Microsoft a lancé l’authentification d’application imbriquée, qui facilite l’authentification et offre une sécurité et une flexibilité architecturale accrues par rapport aux modèles traditionnels d’authentification par confiance totale et pour le compte de tiers. Pour cette raison, Microsoft abandonnera les jetons Exchange Online hérités à partir du 17 février 2025. Cela signifie que tout Phish Alert Button (PAB) hybride et dans le ruban Microsoft connecté à des domaines Microsoft 365 échouera à moins que l’authentification NAA-SSO ne soit autorisée. Les jetons Exchange Online hérités peuvent être réactivés jetons Exchange Online hérités peuvent être réactivés (le lien s’ouvre dans une nouvelle fenêtre) jusqu’au mois de juin 2025.

En raison de ces modifications, nous vous conseillons d’autoriser les API Graph et l’authentification NAA-SSO dans les paramètres de votre compte Phish Alert. Pour en savoir plus, consultez la FAQ de Microsoft sur l’authentification des applications imbriquées et l’abandon des jetons Outlook hérités (le lien s’ouvre dans une nouvelle fenêtre).

Conditions prérequises pour l’authentification NAA-SSO

• Microsoft 365, qui nécessite le rôle d’administrateur global pour accepter les autorisations.
• Exchange Online, qui nécessite le rôle d’administrateur global pour accepter les autorisations.
• Canal entreprise mensuel version 2409 ou ultérieure. Les versions antérieures entraîneront l’expiration du PAB pour le ruban Microsoft.
• Canal semestriel version 2408 ou ultérieure. Les versions antérieures entraîneront l’expiration du PAB pour le ruban Microsoft.
• Canal actuel version 2410 ou ultérieure.

Conditions prérequises supplémentaires

La disponibilité de l’authentification NAA-SSO varie en fonction de la version de Microsoft Office et de Microsoft Outlook utilisée. Pour déterminer si votre environnement prend en charge l’authentification NAA-SSO, reportez-vous à l’article Ensemble de conditions requises pour l’authentification d’application imbriquée Ensemble de conditions requises pour l’authentification d’application imbriquée (le lien s’ouvre dans une nouvelle fenêtre) de Microsoft. Les versions compatibles incluent :

• Microsoft Outlook sur Windows (licence en volume perpétuelle) version 2408 (Build 17932.20222) ou ultérieure.
• Microsoft Outlook sur Windows (version de détail perpétuelle) version 2501 (Build 18429.20132) ou ultérieure.

Notes de version importantes :

• Microsoft Office 2024 (licence en volume perpétuelle) prendra en charge l’authentification NAA-SSO.
• Microsoft Office 2021 (licence en volume perpétuelle) prendra toujours en charge l’authentification SSO-OBO, mais pas NAA-SSO.
• Microsoft Office 2016 et 2019 (licence en volume perpétuelle) ne prendront pas en charge l’authentification NAA-SSO ni SSO-OBO. Pour plus d’informations sur Microsoft Office 2016 et 2019, consultez la documentation de Microsoft documentation de Microsoft (le lien s’ouvre dans une nouvelle fenêtre).
• Microsoft Outlook sur Windows (version de détail perpétuelle) version 2008 (Build 13127.20000) ou version ultérieure prend en charge l’authentification SSO-OBO.

Acceptation des autorisations pour l’authentification NAA-SSO

Pour accepter les autorisations pour l’authentification NAA-SSO auprès de Microsoft, procédez comme suit.

1. Connectez-vous à votre compte KSAT et cliquez sur votre adresse e-mail dans le coin supérieur droit de la page.
2. Sélectionnez Paramètres du compte, puis accédez à Intégrations du compte > Phish Alert.
3. Cliquez sur le menu déroulant pour développer vos paramètres PAB.

4. Faites défiler vers le bas et cliquez sur Autoriser NAA-SSO pour les API GRAPH. Vous serez redirigé vers la page de connexion de Microsoft 365.

   Remarque : vous devrez également cliquer sur Accepter les autorisations Microsoft pour autoriser l'API GRAPH pour le PAB si ces autorisations n’ont pas été précédemment acceptées.

