Desabilitar autenticação básica no Exchange Online
Importante
A partir de dezembro de 2022, o Centro de Administração do Exchange clássico foi preterido para clientes mundiais. A Microsoft recomenda a utilização do novo Centro de Administração do Exchange, se ainda não o fizer.
Embora a maioria das funcionalidades tenha sido migrada para o novo EAC, algumas foram migradas para outros centros de administração e as restantes serão migradas em breve para o Novo EAC. Encontre funcionalidades que ainda não se encontram no novo EAC em Outras Funcionalidades ou utilize a Pesquisa Global que o ajudarão a navegar pelo novo EAC.
Observação
Se tiver ativado as predefinições de segurança na sua organização, a autenticação Básica já está desativada no Exchange Online. Para obter mais informações, consulte Predefinições de segurança no ID do Microsoft Entra.
Se chegou a esta página porque a autenticação Básica não está a funcionar no seu inquilino e não configurou as predefinições de segurança ou as políticas de autenticação, poderemos ter desativado a autenticação Básica no seu inquilino como parte do nosso programa mais amplo para melhorar a segurança no Exchange Online. Consulte o Centro de Mensagens para ver as mensagens que se referem à autenticação Básica e leia Autenticação Básica e Exchange Online para obter os anúncios mais recentes relativos à autenticação Básica.
A autenticação básica no Exchange Online utiliza um nome de utilizador e uma palavra-passe para pedidos de acesso de cliente. Bloquear a autenticação Básica pode ajudar a proteger a sua organização do Exchange Online contra ataques de força bruta ou spray de palavra-passe. Quando desativar a autenticação Básica para utilizadores no Exchange Online, os clientes de e-mail e as aplicações têm de suportar a autenticação moderna. Esses clientes são:
- Outlook 2013 ou posterior (o Outlook 2013 requer uma alteração da chave de registo. Para obter mais informações, consulte Habilitar Autenticação Moderna para Office 2013 em dispositivos Windows.
- Outlook 2016 para Mac ou posterior
- Outlook para iOS e Android
- Email para iOS 11.3.1 ou posterior
Se a sua organização não tiver clientes de e-mail legados, pode utilizar políticas de autenticação no Exchange Online para desativar pedidos de autenticação Básicos. Desativar a autenticação Básica força todos os pedidos de acesso do cliente a utilizar a autenticação moderna. Para obter mais informações sobre a autenticação moderna, consulte Utilizar a autenticação moderna com clientes do Office.
Este tópico explica como a autenticação Básica é utilizada e bloqueada no Exchange Online e os procedimentos correspondentes para políticas de autenticação.
Como funciona a autenticação Básica no Exchange Online
A autenticação básica também é conhecida como autenticação proxy porque o cliente de e-mail transmite o nome de utilizador e a palavra-passe para o Exchange Online e o Exchange Online reencaminha ou proxies as credenciais para um fornecedor de identidade autoritativo (IdP) em nome do cliente de e-mail ou da aplicação. O IdP depende do modelo de autenticação da sua organização:
- Autenticação na cloud: o IdP é o ID do Microsoft Entra.
- Autenticação federada: o IdP é uma solução no local, como os Serviços de Federação do Active Directory (AD FS).
Estes modelos de autenticação são descritos nas secções seguintes. Para obter mais informações, consulte Escolher o método de autenticação certo para a sua solução de identidade híbrida do Microsoft Entra.
Autenticação na cloud
Os passos na autenticação na cloud são descritos no seguinte diagrama:
O cliente de e-mail envia o nome de utilizador e a palavra-passe para o Exchange Online.
Nota: quando a autenticação Básica é bloqueada, esta é bloqueada neste passo.
O Exchange Online envia o nome de utilizador e a palavra-passe para o Microsoft Entra ID.
O ID do Microsoft Entra devolve um pedido de utilizador ao Exchange Online e o utilizador é autenticado.
Autenticação federada
Os passos na autenticação federada são descritos no seguinte diagrama:
O cliente de e-mail envia o nome de utilizador e a palavra-passe para o Exchange Online.
