Exchange Online – l’authentification Basic sera désactivée en octobre 2022

À partir du 1er octobre 2022, l'authentification Basic sera désactivée au sein d'Exchange Online, sur tous les tenants Microsoft 365 / Office 365. Grâce à cette décision, Microsoft souhaite renforcer la sécurité de ses clients.

Initialement, l'authentification Basic devait être désactivée pendant le second semestre 2021, mais Microsoft a revu ses plans à cause de la pandémie de la Covid-19.

Que va-t-il se passer le 1er octobre 2022 ?

L'authentification Basic va être désactivée sur tous les protocoles utilisés par Exchange Online. Une liste qui intègre des protocoles et certaines fonctionnalités. Voici la liste fournie par Microsoft : Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH et OAB. La firme de Redmond précise qu'il y a une exception puisqu'il sera possible de réactiver l'Auth Basic pour le SMTP. Pour le reste, ce ne sera pas modifiable et cela s'appliquera sur tous les tenants.

Pour réaliser de premiers essais, début 2022, Microsoft sélectionnera quelques tenants et désactivera l'Auth Basic pour tous les protocoles (sauf SMTP AUTH), pour une période comprise entre 12 à 48 heures.

À partir du 1er octobre 2022, les méthodes d'authentification modernes (Modern Auth) devront être utilisées systématiquement. Si vous utilisez le Webmail d'Outlook, vous n'avez pas d'inquiétude à avoir. Par contre, si vous utilisez Outlook dans une version un peu ancienne ou un client de messagerie qui ne supporte pas les nouvelles méthodes d'authentification, vous ne pourrez plus vous connecter. Concrètement, vous devez utiliser au minimum Outlook 2013 Service Pack 1 pour continuer à vous connecter à Microsoft 365.

Dès à présent, vous pouvez créer une stratégie Exchange Online sur votre tenant pour désactiver l'Auth Basic et vérifier si vous êtes déjà prêt à ce changement. Voir cette documentation de Microsoft.

Bug de sécurité de l'Autodiscover : la raison de cette annonce ?

Même si cela semblait déjà prévu, Microsoft a publié cette annonce juste après la publication de Guardicore au sujet d'un bug de sécurité dans l'Autodiscover et qui expose les identifiants des utilisateurs. Des identifiants en danger notamment à cause de l'Auth Basic qui ne sécurise pas suffisamment les identifiants.

Plus d'infos sur le site de Microsoft

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3273 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.