Com a desativação da autenticação básica, escrevo sobre isso neste Link e neste outro link também, milhões de usuários poderiam ter problemas para autenticar no ambiente do Microsoft 365 com seus dispositivos da Apple, principalmente no Exchange Online.
O problema aqui vai estar com os proprietários de dispositivos da apple que tiveram suas contas adicionadas antes da implementação da autenticação moderna em seus dispositivos o OAuth 2.0.
Isso acontece porque o Exchange Online usa a autenticação moderna somente se tiver sido adicionada ao dispositivo depois que o suporte OAuth foi adicionado ao aplicativo de email.
Ao adquirir um novo produto da Apple e utilizar o backup suas configurações de e-mail ainda vão usar a autenticação básica, então, sua organização vai ter problemas.
O ROPC
A concessão de credencial de senha do proprietário é o recurso que pode salvar a vida de muitos administradores, ele funciona da seguinte forma:
O ROPC permite que um aplicativo utilize diretamente a senha do usuário, com segurança e assim a autenticação OAuth passará a ser utilizada no lugar da autenticação básica no dispositivo.
Os usuários que fazem uso do aplicativo Mail da Apple vão autenticar de forma moderna e não serão afetados com o fim da autenticação básica (isso é ótimo).
Configurando o Ambiente
1 – Requerer o Consentimento
O OAuth precisa do consentimento para ter acesso aos recursos e isso pode ser feito da seguinte forma:
1 – O usuário pode consentir (caso sua organização tenha essa liberdade para o usuário eu não recomendo que permaneça assim)
2 – O administrar consente pelo usuário
3 – O usuário solicita o consentimento
Para alternar da autenticação básica para a autenticação moderna sem problemas, incentivamos todos os administradores com usuários do Apple Mail que usam a autenticação básica a conceder consentimento ao aplicativo Apple Mail no nível do locatário, para que os usuários não sejam solicitados individualmente quando a mudança para o moderno autenticação ocorre.
Configurar o Consentimento
Podemos configurar o consentimento a alguma aplicação de duas formas, pelo portal do Azure e pelo PowerShell
Vamos começar com o Portal do Azure.
- No painel esquerdo do centro de administração do Azure Active Directory , selecione aplicativos corporativos .
- Procure as entradas Apple Internet Accounts ou iOS Accounts na lista de aplicativos (ambos os nomes foram usados durante a vida útil do aplicativo, é o mesmo aplicativo, independentemente do nome). Se não estiver lá, ninguém nunca usou o aplicativo Apple Mail com OAuth em seu locatário. Se estiver lá, clique nele.
Na coluna “Visão Geral” clique em Permissões.
Se já tiver dado o consentimento vamos ter as entradas do consentimento caso contrário tudo vai estar vazio.
Vamos entender um pouco sobre os tipos de consentimento:
Permissões Herdadas Exchange Online EWS e EAS
Ao utilizar o fluxo de consentimento do administrador você verá as permissões do Exchange online
Se você consentiu usando o fluxo de consentimento do administrador ou usou o grande botão azul no portal do Azure, verá as permissões do Exchange Online.
Se você fez o mesmo no macOS, verá as permissões do EWS (o iOS usa o ActiveSync (EAS), o macOS usa o Exchange Web Services (EWS) para se conectar ao Exchange).
Permissões Microsoft Graph EWS e EAS
Se você vir as permissões do EAS Graph e estiver conectado como administrador quando consentiu em seu dispositivo iOS e marcou a caixa “E consentir para toda a minha organização também” – você provavelmente terá as permissões de consentimento do administrador do EAS Graph sendo exibidas.
Mas isso não tem nenhum problema essa diferença e devido a atualização da apple em seus aplicativos com as novas permissões de registro.
Aplicando o Consentimento
1 – Pelo grande botão azul
Para conceder o consentimento você clicar no botão azul e depois conceder o consentimento do administrador, isso vai iniciar o fluxo de consentimento, abaixo mostro a imagem do consentimento pelo botão azul.
2 – Por PowerShell
Usando o Microsoft Graph PowerShell (requer os módulos Microsoft.Graph.Applications e Microsoft.Graph.Identity.SignIns):
Connect-MgGraph -Scopes “Application.Read.All, Directory.Read.All”
Get-MgServicePrincipal -Filter “appId eq ‘f8d98a96-0999-43f5-8af3-69971c7bb423′” | % {Get-MgOAuth2PermissionGrant -Filter “clientId eq ‘$($_.Id)’ e consentType eq ‘AllPrincipals'” }
Ou você pode fazer isso usando o Azure AD PowerShell, onde requer apenas o módulo AzureAD:
Connect-AzureAD
Get-AzureADServicePrincipal -Filter “appId eq ‘f8d98a96-0999-43f5-8af3-69971c7bb423′” | Get-AzureADServicePrincipalOAuth2PermissionGrant -All $true | ? { $_.ConsentType -eq “AllPrincipals” }
Basta executar os scripts acima para conceder o consentimento na aplicação da Apple.
3 – Pelo link
Se você estiver muito interessado em conceder o consentimento imediatamente para fazê-lo e tiver as permissões corretas – este link fará a mesma coisa – o fluxo solicitará que você autentique, aceite a solicitação e, em seguida, o retornará ao Centro de administração do Microsoft 365.
Fluxograma do consentimento
Bom pessoal, com isso terminamos essa postagem sobre o consentimento na aplicação Mail da apple e assim todos os usuários que usam apple para acessar o ambiente do Exchange online não vão ter problemas quando a autenticação básica cair
Não deixem de ler e analisar a documentação oficial.
Referencias
Blog do Chesley 