Creare una password dell’app per Office 365

Qualche giorno fa ci siamo imbattuti nella seguente problematica con un nostro cliente e volevamo condividerne con voi la risoluzione.

Background
Il cliente utilizza Office 365 ed Exchange Online come server di posta.
Sul client, però, non ha installato la versione di Office compresa all’interno di Office 365 ma la classica versione di Office perpetua (acquistata in OPEN o OEM).

Problema
Il client di Outlook non sincronizza la password dell’utente di Exchange Online.

Risoluzione
Abbiamo utilizzato la soluzione Password per l’app.
Si tratta di un codice che fornisce un’autorizzazione per l’app o il dispositivo e che permette quindi di accedere all’account di Office 365.

Se l’amministratore ha configurato la MFA per l’organizzazione e gli utenti utilizzano app che si connettono all’ account di Office 365, sarà necessario generare una password dell’app di modo che quest’ultima possa connettersi a Office 365.
Ad esempio, se utilizzate Outlook 2016 o versioni precedenti con Office 365, dovrete creare una password dell’app.

1. Verificate innanzitutto se il vostro amministratore di Office 365 ha attivato l’autenticazione a più fattori per l’account in questione. Se non lo ha fatto, quando proverete ad eseguire questa procedura non verranno visualizzate le opzioni in Office 365.

2. Accedete ad Office 365 con l’account aziendale e la password (come fate di solito).
Dopo aver cliccato su Accedi, verrà visualizzata questa pagina:

Creare una password dell'app per Office 365

3. Scegliete Configura ora.

4. Selezionate il metodo di autenticazione e quindi seguite le istruzioni visualizzate.

Creare una password dell'app per Office 365

5. Dopo aver verificato il metodo di contatto alternativo, scegliete Avanti.

6. Otterrete, a questo punto, una password per l’app che da poter utilizzare con Outlook, Apple Mail ecc.
Cliccate sull’icona copia per copiare la password negli Appunti: non è necessario che la memorizziate.

Creare una password dell'app per Office 365

Creare un’altra password per l’app
1. Accedete a Office 365 e alla pagina account personale .

2. Scegliete Sicurezza e privacy > Verifica di sicurezza aggiuntiva.
L’opzione è presente solo se l’amministratore ha configurato l’autenticazione a più fattori per l’organizzazione. Se non la visualizzate, contattate l’amministratore di Office 365 e chiedetegli di attivare la MFA.

Creare una password dell'app per Office 365

3. Cliccate au Aggiornamento dei numeri di telefono personali usati per la sicurezza dell’account.
Si aprirà la seguente pagina:

Creare una password dell'app per Office 365

4. Nella parte superiore della pagina scegliete Password per le app.

5. Cliccate su Crea per ottenere una password per l’app.

6. Se richiesto, digitate un nome per la password e fate clic su Avanti.

7. Scegliete Copia password dell’app negli Appunti: non è necessario che la memorizziate.

Creare una password dell'app per Office 365
Suggerimento: se create un’altra password dell’app, vi verrà richiesto di assegnarle un nome. Potreste, ad esempio, chiamarla “Outlook”.

8. Passate all’app che volete connettere con il vostro account di Office 365.
Quando vi viene chiesto di immettere una password, incollate la password dell’app nella casella.

Usare la password dell’app in Outlook
Vi basterà eseguire la seguente procedura una sola volta.

1. Aprite Outlook (ad esempio Outlook 2010, 2013 o 2016).

2. Quando vi viene chiesto di immettere la password, incollate la password dell’app nella casella.
Ad esempio, se l’account è stato già aggiunto in Outlook, quando richiesto, incollate la password dell’app nella seguente schermata.

Creare una password dell'app per Office 365

3. Se invece si sta aggiungendo l’account di Office 365 in Outlook, inserite la password dell’app qui:

Creare una password dell'app per Office 365

4. Riavviate Outlook.

Eliminare le password dell’app per uno o più utenti
1. Accedete all’interfaccia di amministrazione di Microsoft 365.

2. Entrate nella sezione utenti> utenti attivi.

3. Selezionare un utente e scegliete la voce Gestisci autenticazione a più fattori.

Creare una password dell'app per Office 365

4. Selezionate gli utenti che volete modificare (sono supportate selezioni multiple).

5. Cliccate su Gestisci impostazioni utente

Creare una password dell'app per Office 365

6. Cliccate su Elimina tutte le password delle app esistenti generate dagli utenti selezionati.

Creare una password dell'app per Office 365

7. Cliccate Salva

Le informazioni presenti in questo post, sono prese dall’articolo: Creare una password dell’app per Office 365.

