Microsoft PAB

分享

本文是否有帮助?

上次更新时间:

更新 Phish Alert Button (PAB) 的嵌套应用程序身份验证单点登录 (NAA-SSO)

Microsoft 发布了嵌套应用程序身份验证,与传统的完全信任和代表身份验证模型相比,它可以更轻松地进行身份验证,安全性和架构灵活性均有很大提高。因此,Microsoft 将从 2025 年 2 月 17 日开始弃用旧版 Exchange Online 令牌。这表示,除非获得 NAA-SSO 授权,否则连接到 Microsoft 365 域的所有混合Microsoft 功能区 Phish Alert Buttons (PAB) 都将失败。旧版 Exchange Online 令牌可以重新启用旧版 Exchange Online 令牌可以重新启用(链接在新窗口中打开),此操作可进行至 2025 年 6 月。

由于这些更改,我们建议在您的 Phish Alert 帐户设置中授权 Graph API 和 NAA-SSO。有关更多信息,请参阅 Microsoft 的嵌套应用程序身份验证和 Outlook 旧版令牌弃用的常见问题解答(链接在新窗口中打开)

注意:如果您使用 Microsoft Outlook(EXE 版本)PAB,则这些更改不会影响您的 PAB 使用情况。

NAA-SSO 的先决条件

  • Microsoft 365,需要全局管理员角色才能接受权限。
  • Exchange Online,需要全局管理员角色才能接受权限。
  • 每月企业频道版本 2409 或更高版本。旧版本将导致 Microsoft 功能区 PAB 超时。
  • 半年频道版本 2408 或更高版本。旧版本将导致 Microsoft 功能区 PAB 超时。
  • 当前频道版本 2410 或更高版本。
注意:在 Outlook Web Access (OWA) 中使用 PAB 时,Safari 和 Firefox 浏览器可能会阻止弹出窗口。

其他先决条件

NAA-SSO 的可用性将根据所使用的 Microsoft Office 和 Microsoft Outlook 版本而有所不同。要确定您的环境是否支持 NAA-SSO,请参阅 Microsoft 的文章嵌套应用程序身份验证要求集嵌套应用程序身份验证要求集(链接在新窗口中打开)。兼容版本包括:

  • Windows 版 Microsoft Outlook(永久批量许可版)版本 2408(内部版本 17932.20222)或更高版本。
  • Windows 版 Microsoft Outlook(永久零售许可版)版本 2501(内部版本 18429.20132)或更高版本。

重要版本说明:

  • Microsoft Office 2024(永久批量许可版)将支持 NAA-SSO。
  • Microsoft Office 2021(永久批量许可版)仍将支持 SSO-OBO 进行身份验证,但不支持 NAA-SSO。
  • Microsoft Office 2016 和 2019(永久批量许可版)将不支持 NAA-SSO 或 SSO-OBO 身份验证。有关 Microsoft Office 2016 和 2019 的更多信息,请参阅 Microsoft 的文档 Microsoft 的文档(链接在新窗口中打开)
  • Windows 版 Microsoft Outlook(永久零售许可版)版本 2008(内部版本 13127.20000)或更高版本将支持 SSO-OBO 身份验证。
注意:使用 SSO-OBO 进行身份验证需要 Identity API v1.3。有关更多信息,请参阅 Microsoft 的文章 Identity API 要求集 Identity API 要求集(链接在新窗口中打开)
注意:出现“您的邮件服务器需要有效的身份验证令牌”错误,是因为 Microsoft 淘汰旧版 Exchange 身份验证令牌。若要解决此错误,您必须授权启用“嵌套应用程序身份验证 - 单点登录 (NAA-SSO)”功能。

接受 NAA-SSO 的权限

要接受 Microsoft 的 NAA-SSO 权限,请按照以下步骤作。

  1. 登录您的 KSAT 帐户,点击页面右上角的电子邮件地址。
  2. 选择帐户设置,然后导航到帐户集成 > Phish Alert
  3. 单击下拉菜单以展开您的 PAB 设置。

  4. 向下滚动并单击为 GRAPH API 授权 NAA-SSO。跳转到 Microsoft 365 登录页面。

    注意:如果之前尚未接受这些权限,您还需要单击接受 Microsoft 权限以为 PAB 授权 GRAPH API

  5. 使用您的管理员凭据,登录 Microsoft 365 帐户。

  6. 登录后,即会显示权限已请求弹出窗口。阅读权限,然后单击接受

    注意:如果在不同的 Microsoft 365 租户中部署多个 PAB 实例,您必须接受相应权限,才能在每个租户上为每个 PAB 实例授权 Graph API 和 NAA-SSO。

  7. 接受权限后,即会显示 GRAPH 授权成功窗口。接受 NAA-SSO 的权限后,最多可能需要 48 小时才能将其应用于用户的 Microsoft Outlook 配置文件。

Internet Explorer NAA-SSO

若您的组织在 Internet Explorer 模式下的 Microsoft Edge 上使用 Outlook,或在搭载 Microsoft 365 的 Internet Explorer 上使用 Outlook,您需在 2025 年 6 月前为 PAB 完成 Graph API 及 NAA-SSO 的授权配置,以免服务中断。一旦授予权限,您就可以禁用旧版 Exchange Online 令牌禁用旧版 Exchange Online 令牌(链接在新窗口中打开)并使用 PAB 报告电子邮件以确保其正常运行。

