Compartilhar via


Substituição da Autenticação básica no Exchange Online

Importante

A autenticação básica está agora desativada em todos os inquilinos.

Antes de 31 de dezembro de 2022, poderia reativar os protocolos afetados se os utilizadores e as aplicações no seu inquilino não conseguissem estabelecer ligação. Agora, ninguém (o utilizador ou o suporte da Microsoft) pode reativar a autenticação Básica no seu inquilino.

Leia o resto deste artigo para compreender totalmente as alterações que fizemos e como estas alterações podem afetá-lo.

Durante muitos anos, as aplicações utilizaram a autenticação Básica para ligar a servidores, serviços e pontos finais de API. A autenticação básica significa simplesmente que a aplicação envia um nome de utilizador e palavra-passe a cada pedido e essas credenciais também são frequentemente armazenadas ou guardadas no dispositivo. Tradicionalmente, a autenticação Básica está ativada por predefinição na maioria dos servidores ou serviços e é simples de configurar.

A simplicidade não é nada má, mas a autenticação Básica torna mais fácil para os atacantes capturar credenciais de utilizador (especialmente se as credenciais não estiverem protegidas pelo TLS), o que aumenta o risco de essas credenciais roubadas serem reutilizadas noutros pontos finais ou serviços. Além disso, a imposição da autenticação multifator (MFA) não é simples ou, em alguns casos, possível quando a autenticação Básica permanece ativada.

A autenticação básica é um padrão da indústria desatualizado. As ameaças colocadas só aumentaram desde que anunciámos inicialmente que o íamos desativar (veja Melhorar a Segurança - Juntos) Existem alternativas de autenticação de utilizadores melhores e mais eficazes.

Recomendamos ativamente que os clientes adotem estratégias de segurança como Confiança Zero (Nunca Confiar, Verificar Sempre) ou aplicar políticas de avaliação em tempo real quando os utilizadores e dispositivos acedem a informações empresariais. Estas alternativas permitem decisões inteligentes sobre quem está a tentar aceder ao quê a partir de onde em que dispositivo, em vez de simplesmente confiar numa credencial de autenticação que pode ser um mau ator a representar um utilizador.

Tendo em conta estas ameaças e riscos, tomámos medidas para melhorar a segurança dos dados no Exchange Online.

Observação

A preterição da autenticação básica também impede a utilização de palavras-passe de aplicação com aplicações que não suportam a verificação de dois passos.

O que estamos a mudar

Removemos a capacidade de utilizar a autenticação Básica no Exchange Online para Exchange ActiveSync (EAS), POP, IMAP, PowerShell Remoto, Exchange Web Services (EWS), Livro de Endereços Offline (OAB), Deteção Automática, Outlook para Windows e Outlook para Mac.

Também desativamos o SMTP AUTH em todos os inquilinos onde não estava a ser utilizado.

Esta decisão exige que os clientes passem de aplicações que utilizam autenticação básica para aplicações que utilizam a autenticação Moderna. A autenticação moderna (autorização baseada em tokens OAuth 2.0) tem muitos benefícios e melhorias que ajudam a mitigar os problemas na autenticação básica. Por exemplo, os tokens de acesso OAuth têm uma duração de utilização limitada e são específicos das aplicações e recursos para os quais são emitidos, pelo que não podem ser reutilizados. Ativar e impor a autenticação multifator (MFA) também é simples com a Autenticação moderna.

Quando ocorreu esta alteração?

A partir do início de 2021, começámos a desativar a autenticação Básica para inquilinos existentes sem utilização reportada.

A partir do início de 2023, desativamos a autenticação Básica para todos os inquilinos que tinham qualquer tipo de extensão. Pode ler mais sobre a temporização aqui.

Observação

No Office 365 Operado pela 21Vianet, começámos a desativar a autenticação Básica a 31 de março de 2023. Todos os outros ambientes na cloud estavam sujeitos à data de 1 de outubro de 2022.

Impacto nos protocolos de mensagens e nas aplicações existentes

Esta alteração afeta as aplicações e os scripts que poderá utilizar de formas diferentes.

POP, IMAP e SMTP AUTH

Em 2020, lançámos o suporte do OAuth 2.0 para POP, IMAP e SMTP AUTH. Atualizações a algumas aplicações cliente foram atualizadas para suportar estes tipos de autenticação (por exemplo, o Thunderbird, embora ainda não seja para clientes que utilizam Office 365 Operado pela 21Vianet), para que os utilizadores com versões atualizadas possam alterar a configuração para utilizar o OAuth. Não existe nenhum plano para os clientes do Outlook suportarem o OAuth para POP e IMAP, mas o Outlook pode ligar-se através de MAPI/HTTP (clientes Windows) e EWS (Outlook para Mac).

