如何使用 OAuth 2.0 将 iPhone 与 Windows 的 iCloud 和 Outlook 连接

¿如何使用 OAuth 2.0 将 iPhone 与 Windows 上的 iCloud 和 Outlook 连接起来？ 得益于一项期待已久的变革，iPhone 和 PC 混用的困扰终于结束了：Outlook 现在集成了 iCloud 的现代身份验证功能。这一转变 身份验证 2.0 它无需为每个应用设置密码，加快了账户设置速度，并减少了错误。您从一开始就能感受到它的不同：只需在 Apple 页面上使用您的 Apple ID 登录，授予权限，一切就绪。

除了更舒适的体验，还能获得安心感。 OAuth 使用可撤销令牌。它避免了泄露您的密码，并允许您随时从 Apple ID 控制面板撤销访问权限。微软在新版 Windows 版 Outlook、Mac 版 Outlook 和移动应用中宣布了这项新功能，并将分阶段推出，用户在未来几个月内还需要重新进行身份验证。

使用 OAuth 2.0 将 iCloud 与 Outlook 连接时会发生哪些变化？

体验已全面现代化。在 Outlook 中添加 @icloud.com 帐户后，会在浏览器中打开 Apple 的工作流程，界面简洁明了，用户可直接使用。授予权限后，即可自动同步。 邮件、日历和联系人 只需几秒钟，无需接触插件或生成奇怪的密钥。

从安全角度来看，这一飞跃令人瞩目： 访问令牌可撤销这样可以减少攻击面，并消除应用密码。如果发生安全事件，您可以访问您的 Apple ID 管理页面，撤销 Outlook 的权限，问题即可解决。

兼容性现已实现 适用于 Windows 的新版 Outlook、适用于 Mac 的 Outlook 以及 iOS 和 Android 应用如果您仍然看到要求输入应用程序密码的旧对话框，请更新并重启 Outlook。微软正在推广新客户端，建议您试用新客户端，体验无需插件的原生 iCloud 集成功能。

这一变化也让技术支持的工作更加轻松：减少了事故，降低了摩擦，而且 密码数量减少这在个人和自带设备办公 (BYOD) 环境中至关重要。新版 Outlook 的发行说明已经列出了通过 OAuth 2.0 在 Windows 上实现的 iCloud 兼容性（版本 20250926009.05）。 逐步推出 可能需要一些时间才能到达。

如何将 iCloud 帐户添加到新版 Outlook

注册流程已简化，但熟悉一下界面仍然很有帮助。在新版 Outlook 中，依次点击“视图”>“视图设置”或“文件”>“帐户信息”，然后依次点击“帐户”>“你的帐户”并单击。 添加帐户输入您的 iCloud 地址，然后点击“继续”。您将看到 Apple 使用 OAuth 2.0 的工作流程，其中 您只需使用 Apple ID 登录即可。 并授权访问电子邮件、日历和联系人。

如果您在某些设备上仍然看到密码提示而不是新流程，则有两种可能。要么是新流程尚未推送至您的设备，要么是您使用的是…… Windows 版经典 Outlook在这种情况下，系统可能会要求您输入应用程序专用密码；下面我们将解释如何从您的 Apple ID 生成该密码。

Apple 身份验证完成后，Outlook 会显示帐户已成功添加的确认信息。之后， 同步是自动的 您的 iCloud 数据将自动显示在 Outlook 中，无需任何额外步骤。

如果继续使用经典版 Outlook，会怎样：应用程序密码

对于仍在使用经典版 Outlook 的用户，添加 iCloud 时可能会显示一个密码框，但该密码框不接受您常用的密码。这表明您的帐户需要额外的安全保护，您需要使用密码管理器。 应用专用密码 与 Apple ID 关联。

1. 关闭 Outlook 中的错误信息，然后在浏览器中访问 Apple ID 网站。使用您的 Apple ID 登录并输入验证码。 两步验证 如果你已经激活它。
2. 在“登录和安全”部分，转到 具体密码 从应用程序中选择“生成”。
3. 指定一个名称（例如，Outlook Windows），单击“创建”，然后复制密钥。它通常有 16 个字符（含连字符）， 区分大小写。
4. 返回经典版 Outlook，转到“文件”>“添加帐户”，输入您的 iCloud 电子邮件地址，并在出现提示时粘贴以下内容： 生成的密钥.
5. 如果一切顺利，您会收到账户已成功添加的通知。从那时起， Outlook 将同步 iCloud.

