使用Office 365排除ECE OAUTH2身份驗證故障

簡介

本文檔介紹企業聊天和電子郵件(ECE)與Microsoft Office 365 (O365)電子郵件整合的故障排除步驟。

必要條件

需求

思科建議您瞭解以下主題：

• 企業版聊天與電子郵件(ECE) 12.6
• Microsoft Office 365 (O365)
• Microsoft Azure Active Directory (Azure AD)

採用元件

本檔案中的資訊是根據以下軟體版本：

• ECE 12.6(1)
• Azure AD
• O365

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景

Microsoft已正式廢棄O365電子郵件帳戶的基本身份驗證。該計畫於2019年宣佈，後因COVID-19被推遲至2022年10月。即使在2022年10月的最後期限之後，微軟仍允許最後一次重新啟用基本身份驗證。這一最後例外於2022年12月31日結束。在此日期之後，Microsoft不再為任何客戶啟用基本身份驗證。 

此檢查清單中的專案來自TAC與客戶合作以配置此功能的服務請求。由於O365和Azure AD的許可方式，TAC無法在實驗室中重新建立或檢查這些專案。如果您需要這些專案的協助，請連絡Microsoft支援或您的內部IT支援團隊。

檢查專案

最低版本

為了響應思科漏洞ID CSCvr86493，ECE的工程特別計畫中引入了OAuth對ECE O365的支援。您必須確保ECE安裝了正確的ES，並使用正確的文檔。

• ECE 11.6(1) -需要ES12和ES12_ET1
• ECE 12.0(1) -需要ES6
• ECE 12.5(1) -需要ES3
• ECE 12.6(1) -需要ES1

最佳作法是安裝適用於您版本的最新ES。

系統配置

必須正確設定Web URL。具體設定根據歐洲經委會的版本而變化。必須將其配置為與座席和管理員用於登入ECE的URL匹配，且格式為https://ece.example.com。

在每個版本中設定名稱：

  11.5 ― 12.5：分割槽級別設定，「Web伺服器URL或負載均衡器URL」

  12.6 +：分割槽>應用>常規設定>「應用程式的外部URL」

此設定也用於單一登入(SSO)，以及聊天進入點的預設HTML。在OAuth for O365發行之前的版本中，除非使用代理程式SSO，否則此設定不是強制性的。在所有使用OAuth的部署中，必須配置此功能。此外，這必須與用於登入管理控制檯的FQDN匹配。 

Azure AD應用程式

請確保在配置Azure AD應用程式時確實遵循文檔。 

具體說明：

1. 重定向URL -FQDN必須與ECE中應用程式設定的外部URL匹配，並且必須在訪問管理控制檯時使用。
2. 存取權杖-重新整理權杖必須持續60分鐘。 

令牌生成

令牌生成過程是配置過程中最重要的步驟之一。最佳作法是在嘗試發出權杖之前，確定已在隱秘或私人模式下開啟瀏覽器。這會提示使用者輸入身份證明。確定為其建立權杖的使用者完全控制信箱。

對此的解釋是，大多數客戶也使用Azure AD進行使用者身份驗證。當使用者開啟瀏覽器時，其認證會透過Kerberos傳遞至login.microsoft.com網站。這反過來又導致向登入到工作站或伺服器的使用者（而不是可以訪問郵箱的帳戶）發出令牌。 

信箱組態

確定信箱已啟用必要的通訊協定。至少，必須啟用SMTP才能傳送郵件。您也必須根據設計啟用IMAP或POP3。

Exchange許可證 

確保至少已向Exchange Online中的郵箱分配了E3許可證。 

信箱許可權

ECE支援兩種型別的郵箱訪問使用者帳戶。 

 1. 郵箱帳戶-此方法要求您為要進行ECE檢查的每個郵箱建立一個帳戶和訪問令牌。例如，如果您有兩個郵箱sales@example.com和support@example.com，則您必須在部門中建立兩個電子郵件帳戶。對於一個帳戶，您必須建立令牌並使用sales@example.com使用者名稱和密碼登入。必須使用support@example.com使用者名稱和密碼建立第二個帳戶令牌。

 2. 共用帳戶-此方法可讓您使用單一郵件帳戶來存取多個信箱。若要繼續使用銷售和支援郵箱，請在此建立單個帳戶，但使用使用者名稱和密碼為已完全控制郵箱的Azure AD帳戶建立令牌。 

兩種存取方法都有其優缺點，但您要自行決定哪一種方法最適合您的特定環境。 

網路連線

ECE要求服務伺服器和所有應用伺服器都可以訪問O365域以及login.microsoft.com域。在應用伺服器上建立初始令牌時，所有後續令牌更新都在服務伺服器上進行。服務伺服器上有擷取器和分配器處理作業，因此IMAP/POP3和SMTP連線埠必須對此伺服器開啟。此外，應用程式伺服器必須能夠傳送電子郵件，才能使用警報通知。在您嘗試安裝或使用O365整合之前，請確認《安裝指南》中呼叫的所有連線埠都已開啟。

URL

服務伺服器和應用程式伺服器至少必須能夠存取這些URL。

 - *.office365.com

 -login.microsoftonline.com

您的特定實作可能需要其他的URL。 

連接埠

服務伺服器和應用程式伺服器至少必須能夠存取這些連線埠。

 - TCP 443 - (HTTPS)用於生成和更新訪問令牌和刷新令牌

 - TCP 587 - (SMTP over STARTTLS)由排程程式進程和警報通知進程使用

 - TCP 993 - （使用SSL/TLS的IMAP）供擷取器處理作業使用

 - TCP 995 - (POP3 over SSL/TLS)由擷取器處理作業使用

參考：POP、IMAP和SMTP設定

連線測試

Microsoft建立了一個可用於測試連線的網站。這不是思科或eGain提供的工具，TAC無法提供任何有關其使用的支援。您可以從應用程式和服務伺服器使用這項功能來測試您的組態和連線。ECE僅支援SMTP出站，IMAP或POP3入站。使用Microsoft網站的「出站SMTP電子郵件」測試以及「POP電子郵件」和「IMAP電子郵件」測試。

https://testconnectivity.microsoft.com/tests/o365

檔案連結

11.6(1)

• UCCE/PCCE -電子郵件資源管理員指南

12.0(1)

• UCCE -電子郵件資源管理員指南(UCCE)
• PCCE - 聊天與電子郵件資源管理員指南(PCCE)

12.5(1)

• UCCE -電子郵件資源管理員指南(UCCE)
• PCCE - 聊天與電子郵件資源管理員指南(PCCE)

12.6(1)

• UCCE/PCCE -電子郵件和路由資源管理員指南