Configuration de Microsoft 365 SMTP OAuth

Obsolescence de l'authentification de base dans Microsoft 365

Dans le cadre des améliorations continues de la sécurité apportées par Microsoft, l'authentification de base dans Exchange Online (qui fait partie de Microsoft 365) sera entièrement obsolète et désactivée d'ici mars 2026. (Voir l'annonce officielle de Microsoft.)

Impact sur Tenable Identity Exposure

Tenable Identity Exposure inclut une fonctionnalité qui fournit des rapports et des alertes par e-mail. Si vous utilisez actuellement l'authentification de base pour vous connecter à Microsoft 365 pour SMTP, vous ne recevrez plus de rapports ni d'alertes par e-mail de Tenable Identity Exposure après la désactivation de l'authentification de base.

Pour éviter toute interruption, Tenable Identity Exposure prend en charge OAuth, le protocole d'authentification moderne et sécurisé de Microsoft 365. Tenable Identity Exposure vous recommande vivement de vous préparer à cette modification pour assurer l'accès continu aux notifications par e-mail.

Utilisez les procédures suivantes pour configurer l'authentification SMTP OAuth dans Microsoft 365, afin d'activer les fonctionnalités d'envoi d'e-mails sécurisés dans Tenable Identity Exposure.

Conditions préalables

  • Accès administrateur à Microsoft 365

  • PowerShell avec privilèges d'administrateur

  • Tenant Microsoft 365 actif

  • Module PowerShell ExchangeOnlineManagement installé [voir étape 6]

  • Module PowerShell ExchangePowerShell installé [voir étape 6]

Configuration OAuth

    1. Connectez-vous au portail Azure.

    2. Accédez à Microsoft Entra ID > Inscriptions d'application.

    3. Cliquez sur Nouvelle inscription.

    4. Donnez un nom à votre application.

    5. Sélectionnez les types de comptes pris en charge appropriés « Comptes dans cet annuaire d'organisation uniquement ».

    6. Cliquez sur Inscrire.

    7. Copiez l'ID de tenant et conservez-le pour référence.

    8. Cliquez sur le lien situé sous « Application gérée dans l'annuaire local » pour accéder à l'application d'entreprise correspondant à cette nouvelle inscription d'application :

    9. Copiez l'ID d'application (AppID) et l'ID d'objet (ObjectID) à utiliser dans les étapes suivantes.

    1. Dans l'inscription d'application nouvellement créée, sélectionnez Autorisations d'API dans le menu de gauche.

    2. Cliquez sur Ajouter une autorisation.

    3. Sélectionnez l'API Office 365 Exchange Online.

    4. Choisissez Autorisations de l'application.

    5. Faites défiler et sélectionnez SMTP.SendAsApp.

    6. Cliquez sur Ajouter des autorisations.

    7. Cliquez sur Accorder le consentement administrateur [votre organisation].

    1. Dans l'inscription d'application, accédez à Certificats et secrets dans le menu de gauche.

    2. Sous Secrets client, cliquez sur Nouveau secret client.

    3. Saisissez une description de votre secret.

    4. Sélectionnez une période d'expiration en fonction de votre stratégie de sécurité.

      Important : veillez à modifier le secret client avant son expiration en créant un nouveau secret et en le configurant dans Tenable Identity Exposure. Si les identifiants ne sont pas mis à jour à temps, l'envoi d'e-mails dans Tenable Identity Exposure échouera après l'expiration de la clé.

    5. Cliquez sur Ajouter.

      Important : copiez la valeur du secret généré et stockez-la de façon sécurisée, car elle ne sera plus jamais affichée. Vous en aurez besoin à l'étape suivante. Il sera impossible de la récupérer ultérieurement.

    1. Rendez-vous dans le Centre d'administration Microsoft 365.

    2. Accédez à Utilisateurs > Utilisateurs actifs.

    3. Sélectionnez un utilisateur existant ou créez une nouvelle boîte aux lettres partagée pour l'envoi SMTP.

    4. Assurez-vous que la boîte aux lettres dispose d'une licence Microsoft 365 appropriée.

    1. Rendez-vous dans le Centre d'administration Microsoft 365.

    2. Accédez à Utilisateurs > Utilisateurs actifs.

    3. Sélectionnez la boîte aux lettres utilisateur que vous configurez.

    4. Cliquez sur Courrier > Gérer les applications de courrier.

    5. Décochez toutes les options, puis cochez uniquement SMTP authentifié.

    6. Cliquez sur Enregistrer.

    • Ouvrez PowerShell et exécutez les commandes suivantes :

      Copier 
      Install-Module -Name ExchangeOnlineManagement
      Import-Module ExchangeOnlineManagement
      Install-Module -Name ExchangePowershell
      Import-Module -Name ExchangePowershell
      # Connect to Exchange Online (replace <Tenant ID> with your actual Tenant ID)
      Connect-ExchangeOnline -Organization <Tenant ID>

    • Dans votre session PowerShell (toujours connecté à Exchange Online), après adaptation avec les valeurs obtenues au début, exécutez la commande suivante :

      Copier 
      # Register the service principal
      New-ServicePrincipal -AppId "<AppID>" -ObjectId "<ObjectID>"

    • Dans la même session PowerShell, accordez au principal de service de votre application un accès à la boîte aux lettres souhaitée :

      Copier 
      Add-MailboxPermission -Identity "<[email protected]>" -User "<APPID>" -AccessRights FullAccess
      Remarque : remplacez « <[email protected]> » par l'adresse e-mail réelle de la boîte aux lettres à utiliser et <APPID> par l'ID d'application du principal de service.

  1. Pour que Tenable Identity Exposure utilise l'authentification OAuth SMTP, fournissez les informations suivantes, recueillies précédemment :

    • ID de tenant : votre ID de tenant Microsoft 365

    • ID de client : l'ID d'application (client) de votre inscription d'application

    • Valeur du secret du client : valeur secrète que vous avez créée et enregistrée précédemment

    • Adresse e-mail de l'expéditeur : adresse e-mail de la boîte aux lettres que vous avez configurée