Как настроить kerberos в Exchange (ews) на сайте в iis без настройки браузеров?

Question

[spek011]

Корп сайт на asp.net mvc 5 на iis 7. Базовый функционал CRUD с событями календарей пользователей exchange 2016 посредством EWS. SPN прописаны, Win авторизация + impersonation включены, UseKernelMode on, useAppPoolCredentials false, пул ApplicationPoolIdenity, пользователи все доменные.

В общем, если в браузерах прописать сайт в whitelist для negotiate-delegation (ie в настройках безопасности интрасети, фф - about:config, chrome - реестр), не спрашивает логин-пароль и авторизует сразу, default credentials доходят до Exchange и EWS отрабатывает прекрасно. Если не прописывать, логин\пароль спрашиваются, но Exchange возвращает "The request failed. The remote server returned an error: (401) Unauthorized."

В обоих случаях win авторизация работает, т.е. получаю WindowsIdentity.GetCurrent().Name и иже с ним поля из AD.

Но скакать и всем настраивать любимый браузер же не совсем правильно. Без разницы будет ли спрашиваться логин\пароль или прозрачно, можно разрулить не настраивая браузеры?