Jak połączyć iPhone'a z systemem Windows za pomocą iCloud i Outlooka przy użyciu protokołu OAuth 2.0

¿Jak połączyć iPhone'a z systemem Windows z usługą iCloud i programem Outlook za pomocą protokołu OAuth 2.0? Udręka łączenia iPhone'a i komputera PC wreszcie dobiegła końca dzięki długo oczekiwanej zmianie: Outlook zawiera teraz nowoczesne uwierzytelnianie dla iCloud. To przejście na Uwierzytelnianie OA 2.0 Eliminuje hasła specyficzne dla aplikacji, przyspiesza konfigurację konta i zmniejsza liczbę błędów. Różnicę zauważysz już od pierwszej minuty: wystarczy zalogować się za pomocą Apple ID na stronie Apple, udzielić uprawnień i gotowe.

Oprócz większego komfortu zyskujesz także spokój ducha. OAuth działa z odwołalnymi tokenamiUnika ujawniania hasła i pozwala w dowolnym momencie cofnąć dostęp do pulpitu Apple ID. Firma Microsoft ogłosiła tę nową funkcję w nowym Outlooku dla systemu Windows, a także w Outlooku dla komputerów Mac i aplikacjach mobilnych, z etapowym wdrażaniem, które będzie również wymagało od użytkowników ponownego uwierzytelnienia w nadchodzących miesiącach.

Co się zmienia po połączeniu usługi iCloud z programem Outlook za pomocą protokołu OAuth 2.0

Interfejs użytkownika został zmodernizowany od podstaw. Dodanie konta @icloud.com do Outlooka otwiera obieg pracy Apple w przeglądarce, z jego znajomym, prostym interfejsem. Udzielasz uprawnień, a one się synchronizują. Poczta, Kalendarz i Kontakty w ciągu kilku sekund, bez konieczności modyfikowania wtyczek i generowania dziwnych kluczy.

Jeśli chodzi o bezpieczeństwo, skok jest znaczący: Tokeny dostępu są odwołalneZmniejsza to powierzchnię ataku i eliminuje konieczność używania haseł do aplikacji. W przypadku incydentu wystarczy uzyskać dostęp do zarządzania Apple ID, cofnąć uprawnienia Outlooka i problem znika.

Zgodność jest już dostępna Nowy Outlook dla systemu Windows, Outlook dla komputerów Mac oraz aplikacje na systemy iOS i AndroidJeśli nadal widzisz stare okno dialogowe z prośbą o hasło aplikacji, zaktualizuj i uruchom ponownie Outlooka. Microsoft promuje nowego klienta i zaleca wypróbowanie go, aby cieszyć się natywną integracją z iCloud bez dodatków.

Zmiana ta ułatwia również życie pomocy technicznej: mniej incydentów, mniej tarć i mniej haseł w obieguJest to kluczowe w środowiskach osobistych i BYOD. W informacjach o wydaniu nowego Outlooka wymieniono już zgodność z iCloud za pośrednictwem OAuth 2.0 w systemie Windows (wersja 20250926009.05), z stopniowe wdrażanie co może zająć trochę czasu.

Jak dodać konto iCloud do nowego Outlooka

Proces rejestracji został uproszczony, ale nadal warto zapoznać się z ekranami. W nowym Outlooku przejdź do Widok > Ustawienia widoku lub Plik > Informacje o koncie, a następnie do Kont > Twoje konta i kliknij Dodaj kontoWprowadź swój adres iCloud i dotknij „Kontynuuj”. Zobaczysz przepływ pracy Apple z OAuth 2.0, gdzie Wystarczy, że zalogujesz się za pomocą swojego Apple ID i autoryzować dostęp do poczty e-mail, kalendarza i kontaktów.

Jeśli na niektórych urządzeniach nadal widzisz monit o podanie hasła zamiast nowoczesnego przepływu, istnieją dwie możliwości. Albo wdrożenie nie dotarło jeszcze do Twojego urządzenia, albo korzystasz z Klasyczny Outlook dla systemu WindowsW takim przypadku możesz zostać poproszony o podanie hasła aplikacji; poniżej wyjaśniamy, jak je wygenerować przy użyciu swojego Apple ID.