   

5. Connectez-vous à votre compte Microsoft 365 à l’aide de vos identifiants d’administrateur.

6. Une fois connecté, la fenêtre contextuelle Autorisations requises s’affichera. Lisez les autorisations, puis cliquez sur Accepter.

   Remarque : si plusieurs instances du PAB sont déployées sur différents locataires Microsoft 365, vous devez accepter les autorisations Autoriser les API Graph et NAA-SSO pour chaque instance du PAB pour chaque locataire.

   

7. Une fois les autorisations acceptées, la fenêtre Autorisation Graph accordée s’affichera. Il peut s’écouler jusqu’à 48 heures après l’acceptation des autorisations pour que l’authentification NAA-SSO s’applique aux profils Microsoft Outlook de votre utilisateur.

   

Authentification NAA-SSO pour Internet Explorer

Si votre organisation utilise Outlook dans Microsoft Edge en mode Internet Explorer ou dans Internet Explorer avec Microsoft 365, vous devrez accorder des autorisations pour les API Graph et l’authentification NAA-SSO pour le PAB avant le mois de juin 2025 pour éviter toute interruption de service. Une fois les autorisations activées, vous pouvez désactiver les jetons Exchange Online héritésdésactiver les jetons Exchange Online hérités (le lien s’ouvre dans une nouvelle fenêtre) et signaler un e-mail avec le PAB pour vous assurer que tout fonctionne correctement.

Expérience utilisateur

La section ci-dessous décrit l’expérience d’authentification NAA-SSO pour Internet Explorer :

1. Cliquez sur le PAB dans le ruban.

   

2. Le volet des tâches se charge et une fenêtre contextuelle s’affiche.

3. Les utilisateurs devront se connecter à leur compte Microsoft lors du premier signalement avec le PAB.

   

   Remarque : si les utilisateurs ne parviennent pas à s’authentifier via le protocole NAA-SSO ou SSO-OBO, le PAB basculera sur le mécanisme d’authentification interactive qui impose aux utilisateurs de se connecter à leur compte Microsoft lors du premier signalement avec le PAB.

4. Cliquez sur le bouton Phish Alert pour signaler l’e-mail.

   

Résolution des problèmes

Question : Cela nécessite-t-il que je redéploie le manifeste XML du Phish Alert Button (PAB) après avoir autorisé l’authentification NAA-SSO ?

Réponse : Non, il suffit d’accepter les autorisations.

Question : Je reçois l’erreur suivante : « Votre serveur de messagerie a besoin d’un jeton d’authentification valide pour le Phish Alert Button. Si vous avez besoin d’aide avec les paramètres de votre serveur de messagerie, veuillez contacter votre administrateur. » Comment puis-je résoudre cette erreur ?

Réponse : Cela indique que le PAB que vous utilisez tente de s’authentifier avec le jeton Exchange Online hérité obsolète. Essayez les étapes suivantes pour résoudre l’erreur :

1. Nous vous conseillons de répéter les étapes 1 à 7 de la section Acceptation des autorisations pour l’authentification NAA-SSO ci-dessus. Si le problème persiste, redéployez le PAB en suivant les étapes 2 à 5 ci-dessous.
2. Désinstallez le PAB actuel dans votre centre d’administration Microsoft 365 Désinstallez le PAB actuel dans votre centre d’administration Microsoft 365 (le lien s’ouvre dans une nouvelle fenêtre) en accédant à Paramètres > Applications intégrées > Modules complémentaires.
3. Recherchez votre module complémentaire PAB dans la liste.
4. Sélectionnez le module complémentaire et cliquez sur Supprimer l’application.

5. Réinstallez le fichier manifeste du PAB. Pour plus d’informations, consultez nos Guides d’installation du PAB.

   Remarque : si vous utilisez le PAB hybride, nous vous conseillons de mettre à jour le manifeste XML du PAB avant de le supprimer et de le redéployer. Pour en savoir plus, consultez notre documentation expliquant comment Mettre à jour et désinstaller le PAB hybride.

Question : Je reçois l’erreur suivante : « Nous n’avons pas été en mesure de traiter cet article. Veuillez réessayer plus tard. » Comment puis-je résoudre cette erreur ?

