Désactiver l’authentification de base dans Exchange OnlineDisable Basic authentication in Exchange Online

Notes

Si vous avez activé les paramètres de sécurité par défaut dans votre organisation, l’authentification de base est déjà désactivée dans Exchange Online.If you've enabled security defaults in your organization, Basic authentication is already disabled in Exchange Online. Pour plus d’informations, consultez Présentation des paramètres de sécurité par défautFor more information, see What are security defaults?. Consultez la rubrique authentification de base et Exchange Online pour obtenir les dernières annonces concernant l’authentification de base.Please see Basic Authentication and Exchange Online for the latest announcements concerning Basic authentication.

L’authentification de base dans Exchange Online utilise un nom d’utilisateur et un mot de passe pour les demandes d’accès client.Basic authentication in Exchange Online uses a username and a password for client access requests. Le blocage de l’authentification de base peut vous aider à protéger votre organisation Exchange Online contre les attaques de force brute ou de pulvérisation par mot de passe.Blocking Basic authentication can help protect your Exchange Online organization from brute force or password spray attacks. Lorsque vous désactivez l’authentification de base pour les utilisateurs dans Exchange Online, leurs clients et applications de messagerie doivent prendre en charge l’authentification moderne.When you disable Basic authentication for users in Exchange Online, their email clients and apps must support modern authentication. Ces clients sont les suivants :Those clients are:

Si votre organisation ne dispose pas de clients de messagerie hérités, vous pouvez utiliser des stratégies d’authentification dans Exchange Online pour désactiver les demandes d’authentification de base, ce qui force toutes les demandes d’accès client à utiliser l’authentification moderne.If your organization has no legacy email clients, you can use authentication policies in Exchange Online to disable Basic authentication requests, which forces all client access requests to use modern authentication. Pour plus d’informations sur l’authentification moderne, reportez-vous à la rubrique utilisation de l’authentification moderne avec les clients Office.For more information about modern authentication, see Using modern authentication with Office clients.

Cette rubrique explique comment l’authentification de base est utilisée et bloquée dans Exchange Online, ainsi que les procédures correspondantes pour les stratégies d’authentification.This topic explains how Basic authentication is used and blocked in Exchange Online, and the corresponding procedures for authentication policies.

Fonctionnement de l’authentification de base dans Exchange OnlineHow Basic authentication works in Exchange Online

L’authentification de base est également appelée authentification proxy car le client de messagerie transmet le nom d’utilisateur et le mot de passe à Exchange Online, et Exchange Online transfère les informations d’identification à un fournisseur d’identité faisant autorité (IDP) pour le compte du client ou de l’application de messagerie.Basic authentication is also known as proxy authentication because the email client transmits the username and password to Exchange Online, and Exchange Online forwards or proxies the credentials to an authoritative identity provider (IdP) on behalf of the email client or app. IdP repose sur le modèle d’authentification de votre organisation :The IdP depends your organization's authentication model:

  • Authentification Cloud : le IDP est Azure Active Directory.Cloud authentication : The IdP is Azure Active Directory.

  • Authentification fédérée : le IDP est une solution locale telle que Active Directory Federation Services (AD FS).Federated authentication : The IdP is an on-premises solution like Active Directory Federation Services (AD FS).

Ces modèles d’authentification sont décrits dans les sections suivantes.These authentication models are described in the following sections. Pour plus d’informations, reportez-vous à la rubrique choisir la méthode d’authentification appropriée pour votre solution d’identité hybride Azure Active Directory.For more information, see Choose the right authentication method for your Azure Active Directory hybrid identity solution.

Authentification CloudCloud authentication

Les étapes de l’authentification Cloud sont décrites dans le diagramme suivant :The steps in cloud authentication are described in the following diagram:

Étapes de base pour l’authentification basée sur le Cloud et l’emplacement de blocage de l’authentification de base.

  1. Le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online.The email client sends the username and password to Exchange Online.

    Remarque : lorsque l’authentification de base est bloquée, elle est bloquée à cette étape.Note : When Basic authentication is blocked, it's blocked at this step.

  2. Exchange Online envoie le nom d’utilisateur et le mot de passe à Azure Active Directory.Exchange Online sends the username and password to Azure Active Directory.

  3. Azure Active Directory renvoie un ticket utilisateur vers Exchange Online et l’utilisateur est authentifié.Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

Authentification fédéréeFederated authentication

Les étapes de l’authentification fédérée sont décrites dans le diagramme suivant :The steps in federated authentication are described in the following diagram:

Étapes de base pour l’authentification fédérée et l’emplacement de blocage de l’authentification de base

  1. Le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online.The email client sends the username and password to Exchange Online.

    Remarque : lorsque l’authentification de base est bloquée, elle est bloquée à cette étape.Note : When Basic authentication is blocked, it's blocked at this step.

  2. Exchange Online envoie le nom d’utilisateur et le mot de passe au service IdP local.Exchange Online sends the username and password to the on-premises IdP.

  3. Exchange Online reçoit un jeton SAML (Security Assertion Markup Language) à partir du IdP local.Exchange Online receives a Security Assertion Markup Language (SAML) token from the on-premises IdP.

