MozillaZine.jp フォーラム

Bug 1814823 Saved scopes or other login info breaks Microsoft OAuth2

OAuth2 認証を解除してもアカウントを削除しても古い scope が消去されずに残るというこのバグがバージョン 115.3.0 で修正されたことで、一部環境で Microsoft 365 への OAuth2 認証に失敗していた問題が解消されました。
手元の環境では、Microsoft 365 アカウントと Google アカウントで再認証を求められました。

・Microsoft 365: oauth://login.microsoftonline.com (https://outlook.office.com/IMAP.AccessAsUser.All https://outlook.office.com/POP.AccessAsUser.All https://outlook.office.com/SMTP.Send offline_access)
→IMAP、POP、SMTP へのアクセスのための 3 つの scope が設定されます。
・Google: oauth://accounts.google.com (https://mail.google.com/ https://www.googleapis.com/auth/carddav https://www.googleapis.com/auth/calendar)
→Gmail (https://mail.google.com/)、カレンダー (https://www.googleapis.com/auth/calendar)、連絡先 (https://www.googleapis.com/auth/carddav) で個別の scope となっていて、従来は別々のログイン情報として保存されていましたが、本バージョンで 3 つの scope をひとまとめにして保存されるようになりました。これまでの個別のログイン情報は削除可能です。

バージョン 115.0 で Fastmail の OAuth2 認証に対応しました。

[quote="Cai"]Bug 1775077 ですが、INVALID として閉じられました。
Personal は OAuth2 認証可能となり、組織向けは組織の設定次第という感じです。[/quote]
いったん閉じた開発者によって REOPEN されました。
ウォッチ再開します。

Bug 1775077 ですが、INVALID として閉じられました。
Personal は OAuth2 認証可能となり、組織向けは組織の設定次第という感じです。

Bugzilla の方にコメントしましたが、
https://bugzilla.mozilla.org/show_bug.cgi?id=1775077#c26

これまで不可となっていた Microsoft 365 SMTP での OAuth2 認証が通るようになっています。
現時点では特定の環境限定なのか MS が設定を変えたのかわかりません。
可能な方はテストをお願いします。

自分の手元では、
1. Thunderbird 102.10.0 (Windows 10 x64 のデスクトップおよびノート)
2. K-9 Mail 6.600 (Android 13 な Xperia 5 III)
で可能となっていることを確認済みです。

Bug 1814820
[meta] Bugs in Microsoft OAuth implementation

M365 OAuth 関連のメタバグが立てられてます。

これ、Thunderbird に限った話でもないんですよね。
Android の K-9 Mail (将来の Thunderbird for Android) でも、M365 の SMTP だけ OAuth2 がダメになってます。

[quote="Cai"]SMTP だと送信に失敗します……

Bug 1775077 Thunderbird will not ask for an Oauth2 password for office 365 SMTP

組織アカウントなら管理者設定を変更することで回避策があるようですが、個人アカウントだとそれも使えません。

IMAP/POP (OAuth2) + SMTP (通常のパスワード認証) が現状の限界です。[/quote]
Exchange Online で認証済みクライアントの SMTP 送信 (SMTP AUTH) を有効または無効にする
https://learn.microsoft.com/ja-jp/exchange/clients-and-mobile-in-exchange-online/authenticated-client-smtp-submission

[quote]Office 365 または Microsoft 365 の Exchange Online メールボックスに接続する、ほぼすべての最新メール クライアント (Outlook、Outlook on the web、iOS メール、iOS および Android 用の Outlook など) では、メール メッセージの送信に SMTP AUTH を使用しません。

したがって、Exchange Online 組織で SMTP AUTH を無効にし、引き続き必要とするアカウント (メールボックス) でのみ有効にすることを強くお勧めします。[/quote]
[quote] 注意
組織でセキュリティの既定値が有効になっている場合、SMTP AUTH はExchange Onlineで既に無効になっています。 詳細については、「セキュリティの既定値とは」を参照してください。
認証ポリシーで SMTP の基本認証が無効になっている場合、この記事で説明する設定を有効にしても、クライアントで SMTP AUTH プロトコルを使用することはできません。[/quote]
自社アプリでは必要ないから SMTP AUTH (SMTP で OAuth2) を無効にすることを推奨するよ、セキュリティ重視の設定になってる法人アカウントであれば既に無効化したよ、というなかなか酷い話です。
Thunderbird のような汎用メールクライアントでの利用は、組織利用では結構あると思うんですが。

同じタイミングで個人アカウントでも問答無用で無効化されてしまったのでしょう。

法人アカウントであれば、Microsoft 365 管理センターから
[quote]1. [ユーザー] [アクティブ なユーザー]> に移動します。
2. ユーザーを選択し、表示されたポップアップで [メール] を クリックします。
3. [メール アプリ] セクションで、[メール アプリの管理] を選択します。
4. [認証済み SMTP] の設定を確認します (オフ = 無効、オン = 有効)。
5. 完了したら、[変更の保存] をクリックします。[/quote]
あるいは、PowerShell Exchange Online から
[quote]Set-CASMailbox -Identity hogefuga@example.com -SmtpClientAuthenticationDisabled $false[/quote]
とすることでメールボックス単位で SMTP AUTH を有効化できるとのことです。

