身份验证方法 ：多重身份验证;基于客户端证书的身份验证。

授权方法 ：Microsoft实现开放授权 (OAuth) 。

使用 Microsoft 身份验证库 (MSAL) 启用新式身份验证。 基于 MSAL 的身份验证是 Outlook for iOS 和 Android 用于访问 Microsoft 365 或 Office 365 中的Exchange Online邮箱。 由桌面和移动设备上的 Office 应用使用的 MSAL 身份验证涉及用户直接登录到 Azure Active Directory，Azure Active Directory 是 Microsoft 365 和 Office 365 的标识提供者，而不是向 Outlook 提供凭据。

基于 MSAL 的身份验证将 OAuth 用于启用新式身份验证的帐户 (Microsoft 365 或 Office 365 帐户或使用 混合新式身份验证) 的本地帐户 。 它还为 Outlook for iOS 和 Android 提供了一种安全机制，无需访问用户凭据即可访问电子邮件。 登录时，用户直接使用 Azure Active Directory 进行身份验证，并接收访问/刷新令牌对作为回报。 访问令牌授予 Outlook for iOS 和 Android 对 Microsoft 365 或 Office 365 (中的相应资源的访问权限，例如用户的邮箱) 。 刷新令牌用于在当前访问令牌过期时获取新的访问或刷新令牌对。 OAuth 为 Outlook 提供了访问 Microsoft 365 或 Office 365的安全机制，而无需或存储用户的凭据。 For more information, see the Office Blog post New access and security controls for Outlook for iOS and Android .

有关令牌生存期的信息，请参阅 Microsoft 标识平台 中的可配置令牌生存期 。 可以调整令牌生存期值;有关详细信息，请参阅 使用条件访问配置身份验证会话管理 。 如果选择缩短令牌生存期，还可以降低 Outlook for iOS 和 Android 的性能，因为较短的生存期会增加应用程序必须获取新访问令牌的次数。

以前授予的访问令牌在过期之前是有效的。 用于身份验证的标识模型将影响密码过期的处理方式。 There are three scenarios:

对于联合标识模型，本地标识提供者需要向 Azure Active Directory 发送密码过期声明，否则 Azure Active Directory 将无法处理密码过期问题。 For more information, see Configure AD FS to Send Password Expiry Claims .

Password Hash Synchronization does not support password expiration. 此方案意味着，以前获取访问和刷新令牌对的应用将继续运行，直到超过令牌对的生存期或用户更改密码。 For more information, see Implement password synchronization with Azure AD Connect sync .

直通身份验证要求在 AAD Connect 中启用密码写回。 For more information, see Azure Active Directory Pass-through Authentication: Frequently asked questions .

Upon token expiration, the client will attempt to use the refresh token to obtain a new access token, but because the user's password has changed, the refresh token will be invalidated (assuming directory synchronization has occurred between on-premises and Azure Active Directory). 无效的刷新令牌将强制用户重新进行身份验证，以获取新的访问令牌和刷新令牌对。

AutoDetect

Outlook for iOS 和 Android 提供了一种名为“自动检测”的解决方案，可帮助最终用户快速设置其帐户。 AutoDetect 将首先根据 SMTP 域确定用户拥有的帐户类型。 此服务涵盖的帐户类型包括 Microsoft 365、Office 365、Outlook.com、Google、Yahoo 和 iCloud。 接下来，AutoDetect 将根据该帐户类型对用户设备上的应用进行适当的配置。 此解决方案可节省用户的时间，并无需手动输入主机名和端口号等配置设置。

对于新式身份验证（由所有Microsoft 365 或Office 365帐户和 使用混合新式身份验证的本地帐户 使用）自动检测查询Exchange Online用户帐户信息，然后在用户的设备上配置 Outlook for iOS 和 Android，以便应用可以连接到Exchange Online。 在此过程中，用户所需的唯一信息是其 SMTP 地址和凭据。

下图显示了通过 AutoDetect 配置的帐户配置示例：

如果用户的 AutoDetect 失败，以下图像显示了使用手动配置的备用帐户配置路径：

使用 Microsoft 身份验证库 (MSAL) 的所有Microsoft应用都支持单一登录。 此外，当应用与 Microsoft Authenticator 或 Microsoft 公司门户 应用一起使用时，也支持单一登录。

在以下情况下，其他Microsoft应用 (（如 Word 移动) ）可以共享和重复使用令牌：

当应用使用相同的签名证书进行签名，并使用相同的服务终结点或受众 URL (（如 Microsoft 365 或 Office 365 URL) ） 时。 In this case, the token is stored in app shared storage.

