Microsoft a lancé l’authentification des applications imbriquées (NAA), qui permet une authentification plus facile et offre une sécurité et une flexibilité architecturale améliorées par rapport aux modèles d’authentification de confiance totale et On-Behalf-Of (OBO). Pour cette raison, Microsoft retire les anciens jetons Exchange Online à compter du 17 février 2025. Cela signifie que les Phish Alert Button (PAB)hybride et pour le ruban Microsoft connectés à des domaines Microsoft 365 échoueront à moins que l’authentification des applications imbriquées avec SSO ne soit autorisée. Les anciens jetons Exchange Online peuvent être réactivés anciens jetons Exchange Online peuvent être réactivés (le lien s’ouvre dans une nouvelle fenêtre) jusqu’en juin 2025.

En raison de ces modifications, nous vous recommandons d’autoriser les API Graph et l’authentification des applications imbriquées avec SSO dans les paramètres de votre compte Phish Alert. Pour plus d’informations, consultez la FAQ de Microsoft concernant l’authentification des applications imbriquées et la dépréciation des jetons hérités Outlook (le lien s’ouvre dans une nouvelle fenêtre).

Prérequis pour l’authentification des applications imbriquées avec SSO

• Microsoft 365, qui nécessite le rôle Administrateur général pour accepter les autorisations.
• Exchange Online, qui nécessite le rôle Administrateur général pour accepter les autorisations.
• Canal Entreprise mensuel, version 2409 ou une version plus récente. Les versions plus anciennes entraîneront l’interruption du PAB pour le ruban Microsoft.
• Canal Entreprise semestriel 2408 ou une version plus récente. Les versions plus anciennes entraîneront l’interruption du PAB pour le ruban Microsoft.
• Canal actuel 2410 ou une version plus récente.

Prérequis supplémentaires

La disponibilité de l’authentification des applications imbriquées avec SSO varie en fonction des versions de Microsoft Office et de Microsoft Outlook utilisées. Pour déterminer si votre environnement prend en charge la NAA-SSO, reportez-vous à l’article de Microsoft Ensemble de conditions requises pour l’authentification d’applications imbriquées Ensemble de conditions requises pour l’authentification d’applications imbriquées (le lien s’ouvre dans une nouvelle fenêtre). Les versions compatibles comprennent :

• Microsoft Outlook sous Windows (licence en volume, perpétuelle) version 2408 (build 17932.20222) ou ultérieure.
• Microsoft Outlook sous Windows (commerciale, perpétuelle) version 2501 (build 18429.20132) ou ultérieure.

Remarques importantes sur les versions :

• Microsoft Office 2024 (licence en volume, perpétuelle) prend en charge l’authentification des applications imbriquées avec SSO.
• Microsoft Office 2021 (licence en volume, perpétuelle) prend toujours en charge l’authentification SSO-OBO, mais pas l’authentification des applications imbriquées avec SSO.
• Microsoft Office 2016 et 2019 (licence en volume, perpétuelle) ne prennent pas en charge l’authentification des applications imbriquées avec SSO ni la SSO-OBO. Pour plus d’informations sur Microsoft Office 2016 et 2019, consultez la documentation de Microsoft la documentation de Microsoft (le lien s’ouvre dans une nouvelle fenêtre).
• Microsoft Outlook sous Windows (commerciale, perpétuelle) version 2008 (build 13127.20000) ou ultérieure prendra en charge l’authentification SSO-OBO.

Acceptation des autorisations pour l’authentification des applications imbriquées avec SSO

Pour accepter les autorisations pour l’authentification des applications imbriquées avec SSO avec Microsoft, suivez les instructions ci-dessous.

1. Connectez-vous à votre compte KSAT et cliquez sur votre adresse courriel dans le coin supérieur droit de la page.
2. Sélectionnez Paramètres du compte, puis accédez à Intégrations du compte > Phish Alert.
3. Cliquez sur le menu déroulant pour afficher les paramètres du PAB.

4. Faites défiler vers le bas et cliquez sur Autoriser l’authentification des applications imbriquées avec SSO pour les API Graph. Vous serez redirigé vers une page de connexion Microsoft 365.

   Remarque : Vous devrez également cliquer sur Accepter les autorisations Microsoft pour autoriser les API Graph pour le PAB si ces autorisations n’ont pas été préalablement acceptées.