请记住：在采用 OAuth 2.0 的新版 Outlook 中，您不再需要生成这些密码。但是，如果您仍然使用经典客户端， 这种方法将继续有效。 直到您完成迁移。

适用于 Windows 的 iCloud：与 Outlook 同步联系人和日历

如果您想将笔记本和日历同步，另一种集成数据的方法是使用适用于 Windows 的 iCloud。借助此程序，您可以…… 同步日历和联系人 iPhone 和 Outlook 之间可直接连接。

1. 从以下位置下载并安装适用于 Windows 的 iCloud： 苹果网站.
2. 打开 Windows版iCloud 并使用您的 Apple ID 登录。
3. 选择同步选项 通讯录和日历 然后按“应用”开始设置。
4. 打开 Outlook；稍等片刻，iCloud 数据应该就会显示在那里。 看起来同步.

如果遇到问题，苹果公司专门提供了一份故障排除指南，用于解决无法将 iCloud 中的邮件、通讯录或日历添加到 Outlook 的问题。此外，在开始操作之前，请务必将 @icloud.com 地址设置为您的主要电子邮件地址。 请查看您的账户.

iPhone、iPad、Mac 和 Apple Vision Pro 上的 Microsoft Exchange 兼容性

对于将 Apple 设备与 Microsoft 365 或本地服务器配对的企业而言，Exchange 集成仍然是基石。iOS、iPadOS 和 visionOS 均支持 Exchange Online 和当前服务器版本。 macOS 邮件和日历 同时支持 Exchange Online、Exchange Server 2019 和 2016。

从 iOS 14、iPadOS 14 及更高版本开始，连接到 Microsoft 云服务（例如 Office 365 或 Outlook.com）的 Exchange 帐户会自动更新以使用 OAuth 2.0 身份验证服务 来自微软。在 iOS 11、iPadOS 13.1 和 macOS 10.14 或更高版本中，兼容的 Exchange 租户支持现代身份验证流程；在 iOS 12、iPadOS 13.1 和 macOS 10.14 或更高版本中，可以通过配置文件或手动方式进行配置。

如果您需要有关现代身份验证的更详细文档，微软提供了相关指南。 启用或禁用 Exchange Online 中的新式身份验证及其在 Office 客户端中的应用。

Apple 上的 Exchange 日历和邮件功能

在 iPhone、iPad 和 Apple Vision Pro（visionOS 1.1 或更高版本）上，通过 Exchange ActiveSync 支持顶级功能；在 Mac 上，通过 Exchange Web Services 支持顶级功能： 邀请函、档期、私人活动Mac 上的自定义重复、周数、附件和结构化位置、日历更新、提醒事项中的任务以及日历委派。

• 轻松创建和接受日历邀请。
• 查看嘉宾是否有空，以便安排会议。
• 创建私有事件并配置高级重复事件。
• 接收更新并维护任务 提醒.
• 附件、结构化位置和委派（在 Mac 上）。

此外，在 iPhone、iPad 和 Apple TV Pro 上，“日历”应用允许您转发 Exchange 邀请（2010 或更高版本），并提出邀请。 备选时间表 并根据您和与会者的位置推荐合适的地点。

自动发现、直接推送、GAL 和远程擦除

苹果设备支持 Exchange 自动发现服务。手动配置时， 自动发现 使用您的电子邮件地址和密码查找服务器设置。更多详细信息，请参阅 Exchange Server 自动发现功能的官方文档。

使用直接推送功能时，如果移动数据或 Wi-Fi 可用，Exchange 服务器 机上配送 电子邮件、任务、联系人和事件都会发送到您的设备。在托管环境中，您还可以通过 Exchange 远程抹掉 iPhone 或 iPad，将其恢复出厂设置，或选择性地删除数据。 仅限 Exchange 帐户和数据.

苹果公司也咨询了…… 全局地址列表（GAL） 要自动补全电子邮件并检索已发布的 S/MIME 证书，需要 Exchange Server 2010 SP1 或更高版本。最后，您还可以配置设备本身的自动外出回复，以完成整个流程。

适用于 Apple 设备的 Microsoft 企业 SSO：扩展的单点登录

适用于 iOS、iPadOS 和 macOS 的 Microsoft 企业级 SSO 插件可为 Microsoft 帐户提供 SSO 功能。访问利用 Apple 企业级 SSO 框架的应用。 扩展 SSO 它支持尚未采用现代库的旧版应用程序，并与 MSAL 原生集成，带来无缝体验。

