Поделиться через

Часто задаваемые вопросы о проверке подлинности вложенных приложений и устаревших маркерах Outlook

  • Статья

Маркеры удостоверений пользователей Exchange и маркеры обратного вызова устарели и будут отключены с 17 февраля 2025 г. Рекомендуется переместить надстройки Outlook, использующие устаревшие маркеры Exchange, во вложенную проверку подлинности приложений.

Общие вопросы и ответы

Что такое проверка подлинности вложенных приложений (NAA)?

Проверка подлинности вложенных приложений обеспечивает единый вход (SSO) для приложений, вложенных в поддерживаемые приложения Майкрософт, такие как Outlook. По сравнению с существующими моделями проверки подлинности с полным доверием и потоком on-behalf-of, NAA обеспечивает более высокую безопасность и большую гибкость в архитектуре приложений, позволяя создавать многофункциональные клиентские приложения. Дополнительные сведения см . в статье Включение единого входа в надстройке Office с помощью проверки подлинности вложенного приложения.

Какой временная шкала для завершения работы устаревших токенов Exchange Online?

Корпорация Майкрософт начинает отключать устаревшие токены Exchange Online с 17 февраля 2025 г. С этого момента до 17 февраля 2025 г. существующие и новые клиенты не будут затронуты. Мы предоставили администраторам инструменты для повторного добавления маркеров Exchange для клиентов и надстроек, если эти надстройки еще не перенесены в NAA. Дополнительные сведения см. в статье Можно ли снова включить устаревшие маркеры?

Date Состояние устаревших маркеров
17 февраля 2025 г. Устаревшие маркеры отключены для всех клиентов. Администраторы могут повторно использовать устаревшие маркеры с помощью PowerShell.
Июнь 2025 г. Устаревшие маркеры отключены для всех клиентов. Администраторы больше не могут повторно использовать устаревшие маркеры с помощью PowerShell и должны обращаться в Корпорацию Майкрософт за любым исключением.
Октябрь 2025 г. Устаревшие маркеры отключены для всех клиентов. Исключения больше не допускаются.

Что произойдет 17 февраля?

Корпорация Майкрософт начнет развертывание изменения для всех пользователей по всему миру в клиентах Microsoft 365, которое отключит выдачу устаревших токенов Exchange Online. Развертывание займет несколько недель для всех пользователей. Если надстройка Outlook запрашивает устаревший токен Exchange, а выдача маркера отключена, надстройка получит ошибку. Надстройки Outlook, которые по-прежнему запрашивают устаревшие маркеры Exchange Online, будут нарушены этим изменением. Обратите внимание, что даже после отключения устаревших маркеров выданные ранее маркеры будут действовать до часа.

Обратите внимание, что так как изменение применяется для каждого пользователя и развертывается в течение нескольких недель, вы можете увидеть, что некоторые пользователи затронуты, а другие нет. Если вам нужно отказаться от этого изменения, см. статью Можно ли снова включить устаревшие маркеры?

Когда общедоступная версия NAA для моего канала?

Дата общедоступной доступности для NAA зависит от того, какой канал вы используете.

Date Общая доступность NAA (общедоступная версия)
Октябрь 2024 г. NAA является общедоступной версией в Current Channel.
Ноябрь 2024 г. NAA является общедоступной версией в Monthly Enterprise Channel.
Январь 2025 г. NAA является общедоступной версией в сборке Semi-Annual Channel 16.0.17928.20392.
Июнь 2025 г. NAA будет общедоступным в Semi-Annual расширенный канал.

Разделы справки обработаны устаревшие маркеры, отключенные в Semi-Annual Extended Channel, который еще не поддерживает NAA?

Semi-Annual расширенный канал не будет поддерживать NAA до июня 2025 года. Это означает, что даже если надстройки будут обновлены для поддержки NAA и больше не используют устаревшие маркеры Exchange Online, они не будут работать в этом канале. Если вы используете Semi-Annual расширенный канал в качестве администратора, рекомендуется следующее.

Влияют ли на надстройки COM устаревшие маркеры Exchange Online?

