Поделиться через

Часто задаваемые вопросы о проверке подлинности вложенных приложений и устаревших маркерах Outlook

  • Статья

Маркеры удостоверений пользователей Exchange и маркеры обратного вызова устарели и будут отключены с февраля 2025 г. Рекомендуется переместить надстройки Outlook, использующие устаревшие маркеры Exchange, во вложенную проверку подлинности приложений.

Общие вопросы и ответы

Что такое проверка подлинности вложенных приложений (NAA)?

Проверка подлинности вложенных приложений обеспечивает единый вход (SSO) для приложений, вложенных в поддерживаемые приложения Майкрософт, такие как Outlook. По сравнению с существующими моделями проверки подлинности с полным доверием и потоком on-behalf-of, NAA обеспечивает более высокую безопасность и большую гибкость в архитектуре приложений, позволяя создавать многофункциональные клиентские приложения. Дополнительные сведения см . в статье Включение единого входа в надстройке Office с помощью проверки подлинности вложенного приложения.

Какой временная шкала для завершения работы устаревших токенов Exchange Online?

Корпорация Майкрософт начинает отключать устаревшие токены Exchange Online в феврале 2025 г. С этого момента до февраля 2025 г. существующие и новые клиенты не будут затронуты. Мы предоставим администраторам инструменты для повторной регистрации маркеров Exchange для клиентов и надстроек, если эти надстройки еще не перенесены в NAA. Дополнительные сведения см. в статье Можно ли снова включить устаревшие маркеры?

Date Состояние устаревших маркеров
Февраль 2025 г. Устаревшие маркеры отключены для всех клиентов. Администраторы могут повторно использовать устаревшие маркеры с помощью PowerShell.
Июнь 2025 г. Устаревшие маркеры отключены для всех клиентов. Администраторы больше не могут повторно использовать устаревшие маркеры с помощью PowerShell и должны обращаться в Корпорацию Майкрософт за любым исключением.
Октябрь 2025 г. Устаревшие маркеры отключены для всех клиентов. Исключения больше не допускаются.

Когда общедоступная версия NAA для моего канала?

Дата общедоступной доступности для NAA зависит от того, какой канал вы используете.

Date Общая доступность NAA (общедоступная версия)
Октябрь 2024 г. NAA является общедоступной версией в Current Channel.
Ноябрь 2024 г. NAA является общедоступной версией в Monthly Enterprise Channel.
Январь 2025 г. NAA будет ga in Semi-Annual Channel.
Июнь 2025 г. NAA будет общедоступным в Semi-Annual расширенный канал.

Влияют ли на надстройки COM устаревшие маркеры Exchange Online?

Маловероятно, что на какие-либо com-надстройки влияет устаревание устаревших маркеров Exchange Online. Веб-надстройки Outlook затрагиваются в первую очередь потому, что они могут использовать Office.js API, которые используют маркеры Exchange. Дополнительные сведения см. в статье Как узнать, зависит ли добавление outlook в от устаревших маркеров. Маркеры Exchange используются для доступа к веб-службам Exchange (EWS) или REST API Outlook, оба из которых также являются устаревшими. Если вы подозреваете, что надстройка COM может быть затронута, ее можно протестировать, используя ее в клиенте с отключенными маркерами Exchange. Дополнительные сведения см. в разделе Включение и отключение устаревших маркеров Exchange Online.

Вопросы администратора Microsoft 365

Можно ли снова включить маркеры Exchange Online прежних версий?

Да, существуют команды PowerShell, которые можно использовать для включения или отключения устаревших маркеров в любом клиенте. Дополнительные сведения о включении или отключении устаревших маркеров см. в статье Включение и отключение устаревших маркеров Exchange Online. Если вы используете команды для включения устаревших маркеров Exchange Online, они не будут отключены в феврале 2025 г. Они будут действовать до июня 2025 года или до тех пор, пока вы не выключите их с помощью инструментов.

В июне 2025 г. устаревшие маркеры будут отключены, и вы не сможете снова включить их без определенного исключения, предоставленного корпорацией Майкрософт. В октябре 2025 г. нельзя будет включить устаревшие маркеры, и они будут отключены для всех клиентов. После того как средство будет доступно, мы обновим эти вопросы и ответы.