  4. Exchange Online envoie le jeton SAML à Azure Active Directory.Exchange Online sends the SAML token to Azure Active Directory.

  5. Azure Active Directory renvoie un ticket utilisateur vers Exchange Online et l’utilisateur est authentifié.Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

Mode de blocage de l’authentification de base dans Exchange OnlineHow Basic authentication is blocked in Exchange Online

Vous bloquez l’authentification de base dans Exchange Online en créant et en affectant des stratégies d’authentification à des utilisateurs individuels.You block Basic authentication in Exchange Online by creating and assigning authentication policies to individual users. Les stratégies définissent les protocoles clients où l’authentification de base est bloquée et l’affectation de la stratégie à un ou plusieurs utilisateurs bloque leurs demandes d’authentification de base pour les protocoles spécifiés.The policies define the client protocols where Basic authentication is blocked, and assigning the policy to one or more users blocks their Basic authentication requests for the specified protocols.

Lorsqu’elle est bloquée, l’authentification de base dans Exchange Online est bloquée lors de la première étape de pré-authentification (étape 1 dans les schémas précédents) avant que la demande n’atteigne Azure Active Directory ou le IdP local.When it's blocked, Basic authentication in Exchange Online is blocked at the first pre-authentication step (Step 1 in the previous diagrams) before the request reaches Azure Active Directory or the on-premises IdP. L’avantage de cette approche est la force brute ou les attaques par pulvérisation de mot de passe n’atteindront pas IdP (qui peut déclencher des verrouillages de compte en raison de tentatives de connexion incorrectes).The benefit of this approach is brute force or password spray attacks won't reach the IdP (which might trigger account lock-outs due to incorrect login attempts).

Étant donné que les stratégies d’authentification fonctionnent au niveau de l’utilisateur, Exchange Online ne peut bloquer les demandes d’authentification de base que pour les utilisateurs qui existent dans l’organisation en nuage.Because authentication policies operate at the user level, Exchange Online can only block Basic authentication requests for users that exist in the cloud organization. Pour l’authentification fédérée, si un utilisateur n’existe pas dans Exchange Online, le nom d’utilisateur et le mot de passe sont transférés vers le IdP local.For federated authentication, if a user doesn't exist in Exchange Online, the username and password are forwarded to the on-premises IdP. Par exemple, considérez le scénario suivant :For example, consider the following scenario:

  1. Une organisation a le domaine fédéré contoso.com et utilise AD FS sur site pour l’authentification.An organization has the federated domain contoso.com and uses on-premises AD FS for authentication.

  2. L’utilisateur ian@contoso.com existe dans l’organisation locale, mais pas dans Office 365 ou Microsoft 365 (il n’y a pas de compte d’utilisateur dans Azure Active Directory ni d’objet destinataire dans la liste d’adresses globale Exchange Online).The user ian@contoso.com exists in the on-premises organization, but not in Office 365 or Microsoft 365 (there's no user account in Azure Active Directory and no recipient object in the Exchange Online global address list).

  3. Un client de messagerie envoie une demande de connexion à Exchange Online avec le nom d’utilisateur ian@contoso.com.An email client sends a login request to Exchange Online with the username ian@contoso.com. Une stratégie d’authentification ne peut pas être appliquée à l’utilisateur et la demande d’authentification pour ian@contoso.com est envoyée aux services ADFS (Active Directory Federation Services) locaux.An authentication policy can't be applied to the user, and the authentication request for ian@contoso.com is sent to the on-premises AD FS.

  4. Les services ADFS (Active Directory Federation Services) peuvent accepter ou rejeter la demande d’authentification pour ian@contoso.com.The on-premises AD FS can either accept or reject the authentication request for ian@contoso.com. Si la demande est acceptée, un jeton SAML est renvoyé à Exchange Online.If the request is accepted, a SAML token is returned to Exchange Online. Tant que la valeur ImmutableId du jeton SAML correspond à un utilisateur dans Azure Active Directory, Azure ad émettra un ticket utilisateur pour Exchange Online (la valeur ImmutableId est définie lors de l’installation d’Azure Active Directory Connect).As long as the SAML token's ImmutableId value matches a user in Azure Active Directory, Azure AD will issue a user ticket to Exchange Online (the ImmutableId value is set during Azure Active Directory Connect setup).

Dans ce scénario, si contoso.com utilise un serveur AD FS sur site pour l’authentification, le serveur AD FS local continuera de recevoir des demandes d’authentification pour les noms d’utilisateurs qui n’existent pas à partir d’Exchange Online lors d’une attaque par pulvérisation de mot de passe.In this scenario, if contoso.com uses on-premises AD FS server for authentication, the on-premises AD FS server will still receive authentication requests for non-existent usernames from Exchange Online during a password spray attack.

Dans un déploiement hybride Exchange, l’authentification de vos boîtes aux lettres locales sera gérée par vos serveurs Exchange locaux, et les stratégies d’authentification ne s’appliqueront pas.In an Exchange hybrid deployment, authentication for your on-premises mailboxes will be handled by your on-premises Exchange servers, and authentication policies won't apply. Pour les boîtes aux lettres déplacées vers Exchange Online, le service de découverte automatique les redirige vers Exchange Online, puis certains des scénarios précédents s’appliquent.For mailboxes moved to Exchange Online, the Autodiscover service will redirect them to Exchange Online, and then some of the previous scenarios will apply.

