Hoe u uw iPhone met behulp van OAuth 2.0 aan Windows koppelt met iCloud en Outlook

¿Hoe koppel je je iPhone aan Windows met iCloud en Outlook met behulp van OAuth 2.0? De beproeving van het combineren van iPhone en pc is eindelijk voorbij dankzij een langverwachte verandering: Outlook integreert nu moderne authenticatie voor iCloud. Deze verschuiving naar OAuth 2.0 Het elimineert app-specifieke wachtwoorden, versnelt het instellen van accounts en vermindert fouten. Je merkt het verschil al vanaf de eerste minuut: log gewoon in met je Apple ID op een Apple-pagina, geef toestemming en je bent klaar.

U krijgt niet alleen meer comfort, maar ook gemoedsrust. OAuth werkt met herroepbare tokensHiermee wordt voorkomen dat uw wachtwoord wordt prijsgegeven en kunt u de toegang tot het Apple ID-dashboard op elk gewenst moment intrekken. Microsoft heeft deze nieuwe functie aangekondigd in de nieuwe versie van Outlook voor Windows, samen met Outlook voor Mac en de mobiele apps, met een gefaseerde uitrol waarbij gebruikers zich de komende maanden opnieuw moeten authenticeren.

Wat verandert er als u iCloud koppelt aan Outlook met OAuth 2.0?

De ervaring is van top tot teen gemoderniseerd. Door een @icloud.com-account aan Outlook toe te voegen, wordt Apple's workflow in de browser geopend, met de vertrouwde, no-nonsense interface. Je verleent machtigingen en ze worden gesynchroniseerd. Mail, Agenda en Contacten in seconden, zonder dat u plug-ins hoeft aan te raken of vreemde toetsen hoeft te genereren.

Op het gebied van veiligheid is de sprong opmerkelijk: Toegangstokens zijn herroepbaarDit verkleint het aanvalsoppervlak en elimineert app-wachtwoorden. Mocht er een incident optreden, dan opent u uw Apple ID-beheer, trekt u de toestemming van Outlook in en is het probleem opgelost.

Compatibiliteit is nu beschikbaar De nieuwe Outlook voor Windows, Outlook voor Mac en de iOS- en Android-appsAls u nog steeds een oud dialoogvenster ziet waarin om een ​​applicatiewachtwoord wordt gevraagd, werk Outlook dan bij en start het opnieuw op. Microsoft is bezig met de nieuwe client en raadt aan deze uit te proberen om te profiteren van deze native iCloud-integratie zonder invoegtoepassingen.

Deze verandering maakt het leven ook gemakkelijker voor de technische ondersteuning: minder incidenten, minder wrijving en minder wachtwoorden zwermen rondDit is essentieel in persoonlijke en BYOD-omgevingen. De release notes voor de nieuwe Outlook vermelden al iCloud-compatibiliteit via OAuth 2.0 op Windows (versie 20250926009.05), met een geleidelijke uitrol Het kan enige tijd duren voordat u deze ontvangt.

Hoe u uw iCloud-account toevoegt aan de nieuwe Outlook

Het aanmeldingsproces is vereenvoudigd, maar het is nog steeds nuttig om vertrouwd te raken met de schermen. Ga in de nieuwe Outlook naar Beeld > Weergave-instellingen of Bestand > Accountgegevens, ga vervolgens naar Accounts > Uw accounts en klik op Account toevoegenVoer je iCloud-adres in en tik op Doorgaan. Je ziet de Apple-workflow met OAuth 2.0, waar U hoeft alleen maar in te loggen met uw Apple ID en toegang verlenen tot e-mail, agenda en contacten.

Als je op sommige apparaten nog steeds een wachtwoordprompt ziet in plaats van de moderne workflow, zijn er twee mogelijkheden. Ofwel is de uitrol nog niet op je apparaat aangekomen, ofwel gebruik je de Klassieke Outlook voor WindowsIn dat geval wordt u mogelijk gevraagd om een ​​app-specifiek wachtwoord. Hieronder leggen we uit hoe u dit wachtwoord kunt genereren op basis van uw Apple ID.

Nadat de Apple-authenticatie is voltooid, toont Outlook een bevestiging dat het account succesvol is toegevoegd. synchronisatie is automatisch en uw iCloud-gegevens verschijnen in Outlook zonder dat u extra stappen hoeft te ondernemen.

