Autenticazione di base in Exchange Online: tutti i dettagli

Microsoft sta pian piano rimuovendo l'autenticazione di base da Exchange Online su tutti i tenant

La ragione è ovvia: l’autenticazione di base è un metodo di autenticazione a fattore singolo (nome utente/password), troppo facile da indovinare e sfruttare per i malintenzionati. L’autenticazione moderna, d’altra parte, supporta l’autenticazione a più fattori ed è molto più sicura. La disattivazione delle impostazioni di base richiede inevitabilmente l’utilizzo dell’autenticazione moderna per tutte le richieste.

Il problema è che alcune app e client legacy utilizzano ancora solo l’autenticazione di base. Fortunatamente, la lista si sta accorciando. Microsoft sta attualmente disabilitando l’autenticazione di base nei tenant in cui non viene utilizzata.

Di seguito alcune note e dettagli su alcuni aspetti interessanti:

• L’autenticazione di base viene disabilitata nella configurazione del tenant per tutti i protocolli tranne che per l’individuazione automatica: in questo caso è richiesta per i client Outlook legacy come Outlook 2013 e versioni precedenti. Questo da solo è uno dei migliori motivi per abbandonare questi vecchi client al più presto.
• L’autenticazione di base per SMTP viene disabilitata per i clienti che non la utilizzano grazie al comando Set- TransportConfig -SmtpClientAuthenticationDisabled:$true. Gli amministratori possono riattivarlo impostando il valore su $false. Questa impostazione può essere configurata anche come impostazione per utente, che è consigliata.
• I criteri di autenticazione sono il modo preferito per disabilitare l’autenticazione, anziché i criteri di accesso condizionale. I criteri CA si applicano solo dopo che l’utente ha già effettuato l’accesso.
• È possibile utilizzare i criteri di autenticazione per disabilitare l’autenticazione di base per l’individuazione automatica (e tutti gli altri protocolli). Ciò significa che potresti avere due aree per verificare se è necessario riabilitare l’autenticazione di base per un protocollo: i criteri di autenticazione e le impostazioni di configurazione del tenant utilizzate da Microsoft.
• Per un periodo di tempo limitato, gli amministratori del tenant possono utilizzare lo strumento di risoluzione dei problemi per eseguire la diagnostica e fornire opzioni self-service per riattivare l’autenticazione di base per i protocolli Exchange Online come POP3, IMAP4, Exchange ActiveSync, Servizi Web Exchange, Rubrica offline, MAPI, RPC e Remote PowerShell. Basta fare clic sul pulsante Guida e supporto su qualsiasi portale O365 e digitare Diag: Enable Basic Auth in EXO.

• Finora Microosft ha disabilitato l’autenticazione di base in migliaia di tenant. Solo lo 0,06% di questi l’hanno riabilitata per un protocollo specifico e tutti utilizzano lo strumento di risoluzione dei problemi di auto-aiuto.
• Gli amministratori del tenant possono sapere se l’autenticazione di base è stata disabilitata nel loro tenant connettendosi a Exchange Online PowerShell ed eseguendo Get-OrganizationConfig | fl basic*. Il valore della proprietà BasicAuthBlockedApps sarà 0 se l’autenticazione è ancora abilitata o 255 se è stata completamente disabilitata. Questo valore è una maschera di bit per ciascuno dei seguenti valori di protocollo, per un totale di 255.

Da tenere presente che se si ha configurato un client per la connessione utilizzando l’autenticazione di base (ad esempio Outlook per Mac), probabilmente sarà necessario riconfigurare il profilo del client per utilizzare l’autenticazione moderna dopo che Basic è stato disabilitato.

Le informazioni presenti in questo post, sono prese dall’articolo: Notes and details on the eradication of Basic Authentication in Exchange Online