Po zakończeniu uwierzytelniania Apple Outlook wyświetli potwierdzenie, że konto zostało pomyślnie dodane. synchronizacja jest automatyczna a Twoje dane z iCloud pojawią się w programie Outlook bez konieczności wykonywania żadnych dodatkowych czynności.

A co jeśli pozostaniesz przy klasycznym Outlooku: hasła aplikacji

W przypadku użytkowników nadal korzystających z klasycznej wersji Outlooka, dodanie iCloud może spowodować wyświetlenie pola hasła, które nie akceptuje Twojego zwykłego hasła. Oznacza to, że Twoje konto wymaga dodatkowego zabezpieczenia i będziesz musiał skorzystać z menedżera haseł. hasło specyficzne dla aplikacji powiązane z Apple ID.

1. Zamknij komunikat o błędzie w programie Outlook i przejdź do witryny Apple ID w przeglądarce. Zaloguj się przy użyciu swojego Apple ID i wprowadź kod. weryfikacja dwuetapowa jeśli masz ją aktywną.
2. W sekcji Logowanie i bezpieczeństwo przejdź do Konkretne hasła z aplikacji i wybierz Generuj.
3. Przypisz nazwę (na przykład Outlook Windows), kliknij Utwórz i skopiuj klucz. Zwykle ma on 16 znaków z myślnikami, uwzględniana jest wielkość liter.
4. Wróć do klasycznego programu Outlook, przejdź do Plik > Dodaj konto, wpisz swój adres e-mail iCloud i po wyświetleniu monitu wklej wygenerowany klucz.
5. Jeśli wszystko pójdzie dobrze, zobaczysz powiadomienie o pomyślnym dodaniu konta. Od tego momentu Outlook będzie synchronizować iCloud.

Pamiętaj: w nowym Outlooku z OAuth 2.0 nie musisz już generować tych haseł. Jeśli jednak nadal korzystasz z klasycznego klienta, Ta metoda będzie nadal działać aż do zakończenia migracji.

iCloud dla systemu Windows: synchronizacja kontaktów i kalendarzy z programem Outlook

Innym sposobem na integrację danych, jeśli chcesz zsynchronizować swój notatnik i kalendarz, jest użycie iCloud dla systemu Windows. Dzięki temu programowi możesz Synchronizuj kalendarz i kontakty między Twoim iPhonem i Outlookiem.

1. Pobierz i zainstaluj aplikację iCloud dla systemu Windows z witryna Apple.
2. Otwórz iCloud dla Windows i zaloguj się za pomocą swojego Apple ID.
3. Wybierz opcję synchronizacji Kontakty i kalendarze i naciśnij Zastosuj, aby rozpocząć konfigurację.
4. Otwórz program Outlook. Za chwilę dane z usługi iCloud powinny być już dostępne. wydawać się zsynchronizowanym.

Jeśli utkniesz, Apple udostępnia specjalny poradnik rozwiązywania problemów, który pomoże Ci w przypadku problemów z dodawaniem poczty, kontaktów lub kalendarzy z iCloud do Outlooka. Ważne jest również, aby przed rozpoczęciem pracy ustawić adres @icloud.com jako główny adres e-mail, więc Sprawdź to na swoim koncie.

Zgodność z Microsoft Exchange na iPhone'ach, iPadach, komputerach Mac i Apple Vision Pro

Dla firm łączących urządzenia Apple z usługą Microsoft 365 lub serwerami lokalnymi integracja z Exchange pozostaje kamieniem węgielnym. Systemy iOS, iPadOS i visionOS obsługują Exchange Online i aktualne wersje serwerowe, a w Poczta i Kalendarz w systemie macOS Dostępne jest również wsparcie dla Exchange Online, Exchange Server 2019 i 2016.

W systemach iOS 14, iPadOS 14 i nowszych konta Exchange połączone z usługami w chmurze firmy Microsoft (takimi jak Office 365 lub Outlook.com) są automatycznie aktualizowane w celu korzystania z Usługa uwierzytelniania OAuth 2.0 Od firmy Microsoft. W systemach iOS 11, iPadOS 13.1 i macOS 10.14 lub nowszych nowoczesne przepływy uwierzytelniania są obsługiwane w zgodnych dzierżawach Exchange; w systemach iOS 12, iPadOS 13.1 i macOS 10.14 lub nowszych konfigurację można przeprowadzić za pośrednictwem profilu lub ręcznie.

