Office 365 - Почта iOS и приложение Gmail не работают с ADFS + Modern Authentication

В настоящее время у нас есть проблема с доступом к электронной почте Office 365 из приложений, которые не поддерживают современную проверку подлинности.

Наша установка:

• Office 365 - федеративный домен ADFS 3.0
• Современная проверка подлинности - включена для Exchange Online
• Многофакторная аутентификация Azure применяется для всех пользователей

Эта установка работала у нас последние 6 месяцев , но внезапно этого не происходит. Я открыл кейс со службой поддержки Office 365 и обратился в группу по идентификации. На данный момент мы все еще исследуем проблему с ними, и они перестраивают нашу среду, чтобы устранить проблему.

В ожидании их ответа, надеюсь найти здесь несколько ответов. У нас включена современная проверка подлинности, поэтому все новые приложения, которые ее поддерживают, перенаправляют нас через веб-браузер для ввода информации MFA. Это работает для всех новых приложений, включая, например, приложение Outlook для Android и iOS.

У меня есть пользователи, которые жалуются на приложение, и некоторые из них хотят использовать почту / календари iOS и Android по умолчанию. Еще месяц назад мы могли обойти современную аутентификацию, создав пароль приложения в рамках Многофакторной аутентификации Azure: https://docs.microsoft.com/en-us/azure/multi-factor-authentication/multi-factor- authentication-whats-next # app-passwords

Шаги тестирования на данный момент:

• Без ADFS (облачная идентификация;username@example.onmicrosoft.com ) -> Работает. Итак, похоже, это как-то связано с ADFS и Modern Auth + MFA.

• MFA отключено для федеративного домена -> Ошибка. Почтовые приложения показывают «неправильный пароль».

• Я не могу протестировать с современной аутентификацией. отключено на этом этапе, поскольку пользователям будет предложено ввести учетные данные.

На данный момент я пришел к выводу, что Microsoft внесла внутренние изменения в современную аутентификацию. Мне действительно кажется, что они включили что-то, что как только вы включите современную аутентификацию для своего клиента, вам ПРИНУДИТЕЛЬНО / ОГРАНИЧЕНО использовать только приложения, поддерживающие современную аутентификацию.

В прошлом мы могли обойти это с помощью паролей приложений, которые я упомянул ранее, и один день - около 1 месяца назад (без каких-либо изменений с нашей стороны) всем нашим пользователям с классическими / собственными (базовая аутентификация) приложениями были запрошены пароли, и они перестали работать. Даже с недавно созданными паролями приложений ...

Microsoft создает аналогичную среду для тестирования, и они начнут со сбора следов Fiddler для устранения проблемы. А пока ...

Есть ли у кого-нибудь такие же проблемы? Есть идеи?