Os programadores de aplicações que criaram aplicações que enviam, leem ou processam e-mails através destes protocolos poderão manter o mesmo protocolo, mas precisam de implementar experiências de autenticação modernas seguras para os seus utilizadores. Esta funcionalidade baseia-se no plataforma de identidade da Microsoft v2.0 e suporta o acesso a contas de e-mail do Microsoft 365.

Se a sua aplicação interna precisar de aceder aos protocolos IMAP, POP e SMTP AUTH no Exchange Online, siga estas instruções passo a passo para implementar a autenticação OAuth 2.0: Autenticar uma ligação IMAP, POP ou SMTP com o OAuth. Além disso, utilize o script do PowerShell Get-IMAPAccesstoken.ps1 para testar o acesso IMAP após a ativação do OAuth de uma forma simples, incluindo o caso de utilização da caixa de correio partilhada.

Embora a SMTP AUTH esteja agora disponível, anunciámos Exchange Online removerá permanentemente o suporte para autenticação Básica com Submissão de Cliente (SMTP AUTH) em março de 2026. Incentivamos vivamente os clientes a afastarem-se da utilização da autenticação Básica com a AUTH SMTP o mais rapidamente possível. Para obter mais informações sobre opções alternativas, veja o nosso anúncio aqui: https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750. Outras opções para enviar correio autenticado incluem a utilização de protocolos alternativos, como o Microsoft API do Graph.

Exchange ActiveSync (EAS)

Muitos utilizadores têm dispositivos móveis configurados para utilizar o EAS. Se estavam a utilizar a autenticação Básica, serão afetados por esta alteração.

Recomendamos que utilize o Outlook para iOS e Android ao ligar ao Exchange Online. O Outlook para iOS e Android integra totalmente o Microsoft Enterprise Mobility + Security (EMS), que permite o acesso condicional e as capacidades de proteção de aplicações (MAM). O Outlook para iOS e Android ajuda-o a proteger os seus utilizadores e os seus dados empresariais e suporta nativamente a Autenticação moderna.

Existem outras aplicações de e-mail de dispositivos móveis que suportam a Autenticação moderna. Normalmente, as aplicações de e-mail incorporadas para todas as plataformas populares suportam a Autenticação moderna, pelo que, por vezes, a solução é verificar se o seu dispositivo está a executar a versão mais recente da aplicação. Se a aplicação de e-mail estiver atualizada, mas ainda estiver a utilizar a autenticação Básica, poderá ter de remover a conta do dispositivo e, em seguida, adicioná-la novamente.

Se estiver a utilizar Microsoft Intune, poderá conseguir alterar o tipo de autenticação com o perfil de e-mail que emitir ou implementar nos seus dispositivos. Se estiver a utilizar dispositivos iOS (iPhones e iPads), deverá ver Adicionar definições de e-mail para dispositivos iOS e iPadOS no Microsoft Intune

Qualquer dispositivo iOS gerido com Mobilidade básica e segurança não poderá aceder ao e-mail se as seguintes condições forem verdadeiras:

  • Configurou uma política de segurança de dispositivo para exigir um perfil de e-mail gerido para acesso.
  • Não modifica a política desde 9 de novembro de 2021 (o que significa que a política ainda está a utilizar a autenticação Básica).

As políticas criadas ou modificadas após esta data já foram atualizadas para utilizar a autenticação moderna.

Para atualizar políticas que não são modificadas desde 9 de novembro de 2021 para utilizar a autenticação moderna, faça uma alteração temporária aos requisitos de acesso da política. Recomendamos que altere e guarde a definição da cloud Exigir cópias de segurança encriptadas , que atualizará a política para utilizar a autenticação moderna. Assim que a política alterada tiver o valor de status Ativado, o perfil de e-mail foi atualizado. Em seguida, pode reverter a alteração temporária à política.

Observação

Durante o processo de atualização, o perfil de e-mail será atualizado no dispositivo iOS e ser-lhe-á pedido que introduza o respetivo nome de utilizador e palavra-passe.

Se os seus dispositivos estiverem a utilizar a autenticação baseada em certificados, não serão afetados quando a autenticação Básica for desativada no Exchange Online ainda este ano. Apenas os dispositivos que efetuam a autenticação diretamente através da autenticação Básica serão afetados.

A autenticação baseada em certificados ainda é autenticação legada e, como tal, será bloqueada por Microsoft Entra políticas de Acesso Condicional que bloqueiam a autenticação legada. Para obter mais informações, veja Bloquear a autenticação legada com Microsoft Entra Acesso Condicional.