La Basic Authentication di Exchange Online ha i giorni contati

La Basic Authentication di Exchange Online ha i giorni contati

Il messaggio che Microsoft ha mandato agli amministratori di Exchange Online è lo stesso da mesi: la Basic Auth è morta per le connessioni ad Exchange.
Il progetto di Microsoft è quello di dismettere la basic auth per gli Exchange Web Services, Exchange ActiveSync, POP3, IMAP4 e Remote PowerShell il giorno 13 Ottobre 2020.

Raccogliere i dati relativi alle connessioni di tipo Basic Auth
In un post informativo del 25 Febbraio, Microsoft ha cercato di tranquillizzare la paura di alcuni clienti sulla possibilità che applicazioni e dispositivi avrebbero smesso di funzionare e non si sarebbero più potuti connettere ad Exchange Online.
La prima bella notizia è che Microsoft ha deciso di rimuovere l’obbligo di acquisto della licenza Azure Active Directory premium per poter vedere i report di Sign-in all’interno del portale di Azure AD.
Sebbene un tenant possa generare un consistente ammontare di dati di sign-in, è semplice applicare un filtro per focalizzare i sign in problematici che usano ancora la basic auth (Figura 1).

La Basic Authentication di Exchange Online ha i giorni contati
Figura 1: Filtrare i report di sign-in di Azure Active Directory

Qui abbiamo generato gruppo di connessioni di basic auth effettuando il sign-in su PowerShell senza la multi-factor authentication.
Il report ha rilevato i sign-in ma non li ha identificati come originati da PowerShell (nessuna stringa agente l’ha riportato).

Il consiglio di Microsoft è scaricare i dati di sign-in su Excel ed utilizzare le funzionalità di filtering e grouping per interrogare e comprendere il profilo di rischio del vostro tenant relativo alla basic auth.
Comprendere da dove si originano le connessioni di basic auth, le applicazioni coinvolte e gli account utilizzati assume grande importanza quando si costruiscono policy di conditional access con l’obiettivo di bloccare il traffico.

Sebbene sia necessario fare un po’ di lavoro di esplorazione extra per comprendere esattamente da dove provenga il traffico, il report di sign-in è uno strumento molto utile per evidenziare il volume delle connessioni basic auth che esistono in un tenant e chi sia il responsabile per quelle connessioni.

Effettuare l’upgrade di Outlook
Microsoft ha colto l’opportunità per aggiornare i tenant di Office 365 sui client più comuni e su quanto debba essere fatto per mantenere le connessioni aggiornate dopo il 13 Ottobre.

Outlook desktop (Windows e Mac) utilizza gli Exchange Web Services per connettersi a servizi quali l’AutoDiscover quindi se avete dei vecchi client Outlook connessi ad Exchange Online che utilizzano la Basic Auth, allora quei client devono essere aggiornati prima di Ottobre 2020 o smetteranno di funzionare.
Il consiglio è quello di aggiornare i client almeno ad Outlook 2016.

Controllare la configurazione del tenant di Exchange Online
È possibile che alcuni tenant di Office 365 siano ancora configurati per utilizzare la basic auth, in particolar modo se si tratta di tenant creati prima del 1 Agosto 2017 e se non si è mai passati alla configurazione di Exchange Online per utilizzare la modern authentication.
Se vedete riportate molte basich auth e sapete che il client di Outlook è relativamente nuovo, vale la pena controllare il valore dell’impostazione OAuth2ClientProfileEnabled all’interno della configurazione.
Dovreste farlo per dare comandi ai client Outlook 2013 e successivi perchè si connettano con la modern authentication:

PowerShell

1 Get-OrganizationConfig | Format-Table Name, OAuth2ClientProfileEnabled -AutoSize
2
3 Name OAuth2ClientProfileEnabled
4 —- ————————–
5 Walk2talk.onmicrosoft.com True

Se il valore è False, potete aggiornare la configurazione eseguendo il comando Set-OrganizationConfig ed impostando OAuth2ClientProfileEnabled su $True.

