Abandonner l’authentification Basic pour la Modern Authentication dans Exchange Online

À partir du 1er octobre 2022, Microsoft va mettre fin à l’authentification Basic. Désormais, vous ne pourrez plus utiliser que la Modern Authentication au sein de votre tenant Microsoft 365.

Mais concrètement qu’est-ce que ça veut dire ? C’est le même principe que pour l’abandon du NTLM v1, SMB v1 au sein de votre infrastructure on-prem. Pour faire simple, les technologies évoluent et ce qui pouvait paraître sécurisé il y a des années ne l’est plus forcément aujourd’hui. Alors oui, c’est contraignant mais c’est important pour la sécurité de votre organisation ! 🛡

(Ads)

Typiquement lorsque Microsoft va désactiver la Basic Authentication, vous ne pourrez plus utiliser les protocoles suivants au niveau de la messagerie Exchange Online : MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS).

Comme l’indique Microsoft, il n’y aura aucun moyen de demander une extension de délai ou simplement le fait que votre Tenant soit désactivé en dernier.

Vous devez donc être prêt pour cette date et vous assurer d’avoir recours à la Modern Authentication pour l’ensemble de vos outils / scripts, etc. Je vous passe les raisons de l’abandon de cette mécanique d’authentification – si vous avez besoin de vous en convaincre je vous invite à consulter l’article suivant sur le site de Microsoft.

Compromission des comptes via les protocoles SMTP, IMAP, POP.
Compromission des comptes via les protocoles SMTP, IMAP, POP.

Vérifier si vous utilisez encore le Basic Authentication

Pour vérifier si vous avez encore des comptes / outils qui se connectent à votre Tenant en Basic Authentication, il suffit de vous rendrez dans les logs d’Azure AD. Allez dans la section Monitoring puis Sign-ins.

Vous verrez toutes les connexions entrantes sur votre Tenant. Ainsi, pour afficher uniquement les connexions obsolètes, il vous suffit d’utiliser un filtre et de cocher les options suivantes : autodiscover, Exchange ActiveSync, IMAP, POP, SMTP… et toutes les options que vous verrez sur la capture d’écran ci-dessous. 🙂

Voir l'utilisation de la Basic Authentication avec les logs Azure Active Directory (1)
Voir l’utilisation de la Basic Authentication avec les logs Azure Active Directory (1)
Voir l'utilisation de la Basic Authentication avec les logs Azure Active Directory (2)
Voir l’utilisation de la Basic Authentication avec les logs Azure Active Directory (2)

Si vous voyez des comptes qui se connectent de cette façon, vous devez vous rapprocher des personnes concernées. S’il s’agit d’un compte de service alors il vous faut vous rapprocher de l’application métier qui consomme ce compte afin de trouver une solution de secours (en passant idéalement sur de la Modern Authentication).

(Ads)

Désactiver la Basic Authentication au profit du Modern Authentication

Si votre Tenant a été créé après octobre 2019, Microsoft aura déjà désactivé le Basic Authentication. Si ce n’est pas le cas en revanche ou si vous l’avez ponctuellement réactivé, alors vous allez devoir le désactiver à nouveau.

Si vous utilisez l’option des Security Defaults alors la transition est également déjà effectuée. 👍

Activation des Security defaults
Activation des Security defaults

Si vous n’êtes pas dans les cas précédemment mentionnés alors vous devez urgemment procéder à la désactivation du Basic Authentication dans votre Exchange Online. Pour ce faire, je vous invite à consulter la documentation officielle disponible sur le site de Microsoft :

Vous pouvez également vérifier votre configuration graphiquement dans votre portail Microsoft 365 admin center en allant dans Settings puis Org Settings. Vous verrez une option dédiée à la Modern authentication.

Microsoft 365 admin center - Modern Authentication
Microsoft 365 admin center – Modern Authentication

Plus d’informations en suivant les liens ci-dessous :