deprecazione dell'autenticazione di base in Exchange Online
Importante
L'autenticazione di base è ora disabilitata in tutti i tenant.
Prima del 31 dicembre 2022, è possibile riabilitare i protocolli interessati se utenti e app nel tenant non potevano connettersi. Ora nessuno (l'utente o il supporto tecnico Microsoft) può riabilitare l'autenticazione di base nel tenant.
Leggere il resto di questo articolo per comprendere appieno le modifiche apportate e il modo in cui queste modifiche potrebbero influire sull'utente.
Per molti anni, le applicazioni hanno usato l'autenticazione di base per connettersi a server, servizi ed endpoint API. L'autenticazione di base significa semplicemente che l'applicazione invia un nome utente e una password a ogni richiesta e tali credenziali vengono spesso archiviate o salvate nel dispositivo. In genere, l'autenticazione di base è abilitata per impostazione predefinita nella maggior parte dei server o dei servizi ed è semplice da configurare.
La semplicità non è affatto male, ma l'autenticazione di base semplifica l'acquisizione delle credenziali utente da parte degli utenti malintenzionati (in particolare se le credenziali non sono protette da TLS), aumentando il rischio che le credenziali rubate vengano riutilizzate da altri endpoint o servizi. Inoltre, l'applicazione dell'autenticazione a più fattori (MFA) non è semplice o, in alcuni casi, possibile quando l'autenticazione di base rimane abilitata.
L'autenticazione di base è uno standard di settore obsoleto. Le minacce poste da esso sono aumentate solo dopo che inizialmente abbiamo annunciato che avremmo disattivato (vedere Miglioramento della sicurezza - Insieme) Ci sono alternative di autenticazione utente migliori e più efficaci.
È consigliabile che i clienti adottino strategie di sicurezza come Zero Trust (Never Trust, Always Verify) o applichino criteri di valutazione in tempo reale quando utenti e dispositivi accedono alle informazioni aziendali. Queste alternative consentono di prendere decisioni intelligenti su chi sta cercando di accedere a cosa da dove si trova il dispositivo anziché semplicemente considerare attendibili le credenziali di autenticazione che potrebbero essere un attore non valido che rappresenta un utente.
Tenendo presenti queste minacce e rischi, sono stati presi provvedimenti per migliorare la sicurezza dei dati in Exchange Online.
Nota
La deprecazione dell'autenticazione di base impedisce anche l'uso di password delle app con app che non supportano la verifica in due passaggi.
Cosa stiamo cambiando
È stata rimossa la possibilità di usare l'autenticazione di base in Exchange Online per Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Individuazione automatica, Outlook per Windows e Outlook per Mac.
È stata disabilitata anche l'autenticazione SMTP in tutti i tenant in cui non veniva usata.
Questa decisione richiede ai clienti di passare dalle app che usano l'autenticazione di base alle app che usano l'autenticazione moderna. L'autenticazione moderna (autorizzazione basata su token OAuth 2.0) offre numerosi vantaggi e miglioramenti che consentono di attenuare i problemi nell'autenticazione di base. Ad esempio, i token di accesso OAuth hanno una durata utilizzabile limitata e sono specifici per le applicazioni e le risorse per cui vengono rilasciati, quindi non possono essere riutilizzati. Anche l'abilitazione e l'applicazione dell'autenticazione a più fattori (MFA) sono semplici con l'autenticazione moderna.
Quando è avvenuta questa modifica?
A partire dall'inizio del 2021, è stata avviata la disabilitazione dell'autenticazione di base per i tenant esistenti senza utilizzo segnalato.
A partire dall'inizio del 2023, l'autenticazione di base è stata disabilitata per tutti i tenant con qualsiasi tipo di estensione. Altre informazioni sulla tempistica sono disponibili qui.
Nota
In Office 365 Gestito da 21Vianet, l'autenticazione di base è stata disabilitata il 31 marzo 2023. Tutti gli altri ambienti cloud sono stati soggetti alla data del 1° ottobre 2022.
Impatto sui protocolli di messaggistica e sulle applicazioni esistenti
Questa modifica influisce sulle applicazioni e sugli script che è possibile usare in modi diversi.
POP, IMAP e SMTP AUTH
Nel 2020 è stato rilasciato il supporto OAuth 2.0 per POP, IMAP e SMTP AUTH. Aggiornamenti ad alcune app client sono state aggiornate per supportare questi tipi di autenticazione (ad esempio Thunderbird, anche se non ancora per i clienti che usano Office 365 gestito da 21Vianet), in modo che gli utenti con versioni aggiornate possano modificare la configurazione per usare OAuth. Non è previsto il supporto di OAuth per POP e IMAP da parte dei client di Outlook, ma Outlook può connettersi tramite MAPI/HTTP (client Windows) e EWS (Outlook per Mac).
