Microsoft Exchange 365, IMAP incompatible avec MFA (Multi-Factor Authentication)

Affichages : 306

imap365

 

Ce petit tuto sous forme de témoignage après des jours de recherche infructueuse.

J'ai espoir que cette page sera utile à d'autres.

J'ai des utilisateurs sur Exchange OnLine 365 qui veulent utiliser Thunderbird. Et donc il leur faut un accès IMAP.

Depuis quelques mois, Microsoft rend l'identification MFA recommandée en allant jusqu'à placer cela dans la configuration par défaut.

 

Donc si vous activez MFA, vos utilisateurs ne pourront pas utiliser IMAP, ne cherchez pas, c'est pas compatible.

Il faut donc pour cela soit utiliser l'accès conditionnel qui demande une licence : une licence Azure Active Directory P1 ou P2 : https://docs.microsoft.com/fr-fr/azure/active-directory/conditional-access/overview#license-requirements

Soit désactiver les paramètres de sécurité par défaut et aciver le MFA individuellement (ce qui n'est pas recommandé par Microsoft). Je pense qu'au minimum les comtpes administrateurs doivent être en MFA, c'est vraiment un minimum.

 

Voici la procédure :

Désactiver les paramètres de sécurité par défaut :

https://docs.microsoft.com/fr-fr/azure/active-directory/fundamentals/concept-fundamentals-security-defaults 

Pour désactiver les paramètres de sécurité par défaut dans votre annuaire :

  1. Connectez-vous au  portail Azure  en tant qu’administrateur de la sécurité, administrateur de l’accès conditionnel ou administrateur général.
  2. Accédez à  Azure Active Directory > Propriétés.
  3. Sélectionnez Gérer les paramètres de sécurité par défaut.
  4. Définissez Activer les paramètres de sécurité par défaut sur Non à l’aide du bouton bascule.
  5. Sélectionnez Enregistrer.

Activer le MFA pour les utilisateurs qui n'utilise pas le MFA (au minimum les Adminsitrateurs)

https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx?BrandContextID=O365

 

Autres info :

Nota : Avec Outlook, aucun souci avec le MFA

Si vous paramétrez la boîte dans Outlook automatiquement en utilisant le autodiscover, vous pouvez avoir le MFA activé car Outlook utilise l’authentification moderne et il support le MFA. 

https://docs.microsoft.com/fr-fr/office365/enterprise/hybrid-modern-auth-overview 

https://docs.microsoft.com/fr-fr/microsoft-365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide 

 

Pourquoi Microsoft pousse à MFA ?

Lisez cet article :

IMAP 770x439 c

https://www.cybercureme.com/hackers-bypass-multi-factor-authentication-to-hack-office-365-g-suite-cloud-accounts-using-imap-protocol/

https://www.zdnet.com/article/microsoft-details-the-causes-of-its-recent-multi-factor-authentication-meltdown/

 

Imprimer