Procédures de stratégie d’authentification dans Exchange OnlineAuthentication policy procedures in Exchange Online

Vous gérez tous les aspects des stratégies d’authentification dans Exchange Online PowerShell.You manage all aspects of authentication policies in Exchange Online PowerShell. Les protocoles et services d’Exchange Online pour lesquels vous pouvez bloquer l’authentification de base sont décrits dans le tableau suivant.The protocols and services in Exchange Online that you can block Basic authentication for are described in the following table.

Protocole ou serviceProtocol or service DescriptionDescription Nom du paramètreParameter name
Exchange Active Sync (EAS)Exchange Active Sync (EAS) Utilisé par certains clients de messagerie sur les appareils mobiles.Used by some email clients on mobile devices. AllowBasicAuthActiveSyncAllowBasicAuthActiveSync
Découverte automatiqueAutodiscover Utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecterUsed by Outlook and EAS clients to find and connect to mailboxes in Exchange Online AllowBasicAuthAutodiscoverAllowBasicAuthAutodiscover
IMAP4IMAP4 Utilisé par les clients de messagerie IMAP.Used by IMAP email clients. AllowBasicAuthImapAllowBasicAuthImap
MAPI sur HTTP (MAPI/HTTP)MAPI over HTTP (MAPI/HTTP) Utilisé par Outlook 2010 et versions ultérieures.Used by Outlook 2010 and later. AllowBasicAuthMapiAllowBasicAuthMapi
Carnet d’adresses en mode hors connexionOffline Address Book (OAB) Une copie des collections de listes d’adresses qui sont téléchargées et utilisées par Outlook.A copy of address list collections that are downloaded and used by Outlook. AllowBasicAuthOfflineAddressBookAllowBasicAuthOfflineAddressBook
Service OutlookOutlook Service Utilisé par l’application de messagerie et de calendrier pour Windows 10.Used by the Mail and Calendar app for Windows 10. AllowBasicAuthOutlookServiceAllowBasicAuthOutlookService
POP3POP3 Utilisé par les clients de messagerie POP.Used by POP email clients. AllowBasicAuthPopAllowBasicAuthPop
Services Web de création de rapportsReporting Web Services Permet de récupérer les données de rapport dans Exchange Online.Used to retrieve report data in Exchange Online. AllowBasicAuthReportingWebServicesAllowBasicAuthReportingWebServices
Outlook Anywhere (RPC sur HTTP)Outlook Anywhere (RPC over HTTP) Utilisé par Outlook 2016 et les versions antérieures.Used by Outlook 2016 and earlier. AllowBasicAuthRpcAllowBasicAuthRpc
SMTP authentifiéAuthenticated SMTP Utilisé par les clients POP et IMAP pour envoyer des messages électroniques.Used by POP and IMAP clients to send email messages. AllowBasicAuthSmtpAllowBasicAuthSmtp
Services Web Exchange (EWS)Exchange Web Services (EWS) Interface de programmation utilisée par Outlook, Outlook pour Mac et les applications tierces.A programming interface that's used by Outlook, Outlook for Mac, and third-party apps. AllowBasicAuthWebServicesAllowBasicAuthWebServices
PowerShellPowerShell Permet de se connecter à Exchange Online à l’aide de PowerShell à distance.Used to connect to Exchange Online with remote PowerShell. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online v2 pour vous connecter.If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online V2 module to connect. Pour obtenir des instructions, voir Connexion à Exchange Online PowerShell.For instructions, see Connect to Exchange Online PowerShell. AllowBasicAuthPowerShellAllowBasicAuthPowerShell

En règle générale, lorsque vous bloquez l’authentification de base pour un utilisateur, nous vous recommandons de bloquer l’authentification de base pour tous les protocoles.Typically, when you block Basic authentication for a user, we recommend that you block Basic authentication for all protocols. Toutefois, vous pouvez utiliser les paramètres * AllowBasicAuth (commutateurs) sur les cmdlets New-AuthenticationPolicy et Set-AuthenticationPolicy pour autoriser ou bloquer de manière sélective l’authentification de base pour des protocoles spécifiques.However, you can use the AllowBasicAuth* parameters (switches) on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets to selectively allow or block Basic authentication for specific protocols.

