Outlook (Exchange on-prem): Vypnutí O365 fallbacku a WAM – Kompletní postup

Tento postup slouží k tvrdému vypnutí cloud fallbacku (Microsoft 365 / O365) v aplikaci Outlook (Office 16.0) v prostředí s on-premises Exchange (např. Exchange 2019). Cílem je zabránit tomu, aby Outlook používal cloudové autodiscover endpointy, Windows Account Manager (WAM) a Azure AD identitu.

Důležité

Vše provádějte v PowerShellu spuštěném jako administrátor.
Postup je určen pro on-prem Exchange, nikoliv pro čistý Microsoft 365 tenant.
Na konci je nutné vytvořit nový Outlook profil.

1) Připravte PowerShell a ukončete Outlook

Před zahájením zavřete Outlook a spusťte PowerShell jako administrátor.

taskkill /IM outlook.exe /F

2) Vypněte O365 fallback (všechny cloud cesty)

Tento krok zakáže všechny cloudové autodiscover endpointy a ponechá pouze lokální AD/SCP.

# Kompletní zákaz cloud autodiscover fallback

$base = "HKCU:\Software\Microsoft\Office\16.0\Outlook\AutoDiscover"
New-Item $base -Force | Out-Null

$items = @{
  "ExcludeExplicitO365Endpoint" = 1
  "ExcludeHttpRedirect"        = 1
  "ExcludeHttpsRootDomain"     = 1
  "ExcludeCloudRedirect"       = 1
  "ExcludeScpLookup"           = 0   # SCP povolit (AD)
  "PreferLocalXML"             = 1
}

foreach ($k in $items.Keys) {
  New-ItemProperty $base -Name $k -Value $items[$k] -PropertyType DWord -Force
}

Get-ItemProperty $base

Výsledek

Outlook nebude používat žádné O365 nebo HTTPS redirect endpointy.

3) Zakažte Windows Account Manager (WAM)

Tímto krokem vypnete moderní přihlašování přes Windows účet a Azure AD.

# Vypnutí WAM pro Office

$wam = "HKCU:\Software\Microsoft\Office\16.0\Common\Identity"
New-Item $wam -Force | Out-Null

New-ItemProperty $wam -Name "EnableADAL" -Value 0 -PropertyType DWord -Force
New-ItemProperty $wam -Name "DisableAADWAM" -Value 1 -PropertyType DWord -Force
New-ItemProperty $wam -Name "DisableADALatopWAMOverride" -Value 1 -PropertyType DWord -Force

Get-ItemProperty $wam

4) Vymažte cloud identity cache (kritické)

Bez tohoto kroku zůstanou uložené přihlašovací tokeny a změny se neprojeví.

Remove-Item "$env:LOCALAPPDATA\Microsoft\OneAuth" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "$env:LOCALAPPDATA\Microsoft\IdentityCache" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "$env:LOCALAPPDATA\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy" -Recurse -Force -ErrorAction SilentlyContinue

Pozor

Tento krok odstraní uložené cloud identity. Je klíčový pro funkčnost celého postupu.

5) Zakažte Microsoft přihlášení na úrovni politik (HKLM)

Nastavení na úrovni systémových politik má vyšší prioritu než uživatelská konfigurace.

$sign = "HKLM:\Software\Policies\Microsoft\Office\16.0\Common\SignIn"
New-Item $sign -Force | Out-Null

New-ItemProperty $sign -Name "SignInOptions" -Value 3 -PropertyType DWord -Force
New-ItemProperty $sign -Name "BlockAADWorkplaceJoin" -Value 1 -PropertyType DWord -Force

Get-ItemProperty $sign

6) Odstraňte a vytvořte nový Outlook profil

Starý profil obsahuje původní autodiscover a identity data. Musí být odstraněn.

control mlcfg32.cpl

Otevřete Profily
Odeberte všechny existující profily
Restartujte počítač
Vytvořte nový profil

Dokončeno

Outlook bude používat pouze lokální Exchange infrastrukturu bez O365 fallbacku, bez WAM autentizace a bez cloud identity.

IT Q&A

Kategorie