個人アカウントではこれらの方法は使えないので、現状では SMTP AUTH を利用する術がありません。
基本認証 (アカウントとパスワード) のみになります。
IMAP/POP は先進認証 (OAuth2) が利用可能なままなのは一貫性がなくチグハグですね。「先進認証」とぶちあげた割には、結局アプリパスワードからも解放されない中途半端さ。

Microsoft 365 個人アカウントでも OAuth2 が利用可能になりました (POP, IMAP)。
が、SMTP だと送信に失敗します……

Bug 1775077 Thunderbird will not ask for an Oauth2 password for office 365 SMTP

組織アカウントなら管理者設定を変更することで回避策があるようですが、個人アカウントだとそれも使えません。

IMAP/POP (OAuth2) + SMTP (通常のパスワード認証) が現状の限界です。

# バージョン 102.7.1 以降で M365 個人アカウントでの OAuth2 認証に失敗する場合、対応していない過去のバージョンで OAuth2 認証を試していて、誤った scope (outlook.office365.com) が pref.js に保存されている可能性があります。
# 設定エディタで oauth2.scope と検索し、値が https://outlook.office365.com/IMAP.AccessAsUser.All～で始まるエントリ 2 つを削除してください。
# その後 OAuth2 認証をもう一度試せば、正しい scope (outlook.office.com) が登録されるはずです。
# 詳細は bug 1799259 のコメント 6 以降を参照ください。

ようやく 102.7.1 がリリースされました。

[quote="Cai"]Daily (111)、ベータ版 (110) では機能したパッチですが、リリース版 (102) では他のバグ修正も必要で現状では機能しないことが発覚したようです (Bug 1810760 のコメント 25 以降)。[/quote]
102 向けのワンオフなパッチが提出されています。が、まだチェックインされていません。

# Daily、ベータは前のパッチで修正済みなので新しいパッチは適用されません

[quote="Cai"]https://archive.mozilla.org/pub/thunderbird/candidates/102.7.1-candidates/build1/

102.7.1 candidate build1 がビルドされています。
明日あたりには正式にリリースされそうです。[/quote]
Daily (111)、ベータ版 (110) では機能したパッチですが、リリース版 (102) では他のバグ修正も必要で現状では機能しないことが発覚したようです (Bug 1810760 のコメント 25 以降)。

https://archive.mozilla.org/pub/thunderbird/candidates/102.7.1-candidates/build1/

102.7.1 candidate build1 がビルドされています。
明日あたりには正式にリリースされそうです。

[quote="諸行無常"]MozillaZine.jp » Blog Archive » Thunderbird 102.7.0 がリリースされた
https://mozillazine.jp/?p=7980
は、その追加情報（公式 Blog）を踏まえて、再編集されました。[/quote]
ニュース記事を公開後に再編集した事実はありません。
リリースノート自体にも最初から Known Issue として M365 OAuth2 の問題は Thunderbird Blog エントリへの誘導付きで挙げられており、冒頭の赤字の注意書きも掲載されていました。

[url=https://forums.mozillazine.jp/viewtopic.php?f=3&t=18402&p=74749&sid=f0c2eb29be1a5b84783dfd171d454149&sid=f0c2eb29be1a5b84783dfd171d454149#p74748]maji さんからの返信[/url] についてですが、
投稿された一連の内容（返信など）は、スレッドとして残存する事になるため、誤解を解消する観点から、スルーせずに、解説を加えておきます。

Thunderbird は、
かつては Mozilla のプロジェクトでしたが、Mozilla のプロジェクトから分離し、完全に独立して設立された「別会社」に完全移行化されました。
その新会社は、Mozilla との資本関係はなく、独立した会社の収益（寄付金とサブスクリプション）で完結しています。

つまり、
Thunderbird のインフォメーションは「Thunderbird Blog」が担っているのですが、Mozilla がホストする「リリースノートなど」にリアルタイムで連動しておらず、遅延したり、忘れられてしまったり（例えば、メジャーバージョンのアップグレードの自動更新要領）が儘見受けられます。
ホストとの関係が不十分なため、
Mozilla を介したインフォメーション（リリースノートなど）が要領を得ないのです。

今回も、
Mozilla からは二日遅れでの発表でしたが、実際には Cai さんが嘆かれた事例が生じています。
私の前便（返信）は、その嘆きを受けての追加情報（[url=https://blog.thunderbird.net/2023/01/important-message-for-microsoft-office-365-enterprise-users/]公式 Blog[/url]）を明示したものです。

MozillaZine.jp » Blog Archive » Thunderbird 102.7.0 がリリースされた
https://mozillazine.jp/?p=7980
は、その追加情報（公式 Blog）を踏まえて、再編集されました。

以上、
「前便の意図」と「公式アナウンスの経緯」を明確にするための解説です。
トピック「Thunderbird の OAuth 対応状況など」を汚したくはないので、これにて。