Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

13 Octobre 2020 : Fin de partie pour l’authentification basique sur Exchange Online

Posted by Teruin laurent sur octobre 21, 2019


This is it ! : Microsoft va … enfin… supprimer l’authentification basique sur Exchange Online.

Si vous utiliser des programmes comme Outlook 2010 ou Office 2013 Je ne saurais trop vous conseiller le visionnage de cette vidéo. Vous saurez à quoi vous en tenir .

https://www.youtube.com/watch?v=tXYn6BOwGIs

Ci-dessous l’annonce de Microsoft traduite : (https://techcommunity.microsoft.com/t5/blogs/blogarticleprintpage/blog-id/Exchange/article-id/27095)

Depuis de nombreuses années, les applications clientes utilisent l’authentification de base pour se connecter aux serveurs, services et terminaux. Il est activé par défaut sur la plupart des serveurs et services et il est super simple à configurer. L’authentification de base signifie simplement que l’application envoie un nom d’utilisateur et un mot de passe à chaque demande (souvent stockée ou enregistrée sur l’appareil).

La simplicité n’est pas mauvaise en soi, mais l’authentification basique permet aux attaquants armés des outils et méthodes d’aujourd’hui de capturer plus facilement les informations d’identification des utilisateurs (en particulier si elles ne sont pas protégées par TLS), ce qui augmente le risque de réutilisation de ces informations sur d’autres points finaux ou services. L’authentification multifactorielle (MFA) n’est pas facile à activer lorsque vous utilisez l’authentification de base et trop souvent, elle n’est donc pas utilisée.

En termes simples, il existe aujourd’hui des alternatives meilleures et plus efficaces pour authentifier les utilisateurs, et nous recommandons activement aux clients d’adopter des stratégies de sécurité telles que Zero Trust (i.e. Trust but Verify) ou d’appliquer des politiques d’évaluation en temps réel lorsque les utilisateurs et les périphériques accèdent aux informations d’entreprise. Cela permet de prendre des décisions intelligentes sur qui essaie d’accéder à quoi et où et sur quel périphérique plutôt que de simplement faire confiance à un identifiant d’authentification qui pourrait être un Bad Actor se faisant passer pour un utilisateur.

Compte tenu de ces menaces et de ces risques, nous prenons des mesures pour améliorer la sécurité des données dans Exchange Online.

Ce que nous changeons

L’an dernier, nous avons annoncé que nous désactiverions l’authentification de base pour les services Web Exchange le 13 octobre 2020. Aujourd’hui, nous annonçons que nous désactivons également l’authentification de base dans Exchange Online for Exchange ActiveSync (EAS), POP, IMAP et Remote PowerShell en même temps – le 13 octobre 2020.

Nous voulons votre aide pour amener les utilisateurs à s’éloigner des applications qui utilisent l’authentification de base, vers les applications qui utilisent l’authentification moderne. L’authentification moderne (qui est une authentification par jeton OAuth 2.0) présente de nombreux avantages et améliorations qui aident à atténuer les problèmes présents dans l’authentification de base. Par exemple, les jetons d’accès OAuth ont une durée de vie limitée et sont spécifiques aux applications et aux ressources pour lesquelles ils ont été émis, de sorte qu’ils ne peuvent être réutilisés. L’activation et l’application de l’AMF est également très simple avec Modern Auth.

Veuillez noter que ce changement n’affecte pas SMTP AUTH – nous continuerons à supporter l’authentification de base pour le moment. Il y a un grand nombre de périphériques et d’appliances qui utilisent SMTP pour envoyer du courrier, et nous n’incluons donc pas SMTP dans ce changement – bien que nous travaillions sur des moyens de sécuriser davantage SMTP AUTH et nous partagerons plus d’informations à ce sujet en temps et lieu. Ce changement n’affecte pas non plus Outlook pour Windows ou Mac en supposant qu’ils sont déjà configurés et utilisent Modern Auth (et ils devraient vraiment l’être).

Comment cela vous affecte-t-il ?

Ce changement pourrait affecter certains de vos utilisateurs ou applications, c’est pourquoi nous voulions vous fournir des informations supplémentaires pour vous aider à identifier et à décider d’un plan d’action.

PowerShell à distance

Tout d’abord, comment cela influe-t-il sur votre propre administration des locataires ? Vous utilisez probablement Remote PowerShell (RPS) pour accéder à Exchange Online, de préférence avec le module MFA. Si c’est le cas, vous pouvez également envisager de passer d’une partie de votre utilisation quotidienne à l’utilisation de PowerShell dans Azure Cloud Shell. Nous faisons également d’importants investissements dans les SRP pour améliorer le fonctionnement du module d’AMF et nous partagerons d’autres renseignements à ce sujet en temps opportun.

