Почему Outlook перенаправляет на вход Microsoft: решение проблемы

Когда включена современная аутентификация (Modern Authentication) в Exchange Server, клиенты Outlook автоматически перенаправляются на страницу входа Microsoft для проверки подлинности через Azure Active Directory или ADFS. Это происходит, потому что Exchange 2019 пытается использовать Modern Auth, который может конфликтовать с вашей локальной конфигурацией Active Directory, особенно если не настроена правильная интеграция с федеративными службами.

Содержание

• Что такое современная аутентификация в Exchange 2019
• Основные причины перенаправления на Microsoft Login
• Проверка и настройка современной аутентификации
• Решения проблемы перенаправления
• Настройка политик аутентификации
• Регистрационные ключи для управления аутентификацией
• Дополнительные проверки и рекомендации

Что такое современная аутентификация в Exchange 2019

Современная аутентификация (Modern Authentication) — это механизм аутентификации, который использует протокол OAuth 2.0 для безопасного доступа к Exchange Server. В отличие от базовой аутентификации (Basic Auth), Modern Auth обеспечивает более высокий уровень безопасности и поддержку многофакторной аутентификации (MFA).

Согласно официальной документации Microsoft Learn, когда Modern Auth включен для пользователя, клиент Outlook перенаправляется на ADFS для аутентификации. Пользователи могут затем пройти аутентификацию, предоставив учетные данные или выполнив многофакторную аутентификацию.

В Exchange 2019 CU13 Modern Auth является обязательным для всех серверов, используемых для клиентских подключений. Это означает, что если у вас установлен этот累积ативный обновление, Modern Auth может быть включен по умолчанию.

Основные причины перенаправления на Microsoft Login

1. Автоматическое включение Modern Auth

Одной из самых частых причин является автоматическое включение Modern Auth после установки определенных обновлений Exchange 2019. Как указано в исследованиях, после установки Exchange 2019 CU13 и KB5026261 пользователи начали испытывать проблемы с перенаправлением на страницу входа Microsoft.

“Если я включу ‘Windows Authentication - Negotiate’, то никто не сможет работать с сервером Exchange, все пользователи с Outlook 2013, 2016 и 2019 получат диалоговое окно входа, предотвращающее доступ к серверу” — источник

2. Конфигурация гибридной развертки

Если у вас настроена гибридная развертка между Exchange Server и Microsoft 365, Modern Auth может быть включен на уровне организации, что вызывает перенаправление пользователей на страницу входа Microsoft.

3. Проблемы с конфигурацией ADFS

Неправильная настройка Active Directory Federation Services (ADFS) может приводить к тому, что Outlook не может пройти аутентификацию через локальную среду и перенаправляется на облачный вход Microsoft.

4. Истекшие токены аутентификации

Как отмечено в документации Microsoft, проблема может возникать, когда сессионный токен Single Sign-On (SSO) от ADFS истекает. WAP (Web Application Proxy) возвращает ответ HTTP 307 веб-приложению Outlook Web App, перенаправляя пользователя на ADFS для повторной аутентификации.

Проверка и настройка современной аутентификации

Проверка текущего состояния Modern Auth

Чтобы проверить, включена ли современная аутентификация в вашей среде Exchange 2019, выполните следующие команды в Exchange Management Shell:

Get-OrganizationConfig | Format-List *
Get-AuthServer | Format-List *

Отключение Modern Auth (временное решение)

Если вам нужно временно отключить Modern Auth для диагностики проблемы, вы можете использовать следующие команды:

Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Set-AuthServer -Identity "Windows" -Type Windows -AuthMetadataUrl $null

Важно: Отключение Modern Auth снижает безопасность системы и не рекомендуется как постоянное решение.

Решения проблемы перенаправления

1. Настройка реестра для управления аутентификацией

Для принудительного использования Modern Auth или его отключения на уровне клиента можно использовать реестр Windows. Как указано в документации Microsoft:

HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover

Создайте DWORD-параметр со значением:

• 1 — для принудительного использования Modern Auth
• 0 — для отключения Modern Auth

2. Конфигурация политик аутентификации

Используйте политики аутентификации для управления тем, какие методы аутентификации разрешены для пользователей:

# Создание политики блокировки устаревшей аутентификации
New-AuthenticationPolicy -Name "Block Legacy Auth" -BlockBasicAuth $true -BlockBasicAuthApp $true

# Применение политики к пользователю
Set-User -Identity username@domain.com -AuthenticationPolicy "Block Legacy Auth"

3. Проверка конфигурации автоматического обнаружения

Проблемы с перенаправлением часто связаны с неправильной работой службы автоматического обнаружения (Autodiscover). Убедитесь, что записи DNS для Autodiscover настроены правильно:

