Entretien avec Amir Haque
Article original : https://techcommunity.microsoft.com/t5/microsoft-365-blog/how-to-secure-exchange-online-and-ensure-connectivity-for/ba-p/3662007
Ross : Bienvenue à notre session, où nous allons parler à un expert Microsoft d’une initiative importante en cours pour nos clients Microsoft 365. Nous allons parler avec Amir de l’équipe Modern Work Supportability aujourd’hui, mais d’abord, un peu de contexte.
Depuis 2015, Microsoft a travaillé dur pour permettre l’utilisation de l’authentification moderne pour la connectivité client dans Exchange Online. Après avoir publié la prise en charge de l’authentification moderne dans toutes les versions d’Outlook actuellement prises en charge & en travaillant avec nos partenaires, nous avons commencé à planifier la désactivation de l’utilisation de l’authentification de base. Il est connu que l’utilisation de l’authentification de base entraîne des failles de sécurité dans les organisations. Nous avons annoncé en juin de l’année dernière que nous commencions à désactiver l’utilisation de l’authentification de base pour les clients de Microsoft 365 Exchange Online, en particulier là où nous ne voyons pas ou très peu d’utilisation de celle-ci. Cela permettrait de sécuriser ces clients en fermant la porte qui a pu être laissée ouverte lorsque l’authentification de base est activée dans ces organisations. Pour plus d’informations, veuillez consulter : Microsoft retire l’authentification de base dans Exchange Online | Microsoft 365 Blog.
Ross : Merci de vous joindre à nous aujourd’hui, Amir. Pouvez-vous nous parler un peu de vous et de votre parcours ?
Amir : Bien sûr, je m’appelle Amir Haque et je suis Principal Supportability Program Manager, responsable d’Exchange Online, d’Outlook et de la mobilité dans Microsoft 365. Je travaille sur les technologies liées à Exchange et Outlook depuis une vingtaine d’années. Je me concentre actuellement sur la collaboration avec nos clients Microsoft 365 pour les aider à mettre à niveau leurs utilisateurs afin qu’ils utilisent une authentification moderne pour accéder aux e-mails sur leurs appareils.
Ross : Wow, c’est cool – vous avez un travail incroyable avec un tel impact sur l’ensemble d’Exchange ! Alors, pour désactiver l’authentification de base et s’assurer que les clients passent à l’authentification moderne, quel a été le processus ?
Amir : Nous avions annoncé que nous allions sélectionner au hasard des clients qui n’utilisaient pas l’authentification de base et leur envoyer un message pour les informer que dans 30 jours, nous allions désactiver l’authentification de base. 30 jours plus tard, nous la désactiverons et enverrons un autre message au centre de messages pour confirmer que cela a été fait. Protection du client… c’est fait !
Nous leur avons dit que nous avions déjà effectué cette opération pour un ensemble pilote de locataires, et que nous étions donc satisfaits de son fonctionnement, mais qu’avant de passer à l’échelle supérieure, nous voulions créer un outil pour aider nos clients au cas où nous nous tromperions. Pourquoi nous tromperions-nous ? Eh bien, une très faible utilisation est difficile à détecter si les connexions sont rares, et certains clients pourraient même commencer soudainement à utiliser l’authentification de base.
Aussi, au cours de la première semaine d’octobre, nous avons commencé à désactiver l’utilisation de l’authentification de base pour tous les locataires, sauf s’ils ont besoin de plus de temps pour mettre à niveau leurs utilisateurs afin d’utiliser l’authentification moderne. Ces clients peuvent maintenant profiter de trois mois supplémentaires pour y travailler jusqu’à la fin décembre 2022. À partir de janvier 2023, nous désactiverons définitivement l’utilisation de l’authentification de base pour tous les locataires d’Exchange Online. Pour plus de détails, veuillez consulter : Les applications de messagerie Exchange Online ne se connectent plus ou demandent sans cesse des mots de passe ? Commencez ici.
Ross : Que doit faire un client après que vous ayez désactivé l’utilisation de l’authentification de base pour lui, et qu’il se rende compte qu’il doit toujours l’utiliser ?
Amir : Eh bien, c’est là qu’intervient un nouvel outil que nous avons construit – un outil qui permet une réactivation en libre-service. Nous avons intégré un nouveau diagnostic dans le centre d’administration de Microsoft 365. Ces diagnostics automatisés se sont avérés très populaires auprès des clients, nous nous sommes donc simplement appuyés sur cette technologie. Pour en savoir plus sur le dépannage à l’aide de diagnostics automatisés, cliquez ici.
Ross : Que doivent faire les clients s’ils veulent réactiver le système ?
