SharedMaibox 0365 and Basic Authentication


English version below

Comme vous le savez peut-être les boites aux lettres partagées dans Office 365 permettent de bénéficier d’une boite aux lettres Exchange Online sans avoir à positionner une licence. Vous noterez que par défaut et en l’absence de licence, votre boite aux lettres partagée est limitée en stockage à 50 Go. Notez également que le contenu d’une boite aux lettres partagée ne peut pas être synchronisée sur un dispositif mobile (Smartphone, Tablette etc.)

Lorsque vous créez une boite aux lettres partagée, cela entraine la création d’un utilisateur Cloud dans l’annuaire Azure AD. Dans la plupart du temps, la boite aux lettres partagée est utilisée pour permettre à d’autre personne ayant une boite aux lettres de type « utilisateur » de partager des informations reçues dans la boite aux lettres partagée. Grace aux droits « Send AS », « SendOf Behalf » et « Full Access », ces mêmes utilisateurs peuvent envoyer « en tant que », « au nom de » ou bénéficier de tous les droits sur cette boite aux lettres partagée.

Vous pouvez aussi créer des boites aux lettres partagées pour que certaines applications les utilisent pour recevoir des messages provenant soit de l’interne soit de l’extérieur.

Par contre, pour des mesures de sécurité, nous recommandons que ces boites aux lettres partagées ne permettent pas, comme pour les boites aux lettres utilisateurs d’être accessibles via tous les modes (protocoles) possibles.

Si vos boites aux lettres partagées sont utilisées par des applications, alors il faudra connaitre le protocole d’accès utilisée par votre application et en limiter l’accès via ce seul et unique protocole d’accès.

Concernant ces modes d’accès, cela peut être des anciens protocoles comme PoPs, IMAPs, ou plus récent comme MAPI, ou Webservices etc.

D’autre part, il faudra également connaitre le mode d’authentification que votre application utilise. Dans le cadre des anciennes applications, le seul mode qu’elles savent gérer reste l’authentification basique. Ce mode d’authentification peu sécurisé, est incompatible avec les fonctions d’authentification à deux facteurs par exemple. De plus, il est en train de disparaitre petit à petit, au profit de ce que Microsoft a nommé « Modern Authentification ». Malgré cela, si votre application ne sait gérer que l’authentification basique, alors vous devrez activer cette méthode d’authentification pour vos boites aux lettres partagées. Voilà comment faire.

 

Etape 1 : Créez votre boite aux lettres partagées

La création d’une boite aux lettres partagés se fait via l’interface graphique soit par la commande Powershell comme le montre l’écran suivant

Dans notre cas nous avons créer une boite aux lettre nommée Shared@workingtogether.fun et comme cette boite aux lettres n’est accédée que via le protocole PoPs nous allons désactiver les méthodes d’accès inutiles

Etape 2 : Désactiver les protocoles d’accès inutiles

Pour désactiver les protocoles inutiles allez dans l’option Mailbox Features et Email Connectivity puis désactivez tous les protocoles inutiles comme le montre la figure suivante

Une fois effectué il va falloir changer le mot de passe de cette boite aux lettres partagées. Laisser la fonctionnalité Outlook On the web dans un premier temps. Cela va nous servir pour plus tard

Etape 3 : Changer le mot de passe de la boite aux lettres partagée

Pour changer le mot de passe de cette boite aux lettres partagées il faut utiliser via le portail d’administration l’option Azure Active Directory

Une fois que vous êtes connecté sur le portail cherchez votre compte de boite aux lettres partagée comme le montre la figure suivante

Puis cliquez dessus et assignez un mot de passe temporaire

Au passage vous noterez que le compte utilisateur de la boite partagée est différent de son adresse Email principale (Shared@workingtogether.fun) car il est composé de son nom de l’adresse technique du tenant (@cloudmenow.onmicrosoft.com). Comme ce compte est un compte cloud il n’est pas possible de changer cela.

Etape 4 : Vérifier l’accès à la boite aux lettres et assignez un mot de passe

Une fois effectué connectez-vous directement sur la boite aux lettres partagée via un explorateur (utilisez une navigation privée)

Et changer le mot de passe pour un mot de passe définitif

Une fois que vous avez vérifiez que vous avez accès à votre boite aux lettres partagée pensez à supprimer la méthode d’accès Outlook On the web dans les fonctionnalités de celle-ci. Dans notre cas nous avons laissez uniquement PoPs

Etape 5 : Activer l’authentification basique à l’aide d’une stratégie.

Maintenant que cela est fait il faut créer une stratégie d’authentification qui permet d’autoriser l’authentification basique pour permettre à votre application de se connecter via cette veille méthode.

Pour ce faire, il faut de connecter en Powershell sur le tenant. Utilisez depuis une interface Powershell ce lot de commande pour vous connectez rapidement si vous n’utilisez pas de proxy

$secpasswd = ConvertTo-SecureString « AdminPassword » -AsPlainText -Force

$mycreds = New-Object System.Management.Automation.PSCredential (« ADMINUPN », $secpasswd)

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $mycreds -Authentication Basic -AllowRedirection

Import-PSSession $Session

 

Une fois connecté tapez la commande suivante

Dans notre cas. Nous n’avons de stratégie d’authentification spécifique. Nous allons donc en créer une via la commande New-authenticationPolicy comme le montre l’exemple suivant.

Ensuite nous allons la modifier pour permettre uniquement dans le cadre du PoPs l’usage de l’authentification basique

Un fois terminé nous allons affecter cette stratégie d’authentification a notre boite aux lettres partagée.

Désormais l’application peut se connecter en POPs avec l’authentification basique sur cette boite aux lettres.

Cordialement

Laurent TERUIN

****************************************************************************************************************************************************************************

As you may know shared mailboxes in Office 365 allow you to benefit from an Exchange Online mailbox without having to set up a license. You will note that by default and in the absence of a license, your shared mailbox is limited in storage to 50 GB. Also note that the contents of a shared mailbox cannot be synchronized on a mobile device (Smartphone, Tablet etc…).

When you create a shared mailbox, this will result in the creation of a Cloud user in the Azure AD directory. In most cases, the shared mailbox is used to allow other people with a user mailbox to share information received in the shared mailbox. With « Send AS », « SendOf Behalf », and « Full Access » privileges, these same users can send « as, » « on behalf of, » or have full rights to the shared mailbox.

You can also create shared mailboxes so that certain applications can use them to receive messages either internally or externally.

However, for security reasons, we recommend that these shared mailboxes do not, as with user mailboxes, allow access via all possible modes (protocols).

If your shared mailboxes are used by applications, then it will be necessary to know the access protocol used by your application and to limit access via this one and only access protocol.

Concerning these access modes, it can be old protocols like PoPs, IMAPs, or newer ones like MAPI, or Webservices etc.

On the other hand, you will also need to know the authentication mode your application uses. For older applications, the only mode they can handle is basic authentication. This authentication mode is not very secure and is incompatible with two-factor authentication functions for example. Moreover, it is gradually disappearing, in favour of what Microsoft has called « Modern Authentication ». Despite this, if your application can only handle basic authentication, then you will need to enable this authentication method for your shared mailboxes. Here’s how to do it.

 

Step 1: Shared Mailbox creation

The creation of a shared mailbox is done via the GUI either by the powershell command as shown in the following screen

In our case we have created a mailbox named Shared@workingtogether.fun and since this mailbox is only accessed via the POPs Protocol we will disable unnecessary access methods.

Step2: Disable unnecessary access protocols

To disable unnecessary protocols go to the Mailbox Features and Email Connectivity option then disable all unnecessary protocols as shown in the following figure

Once done, you will have to change the password of this shared mailbox. Leave the Outlook On the web feature in the first instance. This will be useful for later

Step3 : Change the password of the shared mailbox

To change the password of this shared mailbox you have to use the Azure Active Directory option via the administration portal.

Once you are logged in to the portal look for your shared mailbox account as shown in the following figure

Then click on it and assign a temporary password.

By the way you will note that the user account of the shared box is different from his main email address (Shared@workingtogether.fun) because it is composed of his name and the technical address of the Tenant (@cloudmenow.onmicrosoft.com). As this account is a cloud account it is not possible to change this.

 

Step 4: Verify mailbox access and assign a password

Once done, connect directly to the shared mailbox via an explorer (use private browsing).

And change the password to a permanent one.

Once you have verified that you have access to your shared mailbox, remember to remove the Outlook On the web access method from its features. In our case we only let PoPs

Step 5: Enable basic authentication using a policy.

Now that this is done you need to create an authentication policy that allows basic authentication to allow your application to connect via this method.

To do this, you need to connect in Powershell on the holder. Use from a Powershell interface this command set to connect quickly if you do not use a proxy.

 

$secpasswd = ConvertTo-SecureString « AdminPassword » -AsPlainText -Force

$mycreds = New-Object System.Management.Automation.PSCredential (« ADMINUPN », $secpasswd)

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $mycreds -Authentication Basic -AllowRedirection

Import-PSSession $Session

 

Once connected type the following command

In our case. We don’t have a specific authentication strategy. So we will create one via the New-authenticationPolicy command as shown in the following example.

Then we are going to modify it to allow the use of basic authentication only for POPs.

Once completed we will assign this authentication policy to our shared mailbox.

Now the application can connect in POPs with basic authentication to this mailbox.

 

 

 

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s