Thunderbird の OAuth 対応状況など

[Cai]

ようやく 102.7.1 がリリースされました。

[Cai]

Microsoft 365 個人アカウントでも OAuth2 が利用可能になりました (POP, IMAP)。
が、SMTP だと送信に失敗します……

Bug 1775077 Thunderbird will not ask for an Oauth2 password for office 365 SMTP

組織アカウントなら管理者設定を変更することで回避策があるようですが、個人アカウントだとそれも使えません。

IMAP/POP (OAuth2) + SMTP (通常のパスワード認証) が現状の限界です。

# バージョン 102.7.1 以降で M365 個人アカウントでの OAuth2 認証に失敗する場合、対応していない過去のバージョンで OAuth2 認証を試していて、誤った scope (outlook.office365.com) が pref.js に保存されている可能性があります。
# 設定エディタで oauth2.scope と検索し、値が https://outlook.office365.com/IMAP.AccessAsUser.All～で始まるエントリ 2 つを削除してください。
# その後 OAuth2 認証をもう一度試せば、正しい scope (outlook.office.com) が登録されるはずです。
# 詳細は bug 1799259 のコメント 6 以降を参照ください。

[Cai]

SMTP だと送信に失敗します……

Bug 1775077 Thunderbird will not ask for an Oauth2 password for office 365 SMTP

組織アカウントなら管理者設定を変更することで回避策があるようですが、個人アカウントだとそれも使えません。

IMAP/POP (OAuth2) + SMTP (通常のパスワード認証) が現状の限界です。

Exchange Online で認証済みクライアントの SMTP 送信 (SMTP AUTH) を有効または無効にする
https://learn.microsoft.com/ja-jp/excha ... submission

Office 365 または Microsoft 365 の Exchange Online メールボックスに接続する、ほぼすべての最新メール クライアント (Outlook、Outlook on the web、iOS メール、iOS および Android 用の Outlook など) では、メール メッセージの送信に SMTP AUTH を使用しません。

したがって、Exchange Online 組織で SMTP AUTH を無効にし、引き続き必要とするアカウント (メールボックス) でのみ有効にすることを強くお勧めします。

注意
組織でセキュリティの既定値が有効になっている場合、SMTP AUTH はExchange Onlineで既に無効になっています。 詳細については、「セキュリティの既定値とは」を参照してください。
認証ポリシーで SMTP の基本認証が無効になっている場合、この記事で説明する設定を有効にしても、クライアントで SMTP AUTH プロトコルを使用することはできません。

自社アプリでは必要ないから SMTP AUTH (SMTP で OAuth2) を無効にすることを推奨するよ、セキュリティ重視の設定になってる法人アカウントであれば既に無効化したよ、というなかなか酷い話です。
Thunderbird のような汎用メールクライアントでの利用は、組織利用では結構あると思うんですが。

同じタイミングで個人アカウントでも問答無用で無効化されてしまったのでしょう。

法人アカウントであれば、Microsoft 365 管理センターから

1. [ユーザー] [アクティブ なユーザー]> に移動します。
2. ユーザーを選択し、表示されたポップアップで [メール] を クリックします。
3. [メール アプリ] セクションで、[メール アプリの管理] を選択します。
4. [認証済み SMTP] の設定を確認します (オフ = 無効、オン = 有効)。
5. 完了したら、[変更の保存] をクリックします。

あるいは、PowerShell Exchange Online から

Set-CASMailbox -Identity hogefuga@example.com -SmtpClientAuthenticationDisabled $false

とすることでメールボックス単位で SMTP AUTH を有効化できるとのことです。

個人アカウントではこれらの方法は使えないので、現状では SMTP AUTH を利用する術がありません。
基本認証 (アカウントとパスワード) のみになります。
IMAP/POP は先進認証 (OAuth2) が利用可能なままなのは一貫性がなくチグハグですね。「先進認証」とぶちあげた割には、結局アプリパスワードからも解放されない中途半端さ。

[Cai]

これ、Thunderbird に限った話でもないんですよね。
Android の K-9 Mail (将来の Thunderbird for Android) でも、M365 の SMTP だけ OAuth2 がダメになってます。

[Cai]

Bug 1814820
[meta] Bugs in Microsoft OAuth implementation

M365 OAuth 関連のメタバグが立てられてます。

[Cai]

Bugzilla の方にコメントしましたが、
https://bugzilla.mozilla.org/show_bug.c ... 775077#c26

これまで不可となっていた Microsoft 365 SMTP での OAuth2 認証が通るようになっています。
現時点では特定の環境限定なのか MS が設定を変えたのかわかりません。
可能な方はテストをお願いします。

自分の手元では、
1. Thunderbird 102.10.0 (Windows 10 x64 のデスクトップおよびノート)
2. K-9 Mail 6.600 (Android 13 な Xperia 5 III)
で可能となっていることを確認済みです。

[Cai]

Bug 1775077 ですが、INVALID として閉じられました。
Personal は OAuth2 認証可能となり、組織向けは組織の設定次第という感じです。

[Cai]

Bug 1775077 ですが、INVALID として閉じられました。
Personal は OAuth2 認証可能となり、組織向けは組織の設定次第という感じです。

いったん閉じた開発者によって REOPEN されました。
ウォッチ再開します。

[Cai]

バージョン 115.0 で Fastmail の OAuth2 認証に対応しました。

[Cai]

Bug 1814823 Saved scopes or other login info breaks Microsoft OAuth2

OAuth2 認証を解除してもアカウントを削除しても古い scope が消去されずに残るというこのバグがバージョン 115.3.0 で修正されたことで、一部環境で Microsoft 365 への OAuth2 認証に失敗していた問題が解消されました。
手元の環境では、Microsoft 365 アカウントと Google アカウントで再認証を求められました。

・Microsoft 365: oauth://login.microsoftonline.com (https://outlook.office.com/IMAP.AccessAsUser.All https://outlook.office.com/POP.AccessAsUser.All https://outlook.office.com/SMTP.Send offline_access)
→IMAP、POP、SMTP へのアクセスのための 3 つの scope が設定されます。
・Google: oauth://accounts.google.com (https://mail.google.com/ https://www.googleapis.com/auth/carddav https://www.googleapis.com/auth/calendar)
→Gmail (https://mail.google.com/)、カレンダー (https://www.googleapis.com/auth/calendar)、連絡先 (https://www.googleapis.com/auth/carddav) で個別の scope となっていて、従来は別々のログイン情報として保存されていましたが、本バージョンで 3 つの scope をひとまとめにして保存されるようになりました。これまでの個別のログイン情報は削除可能です。