Wat als u bij de klassieke Outlook blijft: applicatiewachtwoorden

Voor degenen die nog steeds de klassieke versie van Outlook gebruiken, kan het toevoegen van iCloud een wachtwoordvak weergeven dat uw gebruikelijke wachtwoord niet accepteert. Dit geeft aan dat uw account extra beveiliging nodig heeft en dat u een wachtwoordbeheerder moet gebruiken. toepassingsspecifiek wachtwoord gekoppeld aan Apple ID.

1. Sluit de foutmelding in Outlook en ga naar de Apple ID-website in je browser. Meld je aan met je Apple ID en voer de code in. tweestapsverificatie als je het actief hebt.
2. Ga in het gedeelte Inloggen en Beveiliging naar Specifieke wachtwoorden vanuit de applicatie en kies Genereren.
3. Geef een naam (bijvoorbeeld Outlook Windows), klik op Maken en kopieer de sleutel. Deze heeft meestal 16 tekens met koppeltekens, hoofdlettergevoelig.
4. Ga terug naar de klassieke Outlook, ga naar Bestand > Account toevoegen, typ uw iCloud-e-mailadres en plak de tekst wanneer u daarom wordt gevraagd. gegenereerde sleutel.
5. Als alles goed gaat, zie je een melding dat het account succesvol is toegevoegd. Vanaf dat moment, Outlook synchroniseert iCloud.

Let op: in de nieuwe versie van Outlook met OAuth 2.0 hoeft u deze wachtwoorden niet meer te genereren. Als u echter nog steeds de klassieke client gebruikt, Deze methode zal blijven werken totdat de migratie voltooid is.

iCloud voor Windows: contacten en agenda's synchroniseren met Outlook

Een andere manier om gegevens te integreren als je je notitieboek en agenda wilt afstemmen, is iCloud voor Windows gebruiken. Met dit programma kun je: Agenda en contacten synchroniseren tussen uw iPhone en Outlook.

1. Download en installeer iCloud voor Windows vanaf de Apple-website.
2. opent iCloud voor Windows en log in met uw Apple ID.
3. Selecteer de synchronisatieoptie Contacten en agenda's en druk op Toepassen om de installatie te starten.
4. Open Outlook. Binnen enkele ogenblikken zouden de iCloud-gegevens daar moeten staan. verschijnen gesynchroniseerd.

Als je vastloopt, heeft Apple een specifieke handleiding voor probleemoplossing voor wanneer je Mail, Contacten of Agenda's niet vanuit iCloud aan Outlook kunt toevoegen. Het is ook belangrijk om een ​​@icloud.com-adres als je primaire e-mailadres in te stellen voordat je begint. Controleer het in uw account.

Microsoft Exchange-compatibiliteit op iPhone, iPad, Mac en Apple Vision Pro

Voor bedrijven die Apple-apparaten koppelen aan Microsoft 365 of on-premises servers, blijft Exchange-integratie een hoeksteen. iOS, iPadOS en visionOS ondersteunen Exchange Online en huidige serverversies, en in macOS Mail en Agenda Er is ook ondersteuning voor Exchange Online, Exchange Server 2019 en 2016.

Met iOS 14, iPadOS 14 en hoger worden Exchange-accounts die zijn verbonden met Microsoft-cloudservices (zoals Office 365 of Outlook.com) automatisch bijgewerkt om de OAuth 2.0-authenticatieservice Van Microsoft. In iOS 11, iPadOS 13.1 en macOS 10.14 of hoger worden moderne authenticatiestromen ondersteund in compatibele Exchange-tenants; met iOS 12, iPadOS 13.1 en macOS 10.14 of hoger kan de configuratie via een profiel of handmatig worden uitgevoerd.

Als u meer gedetailleerde documentatie over moderne authenticatie nodig hebt, biedt Microsoft handleidingen voor in- of uitschakelen Moderne authenticatie in Exchange Online en het gebruik ervan met Office-clients.

Agenda- en Mail-functies met Exchange op Apple

Op iPhone, iPad en Apple Vision Pro (visionOS 1.1 of hoger) via Exchange ActiveSync en op Mac via Exchange Web Services worden de volgende functies op het hoogste niveau ondersteund: uitnodigingen, beschikbaarheid, privé-evenementenAangepaste herhalingen, weeknummers, bijlagen en gestructureerde locatie, agenda-updates, taken in Herinneringen en agendadelegatie op Mac.

