O fim do parâmetro -Credential no Exchange Online PowerShell: o que muda na arquitetura de autenticação

Publicado em por chesleysilva

A Microsoft anunciou recentemente a descontinuação do parâmetro -Credential no Exchange Online PowerShell, uma mudança significativa que afeta scripts administrativos, automações e modelos tradicionais de autenticação usados por administradores do Microsoft 365.

A mudança foi publicada oficialmente no blog da equipe do Microsoft Exchange Online e faz parte de uma estratégia maior da Microsoft para eliminar métodos de autenticação considerados inseguros e padronizar a administração do serviço com modelos modernos de autenticação baseados em tokens e identidade gerenciada.

Neste artigo vamos analisar:

  • por que a Microsoft está removendo o -Credential
  • como funcionava a autenticação antiga
  • a arquitetura moderna adotada pela plataforma
  • quais scripts serão impactados
  • como adaptar automações administrativas.

Índice

  1. Contexto: como funcionava a autenticação com -Credential
  2. Por que a Microsoft decidiu remover esse método
  3. 1 — Incompatibilidade com MFA
  4. 2 — Dependência de bibliotecas que estão sendo descontinuadas
  5. 3 — Padronização do modelo de autenticação no Microsoft 365
  6. Quando a mudança entra em vigor
  7. A nova arquitetura de autenticação do Exchange Online
  8. Métodos recomendados de autenticação
    1. 1 — Autenticação interativa
    2. 2 — Autenticação App-Only
    3. 3 — Managed Identity
  9. Impacto para scripts e automações existentes
  10. Exemplo de migração de script
  11. Benefícios da nova arquitetura
    1. Segurança
    2. Conformidade
    3. Arquitetura moderna
  12. Conclusão

Contexto: como funcionava a autenticação com -Credential

Durante muitos anos, administradores utilizaram comandos como:

Connect-ExchangeOnline -Credential $cred

Nesse modelo, o objeto PSCredential continha:

  • usuário
  • senha

Essas credenciais eram enviadas para o serviço para obter um token de autenticação.

Esse fluxo utilizava o método ROPC (Resource Owner Password Credentials).

O ROPC é um fluxo OAuth que permite autenticação utilizando diretamente usuário e senha, sem interação do usuário.

Arquitetura simplificada do modelo antigo:

Script PowerShell
        │
        │ username + password
        ▼
Azure AD / Entra ID
        │
        │ token OAuth
        ▼
Exchange Online

O problema é que esse fluxo não suporta MFA e ignora diversos controles modernos de segurança.

Na prática, ele permite autenticação equivalente ao uso direto de credenciais em texto.

Por que a Microsoft decidiu remover esse método

A decisão faz parte de um movimento maior da Microsoft para eliminar autenticação baseada em senha e promover Zero Trust.

Existem três razões principais.

1 — Incompatibilidade com MFA

O fluxo ROPC não suporta:

  • MFA
  • Conditional Access
  • autenticação baseada em dispositivo.

Isso cria um vetor de risco para ambientes corporativos.

Scripts automatizados que utilizam senha são alvos comuns em ataques.

2 — Dependência de bibliotecas que estão sendo descontinuadas

A autenticação do Exchange Online utiliza a Microsoft Authentication Library (MSAL).

Versões recentes da biblioteca já estão removendo suporte ao fluxo ROPC, o que força os serviços que dependem dela a migrarem para outros métodos.

3 — Padronização do modelo de autenticação no Microsoft 365

A Microsoft está convergindo todos os serviços do Microsoft 365 para o modelo:

  • OAuth2
  • tokens de acesso
  • autenticação baseada em aplicações.

Essa mesma estratégia já levou ao fim de:

  • Basic Authentication
  • Remote PowerShell (RPS) no Exchange Online

Quando a mudança entra em vigor

O parâmetro -Credential será removido de novas versões do módulo Exchange Online PowerShell após junho de 2026.

Isso significa:

  • scripts existentes podem continuar funcionando temporariamente
  • novas versões do módulo não terão mais suporte ao parâmetro

Em algum momento posterior, o suporte ao fluxo ROPC também será removido no backend.

A nova arquitetura de autenticação do Exchange Online

O Exchange Online já utiliza o módulo PowerShell v3, que funciona com conexões REST em vez do modelo antigo baseado em WinRM e Remote PowerShell.

Arquitetura moderna:

PowerShell Script
       │ OAuth2 authentication
Microsoft Entra ID
       │ Access Token
Exchange Online REST API
Exchange Cmdlets

Nesse modelo:

  • o PowerShell usa APIs REST
  • a autenticação é baseada em tokens emitidos pelo Entra ID
  • MFA e políticas de acesso condicional são suportadas.

Métodos recomendados de autenticação

A Microsoft recomenda três modelos principais.

1 — Autenticação interativa

Para uso administrativo manual:

Connect-ExchangeOnline

Nesse caso:

  • abre o prompt de login
  • MFA pode ser aplicado
  • Conditional Access é respeitado.

2 — Autenticação App-Only

Modelo ideal para automações.

Exemplo:

Connect-ExchangeOnline -AppId <AppID> -CertificateThumbprint <thumbprint> -Organization <tenant>

Fluxo arquitetural:

Script
   │ Certificate authentication
Entra ID Application
   │ OAuth token
Exchange Online API

Vantagens:

  • não usa senha
  • suporta automação
  • integração com RBAC.

3 — Managed Identity

Para automações executadas em serviços Azure.

Exemplo:

  • Azure Automation
  • Azure Functions
  • Azure VM.

Nesse caso o serviço usa identidade gerenciada para obter tokens automaticamente.

Impacto para scripts e automações existentes

Scripts que utilizam:

Connect-ExchangeOnline -Credential

precisam ser revisados.

Os cenários mais afetados incluem:

  • tarefas agendadas
  • scripts de provisionamento
  • automações de auditoria
  • ferramentas internas de administração.

Esses scripts devem migrar para:

  • certificado
  • identidade gerenciada
  • autenticação interativa.

Exemplo de migração de script

Modelo antigo:

$cred = Get-Credential
Connect-ExchangeOnline -Credential $cred

Modelo moderno:

Connect-ExchangeOnline -AppId "APP-ID" `
-CertificateThumbprint "THUMBPRINT" `
-Organization "tenant.onmicrosoft.com"

Benefícios da nova arquitetura

A remoção do -Credential traz melhorias importantes.

Segurança

  • elimina autenticação baseada em senha
  • reduz risco de credenciais expostas.

Conformidade

  • compatível com Zero Trust
  • compatível com Conditional Access.

Arquitetura moderna

  • APIs REST
  • tokens OAuth
  • integração com identidade de aplicações.

Conclusão

A remoção do parâmetro -Credential no Exchange Online PowerShell representa mais um passo da Microsoft na evolução da segurança do Microsoft 365.

Embora essa mudança possa impactar scripts antigos, ela também reforça um modelo de administração mais seguro e alinhado com os princípios de identidade moderna e Zero Trust.

Administradores devem iniciar desde já a revisão de scripts que utilizam autenticação baseada em senha e migrar para métodos suportados, como:

  • autenticação interativa
  • autenticação baseada em aplicação
  • managed identities.

Esse movimento acompanha outras mudanças importantes na plataforma e mostra claramente a direção da Microsoft: administrar a nuvem com identidade forte, tokens e APIs modernas — não mais com credenciais armazenadas em scripts.

Deixe um comentário