Gli sviluppatori di applicazioni che hanno creato app che inviano, leggono o elaborano in altro modo la posta elettronica usando questi protocolli potranno mantenere lo stesso protocollo, ma dovranno implementare esperienze di autenticazione moderna sicure per gli utenti. Questa funzionalità si basa su Microsoft Identity Platform versione 2.0 e supporta l'accesso agli account di posta elettronica di Microsoft 365.
Se l'applicazione interna deve accedere ai protocolli IMAP, POP e SMTP AUTH in Exchange Online, seguire queste istruzioni dettagliate per implementare l'autenticazione OAuth 2.0: Autenticare una connessione IMAP, POP o SMTP tramite OAuth. Inoltre, usare lo script di PowerShell Get-IMAPAccesstoken.ps1 per testare l'accesso IMAP dopo l'abilitazione autonoma di OAuth in modo semplice, incluso il caso d'uso della cassetta postale condivisa.
Smtp AUTH sarà ancora disponibile quando l'autenticazione di base è disabilitata definitivamente il 1° ottobre 2022. Il motivo per cui SMTP sarà ancora disponibile è che molti dispositivi multifunzione, ad esempio stampanti e scanner, non possono essere aggiornati per usare l'autenticazione moderna. Tuttavia, si consiglia vivamente ai clienti di abbandonare l'uso dell'autenticazione di base con SMTP AUTH, quando possibile. Altre opzioni per l'invio di posta elettronica autenticata includono l'uso di protocolli alternativi, ad esempio microsoft API Graph.
Exchange ActiveSync (EAS)
Molti utenti hanno dispositivi mobili configurati per l'uso di EAS. Se usavano l'autenticazione di base, sono interessati da questa modifica.
È consigliabile usare Outlook per iOS e Android durante la connessione a Exchange Online. Outlook per iOS e Android integra completamente microsoft Enterprise Mobility + Security (EMS), che consente l'accesso condizionale e la protezione delle app (MAM). Outlook per iOS e Android consente di proteggere gli utenti e i dati aziendali e supporta in modo nativo l'autenticazione moderna.
Esistono altre app di posta elettronica per dispositivi mobili che supportano l'autenticazione moderna. Le app di posta elettronica predefinite per tutte le piattaforme più diffuse supportano in genere l'autenticazione moderna, quindi a volte la soluzione consiste nel verificare che il dispositivo esegua la versione più recente dell'app. Se l'app di posta elettronica è corrente, ma usa ancora l'autenticazione di base, potrebbe essere necessario rimuovere l'account dal dispositivo e quindi aggiungerlo di nuovo.
Se si usa Microsoft Intune, potrebbe essere possibile modificare il tipo di autenticazione usando il profilo di posta elettronica di cui si esegue il push o la distribuzione nei dispositivi. Se si usano dispositivi iOS (iPhone e iPad) è consigliabile esaminare Aggiungi impostazioni di posta elettronica per dispositivi iOS e iPadOS in Microsoft Intune
Qualsiasi dispositivo iOS gestito con Mobilità e sicurezza di base non sarà in grado di accedere alla posta elettronica se si verificano le condizioni seguenti:
- È stato configurato un criterio di sicurezza del dispositivo per richiedere un profilo di posta elettronica gestito per l'accesso.
- Il criterio non è stato modificato dal 9 novembre 2021( il che significa che il criterio usa ancora l'autenticazione di base).
I criteri creati o modificati dopo questa data sono già stati aggiornati per usare l'autenticazione moderna.
Per aggiornare i criteri che non sono stati modificati dal 9 novembre 2021 per usare l'autenticazione moderna, apportare una modifica temporanea ai requisiti di accesso dei criteri. È consigliabile modificare e salvare l'impostazione cloud Richiedi backup crittografati , che aggiornerà i criteri per l'uso dell'autenticazione moderna. Dopo che il criterio modificato ha il valore di stato Attivato, il profilo di posta elettronica è stato aggiornato. È quindi possibile ripristinare la modifica temporanea ai criteri.
Nota
Durante il processo di aggiornamento, il profilo di posta elettronica verrà aggiornato nel dispositivo iOS e all'utente verrà richiesto di immettere il nome utente e la password.