Réponse : L’activation de New Outlook (Nouvel Outlook) devrait résoudre ce problème.

Question : Quelles sont les étendues d’autorisation utilisées par le PAB pour Graph ?

Réponse : Voici les étendues d’autorisation utilisées par le PAB pour Graph : 

• Mail.Read : cette autorisation permet au PAB de lire l’e-mail de l’utilisateur et est utilisée pour obtenir les en-têtes, les pièces jointes et le contenu de l’e-mail.
• Mail.Read.Shared : cette autorisation permet au PAB de lire les e-mails des utilisateurs de boîtes aux lettres partagées et est utilisée pour obtenir les en-têtes, les pièces jointes et le contenu des e-mails.
• Mail.ReadWrite : cette autorisation permet au PAB de lire et d’écrire les e-mails des utilisateurs.
• Mail.ReadWrite.Shared : cette autorisation permet au PAB de lire et d’écrire des e-mails dans des boîtes aux lettres partagées.
• Mail.Send : cette autorisation permet au PAB d’envoyer les e-mails des utilisateurs.
• Mail.Send.Shared : cette autorisation permet au PAB d’envoyer des e-mails à partir de boîtes aux lettres partagées, à condition que l’utilisateur dispose de l’autorisation « Envoi en tant que » activée pour la boîte aux lettres partagée.
• openid : cette autorisation permet au PAB d’obtenir des informations de base sur l’utilisateur.
• profile : cette autorisation permet au PAB d’accéder aux informations de profil de l’utilisateur.

Question : Dois-je autoriser l’authentification unique d’application imbriquée (NAA-SSO) ou l’authentification unique au nom de (SSO-OBO) pour chaque type de PAB que j’utilise ?

Réponse : Les autorisations NAA-SSO et SSO-OBO sont accordées par locataire Microsoft 365. Cela signifie que, si vous avez activé l’authentification NAA-SSO pour le PAB hybride sur votre locataire, vous n’avez pas besoin de l’autoriser pour le PAB pour le ruban Microsoft ou d’autres types de PAB. Il en va de même pour l’authentification SSO-OBO.

Question : Comment puis-je vérifier les autorisations de l’API Microsoft Graph utilisées par le PAB ?

Réponse : Sur votre portail Microsoft Entra, vous pouvez vérifier les autorisations de l’API Microsoft Graph du PAB :

1. Connectez-vous à votre centre d’administration Microsoft Entra et accédez à Applications > Applications d’entreprise.
2. Filtrez le PAB en saisissant « phish alert » dans la zone de saisie du filtre.
3. Cliquez ensuite sur l’entrée du Phish Alert Button et vérifiez les détails liés à celui-ci.

Question : Que dois-je faire si j’ai activé l’authentification NAA-SSO, mais que le PAB hybride ne fonctionne pas pour mon environnement ?

Réponse : Vérifiez si les autorisations PAB ont été acceptées pour l’authentification NAA-SSO et les API Graph pour le PAB. Le tableau des autorisations ressemblera à ceci :

Si vous avez confirmé que les autorisations ont été acceptées et que le problème n’est toujours pas résolu, contactez notre équipe assistance équipe assistance (le lien s’ouvre dans une nouvelle fenêtre).

Question : Combien de temps faut-il pour que les autorisations soient mises à jour une fois acceptées ?

Réponse : Les autorisations sont mises à jour presque instantanément pour les navigateurs et les nouveaux clients Outlook. Toutefois, pour les clients Windows Outlook, la mise à jour peut prendre un certain temps. Si vous utilisez un client Windows Outlook et que la mise à jour de vos autorisations prend du temps, nous vous suggérons de supprimer le WEF ou de vider le dossier cache de Windows Outlook supprimer le WEF ou de vider le dossier cache de Windows Outlook (le lien s’ouvre dans une nouvelle fenêtre).

Question : Nos utilisateurs remarqueront-ils une différence une fois que nous aurons autorisé l’authentification NAA-SSO ?

Réponse : La seule différence que les utilisateurs verront est qu’il peut être indiqué Graph dans le coin supérieur droit après avoir cliqué sur le PAB pour signaler un e-mail.