重要提示:要使用此功能,您的组织必须使用 Microsoft 365。此功能不适用于 Exchange Online。

学员实践

以下是 Internet Explorer NAA-SSO 的学员实践:

  1. 单击功能区中的 PAB。

  2. 它将在任务窗格中加载并显示一个弹出窗口。

  3. 用户首次使用 PAB 进行报告时,需要登录其 Microsoft 帐户。

    注意:如果用户无法通过 NAA-SSO 或 SSO-OBO 进行身份验证,PAB 将回退到交互式身份验证机制,这要求用户首次使用 PAB 时登录 Microsoft 帐户。

  4. 单击 Phish Alert 按钮即可报告电子邮件。

故障排除

注意:如果下面的故障排除步骤中未列出您遇到的问题,请联系支持人员联系支持人员(链接在新窗口中打开)寻求帮助。

问:授权 NAA-SSO 后,是否要求我重新部署 Phish Alert Button (PAB) XML 清单?

答:不会,只要接受权限即可。

问:我收到以下错误:“您的邮件服务器需要 Phish Alert Button 的有效身份验证令牌。如果您在邮件服务器设置方面需要帮助,请联系您的管理员。”如何解决这个错误?

答:这表示您正在使用的 PAB 正在尝试使用已弃用的旧版 Exchange Online 令牌进行身份验证。请尝试以下步骤来解决此错误:

  1. 建议重复上面接受 NAA-SSO 的权限部分中的步骤 1-7。如果此方法未解决该问题,请尝试按照下面的步骤 2 至 5 重新部署 PAB。
  2. 前往设置 > 已集成应用程序 > 加载项卸载 Microsoft 365 管理中心中的当前 PAB 卸载 Microsoft 365 管理中心中的当前 PAB(链接在新窗口中打开)
  3. 在列表中找到您的 PAB 加载项。
  4. 选择加载项,然后单击移除应用程序

  5. 重新安装 PAB 清单文件。查看我们的 PAB 安装指南了解更多信息。

    注意:如果您使用的是混合 PAB,我们建议在移除并重新部署它之前,更新 PAB XML 清单。有关更多信息,请参阅更新和卸载混合 PAB 的相关文档。

问:我收到以下错误:“我们无法处理这个项目。请稍后重试。”如何解决这个错误?

答:切换开启 New Outlook 应该可以解决此问题。

问:支持 Graph 的 PAB 使用哪些权限范围?

答:以下是支持 Graph 的 PAB 使用的权限范围:

  • 邮件 - 读取:此权限允许 PAB 读取用户的电子邮件,并可用于获取电子邮件标头、附件和电子邮件正文的内容。
  • 邮件 - 读取、共享:此权限允许 PAB 读取共享邮箱用户的电子邮件,并可用于获取电子邮件标头、附件和电子邮件正文的内容。
  • 邮件 - 读写:此权限允许 PAB 读取和写入用户电子邮件。
  • 邮件 - 读写、共享:此权限允许 PAB 在共享邮箱中读取和写入电子邮件。
  • 邮件 - 发送:此权限允许 PAB 向用户发送电子邮件。
  • 邮件 - 发送、共享:此权限允许 PAB 从共享邮箱发送电子邮件,前提是用户为共享邮箱启用发送权限。
  • openid:此权限允许 PAB 获取有关用户的基本信息。
  • 个人资料:此权限允许 PAB 访问用户的个人资料信息。

问:我是否需要为我使用的每种 PAB 授权嵌套应用程序身份验证单点登录 (NAA-SSO) 或代表单点登录 (SSO-OBO)?

答:NAA-SSO 和 SSO-OBO 授权基于每个 Microsoft 365 租户。这意味着,如果您在租户上为混合 PAB 启用了 NAA-SSO,则无需为 Microsoft 功能区 PAB 或其他类型的 PAB 授权它。SSO-OBO 也是如此。

问:如何检查 PAB 使用的 Microsoft Graph API 权限?

答:使用 Microsoft Entra 门户,可以检查 PAB 的 Microsoft Graph API 权限:

  1. 登录到 Microsoft Entra 管理中心并导航到应用程序 > 企业应用程序
  2. 在筛选器输入框中键入“phish alert”,即可筛选出 PAB。
  3. 然后单击 Phish Alert Button 条目并检查与 Phish Alert Button 相关的详细信息。

问:我启用了 NAA-SSO,但混合 PAB 不适用于我的环境,我该怎么办?

答:检查是否接受了 PAB 权限,以用于 PAB 的 NAA-SSO 和 Graph API。权限表将类似于:

如果您已确认权限已被接受,但问题仍未解决,请联系我们的支持团队支持团队(链接在新窗口中打开)

问:接受权限后需要多长时间才能更新?

答:浏览器和新 Outlook 客户端的权限几乎会立即更新。但是,对于 Windows Outlook 客户端,可能需要一些时间才能更新。如果您使用的是 Windows Outlook 客户端,并且您的权限需要一段时间才能更新,我们建议您删除 Windows Outlook 的 WEF 或缓存文件夹删除 Windows Outlook 的 WEF 或缓存文件夹(链接在新窗口中打开)

问:我们授权 NAA-SSO 之后,用户会注意到任何不同吗?

答:用户将发现的唯一不同是,在他们单击 PAB 报告电子邮件后,右上角可能会显示 Graph。

本文是否有帮助?

3 人中有 2 人觉得有帮助

未找到您需要的内容?

联系支持人员