Dépréciation de l’authentification de base dans Exchange Online
Importante
L’authentification de base est désormais désactivée dans tous les locataires.
Avant le 31 décembre 2022, vous pouviez réactiver les protocoles affectés si les utilisateurs et les applications de votre locataire ne pouvaient pas se connecter. Désormais, personne (vous ou le support Microsoft) ne peut réactiver l’authentification de base dans votre locataire.
Lisez le reste de cet article pour bien comprendre les modifications que nous avons apportées et comment ces modifications peuvent vous affecter.
Depuis de nombreuses années, les applications utilisent l’authentification de base pour se connecter aux serveurs, services et points de terminaison d’API. L’authentification de base signifie simplement que l’application envoie un nom d’utilisateur et un mot de passe à chaque requête, et que ces informations d’identification sont également souvent stockées ou enregistrées sur l’appareil. Traditionnellement, l’authentification de base est activée par défaut sur la plupart des serveurs ou services et est simple à configurer.
La simplicité n’est pas du tout mauvaise, mais l’authentification de base permet aux attaquants de capturer plus facilement les informations d’identification de l’utilisateur (en particulier si les informations d’identification ne sont pas protégées par TLS), ce qui augmente le risque que ces informations d’identification volées soient réutilisées sur d’autres points de terminaison ou services. En outre, l’application de l’authentification multifacteur (MFA) n’est pas simple ou, dans certains cas, possible lorsque l’authentification de base reste activée.
L’authentification de base est une norme industrielle obsolète. Les menaces posées par elle n’ont fait qu’augmenter depuis que nous avons annoncé que nous allions la désactiver (voir Amélioration de la sécurité - Ensemble). Il existe des alternatives d’authentification utilisateur meilleures et plus efficaces.
Nous recommandons activement aux clients d’adopter des stratégies de sécurité telles que Confiance nulle (Ne jamais faire confiance, Toujours vérifier) ou d’appliquer des stratégies d’évaluation en temps réel lorsque les utilisateurs et les appareils accèdent aux informations d’entreprise. Ces alternatives permettent de prendre des décisions intelligentes sur les personnes qui tentent d’accéder à quoi depuis quel appareil, au lieu de simplement approuver des informations d’identification d’authentification qui pourraient être un mauvais acteur qui emprunte l’identité d’un utilisateur.
En tenant compte de ces menaces et risques, nous avons pris des mesures pour améliorer la sécurité des données dans Exchange Online.
Remarque
La dépréciation de l’authentification de base empêche également l’utilisation de mots de passe d’application avec des applications qui ne prennent pas en charge la vérification en deux étapes.
Ce que nous modifions
Nous avons supprimé la possibilité d’utiliser l’authentification de base dans Exchange Online pour Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), carnet d’adresses en mode hors connexion (OAB), découverte automatique, Outlook pour Windows et Outlook pour Mac.
Nous avons également désactivé l’authentification SMTP dans tous les locataires où elle n’était pas utilisée.
Cette décision oblige les clients à passer des applications qui utilisent l’authentification de base aux applications qui utilisent l’authentification moderne. L’authentification moderne (autorisation basée sur un jeton OAuth 2.0) présente de nombreux avantages et améliorations qui permettent d’atténuer les problèmes liés à l’authentification de base. Par exemple, les jetons d’accès OAuth ont une durée de vie utilisable limitée et sont spécifiques aux applications et ressources pour lesquelles ils sont émis, de sorte qu’ils ne peuvent pas être réutilisés. L’activation et l’application de l’authentification multifacteur (MFA) sont également simples avec l’authentification moderne.
Quand ce changement a-t-il eu lieu ?
Depuis début 2021, nous avons commencé à désactiver l’authentification de base pour les locataires existants sans aucune utilisation signalée.
Depuis début 2023, nous avons désactivé l’authentification de base pour tous les locataires qui avaient un type d’extension quelconque. Vous pouvez en savoir plus sur le calendrier ici.
Remarque
Dans Office 365 géré par 21Vianet, nous avons commencé à désactiver l’authentification de base le 31 mars 2023. Tous les autres environnements cloud étaient soumis à la date du 1er octobre 2022.
Impact sur les protocoles de messagerie et les applications existantes
Cette modification affecte les applications et les scripts que vous pouvez utiliser de différentes manières.