Pour les clients et applications de messagerie qui ne prennent pas en charge l’authentification moderne, vous devez autoriser l’authentification de base pour les protocoles et les services dont ils ont besoin.For email clients and apps that don't support modern authentication, you need to allow Basic authentication for the protocols and services that they require. Ces protocoles et services sont décrits dans le tableau suivant :These protocols and services are described in the following table:

ClientClient Protocoles et servicesProtocols and services
Anciens clients EWSOlder EWS clients • Découverte automatique• Autodiscover
• EWS• EWS
Anciens clients ActiveSyncOlder ActiveSync clients • Découverte automatique• Autodiscover
• ActiveSync• ActiveSync
Clients POPPOP clients • POP3• POP3
• SMTP authentifié• Authenticated SMTP
Clients IMAPIMAP clients • IMAP4• IMAP4
• SMTP authentifié• Authenticated SMTP
Outlook 2010Outlook 2010 • Découverte automatique• Autodiscover
• MAPI sur HTTP• MAPI over HTTP
• Carnet d’adresses en mode hors connexion• Offline Address Book
• Outlook Anywhere (RPC sur HTTP)• Outlook Anywhere (RPC over HTTP)
• Services Web Exchange (EWS)• Exchange Web Services (EWS)

Notes

Le blocage de l’authentification de base bloquera les mots de passe d’application dans Exchange Online.Blocking Basic authentication will block app passwords in Exchange Online. Pour plus d’informations sur les mots de passe d’application, voir créer un mot de passe d’application.For more information about app passwords, see Create an app password.

Ce qu'il faut savoir avant de commencerWhat do you need to know before you begin?

Créer et appliquer des stratégies d’authentificationCreate and apply authentication policies

Les étapes à suivre pour créer et appliquer des stratégies d’authentification pour bloquer l’authentification de base dans Exchange Online sont les suivantes :The steps to create and apply authentication policies to block Basic authentication in Exchange Online are:

  1. Créez la stratégie d’authentification.Create the authentication policy.

  2. Affectez la stratégie d’authentification aux utilisateurs.Assign the authentication policy to users.

  3. Patientez 24 heures après l’application de la stratégie à des utilisateurs ou forcez l’application immédiate de la stratégie.Wait 24 hours for the policy to be applied to users, or force the policy to be immediately applied.

Ces étapes sont décrites dans les sections suivantes.These steps are described in the following sections.

Étape 1 : créer la stratégie d’authentificationStep 1: Create the authentication policy

Pour créer une stratégie qui bloque l’authentification de base pour tous les protocoles clients disponibles dans Exchange Online (configuration recommandée), utilisez la syntaxe suivante :To create a policy that blocks Basic authentication for all available client protocols in Exchange Online (the recommended configuration), use the following syntax:

New-AuthenticationPolicy -Name "<Descriptive Name>"

Cet exemple crée une stratégie d’authentification nommée Block Basic auth.This example creates an authentication policy named Block Basic Auth.

New-AuthenticationPolicy -Name "Block Basic Auth"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-AuthenticationPolicy.For detailed syntax and parameter information, see New-AuthenticationPolicy.

Remarques  :Notes :

  • Vous ne pouvez pas modifier le nom de la stratégie une fois que vous l’avez créée (le paramètre Name n’est pas disponible dans la cmdlet Set-AuthenticationPolicy ).You can't change the name of the policy after you create it (the Name parameter isn't available on the Set-AuthenticationPolicy cmdlet).

  • Pour activer l’authentification de base pour des protocoles spécifiques de la stratégie, consultez la section modifier les stratégies d’authentification plus loin dans cette rubrique.To enable Basic authentication for specific protocols in the policy, see the Modify authentication policies section later in this topic. Les mêmes paramètres de protocole sont disponibles sur les cmdlets New-AuthenticationPolicy et Set-AuthenticationPolicy , et les étapes d’activation de l’authentification de base pour des protocoles spécifiques sont les mêmes pour les deux cmdlets.The same protocol settings are available on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets, and the steps to enable Basic authentication for specific protocols are the same for both cmdlets.

Étape 2 : affecter la stratégie d’authentification aux utilisateursStep 2: Assign the authentication policy to users

Les méthodes que vous pouvez utiliser pour attribuer des stratégies d’authentification aux utilisateurs sont décrites dans cette section :The methods that you can use to assign authentication policies to users are described in this section:

  • Comptes d’utilisateur individuels : utilisez la syntaxe suivante :Individual user accounts : Use the following syntax:

    Set-User -Identity <UserIdentity> -AuthenticationPolicy <PolicyIdentity>
    

    Cet exemple montre comment attribuer la stratégie nommée Block Basic auth au compte d’utilisateur laura@contoso.com.This example assigns the policy named Block Basic Auth to the user account laura@contoso.com.

    Set-User -Identity laura@contoso.com -AuthenticationPolicy "Block Basic Auth"
    
  • Filtrer les comptes d’utilisateur par attributs : cette méthode exige que les comptes d’utilisateur partagent tous un attribut filtrable unique (par exemple, titre ou service) que vous pouvez utiliser pour identifier les utilisateurs.Filter user accounts by attributes : This method requires that the user accounts all share a unique filterable attribute (for example, Title or Department) that you can use to identify the users. La syntaxe utilise les commandes suivantes (deux pour identifier les comptes d’utilisateur et l’autre pour appliquer la stratégie à ces utilisateurs) :The syntax uses the following commands (two to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
    $<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
    $<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    

    Cet exemple attribue la stratégie nommée Block Basic auth à tous les comptes d’utilisateurs dont l’attribut title contient la valeur « Sales Associate ».This example assigns the policy named Block Basic Auth to all user accounts whose Title attribute contains the value "Sales Associate".