Независимые поставщики программного обеспечения (ISV) обновляют свои надстройки для использования маркеров идентификаторов Entra и областей Microsoft Graph. Когда надстройка запрашивает маркер доступа, она должна иметь согласие администратора или пользователя. Если администратор дает согласие, все пользователи в клиенте могут использовать надстройку для областей, необходимых надстройке. В противном случае каждому конечному пользователю будет предложено предоставить согласие, если согласие пользователя включено. Заполнение согласия администратора обеспечивает более удобный интерфейс, так как пользователи не запрашиваются.

Один из вариантов предоставления согласия заключается в том, что isv предоставляет вам URI согласия администратора.

  1. Разработчик надстройки предоставляет URI согласия администратора. Если этого нет в документации, которую они предоставляют, необходимо связаться с ними для получения дополнительных сведений.
  2. Администратор переходит к URI согласия администратора.
  3. Администратору будет предложено войти и предоставить согласие на список областей, необходимых надстройке.
  4. После завершения браузер перенаправляется на веб-страницу из независимого поставщика программного обеспечения, что должно показать, что согласие было успешно выполнено.

В качестве альтернативы ISV может предоставить обновленный манифест приложения, который будет запрашивать согласие администратора в рамках централизованного развертывания. В этом сценарии при развертывании обновленного манифеста приложения вам будет предложено предоставить согласие до завершения развертывания. URI согласия администратора не требуется.

Наконец, если надстройка опубликована в магазине Microsoft 365, обновление будет развернуто автоматически, и администратору будет предложено согласиться с областями. Если администратор не дает согласия, пользователи не смогут использовать обновленную надстройку.

Убедитесь, что вы не отключаете функции или не отменяете разрешения, необходимые надстройке. Пример см. в статье Изменение свойств политики почтовых ящиков. Надстройка использует делегированные разрешения и, следовательно, имеет доступ к тем же ресурсам, что и пользователь, выполнившего вход. Однако если политика или параметр блокирует доступ пользователя к определенному ресурсу или действию, надстройка также будет заблокирована.

Разделы справки развертывать обновления надстроек из независимого поставщика программного обеспечения?

Если у вас есть надстройка, использующая устаревшие токены Exchange, обратитесь к своему программному приложению, чтобы получить сведения об их временная шкала перенести надстройку на использование NAA. После миграции надстройки isV, скорее всего, он предоставит URL-адрес согласия администратора. Дополнительные сведения см. в разделе Как работает поток согласия администратора? .

IsV также может предоставить обновленный манифест приложения для развертывания с помощью централизованного развертывания. Во время централизованного развертывания может потребоваться согласие на любые области Microsoft Graph, необходимые надстройке. В этом сценарии не нужно использовать URI согласия администратора.

Если надстройка развернута из Microsoft AppSource, скорее всего, вам будет предложено предоставить согласие на использование областей Microsoft Graph, когда isV развертывает обновления надстройки. До вашего согласия пользователи в клиенте не смогут использовать новую версию надстройки с NAA.

На какие надстройки в моей организации влияет?

По состоянию на октябрь 2024 г. мы опубликовали список всех надстроек Outlook, опубликованных в Магазине Майкрософт, которые используют устаревшие маркеры. Дополнительные сведения об использовании списка и создании отчета о надстройках Outlook, которые потенциально используют устаревшие маркеры, см. в статье Поиск надстроек Outlook, использующих устаревшие маркеры Exchange Online. Кроме того, мы работаем над инструментами отчетов, чтобы упростить отслеживание надстроек с помощью устаревших маркеров. Мы надеемся, что в начале 2025 года будут доступны инструменты для отчетов.

Надстройки могут использовать устаревшие маркеры для получения ресурсов из Exchange с помощью интерфейсов REST API EWS или Outlook. Иногда надстройке требуются ресурсы Exchange для некоторых вариантов использования, а не для других, что затрудняет определение необходимости обновления надстройки. Мы рекомендуем обратиться к разработчикам и владельцам надстроек, чтобы спросить их, ссылается ли их код надстройки на следующие API.

  • makeEwsRequestAsync
  • getUserIdentityTokenAsync
  • getCallbackTokenAsync

Если для надстройки используется isV, рекомендуется как можно скорее связаться с ним, чтобы убедиться, что у них есть план и временная шкала для отказа от устаревших токенов Exchange. Разработчики программного обеспечения должны обратиться непосредственно к своим контактам Майкрософт с вопросами, чтобы убедиться, что они готовы к концу устаревших токенов Exchange. Если вы полагаетесь на разработчика в вашей организации, он должен ознакомиться с этим часто задаваемыми вопросами и статьей Включение единого входа в надстройке Office с помощью проверки подлинности вложенного приложения. Любые вопросы должны быть подняты на сайте проблем с OfficeDev/office-js GitHub.

