Substituição da Autenticação básica no Exchange Online

  • Artigo

Importante

A autenticação básica agora está desabilitada em todos os locatários.

Antes de 31 de dezembro de 2022, você poderia habilitar novamente os protocolos afetados se usuários e aplicativos em seu locatário não pudessem se conectar. Agora, ninguém (você ou o suporte da Microsoft) pode habilitar novamente a autenticação básica em seu locatário.

Leia o restante deste artigo para entender completamente as alterações que fizemos e como essas alterações podem afetá-lo.

Por muitos anos, os aplicativos usaram a autenticação básica para se conectar a servidores, serviços e pontos de extremidade de API. A autenticação básica simplesmente significa que o aplicativo envia um nome de usuário e uma senha a cada solicitação, e essas credenciais também geralmente são armazenadas ou salvas no dispositivo. Tradicionalmente, a autenticação básica é habilitada por padrão na maioria dos servidores ou serviços e é simples de configurar.

A simplicidade não é nada ruim, mas a autenticação básica torna mais fácil para os invasores capturar credenciais de usuário (especialmente se as credenciais não forem protegidas pelo TLS), o que aumenta o risco de essas credenciais roubadas serem reutilizados em relação a outros pontos de extremidade ou serviços. Além disso, a aplicação da MFA (autenticação multifator) não é simples ou, em alguns casos, possível quando a autenticação básica permanece habilitada.

A autenticação básica é um padrão desatualizado do setor. As ameaças representadas por ela só aumentaram desde que anunciamos originalmente que íamos desativá-la (confira Melhorando a Segurança - Juntos) Há alternativas de autenticação de usuário melhores e mais eficazes.

Recomendamos ativamente que os clientes adotem estratégias de segurança, como Confiança Zero (Never Trust, Always Verify) ou apliquem políticas de avaliação em tempo real quando usuários e dispositivos acessam informações corporativas. Essas alternativas permitem decisões inteligentes sobre quem está tentando acessar o que de onde em que dispositivo, em vez de simplesmente confiar em uma credencial de autenticação que pode ser um mau ator representando um usuário.

Com essas ameaças e riscos em mente, tomamos medidas para melhorar a segurança dos dados em Exchange Online.

Observação

A preterição da autenticação básica também impede o uso de senhas de aplicativo com aplicativos que não dão suporte à verificação em duas etapas.

O que estamos mudando

Removemos a capacidade de usar a autenticação básica no Exchange Online for Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), OAB (Catálogo de Endereços Offline), Autodiscover, Outlook para Windows e Outlook para Mac.

Também desabilitamos o SMTP AUTH em todos os locatários em que ele não estava sendo usado.

Essa decisão exige que os clientes passem de aplicativos que usam autenticação básica para aplicativos que usam autenticação moderna. A autenticação moderna (autorização baseada em token OAuth 2.0) tem muitos benefícios e melhorias que ajudam a atenuar os problemas na autenticação básica. Por exemplo, os tokens de acesso OAuth têm um tempo de vida útil limitado e são específicos para os aplicativos e recursos para os quais são emitidos, portanto, não podem ser reutilizados. Habilitar e impor a MFA (autenticação multifator) também é simples com a autenticação moderna.

Quando essa alteração ocorreu?

A partir do início de 2021, começamos a desabilitar a autenticação básica para locatários existentes sem uso relatado.

A partir do início de 2023, desabilitamos a autenticação básica para todos os locatários que tinham qualquer tipo de extensão. Você pode ler mais sobre o momento aqui.

Observação

Em Office 365 Operado pela 21Vianet, começamos a desabilitar a autenticação básica em 31 de março de 2023. Todos os outros ambientes de nuvem estavam sujeitos à data de 1º de outubro de 2022.

Impacto nos protocolos de mensagens e nos aplicativos existentes

Essa alteração afeta os aplicativos e scripts que você pode usar de maneiras diferentes.

POP, IMAP e SMTP AUTH

Em 2020, lançamos o suporte do OAuth 2.0 para POP, IMAP e SMTP AUTH. Atualizações para alguns aplicativos cliente foram atualizados para dar suporte a esses tipos de autenticação (Thunderbird, por exemplo, embora ainda não para clientes que usam Office 365 Operado pela 21Vianet), para que os usuários com versões atualizadas possam alterar sua configuração para usar o OAuth. Não há nenhum plano para que os clientes do Outlook deem suporte ao OAuth para POP e IMAP, mas o Outlook pode se conectar usando MAPI/HTTP (clientes Windows) e EWS (Outlook para Mac).