Маловероятно, что на какие-либо com-надстройки влияет устаревание устаревших маркеров Exchange Online. Веб-надстройки Outlook затрагиваются в первую очередь потому, что они могут использовать Office.js API, которые используют маркеры Exchange. Дополнительные сведения см. в статье Как узнать, зависит ли добавление outlook в от устаревших маркеров. Маркеры Exchange используются для доступа к веб-службам Exchange (EWS) или REST API Outlook, оба из которых также являются устаревшими. Если вы подозреваете, что надстройка COM может быть затронута, ее можно протестировать, используя ее в клиенте с отключенными маркерами Exchange. Дополнительные сведения см. в разделе Включение и отключение устаревших маркеров Exchange Online.

Вопросы администратора Microsoft 365

Можно ли снова включить маркеры Exchange Online прежних версий?

Да, существуют команды PowerShell, которые можно использовать для включения или отключения устаревших маркеров в любом клиенте. Дополнительные сведения о включении или отключении устаревших маркеров см. в статье Включение и отключение устаревших маркеров Exchange Online. Если вы используете команды для включения устаревших маркеров Exchange Online, они не будут отключены в феврале 2025 г. Они будут действовать до июня 2025 года или до тех пор, пока вы не выключите их с помощью инструментов.

В июне 2025 г. устаревшие маркеры будут отключены, и вы не сможете снова включить их без определенного исключения, предоставленного корпорацией Майкрософт. В октябре 2025 г. нельзя будет включить устаревшие маркеры, и они будут отключены для всех клиентов. Мы обновим этот часто задаваемый вопрос с дополнительными сведениями после того, как процесс исключения будет готов.

Независимые поставщики программного обеспечения обновляют свои надстройки для использования маркеров идентификаторов Entra и областей Microsoft Graph. Когда надстройка запрашивает маркер доступа, она должна иметь согласие администратора или пользователя. Если администратор дает согласие, все пользователи в клиенте могут использовать надстройку для областей, необходимых надстройке. В противном случае каждому конечному пользователю будет предложено предоставить согласие, если согласие пользователя включено. Для лучшего взаимодействия, так как пользователи не запрашиваются, заполните согласие администратора.

Один из вариантов предоставления согласия заключается в том, что isv предоставляет вам URI согласия администратора.

  1. Разработчик надстройки предоставляет URI согласия администратора. Если этого нет в документации, которую они предоставляют, необходимо связаться с ними для получения дополнительных сведений.
  2. Администратор переходит к URI согласия администратора.
  3. Администратору будет предложено войти и предоставить согласие на список областей, необходимых надстройке.
  4. После завершения браузер перенаправляется на веб-страницу из независимого поставщика программного обеспечения, что должно показать, что согласие было успешно выполнено.

В качестве альтернативы ISV может предоставить обновленный манифест приложения, который будет запрашивать согласие администратора в рамках централизованного развертывания. В этом сценарии при развертывании обновленного манифеста приложения вам будет предложено предоставить согласие до завершения развертывания. URI согласия администратора не требуется.

Наконец, если надстройка опубликована в магазине Microsoft 365, обновление будет развернуто автоматически, и администратору будет предложено согласиться с областями. Если администратор не дает согласия, пользователи не смогут использовать обновленную надстройку.

Убедитесь, что вы не отключаете функции или не отменяете разрешения, необходимые надстройке. Пример см. в статье Изменение свойств политики почтовых ящиков. Надстройка использует делегированные разрешения и, следовательно, имеет доступ к тем же ресурсам, что и пользователь, выполнившего вход. Однако если политика или параметр блокирует доступ пользователя к определенному ресурсу или действию, надстройка также будет заблокирована.

Разделы справки развертывать обновления надстроек из независимого поставщика программного обеспечения?

Если у вас есть надстройка, использующая устаревшие токены Exchange, обратитесь к своему программному приложению, чтобы получить сведения об их временная шкала перенести надстройку на использование NAA. После миграции надстройки isV, скорее всего, он предоставит URL-адрес согласия администратора. Дополнительные сведения см. в разделе Как работает поток согласия администратора? .

IsV также может предоставить обновленный манифест приложения для развертывания с помощью централизованного развертывания. Во время централизованного развертывания может потребоваться согласие на любые области Microsoft Graph, необходимые надстройке. В этом сценарии не нужно использовать URI согласия администратора.