После согласия администратора или пользователя они будут перечислены в Центр администрирования Microsoft Entra. Регистрации приложений можно найти, выполнив следующие действия.

  1. Перейдите по адресу https://entra.microsoft.com/#home.
  2. В области навигации слева выберите Приложения>Регистрация приложений.
  3. На странице Регистрация приложений выберите Все приложения.
  4. Теперь вы можете искать любую регистрацию приложения по имени или идентификатору.

Существует ли список издателей, которые обновили свои надстройки?

Некоторые широко используемые издатели надстроек Outlook уже обновили свои надстройки, как указано ниже.

Если издатель обновил свой манифест, а надстройка развернута через Microsoft Store, вам как администратору будет предложено обновить и развернуть обновления. Если издатель обновил свой манифест, а надстройка развертывается с помощью централизованного развертывания, вам потребуется развернуть новый манифест от имени администратора. В некоторых случаях у издателя может быть URI согласия администратора, который необходимо использовать для предоставления согласия на новые области для надстройки. Обратитесь к издателям, если вам нужны дополнительные сведения об обновлении надстройки.

Часто задаваемые вопросы о миграции надстроек Outlook

Почему корпорация Майкрософт выполняет миграцию надстроек Outlook?

Переход на Microsoft Graph с помощью маркеров идентификаторов Entra является большим улучшением безопасности для клиентов Outlook и Exchange. Entra ID (прежнее название — Azure Active Directory) — это ведущая облачная служба управления удостоверениями и доступом. Клиенты могут воспользоваться такими функциями, как "никому не доверяй", такие как условный доступ, требования MFA, постоянный мониторинг маркеров, эвристика безопасности в реальном времени и многое другое, недоступное с устаревшими токенами Exchange. Клиенты хранят важные бизнес-данные, хранящиеся в Exchange, поэтому крайне важно обеспечить защиту этих данных. Перенос всей экосистемы Outlook на использование маркеров идентификаторов Entra с Microsoft Graph значительно повышает безопасность данных клиентов.

Требуется ли миграция надстройки Outlook в NAA?

Нет. Надстройкам Outlook не нужно использовать NAA, хотя NAA предлагает лучший интерфейс проверки подлинности для пользователей и лучший уровень безопасности для организаций. Если надстройки не используют устаревшие маркеры Exchange, на них не влияет устаревание маркеров Exchange. Надстройки, использующие MSAL.js или другие методы единого входа, использующие идентификатор Entra, будут продолжать работать.

Разделы справки знаете, использует ли моя надстройка Outlook устаревшие маркеры?

Чтобы узнать, использует ли надстройка устаревшие маркеры удостоверений пользователей Exchange и маркеры обратного вызова, выполните поиск в коде вызовов к следующим API.

  • makeEwsRequestAsync
  • getUserIdentityTokenAsync
  • getCallbackTokenAsync

Если надстройка вызывает любой из этих API, следует внедрить NAA и перейти на использование маркеров идентификаторов Entra для доступа к Microsoft Graph.

Какие надстройки Outlook находятся в область?

Многие основные надстройки находятся в область. Если ваша надстройка использует EWS или Outlook REST для доступа к Exchange Online ресурсам, ей почти наверняка потребуется перенести устаревшие маркеры Outlook в NAA. Если ваша надстройка предназначена только для локальной среды Exchange (например, Exchange 2019), это изменение не влияет на нее.

Что произойдет с моими надстройками Outlook, если я не перейду на NAA?

Если вы не переносите надстройки Outlook в NAA, они перестанут работать должным образом в Exchange Online. Если маркеры Exchange отключены, Exchange Online заблокируют выдачу устаревших маркеров. Любая надстройка, использующая устаревшие маркеры, не сможет получить доступ к ресурсам Exchange Online.

Если ваша надстройка работает только в локальной среде или если надстройка находится по пути устаревания, возможно, вам не потребуется обновлять. Однако большинство надстроек, которые получают доступ к ресурсам Exchange через EWS или Outlook REST, должны выполнить миграцию, чтобы продолжить работу должным образом.

Разделы справки перенести надстройки Outlook в NAA?

Сведения о поддержке NAA в надстройке Outlook см. в следующей документации и примере.