Se i dispositivi usano l'autenticazione basata su certificati, non saranno interessati quando l'autenticazione di base viene disattivata in Exchange Online entro la fine dell'anno. Saranno interessati solo i dispositivi che eseguono direttamente l'autenticazione di base.
L'autenticazione basata su certificato è ancora un'autenticazione legacy e di conseguenza verrà bloccata da Microsoft Entra criteri di accesso condizionale che bloccano l'autenticazione legacy. Per altre informazioni, vedere Bloccare l'autenticazione legacy con Microsoft Entra l'accesso condizionale.
Exchange Online PowerShell
Dal rilascio del modulo Exchange Online PowerShell, è stato facile gestire le impostazioni di Exchange Online e le impostazioni di protezione dalla riga di comando usando l'autenticazione moderna. Il modulo usa l'autenticazione moderna e funziona con l'autenticazione a più fattori (MFA) per la connessione a tutti gli ambienti PowerShell correlati a Exchange in Microsoft 365: Exchange Online PowerShell, PowerShell sicurezza & conformità e PowerShell autonomo Exchange Online Protection (EOP).
Il modulo Exchange Online PowerShell può essere usato anche in modo non interattivo, che consente l'esecuzione di script automatici. L'autenticazione basata su certificati offre agli amministratori la possibilità di eseguire script senza la necessità di creare account del servizio o archiviare le credenziali in locale. Per altre informazioni, vedere: Autenticazione solo app per script automatici nel modulo Exchange Online PowerShell.
Importante
Non confondere il fatto che PowerShell richiede l'autenticazione di base abilitata per WinRM (nel computer locale da cui viene eseguita la sessione). Il nome utente/password non viene inviato al servizio usando Basic, ma l'intestazione Basic Auth è necessaria per inviare il token OAuth della sessione, perché il client WinRM non supporta OAuth. Stiamo lavorando su questo problema e avremo altro da annunciare in futuro. È sufficiente sapere che l'abilitazione di Basic in WinRM non usa Basic per eseguire l'autenticazione al servizio. Per altre informazioni, vedere Exchange Online PowerShell: Attivare l'autenticazione di base in WinRM.
Altre informazioni su questa situazione sono disponibili qui: Informazioni sulle diverse versioni di Exchange Online moduli di PowerShell e Autenticazione di base.
Per informazioni dettagliate sul passaggio dalla versione V1 del modulo alla versione corrente, vedere questo post di blog.
La versione 3.0.0 del modulo Exchange Online PowerShell V3 (versioni di anteprima 2.0.6-PreviewX) contiene versioni supportate dall'API REST di tutti i cmdlet Exchange Online che non richiedono l'autenticazione di base in WinRM. Per altre informazioni, vedere Aggiornamenti per la versione 3.0.0.
Servizi Web Exchange (EWS)
Molte applicazioni sono state create usando EWS per l'accesso ai dati delle cassette postali e del calendario.
Nel 2018 è stato annunciato che i servizi Web Exchange non riceveranno più gli aggiornamenti delle funzionalità e si consiglia agli sviluppatori di applicazioni di passare all'uso di Microsoft Graph. Vedere Modifiche imminenti all'API di Exchange Web Services (EWS) per Office 365.
Molte applicazioni sono state spostate correttamente in Graph, ma per le applicazioni che non lo hanno fatto, è interessante notare che EWS supporta già completamente l'autenticazione moderna. Pertanto, se non è ancora possibile eseguire la migrazione a Graph, è possibile passare all'uso dell'autenticazione moderna con EWS, sapendo che EWS alla fine sarà deprecato.
Per altre informazioni, vedere:
- Deprecationi api imminenti in Servizi Web Exchange per Exchange Online - Microsoft Tech Community
- Autenticare un'applicazione EWS usando OAuth
- Operazioni da eseguire con gli script powershell dell'API gestita di EWS che usano l'autenticazione di base
Outlook, MAPI, RPC e Rubrica offline
Tutte le versioni di Outlook per Windows dal 2016 hanno l'autenticazione moderna abilitata per impostazione predefinita, quindi è probabile che si stia già usando l'autenticazione moderna. Outlook Anywhere (in precedenza noto come RPC su HTTP) è stato deprecato in Exchange Online a favore di MAPI su HTTP. Outlook per Windows usa MAPI su HTTP, EWS e Rubrica offline per accedere alla posta elettronica, impostare la disponibilità e uscire dall'ufficio e scaricare la Rubrica offline. Tutti questi protocolli supportano l'autenticazione moderna.
