Autenticação moderna nos dispositivos Apple com Exchange Online

Com a desativação da autenticação básica, escrevo sobre isso neste Link e neste outro link também, milhões de usuários poderiam ter problemas para autenticar no ambiente do Microsoft 365 com seus dispositivos da Apple, principalmente no Exchange Online.

O problema aqui vai estar com os proprietários de dispositivos da apple que tiveram suas contas adicionadas antes da implementação da autenticação moderna em seus dispositivos o OAuth 2.0.

Isso acontece porque o Exchange Online usa a autenticação moderna somente se tiver sido adicionada ao dispositivo depois que o suporte OAuth foi adicionado ao aplicativo de email.

Ao adquirir um novo produto da Apple e utilizar o backup suas configurações de e-mail ainda vão usar a autenticação básica, então, sua organização vai ter problemas.

O ROPC

A concessão de credencial de senha do proprietário é o recurso que pode salvar a vida de muitos administradores, ele funciona da seguinte forma:

O ROPC permite que um aplicativo utilize diretamente a senha do usuário, com segurança e assim a autenticação OAuth passará a ser utilizada no lugar da autenticação básica no dispositivo.

Os usuários que fazem uso do aplicativo Mail da Apple vão autenticar de forma moderna e não serão afetados com o fim da autenticação básica (isso é ótimo).

Configurando o Ambiente

1 – Requerer o Consentimento

            O OAuth precisa do consentimento para ter acesso aos recursos e isso pode ser feito da seguinte forma:

1 – O usuário pode consentir (caso sua organização tenha essa liberdade para o usuário eu não recomendo que permaneça assim)

2 – O administrar consente pelo usuário

3 – O usuário solicita o consentimento

Para alternar da autenticação básica para a autenticação moderna sem problemas, incentivamos todos os administradores com usuários do Apple Mail que usam a autenticação básica a conceder consentimento ao aplicativo Apple Mail no nível do locatário, para que os usuários não sejam solicitados individualmente quando a mudança para o moderno autenticação ocorre.

Configurar o Consentimento

Podemos configurar o consentimento a alguma aplicação de duas formas, pelo portal do Azure e pelo PowerShell

Vamos começar com o Portal do Azure.

  1. No painel esquerdo do centro de administração do Azure Active Directory , selecione aplicativos corporativos .
  2. Procure as entradas Apple Internet Accounts ou iOS Accounts na lista de aplicativos (ambos os nomes foram usados ​​durante a vida útil do aplicativo, é o mesmo aplicativo, independentemente do nome). Se não estiver lá, ninguém nunca usou o aplicativo Apple Mail com OAuth em seu locatário. Se estiver lá, clique nele.

Na coluna “Visão Geral” clique em Permissões.

Se já tiver dado o consentimento vamos ter as entradas do consentimento caso contrário tudo vai estar vazio.

Vamos entender um pouco sobre os tipos de consentimento:

Permissões Herdadas Exchange Online EWS e EAS

Ao utilizar o fluxo de consentimento do administrador você verá as permissões do Exchange online

Se você consentiu usando o fluxo de consentimento do administrador ou usou o grande botão azul no portal do Azure, verá as permissões do Exchange Online.

Se você fez o mesmo no macOS, verá as permissões do EWS (o iOS usa o ActiveSync (EAS), o macOS usa o Exchange Web Services (EWS) para se conectar ao Exchange).

Permissões Microsoft Graph EWS e EAS

Se você vir as permissões do EAS Graph e estiver conectado como administrador quando consentiu em seu dispositivo iOS e marcou a caixa “E consentir para toda a minha organização também” – você provavelmente terá as permissões de consentimento do administrador do EAS Graph sendo exibidas.

Mas isso não tem nenhum problema essa diferença e devido a atualização da apple em seus aplicativos com as novas permissões de registro.

Aplicando o Consentimento

1 – Pelo grande botão azul

Para conceder o consentimento você clicar no botão azul e depois conceder o consentimento do administrador, isso vai iniciar o fluxo de consentimento, abaixo mostro a imagem do consentimento pelo botão azul.

2 – Por PowerShell

Usando o Microsoft Graph PowerShell (requer os módulos Microsoft.Graph.Applications e Microsoft.Graph.Identity.SignIns):

Connect-MgGraph -Scopes “Application.Read.All, Directory.Read.All”
Get-MgServicePrincipal -Filter “appId eq ‘f8d98a96-0999-43f5-8af3-69971c7bb423′” | % {Get-MgOAuth2PermissionGrant -Filter “clientId eq ‘$($_.Id)’ e consentType eq ‘AllPrincipals'” }

Ou você pode fazer isso usando o Azure AD PowerShell, onde requer apenas o módulo AzureAD:

Connect-AzureAD
Get-AzureADServicePrincipal -Filter “appId eq ‘f8d98a96-0999-43f5-8af3-69971c7bb423′” | Get-AzureADServicePrincipalOAuth2PermissionGrant -All $true | ? { $_.ConsentType -eq “AllPrincipals” }

Basta executar os scripts acima para conceder o consentimento na aplicação da Apple.

3 – Pelo link

Se você estiver muito interessado em conceder o consentimento imediatamente para fazê-lo e tiver as permissões corretas – este link fará a mesma coisa – o fluxo solicitará que você autentique, aceite a solicitação e, em seguida, o retornará ao Centro de administração do Microsoft 365.

Fluxograma do consentimento

Bom pessoal, com isso terminamos essa postagem sobre o consentimento na aplicação Mail da apple e assim todos os usuários que usam apple para acessar o ambiente do Exchange online não vão ter problemas quando a autenticação básica cair

Não deixem de ler e analisar a documentação oficial.

Referencias

https://techcommunity.microsoft.com/t5/exchange-team-blog/microsoft-and-apple-working-together-to-improve-exchange-online/ba-p/3513846


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s