    $SalesUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (Title -like '*Sales Associate*')"
    $Sales = $SalesUsers.MicrosoftOnlineServicesID
    $Sales | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    
  • Utiliser une liste de comptes d’utilisateurs spécifiques : cette méthode nécessite un fichier texte pour identifier les comptes d’utilisateur.Use a list of specific user accounts : This method requires a text file to identify the user accounts. Les valeurs qui ne contiennent pas d’espaces (par exemple, le compte professionnel ou scolaire de Microsoft Office 365 ou de Microsoft 365) fonctionnent mieux.Values that don't contain spaces (for example, the Office 365 or Microsoft 365 work or school account) work best. Le fichier texte doit contenir un compte d’utilisateur sur chaque ligne comme suit :The text file must contain one user account on each line like this:

    akol@contoso.comakol@contoso.com
    tjohnston@contoso.comtjohnston@contoso.com
    kakers@contoso.comkakers@contoso.com

    La syntaxe utilise les deux commandes suivantes (une pour identifier les comptes d’utilisateur et l’autre pour appliquer la stratégie à ces utilisateurs) :The syntax uses the following two commands (one to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName> = Get-Content "<text file>"
    $<VariableName> | foreach {Set-User -Identity $_ -AuthenticationPolicy <PolicyIdentity>}
    

    Cet exemple attribue la stratégie nommée Block Basic auth aux comptes d’utilisateurs spécifiés dans le fichier C:\My Documents\BlockBasicAuth.txt.This example assigns the policy named Block Basic Auth to the user accounts specified in the file C:\My Documents\BlockBasicAuth.txt.

    $BBA = Get-Content "C:\My Documents\BlockBasicAuth.txt"
    $BBA | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    
  • Filtrez les comptes d’utilisateur Active Directory locaux synchronisés avec Exchange Online : pour plus d’informations, consultez la section Filtrer les comptes d’utilisateur Active Directory locaux synchronisés avec Exchange Online dans cette rubrique.Filter on-premises Active Directory user accounts that are synchronized to Exchange Online : For details, see the Filter on-premises Active Directory user accounts that are synchronized to Exchange Online section in this topic.

Notes

Pour supprimer l’attribution de stratégie aux utilisateurs, utilisez la valeur du $null paramètre AuthenticationPolicy sur la cmdlet Set-User .To remove the policy assignment from users, use the value $null for the AuthenticationPolicy parameter on the Set-User cmdlet.

Étape 3 : (facultatif) Appliquez immédiatement la stratégie d’authentification aux utilisateursStep 3: (Optional) Immediately apply the authentication policy to users

Par défaut, lorsque vous créez ou modifiez l’attribution de la stratégie d’authentification sur les utilisateurs ou la mise à jour de la stratégie, les modifications prennent effet dans les 24 heures.By default, when you create or change the authentication policy assignment on users or update the policy, the changes take effect within 24 hours. Si vous souhaitez que la stratégie prenne effet dans les 30 minutes, utilisez la syntaxe suivante :If you want the policy to take effect within 30 minutes, use the following syntax:

Set-User -Identity <UserIdentity> -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

Cet exemple applique immédiatement la stratégie d’authentification à l’utilisateur laura@contoso.com.This example immediately applies the authentication policy to the user laura@contoso.com.

Set-User -Identity laura@contoso.com -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

Cet exemple applique immédiatement la stratégie d’authentification à plusieurs utilisateurs qui ont été précédemment identifiés par des attributs filtrables ou un fichier texte.This example immediately applies the authentication policy to multiple users that were previously identified by filterable attributes or a text file. Cet exemple fonctionne si vous êtes toujours dans la même session PowerShell et que vous n’avez pas modifié les variables utilisées pour identifier les utilisateurs (vous n’avez pas utilisé le même nom de variable par la suite à d’autres fins).This example works if you're still in the same PowerShell session and you haven't changed the variables you used to identify the users (you didn't use the same variable name afterwards for some other purpose). Par exemple :For example:

$Sales | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

ouor

$BBA | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

Afficher les stratégies d’authentificationView authentication policies

Pour afficher la liste récapitulative des noms de toutes les stratégies d’authentification existantes, exécutez la commande suivante :To view a summary list of the names of all existing authentication policies, run the following command:

Get-AuthenticationPolicy | Format-Table Name -Auto

Pour afficher des informations détaillées sur une stratégie d’authentification spécifique, utilisez la syntaxe suivante :To view detailed information about a specific authentication policy, use this syntax:

Get-AuthenticationPolicy -Identity <PolicyIdentity>

Cet exemple renvoie des informations détaillées sur la stratégie nommée Block Basic auth.This example returns detailed information about the policy named Block Basic Auth.

Get-AuthenticationPolicy -Identity "Block Basic Auth"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Get-AuthenticationPolicy.For detailed syntax and parameter information, see Get-AuthenticationPolicy.