Nota: quando a autenticação Básica é bloqueada, esta é bloqueada neste passo.
O Exchange Online envia o nome de utilizador e a palavra-passe para o IdP no local.
O Exchange Online recebe um token SAML (Security Assertion Markup Language) do IdP no local.
O Exchange Online envia o token SAML para o Microsoft Entra ID.
O ID do Microsoft Entra devolve um pedido de utilizador ao Exchange Online e o utilizador é autenticado.
Como a autenticação Básica é bloqueada no Exchange Online
Bloqueia a autenticação Básica no Exchange Online ao criar e atribuir políticas de autenticação a utilizadores individuais. As políticas definem os protocolos de cliente onde a autenticação Básica está bloqueada e a atribuição da política a um ou mais utilizadores bloqueia os pedidos de autenticação Básicos para os protocolos especificados.
Quando está bloqueado, a autenticação Básica no Exchange Online é bloqueada no primeiro passo de pré-autenticação (Passo 1 nos diagramas anteriores) antes de o pedido chegar ao ID do Microsoft Entra ou ao IdP no local. A vantagem desta abordagem é que os ataques de força bruta ou spray de palavra-passe não atingirão o IdP (o que pode acionar bloqueios de conta devido a tentativas de início de sessão incorretas).
Uma vez que as políticas de autenticação funcionam ao nível do utilizador, o Exchange Online só pode bloquear pedidos de autenticação Básicos para utilizadores existentes na organização na cloud. Para autenticação federada, se um utilizador não existir no Exchange Online, o nome de utilizador e a palavra-passe são reencaminhados para o IdP no local. Por exemplo, considere o seguinte cenário:
Uma organização tem o domínio federado contoso.com e utiliza o AD FS no local para autenticação.
O utilizador ian@contoso.com existe na organização no local, mas não no Office 365 ou Microsoft 365 (não existe nenhuma conta de utilizador no Microsoft Entra ID e nenhum objeto de destinatário na lista de endereços globais do Exchange Online).
Um cliente de e-mail envia um pedido de início de sessão para o Exchange Online com o nome ian@contoso.comde utilizador . Não é possível aplicar uma política de autenticação ao utilizador e o pedido de autenticação para ian@contoso.com é enviado para o AD FS no local.
O AD FS no local pode aceitar ou rejeitar o pedido de autenticação para ian@contoso.com. Se o pedido for aceite, é devolvido um token SAML ao Exchange Online. Desde que o valor ImmutableId do token SAML corresponda a um utilizador no Microsoft Entra ID, o Microsoft Entra ID emitirá um pedido de utilizador para o Exchange Online (o valor ImmutableId é definido durante a configuração do Microsoft Entra Connect).
Neste cenário, se contoso.com utilizar o servidor do AD FS no local para autenticação, o servidor do AD FS no local continuará a receber pedidos de autenticação para nomes de utilizador inexistentes do Exchange Online durante um ataque por spray de palavra-passe.
Numa implementação híbrida do Exchange, a autenticação das suas caixas de correio no local será processada pelos seus servidores exchange no local e as políticas de autenticação não serão aplicadas. Para caixas de correio movidas para o Exchange Online, o serviço de Deteção Automática irá redirecioná-las para o Exchange Online e, em seguida, serão aplicados alguns dos cenários anteriores.
Procedimentos de política de autenticação no Exchange Online
Pode gerir todos os aspetos das políticas de autenticação no PowerShell do Exchange Online. Os protocolos e serviços no Exchange Online para os quais pode bloquear a autenticação Básica estão descritos na tabela seguinte.