其优势包括：支持通过 SSO 进入 Apple 企业版兼容的应用程序，可通过 MDM 激活（已包含）。 设备和用户注册微软和苹果公司紧密合作，将单点登录 (SSO) 扩展到使用 OAuth 2.0、OpenID Connect 和 SAML 的应用程序，并与 MSAL 直接集成。双方致力于最大限度地保护网络安全。

必须允许的要求和 URL

要使用此功能，设备必须支持并已安装包含该插件的应用程序（iOS/iPadOS 上的 Microsoft Authenticator；macOS 上的 Intune Company Portal）。 已在 MDM 中注册 并且请确保您的个人资料中已启用插件设置。此外，为了使单点登录 (SSO) 正常工作，Apple 还要求允许身份提供商和 Apple 对某些 URL 进行 TLS 检查并将其排除在外。

• 2022 年之后的版本以及不带平台 SSO 的版本： app-site-association.cdn-apple.com, app-site-association.networking.apple，而 config.edge.skype.com 用于与 ECS 通信。
• 在之前的版本或使用平台单点登录时：此外， login.microsoftonline.com, login.microsoft.com, sts.windows.net主权云（login.partner.microsoftonline.cn, login.chinacloudapi.cn, login.microsoftonline.us, login-us.microsoftonline.com），以及 配置.edge.skype.com.

如果这些地址被屏蔽，可能会出现如下错误： 1012 NSURLErrorDomain, 1000 com.apple.AuthenticationServices.AuthorizationError o 1001 Unexpected苹果还在其企业网络产品指南中记录了允许使用的 URL。

平台要求

在 iOS 系统上，您需要 iOS 13.0 或更高版本以及 Microsoft Authenticator 应用。在 macOS 系统上，您需要 macOS 10.15 或更高版本以及该应用。 公司门户网站 来自 Intune。在 Intune 中，您可以从内置配置文件启用该插件；在其他 MDM 系统中，请使用以下标识符配置可扩展的 SSO 加载：

• iOS：扩展标识符 com.microsoft.azureauthenticator.ssoextension （不需要设备标识符）。
• macOS：扩展标识符 com.microsoft.CompanyPortalMac.ssoextension e 设备标识符 UBF8T346G9.
• 重定向类型： https://login.microsoftonline.com, https://login.microsoft.com, https://sts.windows.net以及适用的主权云端点。

更多 SSO 配置选项

该插件无需使用 MSAL 即可为应用程序提供 SSO。 允许列表在已安装身份验证器或公司门户并由 MDM 管理的设备上，定义以下密钥以控制其作用域：

关键	TIPO	勇气
Enable_SSO_On_All_ManagedApps	整数	1 要在所有受管应用上启用 SSO，输入 0 可禁用它。
AppAllowList	串	允许用于 SSO 的软件包 ID（以逗号分隔的列表）。
AppBlockList	串	已阻止 SSO 的软件包 ID（逗号分隔列表）。
AppPrefixAllowList	串	允许的软件包 ID 前缀。默认情况下，iOS： com.苹果。macOS： com.apple.，com.microsoft.
AppCookieSSOAllowList	串	对于需要通过 Cookie 进行单点登录 (SSO) 的复杂网络应用程序，请使用前缀；另请添加至 AppPrefixAllowList.

如果您不想在 Safari 中使用 SSO，请将其添加到 AppBlockList ID：iOS com.apple.mobilesafari y com.apple.SafariViewService， 苹果系统 com.apple.safari要允许从非 MSAL 应用和 Safari 启动，请保持启用状态。 browser_sso_interaction_enabled 设置为 1（默认值）。这样可以使插件更容易运行。 获取共享凭证 必要时。

如果您在 OAuth 2.0 应用中看到意外的提示，可以使用以下方法减少这些提示： disable_explicit_app_prompt （默认值 1）或强制自动登录 disable_explicit_app_prompt_and_autologin （值为 1 表示启用）。在 MSAL 应用程序中，有对应的原生功能（disable_explicit_native_app_prompt y disable_explicit_native_app_prompt_and_autologin），尽管如果您使用的话，不建议触摸它们。 保护指令 申请。

在 iOS 上，如果将交互式请求重定向到以下位置可以改善用户体验： Microsoft身份验证器， 积极的 disable_inapp_sso_signin 值为 1 时，MSAL 应用会向身份验证器发送交互式身份验证信息。静默请求不受影响。

即时注册和元数据读取

该插件可以对 Microsoft 设备进行即时注册。使用 Intune 登录 device_registration 定义为 {{DEVICEREGISTRATION}}如果您的解决方案依赖于密钥链，Microsoft 会将设备的身份密钥存储迁移到 安全飞地 从 2025 年 8 月起，苹果将把 Enclave 设置为新用户注册的默认选项。未启用 Enclave 的设备将继续使用用户的钥匙串。

