> Tech > Préparer vos clients Exchange Online pour la Saint Edouard 2020

Préparer vos clients Exchange Online pour la Saint Edouard 2020

Tech - Par Laurent Teruin - Publié le 11 mars 2020
email

Hormis le fait que le 13 octobre sera la Saint Edouard, (ce qui n’aura échappé à personne), Microsoft a annoncé l’arrêt de l’authentification basique à cette date sur l’environnement Exchange online. Plutôt que de subir cela de plein fouet le jour où cela surviendra ; il peut être opportun de s’y préparer un peu. Cette publication vous aidera à y voir clair, je l’espère.

Préparer vos clients Exchange Online pour la Saint Edouard 2020

L’authentification basique pour ceux qui ne le savent pas encore, consiste à faire passer dans un tunnel sécurisé, ici HTTPS, les informations de connexion de l’utilisateur pour qu’il puisse accéder au service demandé, ici Exchange Online.  Cette méthode d’authentification n’étant pas compatible avec des fonctions comme l’authentification à plusieurs facteurs (MFA), je dirais qu’elle a plutôt fait son temps. Au regard des exigences de sécurité relatives aux services SaaS, cette méthode n’offre plus un niveau de sécurité suffisant et doit légitiment être supprimée.

Le problème qui se pose donc est d’identifier les programmes ou applications qui seraient susceptibles d’utiliser encore cette bonne vielle méthode. Si l’on s’en réfère à la documentation Microsoft, les applications mobiles et suites Office qui sont capables de s’en passer sont les suivantes :

Un fois avoir pris cela en compte… il reste encore un petit bout de chemin à faire. Car quid

  • Des applications de messagerie mobile de tous les utilisateurs en BYOD,
  • De mes connexions en PowerShell ?
  • .

Dans le tableau suivant toujours issu de la documentation Microsoft, l’authentification basique est utilisée dans Exchange Online  par les protocoles suivants :

 

Protocole ou service Description Nom du paramètre
Exchange Active Sync (EAS) Utilisé par certains clients de messagerie sur les appareils mobiles. AllowBasicAuthActiveSync
Découverte automatique Utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter AllowBasicAuthAutodiscover
IMAP 4 Utilisé par les clients de messagerie IMAP. AllowBasicAuthImap
MAPI sur HTTP (MAPI/HTTP) Utilisé par Outlook 2010 et versions ultérieures. AllowBasicAuthMapi
Carnet d’adresses en mode hors connexion Une copie des collections de listes d’adresses qui sont téléchargées et utilisées par Outlook. AllowBasicAuthOfflineAddressBook
Service Outlook Utilisé par l’application de messagerie et de calendrier pour Windows 10. AllowBasicAuthOutlookService
POP3 Utilisé par les clients de messagerie POP. AllowBasicAuthPop
Services Web de création de rapports Permet de récupérer les données de rapport dans Exchange Online. AllowBasicAuthReportingWebServices
Outlook Anywhere (RPC sur HTTP) Utilisé par Outlook 2016 et les versions antérieures. AllowBasicAuthRpc
SMTP authentifié Utilisé par les clients POP et IMAP pour envoyer des messages électroniques. AllowBasicAuthSmtp
Services Web Exchange (EWS) Interface de programmation utilisée par Outlook, Outlook pour Mac et les applications tierces. AllowBasicAuthWebServices
PowerShell Permet de se connecter à Exchange Online à l’aide de PowerShell à distance. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter. AllowBasicAuthPowerShell

 

Téléchargez gratuitement cette ressource

CIO Report spécial Software Intelligence

CIO Report spécial Software Intelligence

La Software Intelligence Platform de Dynatrace analyse les données issues des applications, des conteneurs, des services, des processus et des infrastructures. Davis, son moteur d’IA, fournit des réponses immédiates pour surmonter la complexité du cloud, automatiser les opérations d’exploitation et accélérer les performances des équipes IT. Découvrez comment tirer le meilleur profit de la Software Intelligence dans ce nouveau Rapport CIO.

Par contre, seuls les protocoles concernés par l’annonce faite par Microsoft sont :

  • Exchange ActiveSync (EAS), (Applications mobiles sur tablette ou Smartphone)
  • IMAP, POP (vieux clients de messagerie)
  • Remote PowerShell

La protocole SMTP AUTH, qui est utilisé par grand nombre de dispositifs et d’appareils pour envoyer du courrier n’est pas concerné pour le moment, et ce malgré le fait que Microsoft travaille actuellement sur les moyens de le sécuriser davantage.

Microsoft a eu le bon gout de prévoir ces modifications, par l’usage de stratégies qui permettent de restreindre l’authentification basique par protocole cité ci-dessus, soit de façon unilatérale, soit, et c’est ce qui va vous permettre de vous préparer, par utilisateur.

Autrement dit, vous allez pouvoir créer une stratégie restreignant l’authentification sur tout ou partie, des services précités et l’affecter à un groupe d’utilisateurs pilotes. Cette méthode vous permettra d’identifier assez rapidement les périphériques, les applications ou les différents services qui se connectent encore avec cette méthode.

L’autre intérêt des stratégies est qu’il suffit de sortir l’utilisateur de cette stratégie pour que l’authentification basique redevienne possible. Attention tout de même, le changement de stratégie peut prendre jusqu’à 24 heures.  Le détail de la mise en place de ces stratégies peut être trouvé ici :

https://docs.microsoft.com/fr-fr/exchange/clients-and-mobile-in-exchange-online/disable-basic-authentication-in-exchange-online

Je ne saurais trop vous conseiller de prendre cela au sérieux et de démarrer rapidement des phases de test, car pour l’avoir vécu par le passé à grande échelle, la désactivation de l’authentification basique a parfois sur des applications non identifiées des effets assez…. Immédiats.

Tech - Par Laurent Teruin - Publié le 11 mars 2020