Protocolo ou serviço | Descrição | Nome do parâmetro |
---|---|---|
Exchange Active Sync (EAS) | Utilizado por alguns clientes de e-mail em dispositivos móveis. | AllowBasicAuthActiveSync |
Descoberta automática | Utilizado pelos clientes do Outlook e do EAS para localizar e ligar a caixas de correio no Exchange Online | AllowBasicAuthAutodiscover |
IMAP4 | Utilizado por clientes de e-mail IMAP. | AllowBasicAuthImap |
MAPI através de HTTP (MAPI/HTTP) | Utilizado pelo Outlook 2010 e posterior. | AllowBasicAuthMapi |
Livro de Endereços Offline (OAB) | Uma cópia das coleções de lista de endereços que são transferidas e utilizadas pelo Outlook. | AllowBasicAuthOfflineAddressBook |
Serviço Outlook | Utilizado pela aplicação Correio e Calendário para Windows 10. | AllowBasicAuthOutlookService |
POP3 | Utilizado por clientes de e-mail POP. | AllowBasicAuthPop |
Reporting Web Services | Utilizado para obter dados de relatórios no Exchange Online. | AllowBasicAuthReportingWebServices |
Outlook em Qualquer Lugar (RPC sobre HTTP) | Utilizado pelo Outlook 2016 e anterior. | AllowBasicAuthRpc |
SMTP autenticado | Utilizado por clientes POP e IMAP para enviar mensagens de e-mail. | AllowBasicAuthSmtp |
Serviços Web do Exchange (EWS) | Uma interface de programação utilizada pelo Outlook, Outlook para Mac e aplicações de terceiros. | AllowBasicAuthWebServices |
PowerShell | Utilizado para ligar ao Exchange Online com o PowerShell remoto. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online. | AllowBasicAuthPowerShell |
Normalmente, quando bloqueia a autenticação Básica para um utilizador, recomendamos que bloqueie a autenticação Básica para todos os protocolos. No entanto, pode utilizar os parâmetros AllowBasicAuth* (comutadores) nos cmdlets New-AuthenticationPolicy e Set-AuthenticationPolicy para permitir ou bloquear seletivamente a autenticação Básica para protocolos específicos.
Para clientes de e-mail e aplicações que não suportam a autenticação moderna, tem de permitir a autenticação Básica para os protocolos e serviços de que necessitam. Estes protocolos e serviços estão descritos na seguinte tabela:
Cliente | Protocolos e serviços |
---|---|
Clientes EWS mais antigos |
|
Clientes ActiveSync mais antigos |
|
Clientes POP |
|
Clientes IMAP |
|
Outlook 2010 |
|
Observação
Bloquear a autenticação Básica bloqueará as palavras-passe de aplicações no Exchange Online. Para obter mais informações sobre palavras-passe de aplicação, consulte Criar uma palavra-passe de aplicação.
Do que você precisa saber para começar?
Verifique se a autenticação moderna está ativada na sua organização do Exchange Online (está ativada por predefinição). Para obter mais informações, consulte Ativar ou desativar a autenticação moderna para o Outlook no Exchange Online.
Verifique se os clientes de e-mail e as aplicações suportam a autenticação moderna (consulte a lista no início do tópico). Além disso, verifique se os clientes de ambiente de trabalho do Outlook estão a executar as atualizações cumulativas mínimas necessárias. Para obter mais informações, consulte Atualizações do Outlook.
Para aprender a se conectar ao Exchange Online PowerShell, confira Conectar ao Exchange Online PowerShell.
Criar e aplicar políticas de autenticação
Os passos para criar e aplicar políticas de autenticação para bloquear a autenticação Básica no Exchange Online são:
Crie a política de autenticação.
Atribua a política de autenticação aos utilizadores.
Aguarde 24 horas para que a política seja aplicada aos utilizadores ou force a aplicação imediata da política.
Estes passos estão descritos nas secções seguintes.
Passo 1: criar a política de autenticação
Para criar uma política que bloqueia a autenticação Básica para todos os protocolos de cliente disponíveis no Exchange Online (a configuração recomendada), utilize a seguinte sintaxe:
New-AuthenticationPolicy -Name "<Descriptive Name>"
Este exemplo cria uma política de autenticação denominada Bloquear Autenticação Básica.
New-AuthenticationPolicy -Name "Block Basic Auth"
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-AuthenticationPolicy.
Observações:
Não pode alterar o nome da política depois de a criar (o parâmetro Nome não está disponível no cmdlet Set-AuthenticationPolicy ).
Para ativar a autenticação Básica para protocolos específicos na política, veja a secção Modificar políticas de autenticação mais adiante neste tópico. As mesmas definições de protocolo estão disponíveis nos cmdlets New-AuthenticationPolicy e Set-AuthenticationPolicy e os passos para ativar a autenticação Básica para protocolos específicos são os mesmos para ambos os cmdlets.
Passo 2: atribuir a política de autenticação aos utilizadores
Os métodos que pode utilizar para atribuir políticas de autenticação aos utilizadores são descritos nesta secção:
Contas de utilizador individuais: utilize a seguinte sintaxe:
Set-User -Identity <UserIdentity> -AuthenticationPolicy <PolicyIdentity>
Este exemplo atribui a política denominada Bloquear Autenticação Básica à conta laura@contoso.comde utilizador .
Set-User -Identity laura@contoso.com -AuthenticationPolicy "Block Basic Auth"
Filtrar contas de utilizador por atributos: este método requer que todas as contas de utilizador partilhem um atributo filtrado exclusivo (por exemplo, Título ou Departamento) que pode utilizar para identificar os utilizadores. A sintaxe utiliza os seguintes comandos (dois para identificar as contas de utilizador e o outro para aplicar a política a esses utilizadores):
$<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter> $<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID $<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
Este exemplo atribui a política denominada Bloquear Autenticação Básica a todas as contas de utilizador cujo atributo Título contém o valor "Sales Associate".
$SalesUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (Title -like '*Sales Associate*')" $Sales = $SalesUsers.MicrosoftOnlineServicesID $Sales | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
Utilizar uma lista de contas de utilizador específicas: este método requer um ficheiro de texto para identificar as contas de utilizador. Os valores que não contêm espaços (por exemplo, a conta escolar ou profissional do Office 365 ou Microsoft 365) funcionam melhor. O ficheiro de texto tem de conter uma conta de utilizador em cada linha como esta:
akol@contoso.com
tjohnston@contoso.com
kakers@contoso.comA sintaxe utiliza os dois comandos seguintes (um para identificar as contas de utilizador e o outro para aplicar a política a esses utilizadores):
$<VariableName> = Get-Content "<text file>" $<VariableName> | foreach {Set-User -Identity $_ -AuthenticationPolicy <PolicyIdentity>}
Este exemplo atribui a política denominada Bloquear Autenticação Básica às contas de utilizador especificadas no ficheiro C:\My Documents\BlockBasicAuth.txt.
$BBA = Get-Content "C:\My Documents\BlockBasicAuth.txt" $BBA | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
Filtrar contas de utilizador do Active Directory no local sincronizadas com o Exchange Online: para obter detalhes, consulte a secção Filtrar contas de utilizador do Active Directory no local sincronizadas com o Exchange Online neste tópico.
Observação
Para remover a atribuição de política dos utilizadores, utilize o valor $null
do parâmetro AuthenticationPolicy no cmdlet Set-User .
Passo 3: (Opcional) Aplicar imediatamente a política de autenticação aos utilizadores
Por predefinição, quando cria ou altera a atribuição da política de autenticação nos utilizadores ou atualiza a política, as alterações entrarão em vigor dentro de 24 horas. Se quiser que a política entre em vigor dentro de 30 minutos, utilize a seguinte sintaxe:
Set-User -Identity <UserIdentity> -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)
Este exemplo aplica imediatamente a política de autenticação ao utilizador laura@contoso.com.