Modifier les stratégies d’authentificationModify authentication policies

Par défaut, lorsque vous créez une nouvelle stratégie d’authentification sans spécifier de protocoles, l’authentification de base est bloquée pour tous les protocoles clients dans Exchange Online.By default, when you create a new authentication policy without specifying any protocols, Basic authentication is blocked for all client protocols in Exchange Online. En d’autres termes, la valeur par défaut des paramètres AllowBasicAuth * (commutateurs) est False pour tous les protocoles.In other words, the default value of the AllowBasicAuth* parameters (switches) is False for all protocols.

  • Pour activer l’authentification de base pour un protocole spécifique désactivé, spécifiez le commutateur sans valeur.To enable Basic authentication for a specific protocol that's disabled, specify the switch without a value.

  • Pour désactiver l’authentification de base pour un protocole spécifique qui est activé, vous pouvez uniquement utiliser la valeur :$false .To disable Basic authentication for a specific protocol that's enabled, you can only use the value :$false.

Vous pouvez utiliser la cmdlet Get-AuthenticationPolicy pour afficher l’état actuel des commutateurs * AllowBasicAuth dans la stratégie.You can use the Get-AuthenticationPolicy cmdlet to see the current status of the AllowBasicAuth* switches in the policy.

Cet exemple active l’authentification de base pour le protocole POP3 et désactive l’authentification de base pour le protocole IMAP4 dans la stratégie d’authentification existante nommée Block Basic auth.This example enables basic authentication for the POP3 protocol and disables basic authentication for the IMAP4 protocol in the existing authentication policy named Block Basic Auth.

Set-AuthenticationPolicy -Identity "Block Basic Auth" -AllowBasicAuthPop -AllowBasicAuthImap:$false

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AuthenticationPolicy.For detailed syntax and parameter information, see Set-AuthenticationPolicy.

Configurer la stratégie d’authentification par défautConfigure the default authentication policy

La stratégie d’authentification par défaut est affectée à tous les utilisateurs qui n’ont pas encore de stratégie spécifique qui leur est attribuée.The default authentication policy is assigned to all users who don't already have a specific policy assigned to them. Notez que les stratégies d’authentification affectées aux utilisateurs ont priorité sur la stratégie par défaut.Note that the authentication policies assigned to users take precedence over the default policy. Pour configurer la stratégie d’authentification par défaut pour l’organisation, utilisez la syntaxe suivante :To configure the default authentication policy for the organization, use this syntax:

Set-OrganizationConfig -DefaultAuthenticationPolicy <PolicyIdentity>

Cet exemple configure la stratégie d’authentification nommée Block Basic auth comme stratégie par défaut.This example configures the authentication policy named Block Basic Auth as the default policy.

Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Basic Auth"

Notes

Pour supprimer la désignation de stratégie d’authentification par défaut, utilisez la valeur $null pour le paramètre DefaultAuthenticationPolicy .To remove the default authentication policy designation, use the value $null for the DefaultAuthenticationPolicy parameter.

Supprimer des stratégies d’authentificationRemove authentication policies

Pour supprimer une stratégie d’authentification existante, utilisez la syntaxe suivante :To remove an existing authentication policy, use this syntax:

Remove-AuthenticationPolicy -Identity <PolicyIdentity>

Cet exemple supprime la stratégie nommée test auth Policy.This example removes the policy named Test Auth Policy.

Remove-AuthenticationPolicy -Identity "Test Auth Policy"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Remove-AuthenticationPolicy.For detailed syntax and parameter information, see Remove-AuthenticationPolicy.

Comment savoir si vous avez réussi à désactiver l’authentification de base dans Exchange Online ?How do you know that you've successfully disabled Basic authentication in Exchange Online?

Pour vérifier que la stratégie d’authentification a été appliquée aux utilisateurs :To confirm that the authentication policy was applied to users:

  1. Exécutez la commande suivante pour rechercher la valeur de nom unique (DN) de la stratégie d’authentification :Run the following command to find the distinguished name (DN) value of the authentication policy:

    Get-AuthenticationPolicy | Format-List Name,DistinguishedName
    
  2. Utilisez la valeur DN de la stratégie d’authentification dans la commande suivante :Use the DN value of the authentication policy in the following command:

    Get-User -Filter "AuthenticationPolicy -eq '<AuthPolicyDN>'"
    

    Par exemple :For example:

    Get-User -Filter "AuthenticationPolicy -eq 'CN=Block Basic Auth,CN=Auth Policies,CN=Configuration,CN=contoso.onmicrosoft.com,CN=ConfigurationUnits,DC=NAMPR11B009,DC=PROD,DC=OUTLOOK,DC=COM'"
    

Lorsqu’une stratégie d’authentification bloque les demandes d’authentification de base d’un utilisateur spécifique pour un protocole spécifique dans Exchange Online, la réponse est 401 Unauthorized .When an authentication policy blocks Basic authentication requests from a specific user for a specific protocol in Exchange Online, the response is 401 Unauthorized. Aucune information supplémentaire n’est renvoyée au client pour éviter de provoquer des fuites d’informations supplémentaires sur l’utilisateur bloqué.No additional information is returned to the client to avoid leaking any additional information about the blocked user. Voici un exemple de réponse :An example of the response looks like this:

HTTP/1.1 401 Unauthorized
Server: Microsoft-IIS/10.0
request-id: 413ee498-f337-4b0d-8ad5-50d900eb1f72
X-CalculatedBETarget: DM5PR2101MB0886.namprd21.prod.outlook.com
X-BackEndHttpStatus: 401
Set-Cookie: MapiRouting=#################################################; path=/mapi/; secure; HttpOnly
X-ServerApplication: Exchange/15.20.0485.000
X-RequestId: {3146D993-9082-4D57-99ED-9E7D5EA4FA56}:8
X-ClientInfo: {B0DD130A-CDBF-4CFA-8041-3D73B4318010}:59
X-RequestType: Bind
X-DiagInfo: DM5PR2101MB0886
X-BEServer: DM5PR2101MB0886
X-Powered-By: ASP.NET
X-FEServer: MA1PR0101CA0031
WWW-Authenticate: Basic Realm="",Basic Realm=""
Date: Wed, 31 Jan 2018 05:15:08 GMT
Content-Length: 0

Gérer l’authentification de base dans le centre d’administration Microsoft 365Manage Basic authentication in the Microsoft 365 Admin Center

Dans le centre d’administration 365 de Microsoft, sous paramètres > d' organisation paramètres de l’organisation > moderne , vous pouvez désigner les protocoles de votre client qui n’ont plus besoin d’activer l’authentification de base.In the Microsoft 365 Admin Center, under Settings > Org Settings > Modern Authentication you can designate the protocols in your tenant that no longer require Basic Authentication to be enabled. En arrière-plan, ces options utilisent des stratégies d’authentification.Behind the scenes, these options utilize Authentication Policies. Si des stratégies d’authentification ont été créées dans le passé, la modification de ces sélections créera automatiquement la première nouvelle stratégie d’authentification.If Authentication Policies were created in the past, modifying any of these selections will automatically create the first new Authentication Policy. Cette stratégie est visible uniquement par le biais de PowerShell.This policy is visible only through PowerShell. Pour les clients avancés qui peuvent déjà utiliser des stratégies d’authentification, les modifications apportées au sein du centre d’administration Microsoft 365 modifient leur stratégie par défaut existante.For advanced customers that may already be utilizing Authentication Policies, changes within the Microsoft 365 Admin Center will modify their existing default policy. Consultez les journaux de connexion Azure ad pour obtenir une bonne idée des protocoles que les clients utilisent avant d’effectuer des modifications.Look through Azure AD Sign-in logs to get a good idea of which protocols clients are using before making any changes.

Filtrer les comptes d’utilisateur Active Directory locaux synchronisés avec Exchange OnlineFilter on-premises Active Directory user accounts that are synchronized to Exchange Online

Cette méthode utilise un attribut spécifique en tant que filtre pour les membres du groupe Active Directory sur site qui seront synchronisés avec Exchange Online.This method uses one specific attribute as a filter for on-premises Active Directory group members that will be synchronized with Exchange Online. Cette méthode vous permet de désactiver les protocoles hérités pour des groupes spécifiques sans affecter l’ensemble de l’organisation.This method allows you to disable legacy protocols for specific groups without affecting the entire organization.

Tout au long de cet exemple, nous allons utiliser l’attribut Department , car il s’agit d’un attribut commun qui identifie les utilisateurs en fonction de leur service et de leur rôle.Throughout this example, we'll use the Department attribute, because it's a common attributes that identifies users based on their department and role. Pour afficher toutes les propriétés étendues de l’utilisateur Active Directory, accédez à Active Directory : Get-ADUser propriétés étendues et par défaut.To see all Active Directory user extended properties, go to Active Directory: Get-ADUser Default and Extended Properties.

Étape 1 : Rechercher les utilisateurs Active Directory et définir les attributs de l’utilisateur Active DirectoryStep 1: Find the Active Directory users and set the Active Directory user attributes

Obtenir les membres d’un groupe Active DirectoryGet the members of an Active Directory group

Ces étapes nécessitent le module Active Directory pour Windows PowerShell.These steps require the Active Directory module for Windows PowerShell. Pour installer ce module sur votre PC, vous devez télécharger et installer les Outils d’administration de serveur distant (RSAT).To install this module on your PC, you need to download and install the Remote Server Administration Tools (RSAT).

Exécutez la commande suivante dans Active Directory PowerShell pour retourner tous les groupes dans Active Directory :Run the following command in Active Directory PowerShell to return all groups in Active Directory:

Get-ADGroup -Filter * | select -Property Name

Une fois que vous avez obtenu la liste des groupes, vous pouvez interroger les utilisateurs qui appartiennent à ces groupes et créer une liste basée sur l’un de leurs attributs.After you get the list of groups, you can query which users belong to those groups and create a list based on any of their attributes. Nous vous recommandons d’utiliser l’attribut objectGUID , car la valeur est unique pour chaque utilisateur.We recommend using the objectGuid attribute because the value is unique for each user.

Get-ADGroupMember -Identity "<GroupName>" | select -Property objectGuid

Cet exemple renvoie la valeur de l’attribut objectGUID pour les membres du groupe nommé Developers.This example returns the objectGuid attribute value for the members of the group named Developers.