• Maak en accepteer eenvoudig agenda-uitnodigingen.
• Controleer de beschikbaarheid van gasten om vergaderingen te plannen.
• Maak privé-gebeurtenissen en configureer geavanceerde herhalingen.
• Ontvang updates en onderhoud taken in herinneringen.
• Bijlagen, gestructureerde locaties en delegering (op Mac).

Bovendien kunt u met Agenda op iPhone, iPad en Apple Vision Pro Exchange-uitnodigingen (2010 of later) doorsturen en voorstellen alternatieve schema's en stelt slimme locaties voor op basis van uw locatie en die van de deelnemers.

Autodiscover, Direct Push, GAL en wissen op afstand

Apple-apparaten ondersteunen de Exchange Autodiscovery-service. Wanneer u deze handmatig configureert, Automatisch ontdekken Gebruik uw e-mailadres en wachtwoord om de serverinstellingen te vinden. Raadpleeg de officiële documentatie over Autodiscover in Exchange Server voor meer informatie.

Met Direct Push, als mobiele data of wifi beschikbaar is, Exchange Server levering aan boord E-mails, taken, contactpersonen en gebeurtenissen worden naar uw apparaten verzonden. In beheerde omgevingen kunt u een iPhone of iPad ook op afstand uit Exchange wissen, terugzetten naar de fabrieksinstellingen of selectief verwijderen. alleen Exchange-accounts en gegevens.

Apple raadpleegt ook de wereldwijde adreslijst (GAL) Om e-mails automatisch aan te vullen en S/MIME-certificaten op te halen als ze gepubliceerd zijn. Voor GAL-foto's is Exchange Server 2010 SP1 of hoger vereist. Tot slot kunt u automatische afwezigheidsberichten vanaf de apparaten zelf configureren om het proces te voltooien.

Microsoft Enterprise SSO voor Apple-apparaten: uitgebreide eenmalige aanmelding

De Microsoft Enterprise SSO-add-on voor iOS, iPadOS en macOS brengt SSO naar Microsoft-accounts. Krijg toegang tot apps die gebruikmaken van Apple's Enterprise SSO-framework. breidt de SSO uit Het ondersteunt oudere applicaties die nog geen moderne bibliotheken gebruiken en integreert naadloos met MSAL voor een naadloze ervaring.

Tot de voordelen behoren: SSO voor toegang tot Apple Enterprise SSO-compatibele apps, activering via MDM (inbegrepen) apparaat- en gebruikersregistratie), uitbreiding van SSO naar apps met OAuth 2.0, OpenID Connect en SAML, en directe integratie met MSAL. Microsoft en Apple hebben nauw samengewerkt om de bescherming te maximaliseren.

Vereisten en URL's die moeten worden toegestaan

Om het te kunnen gebruiken, moet het apparaat een app ondersteunen en geïnstalleerd hebben die de plug-in bevat (Microsoft Authenticator op iOS/iPadOS; Intune Company Portal op macOS), geregistreerd bij MDM en zorg dat de plug-ininstellingen in uw profiel zijn ingeschakeld. Daarnaast vereist Apple dat bepaalde URL's worden toegestaan ​​of vrijgesteld van TLS-inspectie door de identiteitsprovider en Apple om SSO te laten functioneren.

• In versies na 2022 en zonder Platform SSO: app-site-association.cdn-apple.com, app-site-association.networking.appleEn config.edge.skype.com voor communicatie met ECS.
• In eerdere versies of met Platform SSO: bovendien, login.microsoftonline.com, login.microsoft.com, sts.windows.net, soevereine wolken (login.partner.microsoftonline.cn, login.chinacloudapi.cn, login.microsoftonline.us, login-us.microsoftonline.com) en config.edge.skype.com.

Als deze adressen worden geblokkeerd, kunnen de volgende fouten optreden: 1012 NSURLErrorDomain, 1000 com.apple.AuthenticationServices.AuthorizationError o 1001 UnexpectedApple documenteert ook URL's in zijn producthandleiding voor bedrijfsnetwerken.

Vereisten per platform

Op iOS heb je iOS 13.0 of hoger en de Microsoft Authenticator-app nodig. Op macOS heb je macOS 10.15 of hoger en de app nodig. Bedrijfsportaal vanuit Intune. Met Intune kunt u de plug-in inschakelen vanuit een ingebouwd profiel; met andere MDM-systemen kunt u een uitbreidbare SSO-belasting configureren met de volgende id's:

• iOS: Extensie-ID com.microsoft.azureauthenticator.ssoextension (vereist geen apparaat-ID).
• macOS: extensie-ID com.microsoft.CompanyPortalMac.ssoextension e apparatuuridentificatie UBF8T346G9.
• Type omleiding naar: https://login.microsoftonline.com, https://login.microsoft.com, https://sts.windows.neten, indien van toepassing, soevereine cloud-eindpunten.