Set-User -Identity laura@contoso.com -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)
Este exemplo aplica imediatamente a política de autenticação a vários utilizadores que foram anteriormente identificados por atributos filtráveis ou um ficheiro de texto. Este exemplo funciona se ainda estiver na mesma sessão do PowerShell e não tiver alterado as variáveis que utilizou para identificar os utilizadores (não utilizou o mesmo nome de variável posteriormente para outra finalidade). Por exemplo:
$Sales | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}
ou
$BBA | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}
Ver políticas de autenticação
Para ver uma lista de resumo dos nomes de todas as políticas de autenticação existentes, execute o seguinte comando:
Get-AuthenticationPolicy | Format-Table Name -Auto
Para ver informações detalhadas sobre uma política de autenticação específica, utilize esta sintaxe:
Get-AuthenticationPolicy -Identity <PolicyIdentity>
Este exemplo devolve informações detalhadas sobre a política denominada Bloquear Autenticação Básica.
Get-AuthenticationPolicy -Identity "Block Basic Auth"
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-AuthenticationPolicy.
Modificar políticas de autenticação
Por predefinição, quando cria uma nova política de autenticação sem especificar protocolos, a autenticação Básica é bloqueada para todos os protocolos cliente no Exchange Online. Por outras palavras, o valor predefinido dos parâmetros AllowBasicAuth* (comutadores) é False
para todos os protocolos.
Para ativar a autenticação Básica para um protocolo específico desativado, especifique o comutador sem um valor.
Para desativar a autenticação Básica para um protocolo específico ativado, só pode utilizar o valor
:$false
.
Pode utilizar o cmdlet Get-AuthenticationPolicy para ver o estado atual dos comutadores AllowBasicAuth* na política.
Este exemplo ativa a autenticação básica para o protocolo POP3 e desativa a autenticação básica para o protocolo IMAP4 na política de autenticação existente denominada Bloquear Autenticação Básica.
Set-AuthenticationPolicy -Identity "Block Basic Auth" -AllowBasicAuthPop -AllowBasicAuthImap:$false
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-AuthenticationPolicy.
Configurar a política de autenticação predefinida
A política de autenticação predefinida é atribuída a todos os utilizadores que ainda não tenham uma política específica atribuída. Tenha em atenção que as políticas de autenticação atribuídas aos utilizadores têm precedência sobre a política predefinida. Para configurar a política de autenticação predefinida para a organização, utilize esta sintaxe:
Set-OrganizationConfig -DefaultAuthenticationPolicy <PolicyIdentity>
Este exemplo configura a política de autenticação denominada Bloquear Autenticação Básica como a política predefinida.
Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Basic Auth"
Observação
Para remover a designação de política de autenticação predefinida, utilize o valor $null
para o parâmetro DefaultAuthenticationPolicy .
Utilize o exemplo seguinte para verificar se está configurada uma política de autenticação predefinida.
Get-OrganizationConfig | Format-Table DefaultAuthenticationPolicy
Remover políticas de autenticação
Para remover uma política de autenticação existente, utilize esta sintaxe:
Remove-AuthenticationPolicy -Identity <PolicyIdentity>
Este exemplo remove a política denominada Política de Autenticação de Teste.
Remove-AuthenticationPolicy -Identity "Test Auth Policy"
Para obter informações detalhadas sobre sintaxe e parâmetros, veja Remove-AuthenticationPolicy.
Como sabe que desativou com êxito a autenticação Básica no Exchange Online?
Para confirmar que uma política de autenticação foi aplicada diretamente aos utilizadores:
Observação
Tenha em conta que uma política de autenticação predefinida já pode estar configurada. Veja Configurar a política de autenticação predefinida para obter detalhes.
Execute o seguinte comando para localizar o valor de nome único (DN) da política de autenticação:
Get-AuthenticationPolicy | Format-List Name,DistinguishedName
Utilize o valor DN da política de autenticação no seguinte comando:
Get-User -Filter "AuthenticationPolicy -eq '<AuthPolicyDN>'"
Por exemplo:
Get-User -Filter "AuthenticationPolicy -eq 'CN=Block Basic Auth,CN=Auth Policies,CN=Configuration,CN=contoso.onmicrosoft.com,CN=ConfigurationUnits,DC=NAMPR11B009,DC=PROD,DC=OUTLOOK,DC=COM'"
Quando uma política de autenticação bloqueia pedidos de autenticação Básicos de um utilizador específico para um protocolo específico no Exchange Online, a resposta é 401 Unauthorized
. Não são devolvidas informações adicionais ao cliente para evitar fugas de informações adicionais sobre o utilizador bloqueado. Um exemplo da resposta tem o seguinte aspeto:
HTTP/1.1 401 Unauthorized
Server: Microsoft-IIS/10.0
request-id: 413ee498-f337-4b0d-8ad5-50d900eb1f72
X-CalculatedBETarget: DM5PR2101MB0886.namprd21.prod.outlook.com
X-BackEndHttpStatus: 401
Set-Cookie: MapiRouting=#################################################; path=/mapi/; secure; HttpOnly
X-ServerApplication: Exchange/15.20.0485.000
X-RequestId: {3146D993-9082-4D57-99ED-9E7D5EA4FA56}:8
X-ClientInfo: {B0DD130A-CDBF-4CFA-8041-3D73B4318010}:59
X-RequestType: Bind
X-DiagInfo: DM5PR2101MB0886
X-BEServer: DM5PR2101MB0886
X-Powered-By: ASP.NET
X-FEServer: MA1PR0101CA0031
WWW-Authenticate: Basic Realm="",Basic Realm=""
Date: Wed, 31 Jan 2018 05:15:08 GMT
Content-Length: 0
Gerir a autenticação Básica no centro de administração do Microsoft 365
No centro de administração do Microsoft 365 em https://admin.microsoft.com, aceda a Definições Definições>da> OrganizaçãoAutenticação Moderna. Na lista de opções Autenticação moderna que é apresentada, pode identificar os protocolos que já não necessitam de autenticação Básica.
Em segundo plano, estas definições utilizam políticas de autenticação. Se as políticas de autenticação foram criadas no passado, modificar qualquer uma destas seleções criará automaticamente a primeira nova política de autenticação. Esta política só é visível através do PowerShell. Para clientes avançados que podem já estar a utilizar políticas de autenticação, as alterações no centro de administração do Microsoft 365 irão modificar a política predefinida existente. Consulte os registos de início de sessão do Microsoft Entra para ver que protocolos os clientes estão a utilizar antes de efetuar alterações.
Desativar a autenticação Básica no centro de administração do Microsoft 365 não desativa os seguintes serviços legados:
- AllowBasicAuthOutlookService
- AllowBasicAuthReportingWebServices
Só pode desativar estas definições no PowerShell do Exchange Online.
Execute o seguinte comando para localizar o nome da política de autenticação existente:
Get-AuthenticationPolicy
Substitua <AuthenticationPolicyName> pelo valor do passo anterior e, em seguida, execute o seguinte comando:
Set-AuthenticationPolicy -Identity "<AuthenticationPolicyName>" -AllowBasicAuthReportingWebServices:$false -AllowBasicAuthOutlookService:$false
O comando anterior afeta as novas caixas de correio que irá criar, mas não as caixas de correio existentes. Para aplicar a política a caixas de correio existentes, utilize o <valor AuthenticationPolicyName> no seguinte comando:
$mbx = Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited $mbx | foreach {Set-User -Identity $_.ExchangeObjectID.tostring() -AuthenticationPolicy <AuthenticationPolicyName>}
Filtrar contas de utilizador do Active Directory no local sincronizadas com o Exchange Online
Este método utiliza um atributo específico como um filtro para membros do grupo do Active Directory no local que serão sincronizados com o Exchange Online. Este método permite-lhe desativar protocolos legados para grupos específicos sem afetar toda a organização.
Ao longo deste exemplo, vamos utilizar o atributo Departamento , porque é um atributo comum que identifica os utilizadores com base no respetivo departamento e função. Para ver todas as propriedades expandidas do utilizador do Active Directory, aceda a Active Directory: Get-ADUser Propriedades Predefinidas e Expandidas.
Passo 1: localizar os utilizadores do Active Directory e definir os atributos de utilizador do Active Directory
Obter os membros de um grupo do Active Directory
Estes passos requerem o módulo do Active Directory para o Windows PowerShell. Para instalar este módulo no pc, tem de transferir e instalar as Ferramentas de Administração Remota do Servidor (RSAT).
