Deprecazione Autenticazione di base Exchange Online

Microsoft rimuove la possibilità di usare l’autenticazione di base in Exchange Online a fine ottobre 2022

Per diversi anni, le applicazioni hanno usato l’autenticazione di base per connettersi a server, servizi ed endpoint. L’autenticazione di base significa semplicemente che l’applicazione invia un nome utente e una password a ogni richiesta e tali credenziali vengono spesso archiviate o salvate nel dispositivo.
In genere, l’autenticazione di base è abilitata per impostazione predefinita nella maggior parte dei server o dei servizi ed è semplice da configurare.

Purtroppo, l’autenticazione di base semplifica l’acquisizione delle credenziali utente da parte degli utenti malintenzionati, aumentando il rischio che le credenziali rubate vengano riutilizzate da altri endpoint o servizi. Inoltre, l’applicazione dell’autenticazione a più fattori (MFA) non è semplice o, in alcuni casi, possibile quando l’autenticazione di base rimane abilitata.

L’autenticazione di base è uno standard di settore obsoleto. Ci sono alternative di autenticazione utente migliori e più efficaci.

L’autenticazione moderna in Exchange OnLine

L’autenticazione moderna in Exchange Online abilita caratteristiche di autenticazione come l’autenticazione a più fattori (MFA) con smart card, l’autenticazione basata su certificato (CBA) e i provider di identità SAML di terze parti.

Quando si abilita l’autenticazione moderna in Exchange Online, i client Outlook basati su Windows che supportano l’autenticazione moderna (Outlook 2013 o versioni successive) utilizzano l’autenticazione moderna per connettersi alle cassette postali di Exchange Online. Per altre informazioni, vedere Come funziona l’autenticazione moderna per le app client di Office.

Cosa cambia?

È consigliabile adottare strategie di sicurezza applicando criteri di valutazione in tempo reale quando utenti e dispositivi accedono alle informazioni aziendali. Queste alternative consentono di prendere decisioni intelligenti su chi sta cercando di accedere a cosa da dove si trova il dispositivo anziché semplicemente considerare attendibili le credenziali di autenticazione che potrebbero essere un attore non valido che rappresenta un utente.

Tenendo presente queste minacce e rischi, Microsoft sta adottando misure per migliorare la sicurezza dei dati in Exchange Online deprecando la autenticazione di base e di fatto impedirà anche l’uso di password delle app con app che non supportano la verifica in due passaggi (MFA).

Quando verrà apportata questa modifica?

Questa modifica è già stata avviata, come comunicato da Microsoft nel 2021 nei post del blog e nell’MC286990, a partire dall’inizio del 2021, è stata avviata la disabilitazione dell’autenticazione di base per i tenant esistenti senza utilizzo segnalato. Le notifiche del Centro messaggi vengono sempre fornite a qualsiasi cliente prima che l’autenticazione di base venga disabilitata nel tenant.

A partire dal 1° ottobre 2022 Microsoft comincerà a disabilitare l’autenticazione di base per i protocolli Outlook, EWS, RPS, POP, IMAP ed EAS in Exchange Online. L’autenticazione SMTP verrà disabilitata anche se non viene usata. Vedere l’annuncio completo: Autenticazione di base e Exchange Online – Aggiornamento di settembre 2021.

Eccezioni e tempistica per tenant

Non è possibile richiedere un’eccezione dopo ottobre. La selezione del tenant è casuale e non è possibile inserire il tenant in fondo alla coda per avere più tempo o modificare le impostazioni ad una data specifica. Se si desidera che l’autenticazione di base venga disabilitata in un momento a scelta (ora o non appena si è pronti), è possibile usare le politiche di autenticazione.

Impatto sui protocolli di messaggistica e sulle applicazioni esistenti

È importante sapere che l’autenticazione di base è stata sostituita dall’autenticazione moderna e l’autenticazione di base è stata deprecata per i seguenti protocolli: MAPI, RPC, Rubrica offline (OAB), Servizi Web Exchange (EWS), POP, IMAP e PowerShell remoto .

Consigliamo di collaborare con il fornitore per aggiornare le app o i client usati che potrebbero essere interessati.

Smtp AUTH (SMTP autenticato) sarà ancora disponibile quando l’autenticazione di base è disabilitata definitivamente il 1° ottobre 2022. Il motivo per cui SMTP sarà ancora disponibile è che molti dispositivi multifunzione, ad esempio stampanti e scanner che non possono essere aggiornati per usare l’autenticazione moderna. Tuttavia, si consiglia vivamente ai clienti di abbandonare l’uso dell’autenticazione di base con SMTP AUTH, quando possibile.

È importante sapere che l’autenticazione di base è stata sostituita dall’autenticazione moderna e l’autenticazione di base è stata deprecata per i seguenti protocolli: MAPI, RPC, Rubrica offline (OAB), Servizi Web Exchange (EWS), POP, IMAP e PowerShell remoto. SMTP AUTH è già disabilitato per tutti i tenant che non lo utilizzano, ma è ancora abilitato per quelli che lo fanno. Tuttavia, Microsoft ha consigliato alle organizzazioni di disattivarlo a livello di tenant e di attivarlo solo per le persone che ne hanno bisogno.

Contattate il nostro Ufficio Tecnico per ulteriori informazioni su questo cambiamento e per effettuare un’analisi della infrastruttura in modo da intraprendere eventuali correzioni alle configurazioni.