Aggiornare la configurazione implica che tutti i client si connettano al tenant.
Sarebbe saggio capire il profilo di connessione per i client prima di effettuare lo switch (anche questo da fare prima di Ottobre).

IMAP4 and POP3
Microsoft dice di aver completato il lavoro sulla modern authentication per quei protocolli di accesso ormai obsoleti e sta distribuendo il codice tramite Exchange Online.
Sottolinea poi che la modern authentication è disponibile da diversi anni per IMAP4 in Outlook.com cosa che risponde alla domanda sul perchè ci sia voluto tanto prima che comparisse nei servizi commerciali.

La documentazione per gli sviluppatori è stata completata, il che permette alle aziende che scrivono i client IMAP4 e POP3 che le persone utilizzano per connettersi alle mailbox di Exchange Online di aggiornare i loro codici prima di Ottobre.

È necessario fare un po’ di lavoro di test ed implementare client aggiornati.
Con questo a mente, bisogna chiedersi se sia arrivato il momento di ritirare questi protocolli ed utilizzare qualcosa di maggiormente moderno.
Ricordiamo che IMAP4 e POP3 sono stati creati quando era necessario un protocollo separato (SMTP) per inviare messaggi.
Questi protocolli possono solo effettuare il download dei messagi.
Owa è un buon sostituto per i PC mentre Outlook Mobile dovrebbe rimpiazzare i client mobili che utilizzano IMAP4 e POP3.

SMTP
Microsoft dice di aver quasi finito il lavoro di implementazione della modern authentication per l’SMTP.
Quando disattiverà la basic auth per l’SMTP, probabilmente si arresterà la connettività per i device mail-enabled che utilizzano l’SMTP per inviare notifiche o altre informazioni.
Non è chiaro quante aziende faranno l’aggiornamento del software in esecuzione su questi dispositivi per utilizzare la modern authentication, in particolare su device vecchi.
Potrebbe essere non vi siano soluzioni disponibili per permettere ai dispositivi di continuare a connettersi ad Exchange Online a meno che i clienti non facciano pressione per creare patches.

PowerShell
Molti script PowerShell che rendono automatici processi importanti vengono eseguiti con la basic auth.
Il piano di Microsoft per gli script non interattivi è quello di supportare l’autenticazione certificate-based perchè rimpiazzi le password passate a script via stringhe di testo.
Il nuovo modulo REST-based Exchange Online management aiuta (in particolar modo con gli ultimi update) ma offre un rimpiazzo solo per nove delle centinaia di cmdlets Exchange.

Ricordate che molti script usati con Office 365 interagiscono con molteplici endpoints (Exchange Online, SharePoint Online, Teams, Azure Active Directory ecc).
Il lavoro di spostare gli script non-interattivi dalla basic auth alla modern authentication non dev’essere sottostimato.

Da fare
Il 13 Ottobre 2020 sembra lontano.
E lo è…a meno che non abbiate diverse famiglie di client e dispositivi che utilizzano la basic auth per connettersi ad Exchange Online.
Se questo è il vostro caso, dovete muovervi immediatamente a meno che non vogliate che il flusso di email si blocchi totalmente una volta sradicata la basic auth.


Le informazioni presenti in questo post, sono prese dall’articolo: Time Running Out for Exchange Online Basic Authentication.

Exchange Online Protection: ulteriori miglioramenti alla Zero-Hour Auto Purge

Exchange Online Protection: ulteriori miglioramenti alla Zero-Hour Auto Purge

ZAP e Quarantena
ZAP, la zero hour auto purge, è una funzione di Exchange Online Protection(EOP) che, ultimamente è andata incontro ad alcune problematiche (approfondimenti).
Per supportare le aziende, Microsoft sta rilasciando una serie di miglioramenti con l’obiettivo di offrire un controllo più dettagliato ed un allineamento più preciso con gli altri controlli operati.
In poche parole, oltre all’attuale funzione “malware ZAP” che rimuove tutti gli allegati ritenuti non sicuri, ZAP agirà sui messaggi identificati come Spam o Phish mettendoli in quarantena.
Inoltre, Microsoft sta inserendo la possibilità di disabilitare l’elaborazione di phish o spam per ZAP.

Infine, ha annunciato il supporto per lo spostamento dei messaggi ZAP-ed nella quarantena quale parte degli aggiornamenti Phish and spam Zero-hour Auto Purge move to Quarantine annunciati all’interno della roadmap Microsoft 365 – voce 55432.