Execute o seguinte comando no Active Directory PowerShell para devolver todos os grupos no Active Directory:
Get-ADGroup -Filter * | select -Property Name
Depois de obter a lista de grupos, pode consultar os utilizadores que pertencem a esses grupos e criar uma lista com base em qualquer um dos respetivos atributos. Recomendamos que utilize o atributo objectGuid porque o valor é exclusivo para cada utilizador.
Get-ADGroupMember -Identity "<GroupName>" | select -Property objectGuid
Este exemplo devolve o valor do atributo objectGuid para os membros do grupo denominado Programadores.
Get-ADGroupMember -Identity "Developers" | select -Property objectGuid
Definir o atributo de utilizador filtráveis
Depois de identificar o grupo do Active Directory que contém os utilizadores, tem de definir o valor do atributo que será sincronizado com o Exchange Online para filtrar os utilizadores (e, em última análise, desativar a autenticação Básica para os mesmos).
Utilize a seguinte sintaxe no PowerShell do Active Directory para configurar o valor do atributo para os membros do grupo que identificou no passo anterior. O primeiro comando identifica os membros do grupo com base no respetivo valor de atributo objectGuid . O segundo comando atribui o valor do atributo Departamento aos membros do grupo.
$variable1 = Get-ADGroupMember -Identity "<GroupName>" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="<DepartmentName>"}}
Este exemplo define o atributo Departamento para o valor "Programador" para os utilizadores que pertencem ao grupo denominado "Programadores".
$variable1 = Get-ADGroupMember -Identity "Developers" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="Developer"}}
Utilize a seguinte sintaxe no PowerShell do Active Directory para verificar se o atributo foi aplicado às contas de utilizador (agora ou no passado):
Get-ADUser -Filter "Department -eq '<DepartmentName>'" -Properties Department
Este exemplo devolve todas as contas de utilizador com o valor "Programador" para o atributo Departamento .
Get-ADUser -Filter "Department -eq 'Developer'" -Properties Department
Passo 2: Desativar a autenticação legada no Exchange Online
Observação
Os valores de atributo para utilizadores no local são sincronizados com o Exchange Online apenas para utilizadores com uma licença válida do Exchange Online. Para obter mais informações, veja Adicionar utilizadores individualmente ou em massa.
A sintaxe do PowerShell do Exchange Online utiliza os seguintes comandos (dois para identificar as contas de utilizador e o outro para aplicar a política a esses utilizadores):
$<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
$<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
$<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
Este exemplo atribui a política denominada Bloquear Autenticação Básica a todas as contas de utilizador sincronizadas cujo atributo Departamento contém o valor "Programador".
$developerUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (department -like '*developer*')"
$developers = $developerUsers.MicrosoftOnlineServicesID
$developers | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
Se ligar ao PowerShell do Exchange Online numa sessão do PowerShell do Active Directory, pode utilizar a seguinte sintaxe para aplicar a política a todos os membros de um grupo do Active Directory.
Este exemplo cria uma nova política de autenticação denominada Política de Marketing que desativa a autenticação Básica para membros do grupo do Active Directory denominado Departamento de Marketing para clientes ActiveSync, POP3, SMTP autenticado e IMAP4.
Observação
Uma limitação conhecida no PowerShell do Active Directory impede que o cmdlet Get-AdGroupMember devolva mais de 5000 resultados. Por conseguinte, o exemplo seguinte só funciona para grupos do Active Directory com menos de 5000 membros.
New-AuthenticationPolicy -Name "Marketing Policy" -AllowBasicAuthActiveSync $false -AllowBasicAuthPop $false -AllowBasicAuthSmtp $false -AllowBasicAuthImap $false
$users = Get-ADGroupMember "Marketing Department"
foreach ($user in $users) {Set-User -Identity $user.SamAccountName -AuthenticationPolicy "Marketing Policy"}