Office365- iOS邮件和Gmail应用程序不使用ADFS +现代身份验证

Question

我们目前有一个问题，我们的Office 365电子邮件访问从不支持现代认证的应用程序。

我们的设置：

• Office 365 - ADFS 3.0联邦域
• 为Exchange联机启用现代身份验证
• 适用于所有用户的Azure多因素授权

这个设置在过去的6个月里对我们起了作用，但突然就没有了。我在Office 365的支持下打开了一个箱子，并找到了身份小组。此时，我们仍在调查与他们的问题，他们正在重建我们的环境，以排除问题。

等待他们的回答，我希望在这里找到一些答案。我们已经启用了现代认证，所以所有支持它的新应用程序都会通过网页浏览器重定向我们输入MFA信息。这适用于所有新的应用程序，比如用于安卓和iOS的。

我有用户抱怨这个应用程序，有些用户想要使用默认的iOS和Android /日历。直到一个月前，我们还可以通过在Azure多因素身份验证中创建应用程序密码来进行ByPass现代身份验证：https://docs.microsoft.com/en-us/azure/multi-factor-authentication/multi-factor-authentication-whats-next#app-passwords

到目前为止，测试步骤：

• 没有ADFS (云标识；username@example.onmicrosoft.com)，->就能工作。因此，这似乎与ADFS和现代Auth + MFA有关。
• 由于联邦域->错误禁用了MFA。邮件应用程序显示“密码错误”。
• 我不能用现代八月考试。此时禁用，因为用户将被提示输入凭据。

到目前为止，我的结论是微软为现代认证做了一个后端的改变。这真的感觉他们启用了一些东西，一旦您为您的租户启用了现代身份验证，您就会被强制/限制只使用支持现代八月的应用程序。

在过去，我们能够使用我前面提到的应用程序密码来实现ByPass，并且有一天--大约一个月前(我们的终端没有任何变化)--我们所有的用户都使用了经典/原生(Basic Auth)。应用程序被提示输入密码，并停止工作。即使是新创建的应用程序密码..。

微软正在创建一个类似的测试环境，他们将从捕获Fiddler跟踪开始，以解决问题。同时..。

有没有人经历过同样的问题？有什么想法吗？

Answer 1

我们最终通过删除Office 365的域联合来解决这个问题。

当然，我们仍然需要单点登录和无Seemless登录，因此我们将ADFS替换为：

• https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso
• https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication

有了这一点，而不是ADFS，我们设法使应用程序密码再次工作。我相信微软在后台改变了什么，就像我在问题中提到的.无法证明，但不知何故，它不再起作用了。

这是一个很好的选择。