Microsoft работает с Apple над обновлением iOS для повышения безопасности Exchange Online
Обычная проверка подлинности — это старый отраслевой стандарт, который используется для проверки соединений клиент-сервер. Однако в последние годы он оказался важным вектором атаки для нарушения безопасности данных. Таким образом, большинство поставщиков программного обеспечения отказываются от устаревшего механизма и тяготеют к современной аутентификации на основе OAuth 2.0 для повышения безопасности.
Это также относится к приложению Apple Mail, которое несколько лет назад перешло на современную аутентификацию. Однако это означало, что только новые учетные записи, которые были добавлены на устройство после перехода с базовой на современную аутентификацию, могли пользоваться преимуществами лучшей безопасности, в то время как старые учетные записи оставались привязанными к базовой аутентификации. Эта проблема распространялась даже на исходную конфигурацию, распространяющуюся на новые устройства и резервные копии. Теперь Microsoft решает эту проблему раз и навсегда, сотрудничая с Apple.
Хотя детали немного технические, в основном, что произойдет, так это то, что Apple интегрирует поддержку гранта Resource Owner Password Credential (ROPC) в будущем обновлении iOS. Этот обработчик обеспечивает безопасное использование приложениями учетных данных, хранящихся на вашем устройстве. После этого обновления почтовое приложение будет использовать ROPC для использования ваших существующих учетных данных для создания потока проверки подлинности для учетной записи Exchange Online с помощью Azure Active Directory. В ответ вы получите токены OAuth, ваша учетная запись будет настроена на постоянное использование современной аутентификации, и, наконец, учетные данные базовой аутентификации будут удалены.
Чтобы сделать этот переход как можно более плавным, Microsoft призвала администраторов арендаторов проверить элементы управления и политики, такие как условный доступ (CA) и многофакторная проверка подлинности (MFA), которые могут потребовать ввода данных от пользователей до того, как произойдет переключение. Точно так же он также поощряет администраторов предоставлять доступ к ресурсам почтовому приложению на уровне арендатора, чтобы каждому пользователю не приходилось индивидуально утверждать разрешения.
Однако, если вы используете решение для управления мобильными устройствами (MDM), переход на современную аутентификацию не произойдет автоматически, и вам потребуется сотрудничать с поставщиком MDM, чтобы убедиться, что вы используете рабочий процесс ROPC в почтовом приложении.
Несколько подробных инструкций для ИТ-администраторов можно найти в блоге Microsoft здесь. Однако потребители должны понимать, что это переключение рабочего процесса аутентификации произойдет в грядущем обновлении iOS и iPadOS. В какой-то момент такая же возможность появится и в macOS. Клиенты, использующие механизмы аутентификации на основе сертификатов, останутся незатронутыми.