Meer SSO-configuratieopties

De plug-in kan SSO bieden aan apps zonder MSAL. toegestane lijstenOp apparaten waarop Authenticator of Bedrijfsportal is geïnstalleerd en die worden beheerd door MDM, kunt u de volgende sleutels definiëren om hun bereik te bepalen:

Sleutel	Type	waarde
Enable_SSO_On_All_ManagedApps	Geheel getal	1 Om SSO in te schakelen voor alle beheerde apps, 0 om het uit te schakelen.
AppAllowList	Draad	Pakket-ID's die zijn toegestaan ​​voor SSO (door komma's gescheiden lijst).
AppBlockList	Draad	Pakket-ID's geblokkeerd voor SSO (door komma's gescheiden lijst).
AppPrefixAllowList	Draad	Toegestane pakket-ID-voorvoegsels. Standaard: iOS: com.appel.; macOS: com.apple., com.microsoft.
AppCookieSSOAllowList	Draad	Voorvoegsels voor apps met complexe netwerken die SSO via cookies vereisen; ook toevoegen aan AppPrefixAllowList.

Als u geen SSO in Safari wilt, voegt u dit toe aan AppBlockList met de ID's: iOS com.apple.mobilesafari y com.apple.SafariViewService, macOS com.apple.safariOm de eerste keer opstarten vanuit niet-MSAL-apps en Safari toe te staan, laat u deze optie ingeschakeld browser_sso_interaction_enabled ingesteld op 1 (dit is de standaardwaarde). Dit maakt het makkelijker voor de plugin om te werken. gedeelde referenties verwerven indien nodig.

Als u onverwachte prompts ziet in OAuth 2.0-apps, kunt u deze verminderen met disable_explicit_app_prompt (standaardwaarde 1) of forceer automatisch inloggen met disable_explicit_app_prompt_and_autologin (waarde 1 om het in te schakelen). In MSAL-apps zijn er native equivalenten (disable_explicit_native_app_prompt y disable_explicit_native_app_prompt_and_autologin), hoewel het niet wordt aanbevolen om ze aan te raken als u Beschermingsrichtlijnen van toepassingen.

Op iOS kan de ervaring worden verbeterd door interactieve verzoeken om te leiden naar Microsoft Authenticator, actief disable_inapp_sso_signin met een waarde van 1, zodat MSAL-apps interactieve authenticatie naar Authenticator sturen. Stille verzoeken worden niet beïnvloed.

Just-In-Time registratie en metadata uitlezen

De plugin kan Just-In-Time-registratie van het Microsoft-apparaat uitvoeren. Meld u aan met Intune via device_registration gedefinieerd als {{DEVICEREGISTRATION}}Als uw oplossingen afhankelijk zijn van sleutelhangers, zal Microsoft de opslag van de identiteitssleutel van het apparaat migreren naar Secure Enclave Vanaf augustus 2025 maakt Apple dit de standaard voor nieuwe aanmeldingen. Apparaten zonder Enclave blijven de sleutelhanger van de gebruiker gebruiken.

Om logmetadata met MSAL te lezen, is deze API beschikbaar: - (void)getWPJMetaDataDeviceWithParameters:(nullable MSALParameters *)parameters forTenantId:(nullable NSString *)tenantId completionBlock: (nonnull MSALWPJMetaDataCompletionBlock) completionBlock;. Met haar Je krijgt details veilige apparaatregistratie.

Problemen met beveiligde enclaves en uitsluiting oplossen

Als u na het inschakelen van Secure Enclave-opslag foutmeldingen ziet die aangeven dat het apparaat beheerd moet worden (bijvoorbeeld foutcode 530003 met de reden 'Apparaat moet beheerd worden om toegang te krijgen tot deze resource'), controleer dan of de SSO-extensie is ingeschakeld en of u de benodigde extensies hebt geïnstalleerd (zoals Microsoft SSO voor Chrome op macOS). Als het probleem aanhoudt, neem dan contact op met de leverancier van de app voor mogelijke verdere hulp. opslagincompatibiliteit.