要使用 MSAL 读取日志元数据，可以使用以下 API： - (void)getWPJMetaDataDeviceWithParameters:(nullable MSALParameters *)parameters forTenantId:(nullable NSString *)tenantId completionBlock: (nonnull MSALWPJMetaDataCompletionBlock) completionBlock;。和她一起 您将获得详细信息 安全设备注册。

安全隔离区和排除故障排查

如果在启用安全隔离区存储后，您看到错误提示设备必须进行管理（例如，错误代码 530003，原因是“需要管理设备才能访问此资源”），请检查 SSO 扩展是否已启用，以及是否已安装必要的扩展程序（例如 macOS 上的 Microsoft Chrome SSO）。如果问题仍然存在，请联系应用供应商以获取进一步帮助。 存储不兼容.

为了进行测试，您可以暂时禁用使用 MDM 密钥的最安全存储。 use_most_secure_storage 如果设备编号为 0，请将其注销（通过身份验证器或公司门户），然后重新注册。如果您需要将您的租户排除在安全存储激增之外， 提交支持请求 来自微软；排除功能是暂时的（最多 6 个月），某些设备可能需要重新安装注册表。

浏览器和条件访问策略

启用安全隔离区后，浏览器需要进行一些调整才能使有状态设备策略正常工作。Safari（iOS 和 macOS）原生支持 SSO 集成。在 macOS 版 Google Chrome 中，需要安装…… Microsoft SSO 扩展 或者使用支持自动企业级 SSO 的 Chrome 135 或更高版本。在 iOS 和 macOS 版 Microsoft Edge 浏览器上，是否支持取决于各环境中的系统 SSO 框架和 MDM 配置。

macOS 15.3 和 iOS 18.1.1 中已知问题

企业级 SSO 扩展框架的更新导致与 Entra ID 集成的应用程序出现意外的身份验证错误，并可能出现标记为 4s8qh 的错误。原因似乎是回归问题。 插件套件 这会导致 SSO 扩展无法启动。要检测此问题，请运行系统诊断命令，查找类似以下消息：错误域=PlugInKit 代码=16“正在使用其他版本”。如果您的用户受到影响， 重新启动设备 它恢复了功能。

实用技巧和常见场景

如果您管理着大量设备，建议您收集软件包 ID 以添加到允许列表中。您可以临时启用 MDM 标记功能。 admin_debug_mode_enabled 在步骤 1 中，登录目标应用，然后在 Microsoft Authenticator 中，转到“帮助”>“发送日志”>“查看日志”。查找以下行 【管理员模式】SSO 扩展程序已捕获以下应用程序包标识符 要收集这些软件包，请在您的 MDM 系统中进行配置。完成后，请不要忘记禁用该模式。

您是否希望为几乎所有功能启用单点登录 (SSO)，仅保留少数例外？启用 Enable_SSO_On_All_ManagedApps 在 1 中并使用它 应用阻止列表 以及应该排除的应用。要在托管应用和某些非托管应用上启用 SSO，请结合使用 Enable_SSO_On_All_ManagedApps=1 同 AppAllowList 屏蔽那些对你有利的内容 AppBlockList如果需要显式禁用 Safari 中的 SSO，请将其及其标识符添加到 AppBlockList 中。

在 iPhone 和 Windows PC 之间使用 Outlook 和 iCloud（通过 OAuth 2.0）时，操作流程显著简化。您无需经历多个繁琐的步骤，即可通过引导式设置和一次性授权轻松完成注册，并始终通过 Apple ID 保持控制。在企业环境中，企业级 SSO 插件可实现…… 会话连贯性 在应用程序之间，它有助于实现多因素身份验证 (MFA)，尊重条件访问，并简化设备注册。

如果您之前一直使用应用程序密码，那么新的密码管理流程的简洁性一定会让您感到惊喜。如果您出于某种原因必须继续使用经典版 Outlook，您仍然可以…… 生成特定密码 并继续推进，同时计划过渡到新客户端，以利用现代身份验证。

现在，在 iPhone 和 PC 之间切换使用的用户更容易协调电子邮件、日历和日程安排；车队管理人员可以通过单点登录 (SSO) 获得控制权和安全性；而使用 Apple 版 Exchange 的用户则可以保留高级功能，例如： 自动发现、直接推送和 GAL 在不牺牲原生体验的前提下，集成最终实现了无缝衔接，没有任何奇怪的添加或重复密码。