   

5. Connectez-vous à votre compte Microsoft 365 à l’aide de vos authentifiants d’administrateur.

6. Une fois connecté, la fenêtre contextuelle Autorisations demandées s’affichera. Lisez les autorisations, puis cliquez sur Accepter.

   Remarque : Si de multiples instances du PAB ont été déployées pour différents locataires Microsoft 365, vous devrez accepter les permissions pour autoriser les API Graph et l’authentification des applications imbriquées avec SSO pour chaque instance du PAB et sur chaque locataire.

   

7. Lorsque vous aurez accepté les autorisations, la fenêtre Autorisation Graph réussie s’affichera. Jusqu’à 48 heures peuvent être nécessaires pour que les autorisations d’utilisation de l’authentification des applications imbriquées avec SSO s’appliquent aux profils Microsoft Outlook de votre utilisateur.

   

NAA-SSO dans Internet Explorer

Si votre organisation utilise Outlook avec le mode Internet Explorer dans Microsoft Edge, ou Outlook dans Internet Explorer avec Microsoft 365, vous devez autoriser les API Graph et l’authentification des applications imbriquées avec SSO pour le PAB avant juin 2025 afin d’éviter une interruption de service. Une fois les autorisations accordées, vous pourrez désactiver les anciens jetons Exchange Online désactiver les anciens jetons Exchange Online (le lien s’ouvre dans une nouvelle fenêtre) et utiliser le PAB pour signaler un courriel, afin de vérifier son bon fonctionnement.

Expérience utilisateur

Voici ci-dessous l’expérience utilisateur pour la NAA-SSO dans Internet Explorer :

1. Cliquez sur le PAB dans le ruban.

   

2. Il se chargera dans le volet des tâches et affichera une fenêtre contextuelle.

3. La première fois que les utilisateurs feront un signalement avec le PAB, ils devront se connecter à leur compte Microsoft.

   

   Remarque :Si les utilisateurs n’arrivent pas à s’authentifier avec la NAA-SSO ou avec la SSO-OBO, le PAB se repliera sur le mécanisme d’authentification interactive qui nécessite une connexion à Microsoft lors de la première utilisation du PAB.

4. Cliquez sur le bouton Phish Alert pour signaler le courriel.

   

Dépannage

Question : Est-ce que je dois redéployer le manifeste XML du Pish Alert Button (PAB) après avoir autorisé l’authentification des applications imbriquées avec SSO?

Réponse : Non, il suffit d’accepter les autorisations.

Question : Je reçois l’erreur suivante : « Votre serveur de messagerie a besoin d’un jeton d’authentification valide pour le Phish Alert Button. Si vous avez besoin d’aide concernant les paramètres de votre serveur de messagerie, veuillez communiquer avec votre administrateur. » Comme puis-je résoudre ce problème?

Réponse : Cela indique que le PAB que vous utilisez tente de s’authentifier avec l’ancien jeton Exchange Online obsolète. Suivez les instructions suivantes pour tenter de résoudre l’erreur :

1. Nous vous recommandons de répéter les étapes 1 à 7 de la section Accepter les autorisations pour la NAA-SSO ci-dessus. Si cela ne permet pas de résoudre le problème, essayez de redéployer le PAB en suivant les étapes 2 à 5 ci-dessous.
2. Désinstaller le PAB actuel dans votre centre d’administration Microsoft 365 Désinstaller le PAB actuel dans votre centre d’administration Microsoft 365 (le lien s’ouvre dans une nouvelle fenêtre) en accédant à Paramètres > Applications intégrées > Programmes complémentaires.
3. Trouvez le PAB dans la liste.
4. Sélectionnez le complément et cliquez sur Supprimer l’application.

5. Réinstallez le fichier manifeste PAB. Pour plus d’informations, consultez nos Guides d’installation du PAB.

   Remarque :Si vous utilisez le PAB hybride, nous vous recommandons de mettre à jour le fichier manifeste du PAB (XML) avant de le supprimer et de le redéployer. Consultez notre documentation pour savoir comment Mettre à jour et désinstaller le PAB hybride.

Question : Je reçois l’erreur suivante : « Nous n’avons pas été en mesure de traiter cet élément. Veuillez réessayer plus tard. » Comme puis-je résoudre ce problème?

