Часто задаваемые вопросы о проверке подлинности вложенных приложений и устаревших маркерах Outlook

Маркеры удостоверений пользователей Exchange и маркеры обратного вызова устарели и будут отключены с февраля 2025 г. Рекомендуется переместить надстройки Outlook, использующие устаревшие маркеры Exchange, во вложенную проверку подлинности приложений.

Общие вопросы и ответы

Что такое проверка подлинности вложенных приложений (NAA)?

Проверка подлинности вложенных приложений обеспечивает единый вход (SSO) для приложений, вложенных в поддерживаемые приложения Майкрософт, такие как Outlook. По сравнению с существующими моделями проверки подлинности с полным доверием и потоком on-behalf-of, NAA обеспечивает более высокую безопасность и большую гибкость в архитектуре приложений, позволяя создавать многофункциональные клиентские приложения. Дополнительные сведения см . в статье Включение единого входа в надстройке Office с помощью проверки подлинности вложенного приложения.

Какой временная шкала для завершения работы устаревших токенов Exchange Online?

Корпорация Майкрософт начинает отключать устаревшие токены Exchange Online в феврале 2025 г. С этого момента до февраля 2025 г. существующие и новые клиенты не будут затронуты. Мы предоставим администраторам инструменты для повторной регистрации маркеров Exchange для клиентов и надстроек, если эти надстройки еще не перенесены в NAA. Дополнительные сведения см. в статье Можно ли снова включить устаревшие маркеры?

Date	Состояние устаревших маркеров
Февраль 2025 г.	Устаревшие маркеры отключены для всех клиентов. Администраторы могут повторно использовать устаревшие маркеры с помощью PowerShell.
Июнь 2025 г.	Устаревшие маркеры отключены для всех клиентов. Администраторы больше не могут повторно использовать устаревшие маркеры с помощью PowerShell и должны обращаться в Корпорацию Майкрософт за любым исключением.
Октябрь 2025 г.	Устаревшие маркеры отключены для всех клиентов. Исключения больше не допускаются.

Когда общедоступная версия NAA для моего канала?

Дата общедоступной доступности для NAA зависит от того, какой канал вы используете.

Date	Общая доступность NAA (общедоступная версия)
Октябрь 2024 г.	NAA является общедоступной версией в Current Channel.
Ноябрь 2024 г.	NAA будет общедоступным в Monthly Enterprise Channel.
Январь 2025 г.	NAA будет ga in Semi-Annual Channel.
Июнь 2025 г.	NAA будет общедоступным в Semi-Annual расширенный канал.

Вопросы администратора Microsoft 365

Можно ли снова включить устаревшие маркеры?

К середине ноября 2024 г. мы развернем новые средства с помощью PowerShell для администраторов Microsoft 365, чтобы включить или отключить устаревшие маркеры Exchange в клиенте. Если вам нужно повторно включить устаревшие маркеры Exchange, можно использовать для этого командлеты PowerShell. Средства также будут сообщать, используют ли какие-либо надстройки устаревшие маркеры за последние 28 дней. В июне 2025 г. устаревшие маркеры Exchange Online будут отключены, и вы не сможете снова включить их без определенного исключения, предоставленного корпорацией Майкрософт. В октябре 2025 г. нельзя будет включить устаревшие маркеры Exchange Online, и они будут отключены для всех клиентов. Мы обновим эти вопросы и ответы с дополнительными сведениями, когда средство будет доступно во всех клиентах.

Как работает поток согласия администратора?

Независимые поставщики программного обеспечения (ISV) обновляют свои надстройки для использования маркеров идентификаторов Entra и областей Microsoft Graph. Когда надстройка запрашивает маркер доступа, она должна иметь согласие администратора или пользователя. Если администратор дает согласие, все пользователи в клиенте могут использовать надстройку для областей, необходимых надстройке. В противном случае каждому конечному пользователю будет предложено предоставить согласие, если согласие пользователя включено. Заполнение согласия администратора обеспечивает более удобный интерфейс, так как пользователи не запрашиваются.

Один из вариантов предоставления согласия заключается в том, что isv предоставляет вам URI согласия администратора.

1. Разработчик надстройки предоставляет URI согласия администратора. Если этого нет в документации, которую они предоставляют, необходимо связаться с ними для получения дополнительных сведений.
2. Администратор переходит к URI согласия администратора.
3. Администратору будет предложено войти и предоставить согласие на список областей, необходимых надстройке.
4. После завершения браузер перенаправляется на веб-страницу из независимого поставщика программного обеспечения, что должно показать, что согласие было успешно выполнено.

В качестве альтернативы ISV может предоставить обновленный манифест приложения, который будет запрашивать согласие администратора в рамках централизованного развертывания. В этом сценарии при развертывании обновленного манифеста приложения вам будет предложено предоставить согласие до завершения развертывания. URI согласия администратора не требуется.