Jeśli potrzebujesz bardziej szczegółowej dokumentacji na temat nowoczesnego uwierzytelniania, firma Microsoft udostępnia przewodniki Włącz lub wyłącz Nowoczesne uwierzytelnianie w usłudze Exchange Online oraz jego zastosowanie w klientach pakietu Office.

Funkcje Kalendarza i Poczty w Exchange na Apple

Na telefonie iPhone, iPadzie i urządzeniu Apple Vision Pro (visionOS 1.1 lub nowszym) za pośrednictwem usługi Exchange ActiveSync, a na komputerze Mac za pośrednictwem usług Exchange Web Services, obsługiwane są następujące funkcje najwyższego poziomu: zaproszenia, dostępność, imprezy prywatneNiestandardowe cykle, numery tygodni, załączniki i strukturalna lokalizacja, aktualizacje kalendarza, zadania w Przypomnieniach i delegowanie kalendarza na komputerze Mac.

• Bezproblemowe tworzenie i akceptowanie zaproszeń do kalendarza.
• Sprawdź dostępność gości, aby zaplanować spotkanie.
• Twórz prywatne wydarzenia i konfiguruj zaawansowane powtarzanie.
• Otrzymuj aktualizacje i utrzymuj zadania w Przypomnienia.
• Załączniki, uporządkowane lokalizacje i delegowanie (na komputerach Mac).

Ponadto na telefonie iPhone, iPadzie i urządzeniu Apple Vision Pro aplikacja Kalendarz umożliwia przekazywanie zaproszeń z programu Exchange (2010 i nowszych) oraz proponowanie alternatywne harmonogramy i sugeruje inteligentne lokalizacje w oparciu o Twoją lokalizację i lokalizację uczestników.

Automatyczne wykrywanie, Direct Push, GAL i zdalne kasowanie

Urządzenia Apple obsługują usługę automatycznego wykrywania Exchange. Po jej ręcznej konfiguracji Automatyczne wykrywanie Użyj swojego adresu e-mail i hasła, aby znaleźć ustawienia serwera. Więcej informacji znajdziesz w oficjalnej dokumentacji dotyczącej automatycznego wykrywania w programie Exchange Server.

W przypadku funkcji Direct Push, jeśli dostępne są dane mobilne lub sieć Wi-Fi, serwer Exchange dostawa na pokładzie samolotu Wiadomości e-mail, zadania, kontakty i zdarzenia są dostarczane na Twoje urządzenia. W środowiskach zarządzanych możesz również zdalnie usunąć dane z iPhone'a lub iPada z Exchange, przywracając je do ustawień fabrycznych, lub selektywnie je usunąć. tylko konta i dane Exchange.

Apple konsultuje się również z globalna lista adresów (GAL) Aby automatycznie uzupełniać wiadomości e-mail i pobierać certyfikaty S/MIME w przypadku ich opublikowania. Zdjęcia GAL wymagają programu Exchange Server 2010 SP1 lub nowszego. Na koniec możesz skonfigurować automatyczne odpowiedzi „poza biurem” z samych urządzeń, aby dokończyć proces.

Microsoft Enterprise SSO dla urządzeń Apple: rozszerzone logowanie jednokrotne

Dodatek Microsoft Enterprise SSO dla systemów iOS, iPadOS i macOS umożliwia logowanie jednokrotne (SSO) na kontach Microsoft. Uzyskaj dostęp do aplikacji wykorzystujących korporacyjną platformę logowania jednokrotnego (SSO) firmy Apple. rozszerza SSO Obsługuje starsze aplikacje, które nie korzystają jeszcze z nowoczesnych bibliotek, i integruje się natywnie z MSAL, zapewniając bezproblemowe działanie.