Os desenvolvedores de aplicativos que criaram aplicativos que enviam, leem ou processam email usando esses protocolos poderão manter o mesmo protocolo, mas precisam implementar experiências de autenticação modernas e seguras para seus usuários. Essa funcionalidade é criada com base em plataforma de identidade da Microsoft v2.0 e dá suporte ao acesso a contas de email do Microsoft 365.

Se o aplicativo interno precisar acessar protocolos IMAP, POP e SMTP AUTH no Exchange Online, siga estas instruções passo a passo para implementar a autenticação OAuth 2.0: Autenticar uma conexão IMAP, POP ou SMTP usando o OAuth. Além disso, use o script do PowerShell Get-IMAPAccesstoken.ps1 para testar o acesso do IMAP após a habilitação do OAuth por conta própria de uma maneira simples, incluindo o caso de uso da caixa de correio compartilhada.

O SMTP AUTH ainda estará disponível quando a autenticação básica estiver permanentemente desabilitada em 1º de outubro de 2022. O motivo pelo qual o SMTP ainda estará disponível é que muitos dispositivos de várias funções, como impressoras e scanners, não podem ser atualizados para usar a autenticação moderna. No entanto, incentivamos fortemente os clientes a se afastarem do uso da autenticação básica com o SMTP AUTH quando possível. Outras opções para enviar emails autenticados incluem o uso de protocolos alternativos, como o Microsoft API do Graph.

Exchange ActiveSync (EAS)

Muitos usuários têm dispositivos móveis configurados para usar o EAS. Se eles estavam usando a autenticação básica, eles serão afetados por essa alteração.

Recomendamos usar o Outlook para iOS e Android ao se conectar a Exchange Online. O Outlook para iOS e Android integra totalmente o Microsoft Enterprise Mobility + Security (EMS), que permite recursos de MAM (acesso condicional e proteção de aplicativo). O Outlook para iOS e Android ajuda você a proteger seus usuários e seus dados corporativos, e ele dá suporte nativo à autenticação moderna.

Há outros aplicativos de email de dispositivo móvel que dão suporte à autenticação moderna. Os aplicativos de email internos para todas as plataformas populares normalmente dão suporte à autenticação moderna, portanto, às vezes, a solução é verificar se seu dispositivo está executando a versão mais recente do aplicativo. Se o aplicativo de email estiver atual, mas ainda estiver usando a autenticação básica, talvez seja necessário remover a conta do dispositivo e adicioná-la novamente.

Se você estiver usando Microsoft Intune, poderá alterar o tipo de autenticação usando o perfil de email que você envia por push ou implanta em seus dispositivos. Se você estiver usando dispositivos iOS (iPhones e iPads), você deverá dar uma olhada em Adicionar configurações de email para dispositivos iOS e iPadOS em Microsoft Intune

Qualquer dispositivo iOS gerenciado com Mobilidade básica e segurança não poderá acessar o email se as seguintes condições forem verdadeiras:

  • Você configurou uma política de segurança do dispositivo para exigir um perfil de email gerenciado para acesso.
  • Você não modifica a política desde 9 de novembro de 2021 (o que significa que a política ainda está usando a autenticação básica).

As políticas criadas ou modificadas após essa data já foram atualizadas para usar a autenticação moderna.

Para atualizar políticas que não são modificadas desde 9 de novembro de 2021 para usar a autenticação moderna, faça uma alteração temporária nos requisitos de acesso da política. Recomendamos alterar e salvar a configuração de nuvem Exigir backups criptografados , que atualizará a política para usar a autenticação moderna. Depois que a política alterada tiver o valor status ativado, o perfil de email será atualizado. Em seguida, você pode reverter a alteração temporária na política.

Observação

Durante o processo de atualização, o perfil de email será atualizado no dispositivo iOS e o usuário será solicitado a inserir seu nome de usuário e senha.

Se seus dispositivos estiverem usando autenticação baseada em certificado, eles não serão afetados quando a autenticação básica for desativada em Exchange Online ainda este ano. Somente os dispositivos que se autenticam diretamente usando a autenticação básica serão afetados.

A autenticação baseada em certificado ainda é autenticação herdada e, como tal, será bloqueada por políticas de acesso condicional Microsoft Entra que bloqueiam a autenticação herdada. Para obter mais informações, consulte Bloquear a autenticação herdada com Microsoft Entra Acesso Condicional.

