A Microsoft lançou a autenticação de aplicativos aninhados, que permite uma autenticação mais simples e oferece segurança aprimorada e flexibilidade arquitetônica em comparação com os modelos tradicionais de autenticação de confiança total em nome do usuário. Por esse motivo, a Microsoft descontinuará os tokens antigos do Exchange Online a partir de 17 de fevereiro de 2025. Isso significa que todos os Phish Alert Buttons (PABs) híbridos e da Faixa de Opções da Microsoft conectados aos domínios do Microsoft 365 falharão, a menos que o NAA-SSO seja autorizado. Os tokens antigos do Exchange Online podem ser reabilitados tokens antigos do Exchange Online podem ser reabilitados (o link abre em uma nova janela) até junho de 2025.

Devido a essas mudanças, recomendamos autorizar as APIs do Graph e o NAA-SSO nas Configurações da conta do Phish Alert. Para obter mais informações, consulte as Perguntas frequentes sobre a descontinuação de tokens antigos do Outlook e a autenticação de aplicativos aninhados da Microsoft (o link abre em uma nova janela).

Pré-requisitos do NAA-SSO

• Microsoft 365, que requer a função de Administrador global para aceitar as permissões.
• Exchange Online, que requer função de Administrador global para aceitar as permissões.
• Canal empresarial mensal versão 2409 ou mais recente. Versões mais antigas farão com que o PAB da Faixa de Opções da Microsoft exceda o tempo limite.
• Canal semianual versão 2408 ou mais recente. Versões mais antigas farão com que o PAB da Faixa de Opções da Microsoft exceda o tempo limite.
• Canal atual versão 2410 ou mais recente.

Pré-requisitos adicionais

A disponibilidade do NAA-SSO varia dependendo da versão do Microsoft Office e do Microsoft Outlook usada. Para determinar se o seu ambiente oferece suporte ao NAA-SSO, consulte o artigo Conjunto de requisitos da autenticação de aplicativos aninhados Conjunto de requisitos da autenticação de aplicativos aninhados (o link abre em uma nova janela) da Microsoft. As versões compatíveis são:

• Microsoft Outlook no Windows (licença perpétua por volume) versão 2408 (build 17932.20222) ou posterior.
• Microsoft Outlook no Windows (licença de varejo perpétua) versão 2501 (build 18429.20132) ou posterior.

Observações importantes sobre a versão:

• O Microsoft Office 2024 (licença perpétua por volume) oferecerá suporte ao NAA-SSO.
• O Microsoft Office 2021 (licença perpétua por volume) ainda oferecerá suporte ao SSO-OBO para autenticação, mas não ao NAA-SSO.
• O Microsoft Office 2016 e 2019 (licença perpétua por volume) não oferecerá suporte à autenticação por NAA-SSO ou SSO-OBO. Para obter mais informações sobre o Microsoft Office 2016 e 2019, consulte a documentação da Microsoft documentação da Microsoft (o link abre em uma nova janela).
• O Microsoft Outlook no Windows (licença de varejo perpétua) versão 2008 (build 13127.20000) ou posterior oferecerá suporte à autenticação por SSO-OBO.

Como aceitar permissões para o NAA-SSO

Para aceitar permissões para o NAA-SSO com a Microsoft, siga as etapas abaixo.

1. Faça login na sua conta do KSAT e clique em seu endereço de e-mail no canto superior direito da página.
2. Selecione Configurações da conta e acesse Integrações da conta > Phish Alert.
3. Clique no menu suspenso para expandir as configurações do PAB.

4. Desloque para baixo e clique em Autorizar NAA-SSO para APIs do GRAPH. Isso redirecionará você para uma página de login do Microsoft 365.

   Observação: você também precisará clicar em Aceitar as permissões da Microsoft para autorizar as APIs do GRAPH para o PAB, caso essas permissões não tenham sido aceitas anteriormente.

   

5. Faça login na sua conta do Microsoft 365, usando suas credenciais de administrador.

6. Após o login, será exibida a janela pop-up Permissões solicitadas. Leia as permissões e clique em Aceitar.

   Observação: se várias instâncias do PAB forem implantadas em diferentes locatários do Microsoft 365, você deverá aceitar as permissões para autorizar APIs do Graph e o NAA-SSO para cada instância do PAB em cada locatário.

   

7. Depois que você aceitar as permissões, a janela Autorização do GRAPH realizada com êxito será exibida. Poderá levar até 48 horas após a aceitação das permissões para que o NAA-SSO seja aplicado aos perfis do Microsoft Outlook dos seus usuários.

   

NAA-SSO do Internet Explorer

Se a sua organização usar o Outlook no Microsoft Edge no modo Internet Explorer ou o Internet Explorer com o Microsoft 365, você precisará autorizar permissões para APIs do Graph e o NAA-SSO para o PAB até junho de 2025 para evitar a interrupção do serviço. Depois que as permissões forem autorizadas, você poderá desabilitar os tokens herdados do Exchange Online desabilitar os tokens herdados do Exchange Online (o link abre em uma nova janela) e relatar um e-mail com o PAB para ter certeza de que ele esteja funcionando corretamente.

Experiência do usuário

Esta é a experiência do usuário com o NAA-SSO do Internet Explorer:

1. Clique no PAB, na faixa de opções.

   

2. Ele será carregado no painel de tarefas, e uma janela pop-up será exibida.

3. Os usuários precisarão fazer login em suas contas da Microsoft na primeira vez que usarem o PAB para fazer uma denúncia.