Если надстройка развернута из Microsoft AppSource, скорее всего, вам будет предложено предоставить согласие на использование областей Microsoft Graph, когда isV развертывает обновления надстройки. До вашего согласия пользователи в клиенте не смогут использовать новую версию надстройки с NAA.

На какие надстройки в моей организации влияет?

Список всех надстроек, запрашивающих устаревшие маркеры Exchange Online за последние семь дней, можно получить с помощью Get-AuthenticationPolicy -AllowLegacyExchangeTokens команды . Дополнительные сведения см. в разделе Включение и отключение устаревших маркеров Exchange Online.

Кроме того, мы опубликовали список всех надстроек Outlook, опубликованных в Магазине Майкрософт, которые используют устаревшие маркеры по состоянию на октябрь 2024 г. Дополнительные сведения об использовании списка и создании отчета о надстройках Outlook, которые потенциально используют устаревшие маркеры, см. в статье Поиск надстроек Outlook, использующих устаревшие маркеры Exchange Online.

Надстройки могут использовать устаревшие маркеры для получения ресурсов из Exchange с помощью интерфейсов REST API EWS или Outlook. Иногда надстройке требуются ресурсы Exchange для некоторых вариантов использования, а не для других, что затрудняет определение необходимости обновления надстройки. Мы рекомендуем обратиться к разработчикам и владельцам надстроек, чтобы спросить их, ссылается ли их код надстройки на следующие API.

  • makeEwsRequestAsync
  • getUserIdentityTokenAsync
  • getCallbackTokenAsync

Если для надстройки используется isV, рекомендуется как можно скорее связаться с ним, чтобы убедиться, что у них есть план и временная шкала для отказа от устаревших токенов Exchange. Разработчики программного обеспечения должны обратиться непосредственно к своим контактам Майкрософт с вопросами, чтобы убедиться, что они готовы к концу устаревших токенов Exchange. Если вы полагаетесь на разработчика в вашей организации, он должен ознакомиться с этим часто задаваемыми вопросами и статьей Включение единого входа в надстройке Office с помощью проверки подлинности вложенного приложения. Любые вопросы должны быть подняты на сайте проблем с OfficeDev/office-js GitHub.

После согласия администратора или пользователя они будут перечислены в Центр администрирования Microsoft Entra. Регистрации приложений можно найти, выполнив следующие действия.

  1. Перейдите по адресу https://entra.microsoft.com/#home и войдите в клиент с правами администратора.
  2. В области навигации слева выберите Приложения>Корпоративные приложения.
  3. На странице Корпоративные приложения в разделе Управление выберите Все приложения.
  4. Выберите надстройку. Откроется страница обзора. На странице обзора выберите Разрешения. Существует два представления разрешений; Администратор согласие и согласие пользователя. Выберите Согласие пользователя, чтобы просмотреть все индивидуальные согласия.

Существует ли список издателей, которые обновили свои надстройки?

Некоторые широко используемые издатели надстроек Outlook уже обновили свои надстройки, как указано ниже.

Если издатель обновил свой манифест, а надстройка развернута через Microsoft Store, вам как администратору будет предложено обновить и развернуть обновления. Если издатель обновил свой манифест, а надстройка развертывается с помощью централизованного развертывания, вам потребуется развернуть новый манифест от имени администратора. В некоторых случаях у издателя может быть URI согласия администратора, который необходимо использовать для предоставления согласия на новые области для надстройки. Обратитесь к издателям, если вам нужны дополнительные сведения об обновлении надстройки.

Некоторые надстройки не работают. Можно ли определить, связано ли это с тем, что маркеры Exchange были отключены?

Начиная с 17 февраля 2025 г. корпорация Майкрософт развертывает обновление для постепенного отключения устаревших маркеров Exchange Online для всех пользователей. Обновление не отключает маркеры Exchange в клиенте, если вы уже включили устаревшие маркеры Exchange Online.

Если ваш клиент использует надстройку, которая по-прежнему использует токены Exchange, надстройка будет работать или потерять функциональность. Обновление развертывается для каждого пользователя. Это означает, что при отключении маркеров Exchange для одного или нескольких пользователей может быть затронута надстройка, но у других пользователей по-прежнему будет рабочая надстройка. Если вы заметили, что у надстройки возникли проблемы и подозреваете, что на нее могут повлиять отключенные маркеры Exchange, выполните следующие действия.