Наконец, если надстройка опубликована в магазине Microsoft 365, обновление будет развернуто автоматически, и администратору будет предложено согласиться с областями. Если администратор не дает согласия, пользователи не смогут использовать обновленную надстройку.

Что делать, если надстройка не работает после согласия администратора?

Убедитесь, что вы не отключаете функции или не отменяете разрешения, необходимые надстройке. Пример см. в статье Изменение свойств политики почтовых ящиков. Надстройка использует делегированные разрешения и, следовательно, имеет доступ к тем же ресурсам, что и пользователь, выполнившего вход. Однако если политика или параметр блокирует доступ пользователя к определенному ресурсу или действию, надстройка также будет заблокирована.

Разделы справки развертывать обновления надстроек из независимого поставщика программного обеспечения?

Если у вас есть надстройка, использующая устаревшие токены Exchange, обратитесь к своему программному приложению, чтобы получить сведения об их временная шкала перенести надстройку на использование NAA. После миграции надстройки isV, скорее всего, он предоставит URL-адрес согласия администратора. Дополнительные сведения см. в разделе Как работает поток согласия администратора? .

IsV также может предоставить обновленный манифест приложения для развертывания с помощью централизованного развертывания. Во время централизованного развертывания может потребоваться согласие на любые области Microsoft Graph, необходимые надстройке. В этом сценарии не нужно использовать URI согласия администратора.

Если надстройка развернута из Microsoft AppSource, скорее всего, вам будет предложено предоставить согласие на использование областей Microsoft Graph, когда isV развертывает обновления надстройки. До вашего согласия пользователи в клиенте не смогут использовать новую версию надстройки с NAA.

На какие надстройки в моей организации влияет?

Мы предоставим средства для администраторов, которые сообщают идентификатор приложения любой надстройки, которая использовала устаревшие токены Exchange Online за последние 28 дней. Мы предоставим дополнительные сведения в этом разделе часто задаваемых вопросов, когда инструменты будут готовы. Дополнительные сведения см. в разделе Можно ли снова включить устаревшие маркеры?.

Надстройки могут использовать устаревшие токены Exchange для получения ресурсов из Exchange с помощью rest API EWS или Outlook. Иногда надстройке требуются ресурсы Exchange для некоторых вариантов использования, а не для других, что затрудняет определение необходимости обновления надстройки. Мы рекомендуем обратиться к разработчикам и владельцам надстроек, чтобы спросить их, ссылается ли их код надстройки на следующие API.

• makeEwsRequestAsync
• getUserIdentityTokenAsync
• getCallbackTokenAsync

Если для надстройки используется isV, рекомендуется как можно скорее связаться с ним, чтобы убедиться, что у них есть план и временная шкала для отказа от устаревших токенов Exchange. Разработчики программного обеспечения должны обратиться непосредственно к своим контактам Майкрософт с вопросами, чтобы убедиться, что они готовы к концу устаревших токенов Exchange. Если вы полагаетесь на разработчика в вашей организации, он должен ознакомиться с этим часто задаваемыми вопросами и статьей Включение единого входа в надстройке Office с помощью проверки подлинности вложенного приложения. Любые вопросы должны быть подняты на сайте проблем с OfficeDev/office-js GitHub.

Где найти, какие надстройки имеют согласие?

После согласия администратора или пользователя они будут перечислены в Центр администрирования Microsoft Entra. Регистрации приложений можно найти, выполнив следующие действия.

1. Перейдите по адресу https://entra.microsoft.com/#home.
2. В области навигации слева выберите Приложения>Регистрация приложений.
3. На странице Регистрация приложений выберите Все приложения.
4. Теперь вы можете искать любую регистрацию приложения по имени или идентификатору.

Часто задаваемые вопросы о миграции надстроек Outlook

Почему корпорация Майкрософт выполняет миграцию надстроек Outlook?

Переход на Microsoft Graph с помощью маркеров идентификаторов Entra является большим улучшением безопасности для клиентов Outlook и Exchange. Entra ID (прежнее название — Azure Active Directory) — это ведущая облачная служба управления удостоверениями и доступом. Клиенты могут воспользоваться такими функциями, как "никому не доверяй", такие как условный доступ, требования MFA, постоянный мониторинг маркеров, эвристика безопасности в реальном времени и многое другое, недоступное с устаревшими токенами Exchange. Клиенты хранят важные бизнес-данные, хранящиеся в Exchange, поэтому крайне важно обеспечить защиту этих данных. Перенос всей экосистемы Outlook на использование маркеров идентификаторов Entra с Microsoft Graph значительно повышает безопасность данных клиентов.

Требуется ли миграция надстройки Outlook в NAA?

Нет. Надстройкам Outlook не нужно использовать NAA, хотя NAA предлагает лучший интерфейс проверки подлинности для пользователей и лучший уровень безопасности для организаций. Если надстройки не используют устаревшие маркеры Exchange, на них не влияет устаревание маркеров Exchange. Надстройки, использующие MSAL.js или другие методы единого входа, использующие идентификатор Entra, будут продолжать работать.