Voor testdoeleinden kunt u het gebruik van de veiligste opslag met de MDM-sleutel tijdelijk uitschakelen. use_most_secure_storage Als het apparaat 0 is, deregistreer het dan (bij Authenticator of de bedrijfsportal) en registreer het opnieuw. Als u uw tenant wilt uitsluiten van de beveiligde opslag, Open een supportcase van Microsoft. De uitsluiting is tijdelijk (tot 6 maanden) en op sommige apparaten moet het register mogelijk opnieuw worden geïnstalleerd.

Browsers en voorwaardelijke toegangsbeleid

Met Secure Enclave ingeschakeld, vereisen browsers aanpassingen om stateful apparaatbeleid te laten werken. In Safari (iOS en macOS) is SSO-integratie standaard. In Google Chrome voor macOS installeert u de Microsoft SSO-extensie Of gebruik Chrome 135 of hoger met automatische ondersteuning voor Enterprise SSO. In Microsoft Edge voor iOS en macOS is de ondersteuning afhankelijk van het SSO-framework van het systeem en de MDM-configuratie in elke omgeving.

Bekend probleem in macOS 15.3 en iOS 18.1.1

Er is een update die van invloed is op het Enterprise SSO-extensieframework, wat leidt tot onverwachte authenticatiefouten in apps die geïntegreerd zijn met Entra ID en een potentiële fout met de naam 4s8qh. De oorzaak lijkt een regressie te zijn in PluginKit waardoor de SSO-extensie niet kan starten. Om dit te detecteren, voert u een sysdiagnose uit voor berichten zoals: Error Domain=PlugInKit Code=16 "other version in use". Als uw gebruikers hierdoor worden getroffen, start het apparaat opnieuw op Het herstelt de functionaliteit.

Praktische tips en veelvoorkomende scenario's

Als u een groot aantal apparaten beheert, is het raadzaam pakket-ID's vast te leggen voor whitelists. U kunt MDM-markering tijdelijk inschakelen. admin_debug_mode_enabled Meld u in stap 1 aan bij de doel-apps en ga in Microsoft Authenticator naar Help > Logboeken verzenden > Logboeken bekijken. Zoek naar de regel [ADMIN MODE] SSO-extensie heeft de volgende app-bundel-ID's vastgelegd Om de bundels te verzamelen, configureert u ze in uw MDM. Vergeet niet de modus uit te schakelen nadat u klaar bent.

Wilt u SSO voor bijna alles inschakelen, op een paar uitzonderingen na? Activeren Enable_SSO_On_All_ManagedApps in 1 en gebruik AppBlockList met de apps die moeten worden uitgesloten. Om SSO in te schakelen voor beheerde en sommige onbeheerde apps, combineert u Enable_SSO_On_All_ManagedApps=1 met AppAllowList en blokkeer wat bij je past AppBlockListAls u SSO expliciet in Safari wilt uitschakelen, voegt u het toe aan de AppBlockList met de bijbehorende identificatiegegevens.

Bij het werken tussen een iPhone en een Windows-pc zorgen Outlook en iCloud via OAuth 2.0 voor een aanzienlijke vermindering van de frictie. U gaat van meerdere ondoorzichtige stappen naar begeleide onboarding met eenmalige autorisatie, waarbij u de controle behoudt vanuit uw Apple-profiel. In bedrijven bereikt de Enterprise SSO-add-on... sessiecoherentie tussen apps, vergemakkelijkt MFA, respecteert voorwaardelijke toegang en vereenvoudigt de apparaatregistratie.

Als je uit de wereld van app-wachtwoorden komt, zal de nieuwe workflow je verrassen met zijn eenvoud. En als je om wat voor reden dan ook toch bij de klassieke Outlook moet blijven, kun je nog steeds... specifieke wachtwoorden genereren en ga hiermee door, terwijl u de overgang naar de nieuwe client plant om te profiteren van moderne authenticatie.

Degenen die tussen iPhone en pc leven, kunnen nu gemakkelijker e-mail, agenda en schema's op elkaar afstemmen; wagenparkbeheerders krijgen controle en beveiliging met SSO; en degenen die Exchange op Apple gebruiken, behouden geavanceerde functies zoals Autodiscover, Direct Push en GAL zonder dat dit ten koste gaat van de native ervaring. De integratie sluit uiteindelijk naadloos aan, zonder vreemde toevoegingen of dubbele wachtwoorden.