azure Active Directory devono essere identici agli UPN nella tua Active Directory on-premises affinché la preautenticazione funzioni. Assicuratevi che la vostra Azure Active Directory sia sincronizzata con la vostra Active Directory on-premises”. Ciò significa che Alternate Login ID non è compatibile in questa situazione.
Third-Party Identity Providers (IDPs)
Microsoft ha un programma per IDPs di terze parti testati chiamato “Works with Office 365 – Identity”. Parte di questo programma è una lista di provider testati insieme a qualsiasi eccezione che potrebbe essere nota con quei prodotti. Nelle note di questo programma c’è scritto che “L’uso dell’accesso tramite ID alternativo a UPN non è testato in questo programma”. Quindi fondamentalmente il vostro chilometraggio può variare quando si utilizza l’ID di accesso alternativo con uno qualsiasi di questi IDP di terze parti.