Réponse : Utiliser le nouvel Outlook devrait résoudre ce problème.

Question : Quelles sont les étendues d’autorisation utilisées par le PAB activé par Graph?

Réponse : Voici les étendues d’autorisation utilisées par le PAB activé par Graph :

• Mail.Read : Cette autorisation permet au PAB de lire le courriel de l’utilisateur. Elle est utilisée pour obtenir les en-têtes des courriels, les pièces jointes et le contenu du corps des courriels.
• Mail.Read.Shared : Cette autorisation permet au PAB de lire les courriels des utilisateurs de boîtes partagées. Elle est utilisée pour obtenir les en-têtes des courriels, les pièces jointes et le contenu du corps des courriels.
• Mail.ReadWrite : Cette autorisation permet au PAB de lire les courriels des utilisateurs et de leur écrire.
• Mail.ReadWrite.Shared : Cette autorisation permet au PAB de lire les courriels des boîtes partagées et d’écrire à partir de celles-ci.
• Mail.Send : Cette autorisation permet au PAB d’envoyer des courriels aux utilisateurs.
• Mail.Send.Shared : Cette autorisation permet au PAB d’envoyer des courriels à partir des boîtes partagées, à condition que l’utilisateur dispose de l’autorisation d’envoyer un courriel au nom d’une autre personne pour la boîte partagée.
• openid : Cette autorisation permet au PAB d’obtenir des informations de base sur l’utilisateur.
• profile : Cette autorisation permet au PAB d’accéder aux informations de profil de l’utilisateur.

Question : Dois-je autoriser l’authentification des applications imbriquées avec SSO (NAA-SSO) ou l’authentification unique On-Behalf-Of (SSO-OBO) pour chaque type de PAB que j’utilise?

Réponse : Les autorisations NAA-SSO et SSO-OBO sont rattachées à chaque locataire Microsoft 365. Cela signifie que si l’authentification des applications imbriquées avec SSO est activée pour le PAB hybride pour votre locataire, vous n’avez pas besoin de l’autoriser pour le PAB pour le ruban Microsoft ou d’autres types de PAB. La logique est la même pour la SSO-OBO.

Question : Comment vérifier quelles autorisations de l’API Microsoft Graph sont utilisées par le PAB?

Réponse : Vous pouvez vérifier les autorisations de l’API Microsoft Graph du PAB à partir de votre portail Microsoft Entra :

1. Connectez-vous à votre centre d’administration Microsoft Entra et accédez à Applications > Applications d’entreprise.
2. Filtrez pour trouver le PAB en tapant « phish alert » dans la zone de saisie du filtre.
3. Cliquez ensuite sur l’entrée du Phish Alert Button et vérifiez les détails concernant le Phish Alert Button.

Question : Que dois-je faire si j’ai activé l’authentification des applications imbriquées avec SSO, mais que le PAB hybride ne fonctionne pas pour mon environnement?

Réponse : Vérifiez si les autorisations du PAB ont été acceptées pour l’authentification des applications imbriquées avec SSO et les API Graph pour le PAB. Le tableau des autorisations ressemble à ceci :

Si vous avez vérifié et confirmé que les autorisations ont été acceptées, et que le problème n’est toujours pas résolu, contactez notre équipe d’assistance équipe d’assistance (le lien s’ouvre dans une nouvelle fenêtre).

Question : Combien de temps faut-il pour mettre à jour les autorisations lorsqu’elles sont acceptées?

Réponse : Les autorisations sont mises à jour presque instantanément pour les navigateurs et les nouvelles versions de client Outlook. Cependant, la mise à jour peut prendre un certain temps pour les clients Outlook pour Windows. Si vous utilisez un client Outlook pour Windows et que la mise à jour de vos autorisations prend un certain temps, nous vous suggérons de supprimer le cache ou le répertoire WEF d’Outlook pour Windows supprimer le cache ou le répertoire WEF d’Outlook pour Windows (le lien s’ouvre dans une nouvelle fenêtre).

Question : Nos utilisateurs remarqueront-ils une différence une fois que nous aurons autorisé l’authentification des applications imbriquées avec SSO?

Réponse : La seule différence que les utilisateurs verront est l’apparition éventuelle de l’indication « Graph » dans le coin supérieur droit après avoir cliqué sur le PAB pour signaler un courriel.