Exchange Online: autenticazione di base disattivata a partire da ottobre

Quasi tre anni fa Microsoft ha annunciato la disattivazione dell’autenticazione di base in Exchange Online e la migrazione al più moderno meccanismo basato su OAuth 2.0. Da allora la società guidata da Satya Nadella pubblica regolarmente dei promemoria chiedendo agli amministratori di sistema di adeguarsi prima possibile.

Dal 1° ottobre 2022 Microsoft inizierà a disattivare effettivamente l’autenticazione di base in Exchange Online procedendo per gradi.
Come viene spiegato in questa nota ufficiale, Microsoft inizierà a selezionare alcuni tenant in modo casuale e quindi a disattivare l’utilizzo dell’autenticazione di base per MAPI, RPC, Rubrica offline (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) e Remote PowerShell. È importante notare che il protocollo non sarà disabilitato per SMTP AUTH.

Gli utenti interessati dalla modifica verranno informati 7 giorni prima che essa divenga effettiva e un promemoria verrà inviato anche il giorno dell’intervento.
“Riconosciamo che purtroppo ci sono ancora molti tenant impreparati a questo cambiamento. Nonostante i numerosi post, gli avvisi nel Centro messaggi, la pubblicazione di informative periodiche, video, presentazioni e altro ancora, alcuni clienti non sono ancora consapevoli che questo cambiamento sta davvero arrivando. Ci sono anche molti clienti consapevoli della scadenza ma che semplicemente non hanno ancora svolto il lavoro necessario per evitare interruzioni nell’erogazione dei servizi“, osserva Microsoft. “Il nostro obiettivo è quello di proteggere i dati e gli account dal crescente numero di attacchi che sfruttano l’autenticazione di base e che stiamo continuamente rilevando“.

Non sarà però ancora un addio definitivo. Apprendiamo infatti che gli utenti di Exchange Online potranno comunque riattivare l’uso dell’autenticazione di base fino a dicembre 2022. L’intervento dovrà però essere fatto per ciascun protocollo e in ogni caso dalle prime settimane del prossimo anno Microsoft intende davvero staccare la spina impedendo ulteriori utilizzi dell’autenticazione di base.

“Stiamo aggiungendo una nuova funzionalità a Microsoft 365 per aiutare i nostri clienti ad evitare i rischi posti dall’autenticazione di base“, si aggiunge dall’azienda di Redmond. “Questa nuova funzionalità modifica il comportamento predefinito delle applicazioni di Office per bloccare le richieste di accesso tramite l’autenticazione di base. Con questa modifica, se gli utenti tentano di aprire file di Office su server che utilizzano solo l’autenticazione di base non vedranno alcuna richiesta di accesso. Comparirà invece un messaggio che informa sul blocco del file in forza dell’utilizzo di un metodo di accesso potenzialmente non sicuro“.