Wśród jego zalet: SSO do wprowadzania aplikacji zgodnych z Apple Enterprise SSO, aktywacja za pośrednictwem MDM (w zestawie) rejestracja urządzenia i użytkownika), rozszerzenie funkcji logowania jednokrotnego (SSO) do aplikacji korzystających z OAuth 2.0, OpenID Connect i SAML oraz bezpośrednia integracja z MSAL. Microsoft i Apple ściśle ze sobą współpracowały, aby zmaksymalizować ochronę.

Wymagania i adresy URL, które muszą być dozwolone

Aby z niego korzystać, urządzenie musi obsługiwać i mieć zainstalowaną aplikację zawierającą wtyczkę (Microsoft Authenticator w systemie iOS/iPadOS; Intune Company Portal w systemie macOS). zarejestrowany w MDM i włącz ustawienia wtyczki w swoim profilu. Dodatkowo, Apple wymaga od dostawcy tożsamości i Apple zezwolenia na niektóre adresy URL i ich wyłączenia z inspekcji TLS, aby logowanie jednokrotne działało.

• W wersjach po 2022 r. i bez platformy SSO: app-site-association.cdn-apple.com, app-site-association.networking.appleI config.edge.skype.com do komunikacji z ECS.
• W poprzednich wersjach lub z platformą SSO: dodatkowo, login.microsoftonline.com, login.microsoft.com, sts.windows.net, suwerenne chmury (login.partner.microsoftonline.cn, login.chinacloudapi.cn, login.microsoftonline.us, login-us.microsoftonline.com), i konfiguracja.edge.skype.com.

Jeżeli te adresy zostaną zablokowane, mogą pojawić się następujące błędy: 1012 NSURLErrorDomain, 1000 com.apple.AuthenticationServices.AuthorizationError o 1001 UnexpectedFirma Apple dokumentuje również adresy URL, aby umożliwić ich umieszczenie w przewodniku po produktach dla sieci korporacyjnych.

Wymagania według platformy

W systemie iOS wymagany jest system iOS 13.0 lub nowszy oraz aplikacja Microsoft Authenticator. W systemie macOS wymagany jest system macOS 10.15 lub nowszy oraz aplikacja. Portal firmowy Z usługi Intune. W usłudze Intune możesz włączyć wtyczkę z poziomu wbudowanego profilu; w przypadku innych systemów MDM skonfiguruj rozszerzalne obciążenie logowania jednokrotnego (SSO) z następującymi identyfikatorami:

• iOS: Identyfikator rozszerzenia com.microsoft.azureauthenticator.ssoextension (nie wymaga identyfikatora sprzętu).
• macOS: Identyfikator rozszerzenia com.microsoft.CompanyPortalMac.ssoextension e identyfikator sprzętu UBF8T346G9.
• Rodzaj przekierowania do: https://login.microsoftonline.com, https://login.microsoft.com, https://sts.windows.netoraz suwerennych punktów końcowych w chmurze, tam gdzie ma to zastosowanie.

Więcej opcji konfiguracji SSO

Wtyczka może zapewnić logowanie jednokrotne do aplikacji bez użycia MSAL dozwolone listyNa urządzeniach z zainstalowaną aplikacją Authenticator lub Portal firmy i zarządzanych przez MDM zdefiniuj następujące klucze, aby kontrolować ich zakres:

Klucz	Rynek	Dzielność
Enable_SSO_On_All_ManagedApps	Liczba całkowita	1 Aby włączyć logowanie jednokrotne (SSO) we wszystkich zarządzanych aplikacjach, wpisz 0, aby je wyłączyć.
AppAllowList	sznur	Identyfikatory pakietów dozwolone dla SSO (lista rozdzielona przecinkami).
AppBlockList	sznur	Identyfikatory pakietów zablokowane dla SSO (lista rozdzielona przecinkami).
AppPrefixAllowList	sznur	Dozwolone prefiksy identyfikatorów pakietów. Domyślnie w systemie iOS: com.apple.macOS: com.apple., com.microsoft.
AppCookieSSOAllowList	sznur	Prefiksy dla aplikacji ze złożonymi sieciami wymagającymi logowania jednokrotnego za pomocą plików cookie; dodaj również do AppPrefixAllowList.

Jeśli nie chcesz korzystać z logowania jednokrotnego w Safari, dodaj je do AppBlockList z identyfikatorami: iOS com.apple.mobilesafari y com.apple.SafariViewService, System operacyjny Mac com.apple.safariAby zezwolić na początkowe uruchomienie aplikacji innych niż MSAL i Safari, pozostaw tę opcję włączoną browser_sso_interaction_enabled ustaw na 1 (domyślnie). Dzięki temu wtyczka będzie działać łatwiej. uzyskać współdzielone dane uwierzytelniające gdy jest to konieczne.

Jeśli w aplikacjach OAuth 2.0 widzisz nieoczekiwane monity, możesz je zmniejszyć, disable_explicit_app_prompt (wartość domyślna 1) lub wymuś automatyczne logowanie za pomocą disable_explicit_app_prompt_and_autologin (wartość 1, aby włączyć). W aplikacjach MSAL istnieją natywne odpowiedniki (disable_explicit_native_app_prompt y disable_explicit_native_app_prompt_and_autologin), chociaż nie zaleca się ich dotykania, jeśli używasz Dyrektywy ochronne Wniosków.

W systemie iOS, jeśli doświadczenie ulegnie poprawie poprzez przekierowanie interaktywnych żądań do Microsoft Authenticator, aktywny disable_inapp_sso_signin z wartością 1, aby aplikacje MSAL wysyłały interaktywne uwierzytelnianie do Authenticatora. Żądania ciche nie są objęte tą zmianą.

Rejestracja Just-In-Time i odczyt metadanych

Wtyczka umożliwia rejestrację urządzenia Microsoft w trybie Just-In-Time. Zaloguj się do usługi Intune za pomocą device_registration zdefiniowane jako {{DEVICEREGISTRATION}}Jeśli Twoje rozwiązania opierają się na pękach kluczy, Microsoft przeniesie pamięć klucza tożsamości urządzenia do Bezpieczna enklawa Apple ustawi tę usługę jako domyślną dla nowych rejestracji od sierpnia 2025 r. Urządzenia bez Enclave nadal będą korzystać z pęku kluczy użytkownika.

Aby odczytać metadane dziennika za pomocą MSAL, dostępne jest następujące API: - (void)getWPJMetaDataDeviceWithParameters:(nullable MSALParameters *)parameters forTenantId:(nullable NSString *)tenantId completionBlock: (nonnull MSALWPJMetaDataCompletionBlock) completionBlock;. Z nią Otrzymasz szczegóły bezpieczna rejestracja urządzenia.

Rozwiązywanie problemów z bezpieczną enklawą i wykluczeniem

Jeśli po włączeniu pamięci masowej Secure Enclave pojawią się błędy wskazujące na konieczność zarządzania urządzeniem (na przykład kod błędu 530003 z uzasadnieniem „Aby uzyskać dostęp do tego zasobu, wymagane jest zarządzanie urządzeniem”), sprawdź, czy rozszerzenie SSO jest włączone i czy zainstalowano niezbędne rozszerzenia (takie jak Microsoft SSO dla Chrome w systemie macOS). Jeśli problem będzie się powtarzał, skontaktuj się z dostawcą aplikacji w celu uzyskania dalszej pomocy. niezgodność pamięci masowej.

W celach testowych możesz tymczasowo wyłączyć korzystanie z najbezpieczniejszego magazynu za pomocą klucza MDM. use_most_secure_storage Jeśli urządzenie ma numer 0, wyrejestruj je (z Authenticatora lub Portalu firmy) i zarejestruj ponownie. Jeśli chcesz wykluczyć swojego dzierżawcę z bezpiecznego systemu przechowywania danych, Otwórz zgłoszenie do pomocy technicznej od Microsoftu; wykluczenie jest tymczasowe (do 6 miesięcy) i w przypadku niektórych urządzeń może być konieczna ponowna instalacja rejestru.