Разделы справки знаете, использует ли моя надстройка Outlook устаревшие маркеры?

Мы предоставим средства для администраторов, которые сообщают идентификатор приложения любой надстройки, которая использовала устаревшие токены Exchange Online за последние 28 дней. Мы предоставим дополнительные сведения, когда инструменты будут готовы, в этом разделе часто задаваемых вопросов. Дополнительные сведения см. в статье Можно ли снова включить устаревшие маркеры?

Чтобы узнать, использует ли надстройка устаревшие маркеры удостоверений пользователей Exchange и маркеры обратного вызова, выполните поиск в коде вызовов к следующим API.

• makeEwsRequestAsync
• getUserIdentityTokenAsync
• getCallbackTokenAsync

Если надстройка вызывает любой из этих API, следует внедрить NAA и перейти на использование маркеров идентификаторов Entra для доступа к Microsoft Graph.

Какие надстройки Outlook находятся в область?

Многие основные надстройки находятся в область. Если ваша надстройка использует EWS или Outlook REST для доступа к Exchange Online ресурсам, ей почти наверняка потребуется перенести устаревшие маркеры Outlook в NAA. Если ваша надстройка предназначена только для локальной среды Exchange (например, Exchange 2019), это изменение не влияет на нее.

Что произойдет с моими надстройками Outlook, если я не перейду на NAA?

Если вы не переносите надстройки Outlook в NAA, они перестанут работать должным образом в Exchange Online. Если маркеры Exchange отключены, Exchange Online заблокируют выдачу устаревших маркеров. Любая надстройка, использующая устаревшие маркеры, не сможет получить доступ к ресурсам Exchange Online.

Если ваша надстройка работает только в локальной среде или если надстройка находится по пути устаревания, возможно, вам не потребуется обновлять. Однако большинство надстроек, которые получают доступ к ресурсам Exchange через EWS или Outlook REST, должны выполнить миграцию, чтобы продолжить работу должным образом.

Разделы справки перенести надстройки Outlook в NAA?

Сведения о поддержке NAA в надстройке Outlook см. в следующей документации и примере.

• Включение единого входа в надстройке Office с помощью проверки подлинности вложенных приложений.
• Надстройка Outlook с единым входом с использованием проверки подлинности вложенных приложений.

Разделы справки следить за последними рекомендациями?

Мы обновим этот вопрос и ответы по мере того, как все новые сведения становятся доступными. Мы поделимся дополнительными рекомендациями в сообществе надстроек Office иблоге разработчиков M365. Наконец, вы можете задать вопросы о NAA и устаревших Exchange Online устаревании маркеров на сайте проблем с OfficeDev/office-js GitHub. Поместите "NAA" в название, чтобы можно было группировать и определять приоритеты проблем.

Если вы отправляете сообщение о проблеме, укажите следующие сведения.

• Версия клиента Outlook.
• Аудитория канала выпуска Outlook (для клиента).
• Снимок экрана проблемы.
• Платформа, на которой возникает проблема (Windows, Outlook (новый), Mac, iOS, Android).
• Идентификатор сеанса, в котором возникла проблема.
• Тип используемой учетной записи.
• Версия msal-browser.
• Журналы из msal-browser.

Вопросы по устранению неполадок для разработчиков

NAA не предоставляет единый вход и продолжает предлагать пользователям войти

Это может произойти, если NAA недоступна в клиенте Outlook. В Windows проверка, что используется бета-канал или текущий канал (предварительная версия). Чтобы перейти на эти каналы, необходимо присоединиться к программе предварительной оценки Microsoft 365 . Хороший способ проверка доступности NAA — проверка набор требований с помощью следующего фрагмента кода. Office.context.requirements.isSetSupported("NestedAppAuth")

Разделы справки получить дополнительные сведения об отладке из MSAL и NAA?

Используйте следующий код, чтобы включить сведения об отладке в msalConfig при инициализации вложенного общедоступного клиентского приложения. Это приведет к регистрации дополнительных сведений в консоли.

const msalConfig = {
  auth: {...},
  system: {
    loggerOptions: {
      logLevel: LogLevel.Verbose,
      loggerCallback: (level, message, containsPii) => {
        switch (level) {
          case LogLevel.Error:
            console.error(message);
            return;
          case LogLevel.Info:
            console.info(message);
            return;
          case LogLevel.Verbose:
            console.debug(message);
            return;
          case LogLevel.Warning:
            console.warn(message);
            return;
        }
      },
    }
  }
};

Связанные материалы

• Включение единого входа в надстройке Office с помощью проверки подлинности вложенных приложений.
• Надстройка Outlook с единым входом с использованием проверки подлинности вложенных приложений.