Разделы справки следить за последними рекомендациями?

Мы обновим этот вопрос и ответы по мере того, как все новые сведения становятся доступными. Мы поделимся дополнительными рекомендациями в сообществе надстроек Office иблоге разработчиков M365. Наконец, вы можете задать вопросы о NAA и устаревших Exchange Online устаревании маркеров на сайте проблем с OfficeDev/office-js GitHub. Поместите "NAA" в название, чтобы можно было группировать и определять приоритеты проблем.

Если вы отправляете сообщение о проблеме, укажите следующие сведения.

  • Версия клиента Outlook.
  • Аудитория канала выпуска Outlook (для клиента).
  • Снимок экрана проблемы.
  • Платформа, на которой возникает проблема (Windows, Outlook (новый), Mac, iOS, Android).
  • Идентификатор сеанса, в котором возникла проблема.
  • Тип используемой учетной записи.
  • Версия msal-browser.
  • Журналы из msal-browser.

Вопросы для разработчиков

Разделы справки получить дополнительные сведения об отладке из MSAL и NAA?

Используйте следующий код, чтобы включить сведения об отладке в msalConfig при инициализации вложенного общедоступного клиентского приложения. Это приведет к регистрации дополнительных сведений в консоли.

const msalConfig = {
  auth: {...},
  system: {
    loggerOptions: {
      logLevel: LogLevel.Verbose,
      loggerCallback: (level, message, containsPii) => {
        switch (level) {
          case LogLevel.Error:
            console.error(message);
            return;
          case LogLevel.Info:
            console.info(message);
            return;
          case LogLevel.Verbose:
            console.debug(message);
            return;
          case LogLevel.Warning:
            console.warn(message);
            return;
        }
      },
    }
  }
};

Разделы справки проверить маркер идентификатора или проверить подлинность пользователя?

С помощью маркеров Exchange можно проверить маркер идентификатора и использовать его для авторизации пользователя для доступа к собственным ресурсам. Дополнительные сведения см. в статье Проверка подлинности пользователя с помощью маркера удостоверения для Exchange. Однако MSAL с маркерами идентификатора Entra не использует этот подход.

При запросе маркера через MSAL всегда возвращаются три маркера.

Token Назначение Scopes
Маркер идентификатора Предоставляет сведения о пользователе клиенту (области задач). profile и openid
Маркер обновления Обновляет идентификаторы и маркеры доступа по истечении срока действия. offline_access
Маркер доступа Выполняет проверку подлинности пользователя для определенных областей ресурса, например Microsoft Graph. Любые области ресурсов, например user.read.

MSAL всегда возвращает эти три маркера. Он запрашивает profile, openidи offline_access в качестве областей по умолчанию, даже если запрос маркера не включает их. Это гарантирует, что будут запрошены маркеры идентификатора и обновления. Однако необходимо включить по крайней мере один область ресурса, напримерuser.read, чтобы получить маркер доступа. В противном случае запрос может завершиться ошибкой.

Передача маркера идентификатора по сетевому вызову для включения или авторизации доступа к службе является анти-шаблоном безопасности. Маркер предназначен только для клиента (области задач), и служба не может надежно использовать маркер, чтобы убедиться, что пользователь имеет авторизованный доступ. Дополнительные сведения о утверждениях маркера идентификатора см. в разделе https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference.

Очень важно всегда запрашивать маркер доступа к собственным службам. Маркер доступа также включает те же утверждения идентификатора, поэтому передавать маркер идентификатора не нужно. Вместо этого создайте настраиваемую область для службы. Дополнительные сведения о параметрах регистрации приложений для собственных служб см. в разделе Защищенный веб-API: регистрация приложений. Когда служба получает маркер доступа, она может проверить его и использовать утверждения идентификатора из маркера доступа.

Разделы справки определить, является ли пользователь локальной или сетевой учетной записью?

Вы можете определить, есть ли у пользователя, выполнившего вход, учетную запись Exchange Online или локальную учетную запись Exchange, с помощью свойства Office.UserProfile.accountType. Если свойство типа учетной записи имеет значение enterprise, почтовый ящик находится на локальном сервере Exchange Server. Обратите внимание, что корпоративные бессрочные Outlook 2016 не поддерживают свойство accountType. Чтобы обойти эту проблему, вызовите операцию ResolveNames в веб-службе Exchange (EWS) на локальном сервере Exchange, чтобы получить типы получателей.

Связанные материалы