Exchange Online Protection: ulteriori miglioramenti alla Zero-Hour Auto Purge

Abilitare lo ZAP per Spam e Phish
Mentre l’annuncio della roadmap non ne parla esplicitamente, anche una rapida occhiata alla documentazione fa emergere il fatto che Microsoft stia creando anche dei controlli aggiuntivi che permettano di attivare e disattivare le modalità di rilevamento di spam e/o phish.
Entrambe le nuove modalità saranno abilitate di default e potranno essere controllate tramite i nuovi parametri introdotti per il cmdlet Set-HostedContentFilterPolicy: SpamZapEnabled e PhishZapEnabled.

Il valore per entrambi i nuovi parametri viene attualmente ereditato dal valore del parametro ZapEnabled e rimarrà così fino a febbraio 2020, quando il parametro ZapEnabled sarà disattivato. Di default, i parametri SpamZapEnabled e PhiosZapEnabled saranno abilitati ($true). In futuro, avrete la possibilità di modificare lo stato dei due parametri a $false, disabilitando cosi l’elaborazione dei messaggi di spam e phish da parte di ZAP.

Elaborazione della posta elettronica
In merito alle email, ZAP, si comporterà in questo modo.
a. per i messaggi classificati come malware, rimarrà in vigore l’attuale azione di “remove attachment”
b. per i messaggi identificati come phish o spam, verrà eseguita l’azione configurata nella policy di filtro contenuti.
Per quanto riguarda il punto b, se l’azione è impostata su Quarantine message, Delete message o Redirect message to email address, ZAP sposterà il contenuto in quarantena.
Se, invece, l’azione è impostata su Move message to Junk email folder, verrà applicato il comportamento corrente ed i messaggi saranno spostati nella cartella posta indesiderata.
Infine, se l’azione è impostata su Add X-Header o Prepend subject line with text, o non sono state definite azioni nella policy, allora ZAP non effettuerà alcuna operazione sul messaggio. Vale il medesimo comportamento se è stato disabilitato il processo di spam/phish dai controlli sopra elencati.

Tutti questi miglioramenti introdurranno anche un altro cambiamento nel programma ZAP basato sullo stato di lettura del messaggio.
I messaggi malware continueranno ad essere elaborati indipendentemente dallo stato di lettura. Per i messaggi identificati come phish, l’azione sarà eseguita indipendentemente dallo stato di lettura.
Invece, per quanto riguarda i messaggi contrassegnati come spam, il processo sarà eseguito solo sui messaggi contrassegnati come non letti.


Le informazioni presenti in questo post, sono prese dall’articolo: Exchange Online Protection Improves Zero-Hour Auto Purge (ZAP).

Azure Cloud Shell supporta ora Exchange Online

Oggi siamo felicissimi di annunciarvi che il modulo PowerShell per Exchange Online è disponibile all’interno di Azure Cloud Shell!

Se siete un amministratore di Exchange e non avete mai utilizzato Azure Cloud Shell prima (o non avete idea di cosa sia), allora questo post fa per voi.
Sappiamo perfettamente che non è semplice rimanere sempre aggiornati con tutte le novità di Microsoft, per questo vogliamo mettervi al corrente di questa ingegnosa funzionalità rilasciata di recente.
In sostanza, Azure Cloud Shell è una shell experience autenticata, basata sul browser e ospitata da Microsoft.

Potete utilizzare qualsiasi browser per aprire in maniera sicura un ambiente shell ospitato su Azure, in seguito potete connettervi ad Exchange Online (e ovviamente a Azure) avendo la medesima esperienza di gestione che siete soliti vedere su Exchange Online senza i problemi derivanti dal dover installare componenti o sistemi operativi idonei.

Per iniziare, potete sia raggiungere shell.azure.com che lanciare Cloud Shell direttamente dal portale di Azure cliccando sull’icona di Cloud Shell e selezionando l’esperienza PowerShell.
Potete vedere l’icona di Cloud PowerShell nell’immagine qui sotto circondata da un quadratino azzurro nella barra superiore.
Se invece ci arrivate tramite indirizzo shell.azure.com, dovrete autenticarvi e completare la richiesta di MFA (ci auguriamo che la vostra sottoscrizione abbia abilitato la MFA per tutti gli account).