Outlook 2007 o Outlook 2010 non può usare l'autenticazione moderna e alla fine non sarà in grado di connettersi. Outlook 2013 richiede un'impostazione per abilitare l'autenticazione moderna, ma dopo aver configurato l'impostazione, Outlook 2013 può usare l'autenticazione moderna senza problemi. Come annunciato in precedenza, Outlook 2013 richiede un livello di aggiornamento minimo per connettersi a Exchange Online. Vedere: Nuovi requisiti minimi per la versione di Outlook per Windows per Microsoft 365.
Outlook per Mac supporta l'autenticazione moderna.
Per altre informazioni sul supporto dell'autenticazione moderna in Office, vedere Funzionamento dell'autenticazione moderna per le app client di Office.
Se è necessario eseguire la migrazione di cartelle pubbliche a Exchange online, vedere Script di migrazione delle cartelle pubbliche con il supporto dell'autenticazione moderna.
Individuazione automatica
A novembre 2022 è stata annunciata la disabilitazione dell'autenticazione di base per il protocollo di individuazione automatica dopo la disabilitazione di EAS ed EWS in un tenant.
Opzioni client
Di seguito sono elencate alcune delle opzioni disponibili per ognuno dei protocolli interessati.
Raccomandazione del protocollo
Per Exchange Web Services (EWS), Remote PowerShell (RPS), POP e IMAP e Exchange ActiveSync (EAS):
- Se il codice è stato scritto usando questi protocolli, aggiornare il codice per usare OAuth 2.0 anziché l'autenticazione di base o eseguire la migrazione a un protocollo più recente (API Graph).
- Se l'utente o gli utenti usano un'applicazione di terze parti che usa questi protocolli, contattare lo sviluppatore di app di terze parti che ha fornito l'applicazione per aggiornarla per supportare l'autenticazione OAuth 2.0 o aiutare gli utenti a passare a un'applicazione compilata con OAuth 2.0.
| Servizio protocollo chiave | Client interessati | Raccomandazione specifica del client | Raccomandazione speciale per Office 365 gestito da 21Vianet (Gallatin) | Altre informazioni/note sul protocollo |
|---|---|---|---|---|
| Outlook | Tutte le versioni di Outlook per Windows e Mac |
|
Abilitazione dell'autenticazione moderna per Outlook: quanto può essere difficile? | |
| Servizi Web Exchange (EWS) | Applicazioni di terze parti che non supportano OAuth |
App più diffuse:
|
Seguire questo articolo per eseguire la migrazione dell'applicazione Gallatin personalizzata per l'uso di EWS con OAuth Microsoft Teams e Cisco Unity non sono attualmente disponibili in Gallatin |
Operazioni da eseguire con gli script powershell dell'API gestita di EWS che usano l'autenticazione di base |
| Remote PowerShell (RPS) |
|
Usare uno dei seguenti: | Azure Cloud Shell non è disponibile in Gallatin | Altre informazioni sul supporto dell'automazione e dell'autenticazione basata su certificati per il modulo Exchange Online PowerShell e Informazioni sulle diverse versioni di Exchange Online moduli di PowerShell e autenticazione di base. |
| POP e IMAP | Client mobili di terze parti, ad esempio client thunderbird di prima parte configurati per l'uso di POP o IMAP | Consigli:
|
Seguire questo articolo per configurare POP e IMAP con OAuth in Gallatin con codice di esempio | IMAP è molto diffuso per i clienti di Linux e dell'istruzione. Il supporto di OAuth 2.0 è stato avviato nell'aprile 2020. Autenticare una connessione IMAP, POP o SMTP tramite OAuth |
| Exchange ActiveSync (EAS) | Client di posta elettronica per dispositivi mobili da Apple, Samsung e così via. |
App più diffuse:
|
I dispositivi mobili che usano un'app nativa per connettersi a Exchange Online usano in genere questo protocollo. | |
| Individuazione automatica | App EWS ed EAS che usano l'individuazione automatica per trovare gli endpoint di servizio |
|
Informazioni di riferimento sul servizio Web di individuazione automatica per Exchange |
Risorse
Per altre informazioni, vedere gli articoli seguenti:
Impostazioni predefinite per la sicurezza:
- Impostazioni predefinite di sicurezza in Microsoft Entra ID
- Abilitazione delle impostazioni predefinite di sicurezza
Exchange Online i criteri di autenticazione:
- Gestire l'autenticazione di base nel centro Amministrazione Microsoft 365 (semplice)
- Procedure dei criteri di autenticazione in Exchange Online (avanzate)
Microsoft Entra l'accesso condizionale: