Le 13 octobre 2020, il ne sera plus possible d’utiliser l’authentification de base (nom d’utilisateur et mot de passe), pour accéder aux services d’Exchange Online, y compris Exchange ActiveSync, POP, IMAP et Remote PowerShell.
Il faudra impérativement passer par l’authentification moderne, basée sur des jetons OAuth 2.0, et qui nécessite Azure Active Directory (Azure AD).
Microsoft avait averti dès mars 2018 que les services Office 365 nécessiteraient l’authentification moderne en octobre 2020.
Ce changement a pour but d’améliorer la cybersécurité, avec des jetons à durée limitée, la possibilité d’imposer des authentifications à facteurs multiples, de définir des politiques d’accès conditionnel, etc.
Toutefois, il risque d’occasionner de nombreux problèmes si les administrateurs de ces services ne modifient pas leurs systèmes d’information :
- L’authentification moderne est désactivée par défaut pour Exchange Online et Skype Enterprise Online pour tous les locataires créés avant août 2017 ; Les administrateurs devront l’activer;
- Outlook 2013 est compatible avec l’authentification moderne, mais il faut l’activer à l’aide d’une clé de registre;
- Les entreprises qui utilisent des clients POP et IMAP doivent vérifier qu’ils sont compatibles avec l’authentification moderne ;
- L’application de messagerie par défaut d’Android n’est pas compatible avec l’authentification moderne ; Il faut prévoir de changer de client de messagerie. Sans surprise, Microsoft recommande l’utilisation d’Outlook sur Android et iOS ;
- Il faut vérifier que toutes les applications tierces accédant aux boîtes à lettres soient compatibles avec l’authentification moderne ;
- Microsoft n’a pas fini l’adaptation de Remote PowerShell pour accéder à Exchange Online à l’aide de certificats de sécurité, le personnel informatique devra suivre l’évolution pendant les mois à venir, et s’intéresser aux nouveaux modules Version 2 de PowerShell pour Exchange Online (EXO V2), voire à Azure Cloud Shell;
- Il sera sans doute impossible de faire quoi que ce soit pour des appareils, comme des copieurs ou des scanners, dont les micrologiciels ne sont plus mis à jour.
Si l’authentification de base pour SMTP est, pour l’instant, toujours autorisée, ce qui permettra à un copieur d’envoyer des documents dans une boîte de messagerie, de tels appareils ne pourront plus recevoir de messages.
Pour aider les administrateurs systèmes, Microsoft propose un rapport de connexion à Azure AD, Azure AD Sign-In Report. Il est aujourd’hui exclusivement réservé aux abonnés Azure AD Premium, mais Microsoft promet qu’il sera disponible pour tous les clients prochainement.