Azure Cloud Shell supporta ora Exchange Online

A questo punto, tutto quello che dovete fare è eseguire il comando Connect-EXOPSSession.
Dovete utilizzare un account con assegnato il ruolo di Role Based Access Control (RBAC) e con i permessi adeguati.
Microsoft ha abilitato il Single Sign On (SSO) quindi non dovrete fornire altre credenziali.

I comandi Exchange vengono automaticamente traslati all’ambiente Cloud Shell: questo vi permette di effettuare esattamente le stesse attività che fate normalmente utilizzando Exchange Online PowerShell.

Date un’occhiata a questo video proveniente dall’ultima conferenza Microsoft Ignite per scoprire come effettuare questo processo nel modo più semplice possibile.
Tutto quello di cui avete bisogno è un browser!

La sezione seguente risponde alle domande frequenti degli utenti.

Come funziona esattamente?
Quando iniziate una sessione Cloud Shell, siete connessi ad un container Linux eseguito da Microsoft.
Perchè ciò sia possibile, dobbiamo ri-fattorizzare il codice Exchange Online PowerShell perchè lavori correttamente con PowerShell Core.

Una volta che la sessione è aperta, potete usare uno qualsiasi tra gli strumenti disponibili in Azure Cloud Shell e Exchange Online PowerShell.

Quali sono i requisiti?
Per usare Cloud Shell, avete semplicemente bisogno di una sottoscrizione Azure e di un account Azure Storage.
Cloud Shell ha bisogno di uno Storage account in Azure per lo storage temporaneo dell’ambiente di lavoro cmdlet, per qualsiasi import/export che facciate e per salvare i vostri script o gli altri file. Lo storage è persistente per il vostro account quindi ogniqualvolta e dovunque usiate Cloud Shell, tutti i vostri file e script saranno sempre disponibili.

L’unico costo per l’esecuzione di Azure Cloud Shell deriva dall’utilizzo di un account Azure Storage che, solitamente, è molto basso.
I costi di Azure Storage sono basati su un modello di consumo, perciò pagate solo per quanto utilizzate.

Si tratta del set completo dei cmdlet di Exchange?
Sì, è la libreria completa dei cmdlet di Exchange Online. È stato tutto modificato per lavorare all’interno di PowerShell Core. Funziona tutto in modo analogo ad oggi, solo l’accesso è differente.

Microsoft sta deprecando l’attuale Exchange PowerShell module in favore di questo?
Attualmente, Microsoft non ha piani in merito.

Per quanto riguarda RBAC?
RBAC è totalmente rispettato e lavora come fa con Windows PowerShell.

Come importo ed esporto i dati?
Dal portale di Azure o da shell.azure.com, trovate una toolbar contenente l’icona di Upload/Download che può essere utilizzata per spostare i vostri script locali su Cloud Shell e viceversa. Potrete anche fare il drag and drop dei file locali al terminale e saranno caricati automaticamente al Cloud Shell.

I file che sono salvati sotto il clouddrive all’interno di Cloud Shell, saranno disponibili da ovunque possiate raggiungere il vostro storage account Azure come, ad esempio, Azure Storage Explorer.

Azure Cloud Shell supporta ora Exchange Online

Come mantengo Cloud Shell aggiornato?
Non è un vostro compito, Microsoft lo fa per voi.
È questo il bello di questo setup: è sempre aggiornato, sicuro ed accessibile da dovunque possiate raggiungerlo con un browser.

Ci sono altri modi per accedere a Cloud Shell?
Azure Cloud Shell è disponibile dal Portale di Azure, da shell.azure.com, Azure Mobile App, Azure Extension in Visual Studio Code, dal pulsante “Try it” all’interno di Microsoft Docs e da Microsoft Learn.

Quali altri vincoli vi sono?
L’unico, se vogliamo considerarlo tale, è il timeout: per evitare di avere sessioni costantemente in esecuzione senza senso, Microsoft ha creato un timeout delle sessioni con cui non vi è un utilizzo interattivo. In sostanza, se non toccate la macchina per più di 20 minuti, viene richiamata la sessione.
Vi anticipiamo che l’attuale timeout dovrebbe funzionare per la maggior parte degli scenari di gestione ad hoc ma se volete eseguire script a lungo termine, probabilmente Cloud Shell non è lo strumento migliore.

A questo link una guida Quickstart.


Le informazioni presenti in questo post, sono prese dall’articolo Azure Cloud Shell Now Supports Exchange Online.