这是场景


第三方应用程序，带有后端。客户使用该应用程序。
后端需要访问用户的交换信息（假定通过EWS）
后端运行在我们的数据中心/云中，而不是客户中。
不需要本地管理员参与
想要避免在我们的后端存储用户名/密码。
想要同时支持Office365和内部部署。


我认为目前尚不可能，但想验证一下：


假冒是一个好方法，但需要管理员
基于令牌的身份验证不用于此目的。邮件应用程序用于后端的SSO，而不用于后端访问Exchange。
OAUTH是理想的选择，但是a）目前仅适用于Office365 b）要求后端的一部分由Azure托管c）Azure安装必须链接到Office365安装且仅适用于本地管理员。


我的分析正确吗？我错过了任何选择吗？

您基本上是正确的。 OAuth当前仅用于Office 365，因此排除了内部部署。但是，使用OAuth，您不必将后端托管在Azure中。您将需要一个Azure租户来注册您的应用程序，但是不需要将应用程序本身托管在Azure中。如果您使用EWS，则即使使用OAuth，您也需要一些管理员的参与，因为EWS需要一个权限范围，该权限范围要求将应用程序注册在目标租户中，用户无法同意使用其他租户的注册。

如果使用预览中的REST APIs，则无需管理员参与，用户可以自己同意。这样几乎可以达到您想要的位置（假设REST API提供了所需的数据），但不支持内部部署。