POP, IMAP et AUTHENTIFICATION SMTP
En 2020, nous avons publié la prise en charge d’OAuth 2.0 pour POP, IMAP et SMTP AUTH. Mises à jour à certaines applications clientes ont été mises à jour pour prendre en charge ces types d’authentification (Thunderbird par exemple, mais pas encore pour les clients utilisant Office 365 géré par 21Vianet), afin que les utilisateurs avec des versions à jour puissent modifier leur configuration pour utiliser OAuth. Il n’est pas prévu que les clients Outlook prennent en charge OAuth pour les protocoles POP et IMAP, mais Outlook peut se connecter à l’aide des protocoles MAPI/HTTP (clients Windows) et EWS (Outlook pour Mac).
Les développeurs d’applications qui ont créé des applications qui envoient, lisent ou traitent le courrier électronique à l’aide de ces protocoles peuvent conserver le même protocole, mais doivent implémenter des expériences d’authentification sécurisées et modernes pour leurs utilisateurs. Cette fonctionnalité s’appuie sur Plateforme d'identités Microsoft v2.0 et prend en charge l’accès aux comptes de messagerie Microsoft 365.
Si votre application interne doit accéder aux protocoles IMAP, POP et SMTP AUTH dans Exchange Online, suivez ces instructions pas à pas pour implémenter l’authentification OAuth 2.0 : Authentifier une connexion IMAP, POP ou SMTP à l’aide d’OAuth. En outre, utilisez le script PowerShell Get-IMAPAccesstoken.ps1 pour tester l’accès IMAP après votre activation OAuth de manière simple, y compris le cas d’usage de la boîte aux lettres partagée.
Bien que l’authentification SMTP soit maintenant disponible, nous avons annoncé Exchange Online supprimera définitivement la prise en charge de l’authentification de base avec envoi du client (SMTP AUTH) en septembre 2025. Nous encourageons vivement les clients à abandonner l’utilisation de l’authentification de base avec AUTH SMTP dès que possible. Pour plus d’informations sur les autres options, consultez notre annonce ici- https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750. D’autres options pour envoyer des messages authentifiés incluent l’utilisation d’autres protocoles, tels que microsoft API Graph.
Exchange ActiveSync (EAS)
De nombreux utilisateurs disposent d’appareils mobiles configurés pour utiliser EAS. S’ils utilisaient l’authentification de base, ils sont affectés par cette modification.
Nous vous recommandons d’utiliser Outlook pour iOS et Android lors de la connexion à Exchange Online. Outlook pour iOS et Android intègre entièrement Microsoft Enterprise Mobility + Security (EMS), qui permet l’accès conditionnel et les fonctionnalités de protection des applications (GAM). Outlook pour iOS et Android vous aide à sécuriser vos utilisateurs et vos données d’entreprise, et prend en charge l’authentification moderne en mode natif.
Il existe d’autres applications de messagerie d’appareil mobile qui prennent en charge l’authentification moderne. Les applications de messagerie intégrées pour toutes les plateformes populaires prennent généralement en charge l’authentification moderne. La solution consiste donc parfois à vérifier que votre appareil exécute la dernière version de l’application. Si l’application de messagerie est à jour, mais utilise toujours l’authentification de base, vous devrez peut-être supprimer le compte de l’appareil, puis le rajouter.
Si vous utilisez Microsoft Intune, vous pourrez peut-être modifier le type d’authentification à l’aide du profil de messagerie que vous envoyez (push) ou déployez sur vos appareils. Si vous utilisez des appareils iOS (iPhone et iPad), consultez Ajouter des paramètres de messagerie pour les appareils iOS et iPadOS dans Microsoft Intune
Tout appareil iOS géré avec Mobilité et sécurité de base ne pourra pas accéder aux e-mails si les conditions suivantes sont remplies :
- Vous avez configuré une stratégie de sécurité d’appareil pour exiger un profil de messagerie managé pour l’accès.
- Vous n’avez pas modifié la stratégie depuis le 9 novembre 2021 (ce qui signifie que la stratégie utilise toujours l’authentification de base).
Les stratégies créées ou modifiées après cette date ont déjà été mises à jour pour utiliser l’authentification moderne.
Pour mettre à jour les stratégies qui n’ont pas été modifiées depuis le 9 novembre 2021 afin d’utiliser l’authentification moderne, apportez une modification temporaire aux exigences d’accès de la stratégie. Nous vous recommandons de modifier et d’enregistrer le paramètre cloud Exiger des sauvegardes chiffrées , qui met à niveau la stratégie pour utiliser l’authentification moderne. Une fois la valeur status activée pour la stratégie modifiée, le profil de messagerie a été mis à niveau. Vous pouvez ensuite rétablir la modification temporaire de la stratégie.
Remarque
Pendant le processus de mise à niveau, le profil de messagerie est mis à jour sur l’appareil iOS et l’utilisateur est invité à entrer son nom d’utilisateur et son mot de passe.
Si vos appareils utilisent l’authentification par certificat, ils ne seront pas affectés lorsque l’authentification de base sera désactivée dans Exchange Online plus tard cette année. Seuls les appareils qui s’authentifient directement à l’aide de l’authentification de base seront affectés.
L’authentification basée sur les certificats est toujours une authentification héritée et, par conséquent, est bloquée par Microsoft Entra stratégies d’accès conditionnel qui bloquent l’authentification héritée. Pour plus d’informations, consultez Bloquer l’authentification héritée avec Microsoft Entra l’accès conditionnel.
Exchange Online PowerShell
Depuis la publication du module PowerShell Exchange Online, il est facile de gérer vos paramètres de Exchange Online et de protection à partir de la ligne de commande à l’aide de l’authentification moderne. Le module utilise l’authentification moderne et fonctionne avec l’authentification multifacteur (MFA) pour la connexion à tous les environnements PowerShell liés à Exchange dans Microsoft 365 : Exchange Online PowerShell, Security & Compliance PowerShell et PowerShell autonome Exchange Online Protection (EOP).
Le module PowerShell Exchange Online peut également être utilisé de manière non interactive, ce qui permet d’exécuter des scripts sans assistance. L’authentification basée sur les certificats permet aux administrateurs d’exécuter des scripts sans avoir à créer des comptes de service ou à stocker des informations d’identification localement. Pour plus d’informations, consultez : Authentification par application uniquement pour les scripts sans assistance dans le module PowerShell Exchange Online.
Importante
Ne confondez pas le fait que PowerShell nécessite l’authentification de base activée pour WinRM (sur l’ordinateur local à partir duquel la session est exécutée). Le nom d’utilisateur/mot de passe n’est pas envoyé au service à l’aide de Basic, mais l’en-tête Auth de base est requis pour envoyer le jeton OAuth de la session, car le client WinRM ne prend pas en charge OAuth. Nous travaillons sur ce problème et nous aurons d’autres annonces à l’avenir. Sachez simplement que l’activation de Basic sur WinRM n’utilise pas Basic pour s’authentifier auprès du service. Pour plus d’informations, consultez Exchange Online PowerShell : Activer l’authentification de base dans WinRM.
Pour en savoir plus sur cette situation, consultez Présentation des différentes versions des modules PowerShell Exchange Online et de l’authentification de base.
Pour plus d’informations sur le passage de la version V1 du module à la version actuelle, consultez ce billet de blog.
La version 3.0.0 du module Exchange Online PowerShell V3 (préversion 2.0.6-PreviewX) contient des versions reposant sur l’API REST de toutes les applets de commande Exchange Online qui ne nécessitent pas l’authentification de base dans WinRM. Pour plus d’informations, consultez Mises à jour pour la version 3.0.0.
Services Web Exchange (EWS)
De nombreuses applications ont été créées à l’aide d’EWS pour accéder aux données de boîte aux lettres et de calendrier.
En 2018, nous avons annoncé que les services web Exchange ne recevraient plus les mises à jour des fonctionnalités et nous recommandons aux développeurs d’applications de passer à l’utilisation de Microsoft Graph. Consultez Modifications à venir apportées à l’API EWS (Exchange Web Services) pour Office 365.
De nombreuses applications ont été déplacées avec succès vers Graph, mais pour celles qui ne l’ont pas fait, il est à noter qu’EWS prend déjà entièrement en charge l’authentification moderne. Par conséquent, si vous ne pouvez pas encore migrer vers Graph, vous pouvez passer à l’utilisation de l’authentification moderne avec EWS, en sachant qu’EWS finira par être déprécié.
Pour en savoir plus, reportez-vous à la rubrique :
- Dépréciations d’API à venir dans les services Web Exchange pour Exchange Online - Microsoft Tech Community
- Authentifier une application EWS à l’aide d’OAuth
- Que faire avec les scripts PowerShell de l’API managée EWS qui utilisent l’authentification de base
Outlook, MAPI, RPC et carnet d’adresses en mode hors connexion (OAB)
Toutes les versions d’Outlook pour Windows depuis 2016 ont l’authentification moderne activée par défaut. Il est donc probable que vous utilisiez déjà l’authentification moderne. Outlook Anywhere (anciennement RPC sur HTTP) a été déprécié dans Exchange Online en faveur de MAPI sur HTTP. Outlook pour Windows utilise MAPI sur HTTP, EWS et OAB pour accéder au courrier, définir la disponibilité et l’absence du bureau et télécharger le carnet d’adresses en mode hors connexion. Tous ces protocoles prennent en charge l’authentification moderne.
Outlook 2007 ou Outlook 2010 ne peut pas utiliser l’authentification moderne et ne pourra pas se connecter. Outlook 2013 nécessite un paramètre pour activer l’authentification moderne, mais une fois que vous avez configuré le paramètre, Outlook 2013 peut utiliser l’authentification moderne sans problème. Comme annoncé précédemment ici, Outlook 2013 nécessite un niveau de mise à jour minimal pour se connecter à Exchange Online. Voir : Nouvelle configuration minimale requise pour la version d’Outlook pour Windows pour Microsoft 365.
Outlook pour Mac prend en charge l’authentification moderne.
Pour plus d’informations sur la prise en charge de l’authentification moderne dans Office, voir Fonctionnement de l’authentification moderne pour les applications clientes Office.
Si vous devez migrer des dossiers publics vers Exchange Online, consultez Scripts de migration de dossiers publics avec prise en charge de l’authentification moderne.
Découverte automatique
En novembre 2022, nous avons annoncé la désactivation de l’authentification de base pour le protocole de découverte automatique une fois qu’EAS et EWS sont désactivés dans un locataire.
Options du client
Certaines des options disponibles pour chacun des protocoles concernés sont répertoriées ci-dessous.
Recommandation de protocole
Pour les services web Exchange (EWS), PowerShell distant (RPS), POP et IMAP et Exchange ActiveSync (EAS) :
- Si vous avez écrit votre propre code à l’aide de ces protocoles, mettez à jour votre code pour utiliser OAuth 2.0 au lieu de l’authentification de base, ou migrez vers un protocole plus récent (API Graph).
- Si vous ou vos utilisateurs utilisez une application tierce qui utilise ces protocoles, contactez le développeur d’applications tiers qui a fourni cette application pour la mettre à jour pour prendre en charge l’authentification OAuth 2.0 ou aider vos utilisateurs à passer à une application créée à l’aide d’OAuth 2.0.
| Service de protocole de clé | Clients impactés | Recommandation spécifique au client | Recommandation spéciale pour Office 365 exploité par 21Vianet (Gallatin) | Autres informations /remarques sur le protocole |
|---|---|---|---|---|
| Outlook | Toutes les versions d’Outlook pour Windows et Mac |
|
Activation de l’authentification moderne pour Outlook : à quel point cela peut-il être difficile ? | |
| Services Web Exchange (EWS) | Applications tierces ne prenant pas en charge OAuth |
Applications populaires :
|
Suivez cet article pour migrer votre application Gallatin personnalisée pour utiliser EWS avec OAuth Microsoft Teams et Cisco Unity ne sont actuellement pas disponibles dans Gallatin |
Que faire avec les scripts PowerShell de l’API managée EWS qui utilisent l’authentification de base |
| PowerShell distant (RPS) |
|
Utilisez l’une des options suivantes : | Azure Cloud Shell n’est pas disponible dans Gallatin | En savoir plus sur l’automatisation et la prise en charge de l’authentification basée sur les certificats pour le module PowerShell Exchange Online et Sur la présentation des différentes versions des modules PowerShell Exchange Online et de l’authentification de base. |
| POP et IMAP | Clients mobiles tiers tels que les clients internes Thunderbird configurés pour utiliser POP ou IMAP | Recommandations :
|
Suivez cet article pour configurer POP et IMAP avec OAuth dans Gallatin avec un exemple de code | IMAP est populaire pour les clients Linux et éducation. La prise en charge d’OAuth 2.0 a commencé à être déployée en avril 2020. Authentifier une connexion IMAP, POP ou SMTP à l’aide d’OAuth |
| Exchange ActiveSync (EAS) | Clients de messagerie mobile d’Apple, Samsung, etc. |
Applications populaires :
|
Les appareils mobiles qui utilisent une application native pour se connecter à Exchange Online utilisent généralement ce protocole. | |
| Découverte automatique | Applications EWS et EAS utilisant la découverte automatique pour rechercher des points de terminaison de service |
|
Référence de service web de découverte automatique pour Exchange |
Ressources
Pour en savoir plus, case activée les articles suivants :
Valeurs par défaut de sécurité :
- Paramètres de sécurité par défaut dans Microsoft Entra ID
- Activation des paramètres de sécurité par défaut
Exchange Online stratégies d’authentification :
- Gérer l’authentification de base dans le centre Administration Microsoft 365 (simple)
- Procédures de stratégie d’authentification dans Exchange Online (avancé)
Microsoft Entra accès conditionnel :