Amir : si vous voulez réactiver la connectivité pour un protocole que nous avons désactivé pour l’authentification de base, ou si vous voulez voir quels protocoles nous avons désactivés, ouvrez le centre d’administration Microsoft 365 et cliquez sur le petit symbole vert » ? » dans le coin inférieur droit de l’écran.
Une image montrant où cliquer dans le centre d’administration de Microsoft 365 pour commencer le processus de réactivation de la connectivité pour un protocole d’authentification de base désactivé ou pour déterminer quels protocoles sont actuellement désactivés.
Une fois que vous avez fait cela, vous entrez dans le système d’auto-assistance qui, au cas où vous ne le sauriez pas, peut utiliser une logique très intelligente pour vous aider à trouver une solution à toutes sortes de problèmes. Si vous souhaitez accéder directement au nouveau diagnostic d’auto-assistance sur l’authentification de base, il vous suffit de saisir la phrase magique « Diag : Enable Basic Auth in EXO » ou vous pouvez cliquer sur le bouton suivant (illustré ci-dessous) pour lancer rapidement le diagnostic dans le centre d’administration de Microsoft 365.
Une image du bouton « Diag : Enable Basic Auth in EXO » dans le centre d’administration de Microsoft 365.
Une fois que vous l’avez fait, vous verrez une page très similaire à celle-ci :
Image illustrant les options disponibles dans l’outil de diagnostic d’auto-assistance de l’authentification de base dans le centre d’administration de Microsoft 365, notamment Exécuter les diagnostics et Afficher les aperçus.
Ross : Comment savez-vous que ça a marché ?
Amir : Lorsque vous cliquez sur le bouton Exécuter les tests, ce diagnostic automatisé vérifie les paramètres de votre Tenant pour voir si nous avons désactivé l’authentification de base pour tous les protocoles, puis affiche les résultats.
Si nous n’avons désactivé l’authentification de base pour aucun protocole, nous vous le dirons. Mais si nous avons fait quelque chose, vous verrez une liste de protocoles qui sont désactivés. Dans l’image ci-dessous, vous pouvez voir que mon locataire de test a l’ensemble des protocoles désactivés :
Une image illustrant un ensemble de protocoles d’authentification de base actuellement désactivés à partir de l’outil d’auto-diagnostic du centre d’administration de Microsoft 365.
C’est très bien que vous puissiez voir ce que nous avons fait, mais ce qui est encore mieux, c’est que vous pouvez aussi réactiver les protocoles vous-même si vous le souhaitez. Il suffit de sélectionner le protocole (ou un groupe de protocoles, comme dans le cas d’Outlook), de cocher la case pour accepter l’avertissement (vous savez que la réactivation de l’authentification de base est mauvaise, n’est-ce pas ?
Image montrant comment activer un protocole d’authentification de base dans l’outil d’auto-diagnostic du centre d’administration de Microsoft 365. Dans cet exemple, le protocole « POP » a été sélectionné pour être activé.
Si vous voulez réactiver un autre protocole (encore une fois – pourquoi le feriez-vous ?), relancez le diagnostic et vous pourrez le faire. C’est tout – c’est ainsi que vous pouvez réactiver un protocole si nous le désactivons dans le cadre de cet effort de sécurité plus large. C’est la seule façon à l’heure actuelle de réactiver l’authentification de base pour huit des neuf protocoles d’Exchange Online inclus dans la portée de cet effort.
Ross : Quel est l’impact de ce travail ?
Amir : Ce diagnostic automatisé a été utilisé des centaines de milliers de fois par nos clients pour gérer le paramètre d’authentification de base pour différents protocoles de connectivité dans Exchange Online. Notre télémétrie nous indique que cela fonctionne presque 100% du temps pour aider nos clients à atteindre leur objectif sans avoir besoin de l’aide de nos agents de support, avec un taux de réussite de l’auto-assistance de trois neuf.
En cas d’échec, la plupart du temps, nous avons pu remonter jusqu’à des modifications involontaires du code de la plate-forme utilisée pour héberger ce diagnostic. Ces changements de code sont généralement destinés à améliorer la plate-forme et à la rendre plus performante, mais il arrive parfois que des régressions aient également un impact sur les diagnostics hébergés.
Ross : Merci Amir – c’est incroyable à voir. Merci de vous joindre à nous aujourd’hui ! Avez-vous des recommandations à faire si les gens ont d’autres questions ?
Amir : Bien sûr, consultez nos principaux articles techniques liés ci-dessous si vous voulez en savoir plus sur cette initiative, et sur ce que vous devriez faire en tant que client d’Exchange Online dans Microsoft 365. Et n’hésitez pas à poser vos questions ci-dessous. Je serai heureux d’y répondre. Merci !
Travailler ensemble 