Get-ADGroupMember -Identity "Developers" | select -Property objectGuid

Définir l’attribut utilisateur filtrableSet the filterable user attribute

Après avoir identifié le groupe Active Directory qui contient les utilisateurs, vous devez définir la valeur de l’attribut qui sera synchronisée avec Exchange Online pour filtrer les utilisateurs (et désactiver l’authentification de base pour eux).After you identify the Active Directory group that contains the users, you need to set the attribute value that will be synchronized with Exchange Online to filter users (and ultimately disable Basic authentication for them).

Utilisez la syntaxe suivante dans Active Directory PowerShell pour configurer la valeur d’attribut pour les membres du groupe que vous avez identifié à l’étape précédente.Use the following syntax in Active Directory PowerShell to configure the attribute value for the members of the group that you identified in the previous step. La première commande identifie les membres du groupe en fonction de leur valeur d’attribut objectGUID .The first command identifies the group members based on their objectGuid attribute value. La deuxième commande affecte la valeur de l’attribut Department aux membres du groupe.The second command assigns the Department attribute value to the group members.

$variable1 = Get-ADGroupMember -Identity "<GroupName>" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="<DepartmentName>"}}

Cet exemple montre comment définir l’attribut Department sur la valeur « Developer » pour les utilisateurs qui appartiennent au groupe nommé « Developers ».This example sets the Department attribute to the value "Developer" for users that belong to the group named "Developers".

$variable1 = Get-ADGroupMember -Identity "Developers" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="Developer"}}

Utilisez la syntaxe suivante dans Active Directory PowerShell pour vérifier que l’attribut a été appliqué aux comptes d’utilisateurs (maintenant ou auparavant) :Use the following syntax in Active Directory PowerShell to verify the attribute was applied to the user accounts (now or in the past):

Get-ADUser -Filter "Department -eq '<DepartmentName>'" -Properties Department

Cet exemple renvoie tous les comptes d’utilisateur avec la valeur « Developer » pour l’attribut Department .This example returns all user accounts with the value "Developer" for the Department attribute.

Get-ADUser -Filter "Department -eq 'Developer'" -Properties Department

Étape 2 : désactivation de l’authentification héritée dans Exchange OnlineStep 2: Disable legacy authentication in Exchange Online

Notes

Les valeurs d’attribut pour les utilisateurs locaux sont synchronisées avec Exchange Online uniquement pour les utilisateurs disposant d’une licence Exchange Online valide.The attribute values for on-premises users are synchronized to Exchange Online only for users that have a valid Exchange Online license. Pour plus d’informations, consultez la rubrique Ajouter des utilisateurs individuellement ou en bloc.For more information, see Add users individually or in bulk.

La syntaxe Exchange Online PowerShell utilise les commandes suivantes (deux pour identifier les comptes d’utilisateur et l’autre pour appliquer la stratégie à ces utilisateurs) :The Exchange Online PowerShell syntax uses the following commands (two to identify the user accounts, and the other to apply the policy to those users):

$<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
$<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
$<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}

Cet exemple attribue la stratégie nommée Block Basic auth à tous les comptes d’utilisateur synchronisés dont l’attribut Department contient la valeur « Developer ».This example assigns the policy named Block Basic Auth to all synchronized user accounts whose Department attribute contains the value "Developer".

$developerUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (department -like '*developer*')"
$developers = $developerUsers.MicrosoftOnlineServicesID
$developers | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}

Si vous vous connectez à Exchange Online PowerShell dans une session PowerShell Active Directory, vous pouvez utiliser la syntaxe suivante pour appliquer la stratégie à tous les membres d’un groupe Active Directory.If you connect to Exchange Online PowerShell in an Active Directory PowerShell session, you can use the following syntax to apply the policy to all members of an Active Directory group.

Cet exemple crée une stratégie d’authentification nommée marketing Policy qui désactive l’authentification de base pour les membres du groupe Active Directory nommé Marketing Department for ActiveSync, POP3, Authenticated SMTP et IMAP4.This example creates a new authentication policy named Marketing Policy that disables Basic authentication for members of the Active Directory group named Marketing Department for ActiveSync, POP3, authenticated SMTP, and IMAP4 clients.

Notes

Une limitation connue dans Active Directory PowerShell empêche l’applet de commande Get-AdGroupMember de renvoyer plus de 5000 résultats.A known limitation in Active Directory PowerShell prevents the Get-AdGroupMember cmdlet from returning more than 5000 results. Par conséquent, l’exemple suivant fonctionne uniquement pour les groupes Active Directory qui ont moins de 5000 membres.Therefore, the following example only works for Active Directory groups that have less than 5000 members.

New-AuthenticationPolicy -Name "Marketing Policy" -AllowBasicAuthActiveSync $false -AllowBasicAuthPop $false -AllowBasicAuthSmtp $false -AllowBasicAuthImap $false
$users = Get-ADGroupMember "Marketing Department"
foreach ($user in $users) {Set-User -Identity $user.SamAccountName -AuthenticationPolicy "Marketing Policy"}