当应用使用或支持中转站应用的单一登录时，令牌存储在代理应用中时。 Microsoft Authenticator is an example of a broker app. 在代理应用方案中，尝试登录到 Outlook for iOS 和 Android 后，MSAL 将启动 Microsoft Authenticator 应用，该应用将连接到 Azure Active Directory 以获取令牌。 然后，只要配置的令牌生存期允许，它就会保留令牌并将其用于来自其他应用的身份验证请求。

有关详细信息，请参阅 在 macOS 和 iOS 上配置 SSO 。

如果用户已在其设备上登录到另一个Microsoft应用（如 Word 或 公司门户），则 Outlook for iOS 和 Android 将检测该令牌并将其用于自己的身份验证。 检测到此类令牌时，在 Outlook for iOS 和 Android 中添加帐户的用户将在 “设置” 菜单的“帐户”下看到“已发现的 帐户 ”可用。 新用户将在初始帐户设置屏幕中看到其帐户。

下图显示了首次用户通过单一登录进行帐户配置的示例：

如果用户已拥有 Outlook for iOS 和 Android（例如个人帐户），但检测到Microsoft 365 或 Office 365 帐户，因为他们最近注册，则单一登录路径将如下所示：

通过企业移动性管理进行帐户设置配置

Outlook for iOS 和 Android 使 IT 管理员能够使用混合新式身份验证将帐户配置“推送”到 Microsoft 365 或 Office 365 帐户或本地帐户。 此功能适用于任何统一终结点管理 (UEM) 提供商谁使用适用于 iOS 的 托管应用程序配置 通道或 Android 企业通道中的 Android 。

对于已注册 Microsoft Intune 的用户，可以使用 Azure 门户中的 Intune 部署帐户配置设置。

在 UEM 提供程序中设置帐户设置配置并且用户注册其设备后，Outlook for iOS 和 Android 将检测到帐户“已找到”，然后提示用户添加帐户。 用户完成设置过程需要输入的唯一信息是其密码。 然后，将加载用户的邮箱内容，用户可以开始使用该应用。

有关启用此功能所需的帐户设置配置密钥的详细信息，请参阅 部署 Outlook for iOS 和 Android 应用程序配置 设置 中的帐户设置配置部分。

组织允许的帐户模式

尊重我们最大客户的数据安全性和合规性策略是Microsoft 365 和Office 365价值的关键支柱。 某些公司要求在其企业环境中捕获所有通信信息，并确保设备仅用于公司通信。 为了支持这些要求，可以将企业托管设备上的 Outlook for iOS 和 Android 配置为仅允许在 Outlook for iOS 和 Android 中预配单个公司帐户。 与帐户设置配置一样，此功能适用于使用适用于 iOS 的 托管应用程序配置 通道或 Android 企业版通道中的 Android 的任何 UEM 提供程序。 使用混合新式身份验证的 Microsoft 365 和 Office 365 帐户或本地帐户支持此功能，但是，只能将单个公司帐户添加到 Outlook for iOS 和 Android。

有关需要配置为部署组织允许帐户模式的设置的详细信息，请参阅 部署 Outlook for iOS 和 Android 应用程序配置设置 中的组织允许帐户模式部分。

可以同时配置帐户设置配置和组织允许的帐户模式，以简化帐户设置。

若要确保这些用户只能在已注册设备上访问公司电子邮件 (无论是具有Intune的 iOS 还是 Android Enterprise) ，都需要将 Azure Active Directory 条件访问策略与授权控件 “要求设备标记为合规 ”和 “需要批准的客户端应用 ”结合使用。 有关创建此类策略的详细信息，请参阅 Azure Active Directory 基于应用的条件访问 。

要求设备标记为合规 授权控制要求设备由Intune管理。

The first policy allows Outlook for iOS and Android, and it blocks OAuth capable Exchange ActiveSync clients from connecting to Exchange Online. 请参阅“步骤 1 - 为Exchange Online配置 Azure AD 条件访问策略”，但对于第五步，请选择“要求设备标记为合规”、“需要批准的客户端应用”和“需要所有选定的控件”。

第二个策略阻止使用基本身份验证的Exchange ActiveSync客户端连接到Exchange Online。 See "Step 2 - Configure an Azure AD conditional access policy for Exchange Online with Active Sync (EAS)."