Другое

Почему Exchange 2019 перенаправляет мобильные приложения на Microsoft

Узнайте основные причины перенаправления мобильных почтовых приложений Exchange 2019 на сайт Microsoft и как решить эту проблему с настройками аутентификации.

Авторы: НейроАгент

Почему Exchange 2019 перенаправляет мобильные почтовые приложения на сайт Microsoft?

Добрый день. У меня настроен Exchange 2019 CU15. Подключение через ActiveSync работает корректно. Однако при попытке подключения через мобильные почтовые приложения (например, Яндекс Почта, Mail и другие) после ввода IMAP‑сервера в настройках происходит перенаправление на сайт Microsoft. При этом подключение по IMAP через почтовые клиенты на компьютере работает без проблем. В чем может быть причина такого поведения?

Exchange 2019 перенаправляет мобильные почтовые приложения на сайт Microsoft в основном из‑за современных механизмов аутентификации и конфигурации гибридных аутентификационных потоков. Это поведение типично при использовании мобильных клиентов, которые поддерживают только современные методы аутентификации OAuth 2.0, а не базовую аутентификацию.

Содержание

Основные причины перенаправления

Exchange 2019 CU15 перенаправляет мобильные почтовые приложения на сайт Microsoft по следующим основным причинам:

  1. Современная аутентификация (Modern Authentication): Exchange 2019 автоматически перенаправляет клиентов, использующих современные методы аутентификации, на конечные точки Microsoft для проверки подлинности. Это особенно актуально для мобильных приложений, которые по умолчанию предпочитают OAuth 2.0 вместо базовой аутентификации.

  2. Гибридная аутентификация: Если в вашей среде настроена гибридная современная аутентификация, мобильные приложения будут перенаправлены на серверы Microsoft для обработки аутентификации, даже если ваш Exchange‑сервер локальный.

  3. Отмена поддержки базовой аутентификации: Microsoft постепенно отменяет поддержку базовой аутентификации для протоколов IMAP и POP3. Когда базовая аутентификация отключена, система перенаправляет клиентов на современные потоки аутентификации.

  4. Проксирование соединений: Exchange 2016 и 2019 могут автоматически проксировать POP3 и IMAP‑соединения между серверами активного каталога, что может вызывать перенаправления при определённых конфигурациях сети.

Роль современной аутентификации

Современная аутентификация (Modern Authentication) играет ключевую роль в этом поведении:

Exchange 2019 автоматически проксирует POP3 и IMAP‑соединения клиентов с одного сайта Active Directory на правильный почтовый сервер на другом сайте Active Directory. Когда клиент подключается к сервису на одном сервере, Exchange может проксировать соединение к бэкенд‑сервису на сервере, где размещён активный почтовый ящик пользователя Microsoft Learn.

Для мобильных приложений это означает следующий процесс:

  1. Приложение пытается подключиться к вашему IMAP‑серверу
  2. Система распознаёт, что для мобильных клиентов требуется современная аутентификация
  3. Происходит перенаправление на конечную точку Microsoft для проверки подлинности
  4. После успешной аутентификации соединение устанавливается обратно к вашему Exchange‑серверу

Конфигурация гибридной аутентификации

Если в вашей среде настроена гибридная современная аутентификация, это объясняет перенаправление на сайт Microsoft:

Подход гарантирует, что мобильные приложения, использующие Exchange Web Services, IMAP4 или POP3 протоколы с базовой аутентификацией, не могут подключаться к Exchange Online. Для использования политик условного доступа на основе приложений приложение Microsoft Authenticator обязательно должно быть установлено Microsoft Learn.

В вашем случае, даже Exchange 2019 (локальный) может использовать гибридную аутентификацию, которая перенаправляет мобильных клиентов на конечные точки Microsoft для проверки подлинности.

Настройки протоколов IMAP/POP3

Конфигурация IMAP и POP3 в Exchange 2019 также влияет на это поведение:

  1. Включение IMAP: Для работы IMAP необходимо сначала включить и настроить протокол на сервере Exchange:

    powershell
    Set-ImapSettings -Identity "EXCHANGE01" -ImapEnabled $true

  2. Управление доступом к почтовым приложениям: В Exchange можно включать или отключать доступ к почтовым приложениям для отдельных пользователей:

    В панели управления «Управление настройками для почтовых приложений» установите Outlook для настольных компьютеров (MAPI), мобильные устройства (Exchange ActiveSync), IMAP, POP3 и Outlook в веб‑приложении на «Включено» или «Отключено» Microsoft Learn.

  3. Порты и подключения: IMAP использует порт 993 с SSL/TLS, а мобильные клиенты могут использовать разные порты или методы аутентификации по сравнению с настольными клиентами.

Решения проблемы

Вот несколько способов решить проблему перенаправления мобильных приложений на сайт Microsoft:

1. Проверка базовой аутентификации

Убедитесь, что базовая аутентификация включена для IMAP и POP3:

powershell
Get-ImapSettings | Format-List *
Get-PopSettings | Format-List *

2. Конфигурация OAuth 2.0

Настройте OAuth 2.0 для мобильных клиентов:

Служебные принципалы в Exchange используются для того, чтобы приложения могли получать доступ к почтовым ящикам Exchange через поток учетных данных клиента с протоколами SMTP, POP и IMAP Microsoft Learn.

3. Отключение современной аутентификации для мобильных клиентов

Если базовая аутентификация обязательна, можно отключить современную аутентификацию для IMAP и POP3:

Включение или отключение современной аутентификации не влияет на IMAP или POP3 клиенты Microsoft Learn.

4. Проверка автообнаружения (Autodiscover)

Проверьте настройки автообнаружения для мобильных клиентов:

Убедитесь, что в вашей среде Exchange on Premise настроена современная гибридная аутентификация. Звучит так, что она настроена, так как приложение перенаправляет пользователя на Microsoft 365 для аутентификации, но стоит проверить, чтобы ничего странного не происходило с автообнаружением Reddit.

Проверка конфигурации

Для диагностики проблемы выполните следующие проверки:

  1. Проверка статуса IMAP/POP3:

    powershell
    Test-ImapConnectivity -Server EXCHANGE01 -Port 993
Test-PopConnectivity -Server EXCHANGE01 -Port 995

  2. Проверка аутентификации:

    powershell
    Get-AuthServer | Where-Object {$_.Name -like "*Microsoft*"}
Get-OAuthConfiguration

  3. Проверка автообнаружения:

    powershell
    Test-AutodiscoverConnectivity -Mailbox user@domain.com -Verbose

  4. Проверка мобильных политик:

    powershell
    Get-MobileDeviceMailboxPolicy | Format-List

Источники

  1. Enable and configure IMAP4 on an Exchange server | Microsoft Learn
  2. POP3 and IMAP4 in Exchange Server | Microsoft Learn
  3. Managing email apps for user mailboxes | Microsoft Learn
  4. Authenticate an IMAP, POP or SMTP connection using OAuth | Microsoft Learn
  5. Using hybrid Modern Authentication with Outlook for iOS and Android | Microsoft Learn
  6. Exchange 2019 on prem and mobile app. Which ones to use? | Reddit

Заключение

Основными причинами перенаправления мобильных почтовых приложений на сайт Microsoft в Exchange 2019 CU15 являются:

  1. Современная аутентификация, которая перенаправляет клиентов на конечные точки проверки подлинности Microsoft
  2. Гибридная конфигурация аутентификации, даже для локальных Exchange‑серверов
  3. Отмена базовой аутентификации для протоколов IMAP и POP3
  4. Разные механизмы аутентификации между мобильными и настольными клиентами

Для решения проблемы рекомендуется проверить настройки базовой аутентификации, настроить OAuth 2.0‑приложения или использовать другие почтовые клиенты, которые лучше поддерживают современные методы аутентификации Exchange. Если базовая аутентификация критически важна, можно временно включить её для протоколов IMAP и POP3, хотя это не рекомендуется с точки зрения безопасности.

Авторы
НейроАгент
Автор
Проверено модерацией
НейроОтветы
Модерация
Почему Exchange 2019 перенаправляет мобильные приложения на Microsoft