Trouver les utilisateurs touchés

La prochaine action à laquelle vous devez vraiment penser est d’évaluer l’impact sur les clients. La première question que vous vous posez probablement est la suivante : comment savoir qui utilise l’authentification de base chez mon locataire ? Excellente question, et bientôt nous mettrons un nouvel outil à votre disposition pour vous aider à répondre facilement à cette question. C’est un outil qui fournit aux administrateurs locataires un moyen simple de déterminer qui utilise Basic Auth afin que vous, l’administrateur, puissiez voir l’ampleur d’une tâche que vous avez sur vos mains.

Une fois que vous comprenez ce que vos utilisateurs utilisent et que vous savez s’ils utilisent l’authentification de base ou moderne, que pouvez-vous faire ? Chacun des protocoles touchés a des options.

POP et IMAP

Parlons donc de POP et IMAP. Nous savons qu’il y a encore une certaine utilisation, pas beaucoup, mais un peu. Nous prévoyons d’ajouter le support OAuth à POP et IMAP dans les prochains mois. Si vous voulez continuer à utiliser ces protocoles, vous devrez mettre à jour l’application vers une application qui supporte Modern Auth. Ou encore mieux – amener l’utilisateur à utiliser un client plus moderne (saviez-vous que nous avons ajouté le support des boîtes aux lettres partagées à l’application Outlook pour iOS et Android ? C’est l’une des raisons pour lesquelles certaines personnes ont utilisé POP et IMAP), ou pour inciter le développeur de l’application à commencer à utiliser OAuth.

Exchange ActiveSync :L’application client avec laquelle vous pourriez avoir le plus d’utilisation utilise probablement Exchange ActiveSync. Il y a beaucoup d’utilisateurs avec des appareils mobiles configurés avec EAS. S’ils utilisent Basic Auth (et beaucoup d’entre eux le font), c’est le moment de faire quelque chose à ce sujet. Quels sont vos choix ?

Sans aucun doute, nous croyons que le meilleur client pour appareil mobile à utiliser lors de la connexion à Exchange Online est Outlook mobile. Confiance de plus de 100 millions d’utilisateurs à travers le monde, Outlook mobile intègre entièrement Microsoft Enterprise Mobility + Security (EMS) permettant un accès conditionnel et des capacités de protection des applications (MAM). Outlook mobile vous aide à sécuriser vos utilisateurs et vos données d’entreprise et prend en charge nativement l’authentification moderne.

Il existe bien sûr d’autres applications de messagerie électronique pour les appareils mobiles qui prennent également en charge l’authentification moderne, c’est donc une autre option.

Pour les utilisateurs qui ne veulent pas d’application, ou pour les utilisateurs qui ont un appareil pour lequel il n’y a pas d’application, ils peuvent passer au navigateur sur leur appareil mobile. Outlook sur le Web est utilisé par des millions d’utilisateurs chaque mois, il est riche en fonctionnalités et nous avons une version idéale pour les navigateurs mobiles. Vous pouvez y accéder sur un appareil mobile en naviguant vers https://outlook.office365.com. Nous saurons qu’il s’agit d’un appareil mobile que vous utilisez et nous avons donc une expérience spéciale qui vous attend.

Résumé

Nous savons que le passage de Basic Auth à Modern Auth risque de causer des perturbations. Pour certains utilisateurs, chaque fois qu’ils doivent faire quelque chose de différent, c’est un défi pour eux, mais nous voulons le faire ensemble pour améliorer la sécurité et protéger vos données et celles de vos utilisateurs. Désactiver l’authentification de base et exiger une authentification moderne avec MFA est l’une des meilleures choses que vous pouvez faire pour améliorer la sécurité des données de votre Tenant, et cela doit être une bonne chose.

La dernière chose à préciser – ce changement n’affecte qu’Exchange Online, nous ne changeons rien dans les produits Exchange Server on-premises. Nous pensons que désactiver Basic Auth sur site est aussi une bonne idée, soit dit en passant, et voici quelque chose que nous avons publié récemment à ce sujet.

Nous savons que c’est une grande nouvelle et nous sommes là pour vous aider. N’hésitez pas à nous laisser vos commentaires ou questions et nous ferons de notre mieux pour vous aider.

L’équipe d’échange

Répondre

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

 
%d blogueurs aiment cette page :