PowerShell do Exchange Online

Desde a versão do módulo Exchange Online PowerShell, tem sido fácil gerenciar suas configurações de Exchange Online e as configurações de proteção da linha de comando usando a autenticação moderna. O módulo usa a autenticação moderna e funciona com mfa (autenticação multifator) para se conectar a todos os ambientes do PowerShell relacionados ao Exchange no Microsoft 365: Exchange Online PowerShell, Segurança & Compliance PowerShell e PowerShell de Proteção do Exchange Online autônomo (EOP).

O módulo Exchange Online PowerShell também pode ser usado de forma não interativa, o que permite a execução de scripts autônomos. A autenticação baseada em certificado fornece aos administradores a capacidade de executar scripts sem a necessidade de criar contas de serviço ou armazenar credenciais localmente. Para saber mais, confira: Autenticação somente aplicativo para scripts autônomos no módulo Exchange Online PowerShell.

Importante

Não confunda o fato de que o PowerShell requer autenticação básica habilitada para WinRM (no computador local de onde a sessão é executada). O nome de usuário/senha não é enviado para o serviço usando Basic, mas o cabeçalho do Auth Básico é necessário para enviar o token OAuth da sessão, pois o cliente WinRM não dá suporte ao OAuth. Estamos trabalhando neste problema e teremos mais a anunciar no futuro. Saiba apenas que habilitar o Basic no WinRM não está usando o Basic para autenticar no serviço. Para obter mais informações, consulte Exchange Online PowerShell: ativar a autenticação básica no WinRM.

Leia mais sobre essa situação aqui: entendendo as diferentes versões de Exchange Online Módulos do PowerShell e do Auth Básico.

Para obter detalhes sobre como migrar da versão V1 do módulo para a versão atual, confira esta postagem no blog.

A versão 3.0.0 do módulo Exchange Online PowerShell V3 (versão prévia 2.0.6-PreviewX) contém versões com suporte de API REST de todos os cmdlets Exchange Online que não exigem autenticação básica no WinRM. Para obter mais informações, consulte Atualizações para a versão 3.0.0.

Serviços Web do Exchange (EWS)

Muitos aplicativos foram criados usando o EWS para acesso a dados de caixa de correio e calendário.

Em 2018, anunciamos que os Serviços Web do Exchange não receberiam mais atualizações de recursos e recomendamos que os desenvolvedores de aplicativos mudem para o uso do Microsoft Graph. Consulte Alterações futuras na API do Exchange Web Services (EWS) para Office 365.

Muitos aplicativos foram movidos com êxito para o Graph, mas para os aplicativos que não foram, é notável que o EWS já dá suporte total à autenticação moderna. Portanto, se você ainda não puder migrar para o Graph, poderá mudar para o uso da autenticação moderna com o EWS, sabendo que o EWS acabará sendo preterido.

Para saber mais, confira:

Outlook, MAPI, RPC e OAB (Catálogo de Endereços Offline)

Todas as versões do Outlook para Windows desde 2016 têm a autenticação moderna habilitada por padrão, portanto, é provável que você já esteja usando a autenticação moderna. O Outlook Anywhere (anteriormente conhecido como RPC sobre HTTP) foi preterido em Exchange Online em favor do MAPI por HTTP. O Outlook para Windows usa MAPI em HTTP, EWS e OAB para acessar emails, definir gratuito/ocupado e fora do escritório e baixar o Catálogo de Endereços Offline. Todos esses protocolos dão suporte à autenticação moderna.

O Outlook 2007 ou o Outlook 2010 não podem usar a autenticação moderna e, eventualmente, não poderão se conectar. O Outlook 2013 requer uma configuração para habilitar a autenticação moderna, mas depois de configurar a configuração, o Outlook 2013 pode usar a autenticação moderna sem problemas. Conforme anunciado anteriormente aqui, o Outlook 2013 requer um nível mínimo de atualização para se conectar ao Exchange Online. Confira: Novos requisitos mínimos de versão do Outlook para Windows para Microsoft 365.

Outlook para Mac dá suporte à Autenticação Moderna.

Para obter mais informações sobre o suporte à autenticação moderna no Office, confira Como funciona a autenticação moderna para aplicativos cliente do Office.

Se você precisar migrar pastas públicas para o Exchange online, consulte Scripts de migração de pasta pública com suporte a autenticação moderna.

Descoberta automática

Em novembro de 2022 , anunciamos que desabilitaríamos a autenticação básica para o protocolo Autodiscover quando EAS e EWS fossem desabilitados em um locatário.

Opções de cliente

Algumas das opções disponíveis para cada um dos protocolos afetados estão listadas abaixo.

Recomendação de protocolo

Para eWS (Exchange Web Services), RPS (Remote PowerShell), POP e IMAP e Exchange ActiveSync (EAS):

  • Se você tiver escrito seu próprio código usando esses protocolos, atualize seu código para usar o OAuth 2.0 em vez de Autenticação Básica ou migre para um protocolo mais recente (API do Graph).
  • Se você ou seus usuários estiverem usando um aplicativo de terceiros que usa esses protocolos, entre em contato com o desenvolvedor de aplicativos de terceiros que forneceu esse aplicativo para atualizá-lo para dar suporte à autenticação OAuth 2.0 ou ajudar seus usuários a alternar para um aplicativo criado usando o OAuth 2.0.
Serviço de Protocolo de Chave Clientes afetados Recomendação específica do cliente Recomendação especial para Office 365 operado pela 21Vianet (Gallatin) Outras informações de protocolo / anotações
Outlook Todas as versões do Outlook para Windows e Mac
  • Atualizar para o Outlook 2013 ou posterior para Windows e Outlook 2016 ou posterior para Mac
  • Se você estiver usando o Outlook 2013 para Windows, ative a auth moderna por meio da chave do registro
 Habilitar o Auth Moderno para Outlook – Quão difícil pode ser?
Serviços Web do Exchange (EWS) Aplicativos de terceiros que não dão suporte ao OAuth
  • Modifique o aplicativo para usar o auth moderno.
  • Migrar aplicativo para usar API do Graph e auth moderno.

Aplicativos Populares:

 Siga este artigo para migrar seu aplicativo Gallatin personalizado para usar o EWS com o OAuth

Microsoft Teams e Cisco Unity não estão disponíveis atualmente em Gallatin		 O que fazer com scripts do PowerShell da API Gerenciada do EWS que usam a Autenticação Básica
  • Sem atualizações de recursos do EWS a partir de julho de 2018
    		•
    RPS (Remote PowerShell) Use qualquer um: O Cloud Shell do Azure não está disponível em Gallatin Saiba mais sobre o suporte à automação e autenticação baseada em certificado para o módulo Exchange Online PowerShell e a compreensão das diferentes versões de Exchange Online Módulos do PowerShell e do Auth Básico.
    POP e IMAP Clientes móveis de terceiros, como clientes de primeiro partido do Thunderbird configurados para usar POP ou IMAP Recomendações:
    • Afaste-se desses protocolos, pois eles não habilitam recursos completos.
    • Mova para OAuth 2.0 para POP/IMAP quando seu aplicativo cliente dá suporte a ele.
    		 Siga este artigo para configurar POP e IMAP com OAuth em Gallatin com código de exemplo O IMAP é popular para clientes linux e educação. O suporte do OAuth 2.0 começou a ser implantado em abril de 2020.

    Autenticar uma conexão IMAP, POP ou SMTP usando o OAuth
    Exchange ActiveSync (EAS) Clientes de email móvel da Apple, Samsung etc.
    • Mover para o Outlook para iOS e Android ou outro aplicativo de email móvel que dá suporte ao Auth Moderno
    • Atualizar as configurações do aplicativo se ele puder fazer OAuth, mas o dispositivo ainda estiver usando o Basic
    • Alterne para Outlook na Web ou outro aplicativo de navegador móvel que dê suporte à auth moderna.

    Aplicativos Populares:

    • Apple iPhone/iPad/macOS: todos os dispositivos iOS/macOS atualizados são capazes de usar a autenticação moderna, basta remover e adicionar de volta a conta.
    • Cliente do Microsoft Windows 10 Mail: remover e adicionar de volta a conta, escolhendo Office 365 como o tipo de conta
  • O aplicativo de email nativo da Apple no iOS não funciona atualmente em Gallatin, recomendamos que você use o Outlook mobile
  • Não há suporte para Windows 10/11 Aplicativo de email com Gallatin
  • Siga este artigo para configurar o EAS com o OAuth e o código de exemplo
    		•  Dispositivos móveis que usam um aplicativo nativo para se conectar a Exchange Online geralmente usam esse protocolo.
    Descoberta automática Aplicativos EWS e EAS usando Autodiscover para encontrar pontos de extremidade de serviço
    • Atualizar código/aplicativo para um que dá suporte ao OAuth
    		 Referência de serviço Web de descoberta automática para Exchange

    Recursos

    Para saber mais, marcar os seguintes artigos:

    Padrões de segurança:

    Exchange Online Políticas de Autenticação:

    Microsoft Entra Acesso Condicional: