最近我们遇到了一个问题,即当一个拥有另一个 Exchange Online 用户日历访问权限的 Exchange On-Premier 用户尝试访问 Exchange Online 用户的日历时,Outlook 会弹出基本身份验证的密码框。

导致这一现象出现的原因可能是多方面的,在这篇文章中,笔者希望与大家讨论一种有可能导致这一现象的原因,希望能对大家有所帮助。

经过我们的排查,我们发现,这一现象是由我们的一条条件访问策略引起的。出于安全性的考量,我们在 AAD 中启用了一条 "Block Legacy Auth" 的条件访问策略,即,对于所有的用户,若包含 Cloud App "Office 365 Exchange Online“,"Modern authentication clients" 留空,“Legacy authentication clients” 选择为 Exchange ActiveSync clients" 和 "Other clients",则将 Grant 配置为 "Block access”。

很明显,在这种策略的作梗之下,Exchange Online 是不会接受 Exchange On-Premise 基本身份验证的验证方式的。所以一旦出现需要做身份验证的情况,例如访问他人的日历,那么就会不停弹出基本身份验证的密码框。

要解决这一问题也非常简单,或者对那个 Block Legacy Auth 的策略进行更改,比如在 Cloud Apps 不要选择 Office 365 Exchange Online,或者在 Client Apps 的 Legacy authentication clients 里不要选 Other clients,或者做得更加干脆一点,不要启用这个策略了。

你可以在这里设置:

Azure 门户 - Azure Active Directory - Security - Conditional Access。

不用谢。