Проверьте список известных надстроек

Мы опубликовали список надстроек, которые, как известно, использовали устаревшие токены Exchange по состоянию на октябрь 2024 г. Если надстройка включена в этот список, обратитесь к издателю, чтобы узнать, есть ли доступные обновления. Дополнительные сведения см. в статье Поиск надстроек Outlook, использующих устаревшие маркеры Exchange Online.

Проверьте, отключены ли маркеры с помощью Script Lab

Проверьте, отключены ли устаревшие маркеры Exchange Online для пользователя с помощью надстройки Script Lab.

  1. Установите Script Lab для Outlook.

  2. Войдите в Outlook с затронутой учетной записью или почтовым ящиком пользователя. Маркеры Exchange могут быть отключены для одного пользователя, но не для другого до завершения развертывания.

  3. В существующем или новом сообщении электронной почты откройте Script Lab в меню Приложения и выберите Код в меню Script Lab.

    Снимок экрана: меню Script Lab.

  4. В области задач Script Lab выберите значок Backstage (он содержит три строки).

    Снимок экрана: значок Backstage.

  5. Выберите Примеры и найдите пример Получения маркера удостоверения пользователя . Выберите этот пример, чтобы открыть его в редакторе кода.

    Снимок экрана: меню Script Lab и поле поиска, чтобы найти пример получения маркера удостоверения пользователя.

  6. После загрузки кода для примера выберите Выполнить>выполнить в этой области.

    Снимок экрана: пункт меню

  7. После выполнения кода выберите Получить маркер.

Если включено устаревшее Exchange Online маркеры, в консоли отображается маркер в виде строки в кодировке Base64.

Снимок экрана: маркер, показанный в окне консоли.

Если устаревшие маркеры Exchange Online отключены, в консоли отобразится сообщение об ошибке, как показано ниже.

Снимок экрана: ошибка в окне консоли.

Если на надстройку влияют отключенные маркеры Exchange, их можно снова включить. Дополнительные сведения см. в статье Можно ли снова включить маркеры Exchange Online устаревших версий?.

Часто задаваемые вопросы о миграции надстроек Outlook

Почему корпорация Майкрософт выполняет миграцию надстроек Outlook?

Переход на Microsoft Graph с помощью маркеров идентификаторов Entra является большим улучшением безопасности для клиентов Outlook и Exchange. Entra ID (прежнее название — Azure Active Directory) — это ведущая облачная служба управления удостоверениями и доступом. Клиенты могут воспользоваться такими функциями, как "никому не доверяй", такие как условный доступ, требования MFA, постоянный мониторинг маркеров, эвристика безопасности в реальном времени и многое другое, недоступное с устаревшими токенами Exchange. Клиенты хранят важные бизнес-данные, хранящиеся в Exchange, поэтому крайне важно обеспечить защиту этих данных. Перенос всей экосистемы Outlook на использование маркеров идентификаторов Entra с Microsoft Graph значительно повышает безопасность данных клиентов.

Требуется ли миграция надстройки Outlook в NAA?

Нет. Надстройкам Outlook не нужно использовать NAA, хотя NAA предлагает лучший интерфейс проверки подлинности для пользователей и лучший уровень безопасности для организаций. Если надстройки не используют устаревшие маркеры Exchange, на них не влияет устаревание маркеров Exchange. Надстройки, использующие MSAL.js или другие методы единого входа, использующие идентификатор Entra, будут продолжать работать.

Разделы справки знаете, использует ли моя надстройка Outlook устаревшие маркеры?

Чтобы узнать, использует ли надстройка устаревшие маркеры удостоверений пользователей Exchange и маркеры обратного вызова, выполните поиск в коде вызовов к следующим API.

  • makeEwsRequestAsync
  • getUserIdentityTokenAsync
  • getCallbackTokenAsync

Если надстройка вызывает любой из этих API, следует внедрить NAA и перейти на использование маркеров идентификаторов Entra для доступа к Microsoft Graph.

Какие надстройки Outlook находятся в область?

Многие основные надстройки находятся в область. Если ваша надстройка использует EWS или Outlook REST для доступа к Exchange Online ресурсам, ей почти наверняка потребуется перенести устаревшие маркеры Outlook в NAA. Если ваша надстройка предназначена только для локальной среды Exchange (например, Exchange 2019), это изменение не влияет на нее.

Что произойдет с моими надстройками Outlook, если я не перейду на NAA?

Если вы не переносите надстройки Outlook в NAA, они перестанут работать должным образом в Exchange Online. Если маркеры Exchange отключены, Exchange Online заблокируют выдачу устаревших маркеров. Любая надстройка, использующая устаревшие маркеры, не сможет получить доступ к ресурсам Exchange Online.

Если ваша надстройка работает только в локальной среде или если надстройка находится по пути устаревания, возможно, вам не потребуется обновлять. Однако большинство надстроек, которые получают доступ к ресурсам Exchange через EWS или Outlook REST, должны выполнить миграцию, чтобы продолжить работу должным образом.

Разделы справки перенести надстройки Outlook в NAA?

Сведения о поддержке NAA в надстройке Outlook см. в следующей документации и примере.

Разделы справки следить за последними рекомендациями?

Мы обновим этот вопрос и ответы по мере того, как все новые сведения становятся доступными. Мы поделимся дополнительными рекомендациями в сообществе надстроек Office иблоге разработчиков M365. Наконец, вы можете задать вопросы о NAA и устаревших Exchange Online устаревании маркеров на сайте проблем с OfficeDev/office-js GitHub. Поместите "NAA" в название, чтобы можно было группировать и определять приоритеты проблем.

Если вы отправляете сообщение о проблеме, укажите следующие сведения.

  • Версия клиента Outlook.
  • Аудитория канала выпуска Outlook (для клиента).
  • Снимок экрана проблемы.
  • Платформа, на которой возникает проблема (Windows, Outlook (новый), Mac, iOS, Android).
  • Идентификатор сеанса, в котором возникла проблема.
  • Тип используемой учетной записи.
  • Версия msal-browser.
  • Журналы из msal-browser.

Вопросы для разработчиков

Разделы справки получить дополнительные сведения об отладке из MSAL и NAA?

Используйте следующий код, чтобы включить сведения об отладке в msalConfig при инициализации вложенного общедоступного клиентского приложения. Это приведет к регистрации дополнительных сведений в консоли.

const msalConfig = {
  auth: {...},
  system: {
    loggerOptions: {
      logLevel: LogLevel.Verbose,
      loggerCallback: (level, message, containsPii) => {
        switch (level) {
          case LogLevel.Error:
            console.error(message);
            return;
          case LogLevel.Info:
            console.info(message);
            return;
          case LogLevel.Verbose:
            console.debug(message);
            return;
          case LogLevel.Warning:
            console.warn(message);
            return;
        }
      },
    }
  }
};

Тестирование обновленной надстройки

После обновления надстройки для использования NAA ее следует протестировать на всех поддерживаемых вами платформах, таких как Mac, mobile, Web и Outlook в Windows.

Проверка выключения маркеров Exchange

Чтобы проверить правильность работы надстройки при отключении маркеров Exchange, разверните надстройку в клиенте с отключенными маркерами и протестируйте ее. Сведения об отключении маркеров см. в статье Включение и отключение устаревших маркеров Exchange Online.

Если вы реализовали шаблон, в котором код использует маркеры Exchange, но затем падает, если они недоступны, убедитесь, что вы проверяете правильность ошибок. При сбое вызова для получения маркера Exchange проверка asyncResult.диагностика. Если возвращается любая из следующих ошибок, переключитесь на NAA.

  • GenericTokenError: An internal error has occurred.
  • InternalServerError: The Exchange server returned an error. Please look at the diagnostics object for more information.

Тестирование резервного кода для Trident+ webview

Если надстройка Outlook поддерживает Outlook 2016 или Outlook 2019 в Windows, убедитесь, что она работает правильно при использовании веб-представления Trident+ (интернет-Обозреватель 11). При использовании веб-представления Trident+ код должен вернуться к MSAL версии 2, чтобы открыть диалоговое окно и войти в систему пользователя. Дополнительные сведения о том, как реализовать резервный шаблон, см. в статье Надстройка Outlook с единым входом с использованием проверки подлинности вложенных приложений, включая интернет-Обозреватель резервный вариант.

Тестирование в Trident+ и WebView2

Outlook 2016 и Outlook 2019 в Windows используют Trident+ или WebView2 в зависимости от различных условий ОС.

Разделы справки проверить маркер идентификатора или проверить подлинность пользователя?

С помощью маркеров Exchange можно проверить маркер идентификатора и использовать его для авторизации пользователя для доступа к собственным ресурсам. Дополнительные сведения см. в статье Проверка подлинности пользователя с помощью маркера удостоверения для Exchange. Однако MSAL с маркерами идентификатора Entra не использует этот подход.

При запросе маркера через MSAL всегда возвращаются три маркера.

Token Назначение Scopes
Маркер идентификатора Предоставляет сведения о пользователе клиенту (области задач). profile и openid
Маркер обновления Обновляет идентификаторы и маркеры доступа по истечении срока действия. offline_access
Маркер доступа Выполняет проверку подлинности пользователя для определенных областей ресурса, например Microsoft Graph. Любые области ресурсов, например user.read.

MSAL всегда возвращает эти три маркера. Он запрашивает profile, openidи offline_access в качестве областей по умолчанию, даже если запрос маркера не включает их. Это гарантирует, что будут запрошены маркеры идентификатора и обновления. Однако необходимо включить по крайней мере один область ресурса, напримерuser.read, чтобы получить маркер доступа. В противном случае запрос может завершиться ошибкой.

Передача маркера идентификатора по сетевому вызову для включения или авторизации доступа к службе является анти-шаблоном безопасности. Маркер предназначен только для клиента (области задач), и служба не может надежно использовать маркер, чтобы убедиться, что пользователь имеет авторизованный доступ. Дополнительные сведения о утверждениях маркера идентификатора см. в разделе https://learn.microsoft.com/en-us/entra/identity-platform/id-token-claims-reference.

Очень важно всегда запрашивать маркер доступа к собственным службам. Маркер доступа также включает те же утверждения идентификатора, поэтому передавать маркер идентификатора не нужно. Вместо этого создайте настраиваемую область для службы. Дополнительные сведения о параметрах регистрации приложений для собственных служб см. в разделе Защищенный веб-API: регистрация приложений. Когда служба получает маркер доступа, она может проверить его и использовать утверждения идентификатора из маркера доступа.

Разделы справки определить, является ли пользователь локальной или сетевой учетной записью?

Вы можете определить, есть ли у пользователя, выполнившего вход, учетную запись Exchange Online или локальную учетную запись Exchange, с помощью свойства Office.UserProfile.accountType. Если свойство типа учетной записи имеет значение enterprise, почтовый ящик находится на локальном сервере Exchange Server. Обратите внимание, что корпоративные бессрочные Outlook 2016 не поддерживают свойство accountType. Чтобы обойти эту проблему, вызовите операцию ResolveNames в веб-службе Exchange (EWS) на локальном сервере Exchange, чтобы получить типы получателей.

Разделы справки развернуть надстройку в Microsoft AppSource

Если вы публикуете новую надстройку в Microsoft AppSource, ей потребуется пройти процесс сертификации. Дополнительные сведения см. в статье Публикация надстройки Office в Microsoft AppSource. Если вы обновляете манифест надстройки, которая уже опубликована в Microsoft AppSource, необходимо пройти процесс сертификации еще раз. Исходный код надстройки можно обновить на веб-сервере в любое время без необходимости прохождения процесса сертификации.

Если вы используете единый вход через NAA, надстройка должна соответствовать следующим рекомендациям по публикации.

Не забудьте правильно обработать согласие администратора. См . статью Публикация надстройки, требующей согласия администратора для областей Microsoft Graph.

Дополнительные сведения о развертывании см. в статье Доступность решений в Microsoft AppSource и в Office. При обновлении надстройки (изменении манифеста) необходимо снова пройти процесс сертификации. Вы можете обновить код веб-сервера в любое время без необходимости проверки.

Связанные материалы