PowerShell do Exchange Online

Desde o lançamento do módulo Exchange Online PowerShell, tem sido fácil gerir as suas definições de Exchange Online e definições de proteção a partir da linha de comandos através da autenticação Moderna. O módulo utiliza a Autenticação moderna e funciona com a autenticação multifator (MFA) para ligar a todos os ambientes do PowerShell relacionados com o Exchange no Microsoft 365: Exchange Online o PowerShell, o PowerShell de Conformidade & de Segurança e o PowerShell de Proteção do Exchange Online autónomo (EOP).

O módulo Exchange Online PowerShell também pode ser utilizado de forma não interativa, o que permite a execução de scripts autónomos. A autenticação baseada em certificados fornece aos administradores a capacidade de executar scripts sem a necessidade de criar contas de serviço ou armazenar credenciais localmente. Para saber mais, veja: Autenticação apenas de aplicações para scripts autónomos no módulo Exchange Online PowerShell.

Importante

Não confunda o facto de o PowerShell precisar de autenticação Básica ativada para o WinRM (no computador local a partir do qual a sessão é executada). O nome de utilizador/palavra-passe não é enviado para o serviço através de Básico, mas é necessário o cabeçalho autenticação básica para enviar o token OAuth da sessão, porque o cliente WinRM não suporta OAuth. Estamos a trabalhar neste problema e teremos mais para anunciar no futuro. Basta saber que ativar o Básico no WinRM não está a utilizar o Básico para autenticar no serviço. Para obter mais informações, veja Exchange Online PowerShell: Ativar a autenticação Básica no WinRM.

Leia mais sobre esta situação aqui: Compreender as Diferentes Versões do Exchange Online Módulos do PowerShell e Autenticação Básica.

Para obter detalhes sobre como passar da versão V1 do módulo para a versão atual, veja esta mensagem de blogue.

A versão 3.0.0 do módulo Exchange Online PowerShell V3 (Versões de pré-visualização 2.0.6-PreviewX) contém versões suportadas pela API REST de todos os cmdlets Exchange Online que não necessitam de autenticação Básica no WinRM. Para obter mais informações, consulte Atualizações para a versão 3.0.0.

Serviços Web do Exchange (EWS)

Muitas aplicações foram criadas com o EWS para aceder a dados de calendário e caixa de correio.

Em 2018, anunciámos que os Serviços Web exchange deixariam de receber atualizações de funcionalidades e recomendamos que os programadores de aplicações mudem para a utilização do Microsoft Graph. Veja Alterações futuras à API de Serviços Web do Exchange (EWS) para Office 365.

Muitas aplicações foram movidas com êxito para o Graph, mas para as aplicações que não o fizeram, é importante que o EWS já suporte totalmente a autenticação Moderna. Por isso, se ainda não conseguir migrar para o Graph, pode mudar para a autenticação moderna com o EWS, sabendo que o EWS será eventualmente preterido.

Para saber mais, confira:

Outlook, MAPI, RPC e Livro de Endereços Offline (OAB)

Todas as versões do Outlook para Windows desde 2016 têm a autenticação Moderna ativada por predefinição, pelo que é provável que já esteja a utilizar a Autenticação moderna. O Outlook Anywhere (anteriormente conhecido como RPC por HTTP) foi preterido em Exchange Online a favor da MAPI através de HTTP. O Outlook para Windows utiliza MAPI através de HTTP, EWS e OAB para aceder ao correio, definir a disponibilidade e a saída do escritório e transferir o Livro de Endereços Offline. Todos estes protocolos suportam a autenticação Moderna.

O Outlook 2007 ou o Outlook 2010 não podem utilizar a autenticação Moderna e, eventualmente, não conseguirão estabelecer ligação. O Outlook 2013 requer uma definição para ativar a autenticação Moderna, mas assim que configurar a definição, o Outlook 2013 pode utilizar a Autenticação moderna sem problemas. Conforme anunciado anteriormente aqui, o Outlook 2013 requer um nível mínimo de atualização para ligar a Exchange Online. Consulte: Novos requisitos mínimos de versão do Outlook para Windows para o Microsoft 365.

Outlook para Mac suporta a Autenticação Moderna.

Para obter mais informações sobre o Suporte de autenticação moderna no Office, consulte Como funciona a autenticação moderna para aplicações cliente do Office.

Se precisar de migrar Pastas Públicas para o Exchange Online, veja Public Folder Migration Scripts with Modern Authentication Support (Scripts de Migração de Pastas Públicas com Suporte de Autenticação Moderna).

Descoberta automática

Em novembro de 2022, anunciámos que iria desativar a autenticação básica para o protocolo de Deteção Automática quando o EAS e o EWS estiverem desativados num inquilino.

Opções de cliente

Algumas das opções disponíveis para cada um dos protocolos afetados estão listadas abaixo.

Recomendação de protocolo

Para Serviços Web exchange (EWS), PowerShell Remoto (RPS), POP e IMAP e Exchange ActiveSync (EAS):

  • Se tiver escrito o seu próprio código com estes protocolos, atualize o código para utilizar o OAuth 2.0 em vez da Autenticação Básica ou migre para um protocolo mais recente (API do Graph).
  • Se você ou os seus utilizadores estiverem a utilizar uma aplicação de terceiros que utiliza estes protocolos, contacte o programador de aplicações de terceiros que forneceu esta aplicação para atualizá-la para suportar a autenticação OAuth 2.0 ou ajudar os seus utilizadores a mudar para uma aplicação criada com o OAuth 2.0.
Serviço key protocol Clientes Afetados Recomendação Específica do Cliente Recomendação Especial para Office 365 Operado pela 21Vianet (Gallatin) Outras Informações/Notas do Protocolo
Outlook Todas as versões do Outlook para Windows e Mac
  • Atualizar para o Outlook 2013 ou posterior para Windows e Outlook 2016 ou posterior para Mac
  • Se estiver a utilizar o Outlook 2013 para Windows, ative a autenticação moderna através da chave de registo
Ativar a Autenticação Moderna para o Outlook – Quão Difícil Pode Ser?
Serviços Web do Exchange (EWS) Aplicações de terceiros que não suportam o OAuth
  • Modifique a aplicação para utilizar a autenticação moderna.
  • Migrar aplicação para utilizar API do Graph e autenticação moderna.

Aplicações Populares:

Siga este artigo para migrar a sua aplicação Gallatin personalizada para utilizar o EWS com o OAuth

O Microsoft Teams e o Cisco Unity não estão atualmente disponíveis na Gallatin
O que fazer com scripts do PowerShell da API Gerenciada do EWS que usam a Autenticação Básica
  • Sem atualizações de funcionalidades do EWS a partir de julho de 2018
  • PowerShell Remoto (RPS) Utilize: O Azure Cloud Shell não está disponível na Gallatin Saiba mais sobre o suporte de automatização e autenticação baseada em certificados para o módulo Exchange Online PowerShell e Compreender as Diferentes Versões do Exchange Online Módulos do PowerShell e a Autenticação Básica.
    POP e IMAP Clientes móveis de terceiros, como clientes originais thunderbird configurados para utilizar POP ou IMAP Recomendações:
    • Afaste-se destes protocolos, uma vez que não permitem funcionalidades completas.
    • Mude para OAuth 2.0 para POP/IMAP quando a aplicação cliente o suportar.
    Siga este artigo para configurar POP e IMAP com OAuth na Gallatin com código de exemplo O IMAP é popular para clientes do Linux e educação. O suporte do OAuth 2.0 começou a ser lançado em abril de 2020.

    Autenticar uma ligação IMAP, POP ou SMTP com o OAuth
    Exchange ActiveSync (EAS) Clientes de e-mail móvel da Apple, Samsung, etc.
    • Mudar para o Outlook para iOS e Android ou outra aplicação de e-mail móvel que suporte a Autenticação Moderna
    • Atualize as definições da aplicação se conseguir executar o OAuth, mas o dispositivo ainda estiver a utilizar o Básico
    • Mude para Outlook na Web ou outra aplicação de browser móvel que suporte autenticação moderna.

    Aplicações Populares:

    • Apple iPhone/iPad/macOS: todos os dispositivos iOS/macOS atualizados são capazes de utilizar a autenticação moderna, basta remover e adicionar novamente a conta.
    • Cliente do Microsoft Windows 10 Mail: remova e adicione novamente a conta, escolhendo Office 365 como o tipo de conta
  • A aplicação de correio nativa da Apple no iOS não funciona atualmente na Gallatin. Recomendamos que utilize o Outlook mobile
  • A aplicação Windows 10/11 Mail não é suportada com Gallatin
  • Siga este artigo para configurar o EAS com o OAuth e o código de exemplo
  • Os dispositivos móveis que utilizam uma aplicação nativa para ligar a Exchange Online geralmente utilizam este protocolo.
    Descoberta automática Aplicações EWS e EAS que utilizam a Deteção Automática para encontrar pontos finais de serviço
    • Atualizar código/aplicação para um que suporte OAuth
    Referência do serviço Web de Deteção Automática para o Exchange

    Recursos

    Para saber mais, marcar os seguintes artigos:

    Predefinições de Segurança:

    Políticas de Autenticação do Exchange Online:

    Microsoft Entra Acesso Condicional: