Office 365 – vypínání základního ověřování

E-mailové aplikace mohou vůči Office 365 použít buď základní ověřování (Basic Authentication či Legacy Authentication) nebo moderní ověřování (Modern Authentication). Základní ověřování je méně bezpečné (viz dále), nejpoužívanější poštovní klienti v současnosti podporují moderní ověřování.

Dne 27. srpna jsme zakázali základní ověřování pro všechny s výjimkou účtů, které je využili za poslední dva měsíce. I u těchto uživatelů je plán přejít na moderní ověřování – postupně je budeme oslovovat s návody na úpravu ověřování. Přechod ve většině případů znamená v aplikaci odebrat školní účet a znovu ho přidat.

Základní ověřování (Basic Authentication) vs moderní ověřování (Modern Authentication)
E-mailové aplikace mohou použít pro přístup k Office 365 různé protokoly, např. IMAP, Active Sync, SMTP či Offline Address Book. Při ověření uživatele jsou k dispozici dvě možnosti:

  1. základní ověřování – heslo je uloženo v aplikaci, při každém přihlášení aplikace odešle heslo do Office 365 a servery ho ověří vůči našim školním serverů (vůči adfsgw.vse.cz),
  2. moderní ověřování, které je založeno na protokolu OAuth/OAuth2. Při nastavení účtu se zobrazí školní přihlašovací stránka, uživatel zadá přihlašovací údaje. Klient poté získá token (dlouhý náhodný řetězec), který používá pro přihlášení. Token má omezenou platnost, před koncem platnosti (či při každém přihlášení) klient může požádat o prodloužení platnosti tokenu bez obtěžování uživatele o zadání přihlašovacích údajů. Pokud se aplikace delší dobu nepřihlásí, tak uživatel musí znovu zadat heslo.

Moderní ověřování má následující bezpečnostní výhody:

  • na klientovi není uloženo heslo, které by bylo možné použít pro přihlášení k jiným službám např. pro přihlášení k MS Teams. Konkrétní token je vázán na konkrétní službu.
  • heslo neprochází skrz servery Office 365 – nemůže dojít k jejich zcizení např. chybou v kódu serverů
  • pokud se klient delší dobu nepřihlásí, tak vyprší platnost a uživatel musí znovu zadat přihlašovací údaje,
  • přihlášení uživatele může zahrnovat i vícefaktorovou autentizaci,

Při moderním ověřování zadáváte heslo na školní přihlašovací stránce do Office 365. Následují ukázky:

Při základním ověřování zadáváte heslo přímo v aplikaci, ukázky: