Office 365 – As Limitações do ID de Login Alternativo

Intune
Não tenho muito mais sobre este além do que já lá estava desde o lançamento da funcionalidade original. As notas sempre disseram: “Se você é um cliente Intune usando o SCCM Connector, pode haver necessidade de configuração adicional”. Isso me diz que há algum tipo de problema mas talvez alguém mais envolvido com o Intune possa ajudar a preencher os detalhes.
Exchange Hybrid Autodiscover: Domínio Joined
A questão principal aqui é o descasamento entre as credenciais que são válidas no local e as credenciais que são válidas na nuvem. Em um ambiente Exchange Hybrid, os registros Autodiscover ainda apontam para a troca no local onde um usuário se autentica e então realiza uma busca Autodiscover. Se o utilizador tiver uma caixa de correio em nuvem, o utilizador é então redireccionado para o Office 365, onde é feita outra pesquisa Autodiscover, com autenticação, e depois a resposta Autodiscover é devolvida. O problema que ocorre é que são necessárias credenciais diferentes para as máquinas no local (que não sabe nada sobre o ID de Login Alternativo) e para a nuvem (que espera o ID de Login Alternativo).
Para máquinas com domínio juntado, as credenciais logadas são suficientes para autenticar no Exchange no local e então o usuário recebe o prompt único usual para autenticar no Exchange Online. A única diferença que você vai notar aqui é que o prompt do Office 365 tem as credenciais erradas preenchidas na caixa de login e você precisa digitar seu ID de login alternativo.
Exchange Hybrid Autodiscover: Non-Domain Joined
Para máquinas que não são de domínio juntadas, o usuário é apresentado com prompts tanto para as máquinas no local quanto para a nuvem sem saber para qual plataforma o prompt é. O resultado é que, embora seja tecnicamente possível navegar pelos prompts de login, é improvável que seus usuários saibam quais credenciais fornecer durante qual prompt.
Quando isso realmente se torna difícil saber qual conta usar, quando você tem Pastas Públicas no local que você tornou acessível pelos usuários da caixa postal da nuvem. A caixa de correio proxy para as Pastas Públicas nas instalações da nuvem é devolvida como parte da resposta de auto-descoberta da nuvem e, em algum momento ao abrir o Outlook, espera-se que você insira as credenciais nas instalações da nuvem. Eu diria que esta configuração é quase inutilizável.
Exchange Hybrid Autodiscover: Mac
Quando usar o novo “Outlook para Mac”, o descasamento de credenciais do ID de Login Alternativo fará com que o Outlook falhe durante a configuração automática da conta. O utilizador terá de configurar manualmente o Outlook para usar o alvo de “https://outlook.office365.com/EWS/Exchange.asmx”.
Office ProPlus
O comportamento aqui é um pouco estranho. Quando um usuário estiver usando o ID de Login Alternativo, o Office ProPlus irá instalar e mostrar ativado sob a conta desse usuário na nuvem, no entanto, nas aplicações locais, ele mostrará que você efetuou o login sob suas instalações UPN.
O resultado é que você não verá os links para o seu OneDrive for Business dentro das aplicações Office e o OneDrive for Business Sync Client não será configurado. Enquanto você pode sair do site UPN e entrar com o seu ID de login alternativo, eu questiono se o Office ProPlus entraria no “modo de funcionalidade reduzida” após um período de tempo se você tivesse entrado com a conta no site.
Remote Connectivity Analyzer
Não que este seja um problema crítico mas o teste de auto-descoberta do Analisador de Conectividade Remota não sabe como lidar com o ID de Login Alternativo com Exchange Hybrid devido ao prompt de autenticação dupla.
Azure Application Proxy
Como observado pelo comentador abaixo, o novo Azure Application Proxy tem uma nota de rodapé indicando: “As UPNs no Azure Active Directory devem ser idênticas às UPNs no seu Active Directory local para que a pré-autenticação funcione. Certifique-se de que o seu Azure Active Directory está sincronizado com o seu Active Directory no local”. Isto significa que o ID de Login Alternativo não é compatível nesta situação.
Third-Party Identity Identity Providers (IDPs)
Microsoft tem um programa para IDPs de terceiros testados chamado “Works with Office 365 – Identity”. Parte deste programa é uma lista de provedores testados, juntamente com quaisquer exceções que possam ser conhecidas com esses produtos. Listado nas notas deste programa está que “O uso do Sign-in por ID Alternativa para UPN também não é testado neste programa”. Portanto, basicamente sua milhagem pode variar ao usar o ID de Login Alternativo com qualquer um desses IDPs de terceiros.