Przeglądarki i zasady dostępu warunkowego

Po włączeniu funkcji Secure Enclave przeglądarki wymagają dostosowania, aby zasady dotyczące urządzeń z uwzględnieniem stanu działały. W Safari (iOS i macOS) integracja z logowaniem jednokrotnym jest natywna. W przeglądarce Google Chrome dla systemu macOS zainstaluj Rozszerzenie Microsoft SSO Możesz też użyć przeglądarki Chrome 135 lub nowszej z automatyczną obsługą logowania jednokrotnego (SSO) dla przedsiębiorstw. W przeglądarce Microsoft Edge na iOS i macOS obsługa zależy od struktury logowania jednokrotnego (SSO) i konfiguracji MDM w danym środowisku.

Znany problem w systemach macOS 15.3 i iOS 18.1.1

Aktualizacja wpływa na strukturę rozszerzenia Enterprise SSO, powodując nieoczekiwane błędy uwierzytelniania w aplikacjach zintegrowanych z Entra ID i potencjalny błąd oznaczony jako 4s8qh. Przyczyną wydaje się być regresja w Zestaw wtyczek co uniemożliwia uruchomienie rozszerzenia SSO. Aby to wykryć, uruchom diagnostykę systemową pod kątem komunikatów takich jak: Domena błędu = Kod PlugInKit = 16 "inna wersja w użyciu". Jeśli problem dotyczy Twoich użytkowników, uruchom ponownie urządzenie Przywraca funkcjonalność.

Praktyczne wskazówki i typowe scenariusze

Jeśli zarządzasz flotą urządzeń, zaleca się rejestrowanie identyfikatorów pakietów na potrzeby list dozwolonych. Możesz tymczasowo włączyć flagowanie MDM. admin_debug_mode_enabled W kroku 1 zaloguj się do aplikacji docelowych i w aplikacji Microsoft Authenticator przejdź do sekcji Pomoc > Wyślij dzienniki > Wyświetl dzienniki. Poszukaj wiersza [TRYB ADMINISTRACYJNY] Rozszerzenie SSO przechwyciło następujące identyfikatory pakietów aplikacji Aby zebrać pakiety, skonfiguruj je w systemie MDM. Nie zapomnij wyłączyć tego trybu po zakończeniu.

Czy chcesz włączyć logowanie jednokrotne (SSO) dla niemal wszystkiego, z kilkoma wyjątkami? Aktywuj Enable_SSO_On_All_ManagedApps w 1 i użyj Lista blokad aplikacji z aplikacjami, które powinny zostać wykluczone. Aby włączyć logowanie jednokrotne w aplikacjach zarządzanych i niektórych niezarządzanych, połącz Enable_SSO_On_All_ManagedApps=1 z AppAllowList i zablokuj to, co Ci pasuje AppBlockListJeśli chcesz jawnie wyłączyć funkcję SSO w przeglądarce Safari, dodaj ją do AppBlockList wraz z jej identyfikatorami.

Podczas pracy między iPhonem a komputerem z systemem Windows, Outlook i iCloud przez OAuth 2.0 znacząco redukują tarcia. Przechodzisz od wielu niejasnych kroków do sterowanego onboardingu z jednorazową autoryzacją, zachowując kontrolę z poziomu swojego profilu Apple. W przedsiębiorstwach dodatek Enterprise SSO zapewnia spójność sesji między aplikacjami, ułatwia uwierzytelnianie wieloskładnikowe (MFA), respektuje dostęp warunkowy i upraszcza rejestrację urządzeń.

Jeśli przesiadujesz ze świata haseł do aplikacji, nowy przepływ zaskoczy Cię swoją prostotą. A jeśli z jakiegoś powodu musisz pozostać przy klasycznym Outlooku, nadal możesz... generować określone hasła i kontynuować, planując jednocześnie przejście na nowego klienta, aby skorzystać z nowoczesnego uwierzytelniania.

Osoby korzystające z iPhone'a i komputera PC mogą teraz łatwiej synchronizować pocztę e-mail, kalendarz i harmonogramy; menedżerowie flot zyskują kontrolę i bezpieczeństwo dzięki funkcji logowania jednokrotnego; a osoby korzystające z Exchange na komputerze Apple zachowują zaawansowane funkcje, takie jak: Automatyczne wykrywanie, bezpośrednie przesyłanie i GAL bez rezygnowania z natywnego doświadczenia. Integracja w końcu działa bezproblemowo, bez żadnych dziwnych dodatków ani duplikatów haseł.