   

   Observação: se os usuários não conseguirem fazer a autenticação com o NAA-SSO ou o SSO-OBO, o PAB recorrerá ao mecanismo de autenticação interativa, que exige que os usuários façam login na Microsoft quando forem usar o PAB pela primeira vez.

4. Clique em Phish Alert para denunciar o e-mail.

   

Solução de problemas

Pergunta: Eu precisarei reimplantar o manifesto XML do Phish Alert Button (PAB) depois de autorizar o NAA-SSO?

Resposta: Não, basta aceitar as permissões.

Pergunta: Estou recebendo o seguinte erro: “Seu servidor de e-mail precisa de um token de autenticação válido para o Phish Alert Button. Se precisar de ajuda com as configurações do servidor de e-mail, entre em contato com seu administrador.” Como posso resolver esse problema?

Resposta: Isso indica que o PAB que você está usando está tentando fazer a autenticação com o token antigo descontinuado do Exchange Online. Tente seguir estas etapas para resolver o erro:

1. Recomendamos repetir as etapas de 1 a 7 na seção Como aceitar permissões para o NAA-SSO, acima. Se isso não resolver o problema, tente implantar o PAB novamente seguindo as etapas de 2 a 5, abaixo.
2. Desinstale o PAB atual no centro de administração do Microsoft 365 Desinstale o PAB atual no centro de administração do Microsoft 365 (o link abre em uma nova janela) acessando Configurações > Aplicativos integrados > Suplementos.
3. Encontre seu suplemento do PAB na lista.
4. Selecione o suplemento e clique em Remover aplicativo.

5. Reinstale o arquivo de manifesto do PAB. Consulte os Guias de instalação do PAB para obter mais informações.

   Observação: se você usa o PAB híbrido, recomendamos atualizar o manifesto XML do PAB antes de removê-lo e implantá-lo novamente. Para obter mais informações, consulte a documentação em Como atualizar e desinstalar o PAB híbrido.

Pergunta: Estou recebendo o seguinte erro: “Não foi possível processar este item. Tente novamente mais tarde.” Como posso resolver esse problema?

Resposta: Ativar o Novo Outlook deverá resolver esse problema.

Pergunta: Quais escopos de permissão o PAB habilitado para o Graph usa?

Resposta: Aqui estão os escopos de permissão usados pelo PAB habilitado para o Graph:

• Mail.Read: essa permissão autoriza o PAB a ler o e-mail do usuário e é usada para obter cabeçalhos de e-mail, anexos e o conteúdo do corpo do e-mail.
• Mail.Read.Shared: essa permissão autoriza o PAB a ler os e-mails dos usuários da caixa de correio compartilhada e é usada para obter cabeçalhos de e-mail, anexos e o conteúdo do corpo do e-mail.
• Mail.ReadWrite: essa permissão autoriza o PAB a ler e escrever e-mails de usuários.
• Mail.ReadWrite.Shared: essa permissão autoriza o PAB a ler e escrever e-mails em caixas de correio compartilhadas.
• Mail.Send: essa permissão autoriza o PAB a enviar e-mails aos usuários.
• Mail.Send.Shared: essa permissão autoriza o PAB a enviar e-mails de caixas de correio compartilhadas, desde que o usuário tenha a permissão de envio habilitada na caixa de correio compartilhada.
• openid: essa permissão permite que o PAB obtenha informações básicas sobre o usuário.
• profile: essa permissão permite que o PAB acesse as informações de perfil do usuário.

Pergunta: Preciso autorizar o NAA-SSO ou o SSO-OBO para cada tipo de PAB que eu usar?

Resposta: As autorizações do NAA-SSO e do SSO-OBO são baseadas no locatário do Microsoft 365. Isso significa que, se você tiver o NAA-SSO habilitado para o PAB híbrido em seu locatário, não precisará autorizá-lo para o PAB da Faixa de Opções da Microsoft ou para outros tipos de PAB. O mesmo vale para o SSO-OBO.

Pergunta: Como posso verificar as permissões da API do Microsoft Graph usadas pelo PAB?

Resposta: No portal do Microsoft Entra, você pode verificar as permissões da API do Microsoft Graph para o PAB:

1. Faça login no Centro de administração do Microsoft Entra e acesse Aplicativos > Aplicativos empresariais.
2. Filtre pelo PAB digitando “phish alert” na caixa de entrada do filtro.
3. Em seguida, clique na entrada do Phish Alert Button e verifique os detalhes relacionados a ele.

Pergunta: O que devo fazer se eu habilitar o NAA-SSO, mas o PAB híbrido não funcionar no meu ambiente?

Resposta: Verifique se as permissões do PAB foram aceitas para o NAA-SSO e as APIs do Graph para o PAB. A tabela de permissões terá a seguinte aparência:

Se você tiver confirmado que as permissões foram aceitas e o problema ainda não foi resolvido, entre em contato com nossa equipe de suporte equipe de suporte (o link abre em uma nova janela).

Pergunta: Quanto tempo demora para as permissões serem atualizadas depois de aceitas?

Resposta: As permissões são atualizadas quase instantaneamente para navegadores e novos clientes do Outlook. No entanto, para clientes do Windows Outlook, a atualização pode levar algum tempo. Se você estiver usando um cliente do Windows Outlook e suas permissões estiverem demorando para atualizar, sugerimos excluir a pasta WEF ou do cache do Windows Outlook excluir a pasta WEF ou do cache do Windows Outlook (o link abre em uma nova janela).

Pergunta: Nossos usuários perceberão alguma diferença quando autorizarmos o NAA-SSO?

Resposta: A única diferença que os usuários perceberão é que pode aparecer o nome Graph no canto superior direito quando eles clicarem no PAB para denunciar um e-mail.