• autodiscover.yourdomain.com должен указывать на ваш Exchange Server
• Сертификат должен содержовать все необходимые имена (SAN)

Настройка политик аутентификации

Создание политики для управления аутентификацией

Политики аутентификации позволяют гибко управлять методами аутентификации для разных групп пользователей:

# Создание политики для современных пользователей
New-AuthenticationPolicy -Name "Modern Auth Only" -ModernAuthEnabled $true -BasicAuthEnabled $false

# Создание политики для совместимости
New-AuthenticationPolicy -Name "Mixed Auth" -ModernAuthEnabled $true -BasicAuthEnabled $true

# Применение политики
Set-User -Identity specific.user@domain.com -AuthenticationPolicy "Modern Auth Only"

Блокировка устаревшей аутентификации

Для повышения безопасности рекомендуется заблокировать устаревшую аутентификацию:

# Блокировка Basic Auth для всех протоколов
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

# Блокировка Basic Auth для конкретных протоколов
Set-AuthServer -Identity "Windows" -BasicAuthEnabled $false

Регистрационные ключи для управления аутентификацией

Глобальные настройки для Outlook

Для управления поведением Outlook на уровне всей организации можно использовать следующие реестровые ключи:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\Identity

Создайте параметры:

• EnableADAL — DWORD (1 для включения, 0 для отключения)
• DisableADALatOrgID — DWORD (1 для отключения)

Настройки для конкретных пользователей

Для отдельных пользователей настройте реестр в их профиле:

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity

Дополнительные проверки и рекомендации

Проверка конфигурации брандмауэра

Убедитесь, что между клиентскими компьютерами, Exchange Server и контроллерами домена разрешен необходимый трафик:

• TCP порты 135, 139, 445 (SMB)
• TCP порт 389 (LDAP)
• TCP порт 636 (LDAPS)
• TCP порт 53 (DNS)

Обновление Exchange Server

Убедитесь, что у вас установлены последние обновления для Exchange 2019. Некоторые проблемы с аутентификацией были исправлены в более поздних累积ативных обновлениях.

Проверка сертификатов

Проверьте, что сертификаты, используемые для Exchange:

• Не истекли
• Содержат все необходимые имена в SAN
• Подписаны доверенным центром сертификации
• Правильно настроены на всех серверах Exchange

Мониторинг событий

Просмотрите журналы событий на серверах Exchange и контроллерах домена на наличие ошибок, связанных с аутентификацией:

• Журнал приложений и служб → Microsoft → Windows → ADFS
• Журнал приложений и служб → Microsoft → Exchange
• Журнал безопасности

Тестирование подключения

Используйте инструменты для тестирования подключения к Exchange:

Test-ServiceHealth
Test-MapiConnectivity -Identity username@domain.com
Test-OutlookWebServices -Identity username@domain.com

Источники

1. Enable Modern Auth in Exchange Server on-premises | Microsoft Learn
2. Outlook login issues after Exchange 2019 cu13 and KB5026261 updates | Microsoft Q&A
3. Outlook Web App doesn’t redirect to ADFS login - Exchange | Microsoft Learn
4. Modern Authentication configuration requirements for transition - Exchange | Microsoft Learn
5. Block legacy authentication in Exchange 2019 hybrid | Microsoft Learn
6. Outlook prompts for password when Modern Authentication is enabled | Microsoft Learn
7. Enabling Modern Auth for Outlook – How Hard Can It Be? | Microsoft Tech Community
8. How to disable legacy authentication in Microsoft Exchange to enable MFA | CSO Online

Заключение

Проблема перенаправления входа в Outlook на страницу Microsoft Login возникает из-за включенной современной аутентификации (Modern Auth) в Exchange 2019, которая может конфликтовать с вашей локальной инфраструктурой Active Directory.

Основные шаги для решения проблемы:

1. Проверьте текущую конфигурацию Modern Auth с помощью командлетов Exchange Management Shell
2. Настройте реестр для управления поведением Outlook (AlwaysUseMSOAuthForAutoDiscover)
3. Создайте политики аутентификации для гибкого управления методами аутентификации
4. Проверьте конфигурацию ADFS и автоматического обнаружения (Autodiscover)
5. Обновите Exchange Server до последней CU для исправления известных проблем
6. Проверьте сертификаты и сетевые настройки между всеми компонентами

Если проблема сохраняется, рекомендуется временно отключить Modern Auth для конкретного пользователя с помощью реестра или политик, чтобы восстановить нормальный доступ к почте, а затем постепенно настроить корректную интеграцию с современной аутентификацией.