מעבר מאפליקציות ברמת אבטחה נמוכה ל-OAuth

החל מ-14 במרץ 2025, כדי לגשת ל-Gmail, ליומן Google ולאנשי קשר בחשבון Google דרך אפליקציות של צד שלישי, אתם והמשתמשים שלכם צריכים להשתמש ב-OAuth. השימוש ב-OAuth מאפשר גישה מאובטחת יותר. לא תצטרכו יותר להשתמש בסיסמה כדי להיכנס לחשבון (למעט סיסמאות לאפליקציות). ‫Google תשבית את אפשרות הגישה לאפליקציות ברמת אבטחה נמוכה שאינן של Google ושכיום יכולות לגשת לחשבונות Google באמצעות שם משתמש וסיסמה (אימות בסיסי). כשמשתמשים באימות בסיסי, החשבונות חשופים ליותר ניסיונות פריצה.

במאמר הזה נסביר איך לעזור לארגון, למשתמשים ולמפתחי האפליקציות לעבור מאפליקציות ושירותים ברמת אבטחה נמוכה ל-OAuth.

ציר הזמן למעבר

קיץ 2024

• לא תהיה לכם (או למשתמשים שלכם) אפשרות להתחבר בפעם הראשונה לאפליקציה ברמת אבטחה נמוכה. ההגבלה הזו חלה על אפליקציות צד שלישי שעדיין משתמשות בשיטות אימות בסיסיות כדי לגשת ל-Gmail, יומן Google ואנשי הקשר. השיטות האלה כוללות, בין היתר, את CalDAV‏, CardDAV‏, IMAP‏, SMTP ו-POP. אם כבר התחברתם לאפליקציות האלה בעבר, תוכלו להמשיך להשתמש בהן עד שהן יושבתו.
• במסוף Google Admin לא תוכלו לגשת להגדרות ההפעלה וההשבתה של אפליקציות ברמת אבטחה נמוכה.
• המשתמשים לא יוכלו להפעיל או להשבית את IMAP בהגדרות של Gmail.

‫14 במרץ 2025

• אפשרות הגישה לאפליקציות ברמת אבטחה נמוכה (LSA) תושבת בכל חשבונות Google.
• ‫CalDAV‏, CardDAV‏, IMAP‏, SMTP ו-POP לא יפעלו יותר בגישה באמצעות סיסמאות מדור קודם (אימות בסיסי).

‫Google Sync – במסגרת המעבר ל-OAuth, גם השירות Google Sync יושבת כי שיטת האימות שלו היא לא OAuth:

• קיץ 2024 – משתמשים חדשים לא יוכלו להתחבר לחשבון Google דרך Google Sync.
• 14 במרץ 2025 – משתמשים קיימים של Google Sync לא יוכלו להתחבר לחשבון Google דרך Google Sync.

התאריכים המדויקים מופיעים בבלוג של Google Workspace Updates.

מה צריך לעשות?

כדי להמשיך להשתמש באפליקציה מסוימת בחשבון Google, המשתמשים בארגון צריכים לעבור לסוג גישה מאובטח יותר שנקרא OAuth. ‫OAuth מאפשר לאפליקציות לגשת לחשבונות באמצעות מפתח דיגיטלי במקום שהמשתמש יצטרך להזין את שם המשתמש והסיסמה שלו.

אנחנו ממליצים לשתף את ההוראות במאמר הזה עם המשתמשים כדי לעזור להם לבצע את השינויים הנדרשים. אם הארגון שלכם משתמש בכלים מותאמים אישית, תצטרכו לבקש מהמְפַתח של הכלים לעדכן אותם כדי שיתאימו לשימוש ב-OAuth. בהמשך הדף הזה מופיעות גם הוראות למפתחים.

אם האפליקציה לא תומכת ב-OAuth, הארגון יצטרך לעבור לאפליקציה שמאפשרת שימוש ב-OAuth או לפנות לספק ולבקש ממנו להוסיף אפשרות חיבור דרך OAuth לחשבונות Google המנוהלים. מידע נוסף זמין במאמר בנושא שליטה על הגישה לאפליקציות ברמת אבטחה נמוכה.

הגדרות במכשירים ניידים

אם בארגון משתמשים בניהול ניידים כדי להגדיר פרופילים של IMAP‏, CalDAV‏, CardDAV‏, POP או Microsoft Exchange ActiveSync‏ (Google Sync), השירותים האלה יופסקו בהדרגה לפי ציר הזמן הזה:

1. קיץ 2024 – שליחה בדחיפה דרך ניהול ניידים בחשבונות מבוססי-סיסמה באמצעות IMAP‏, CalDAV‏, CardDAV‏, POP ו-Exchange ActiveSync‏ (Google Sync) לא תפעל ללקוחות שמתחברים אליהם בפעם הראשונה. אם אתם משתמשים בניהול נקודות קצה ב-Google, לא תוכלו להפעיל את ההגדרה דחיפת התצורה בהתאמה אישית ב-CalDAV וב-CardDAV.
2. סתיו 2024 – שליחה בדחיפה דרך ניהול ניידים בחשבונות מבוססי-סיסמה של IMAP‏, CalDAV‏, CardDAV ו-POP לא תפעל יותר למשתמשים קיימים. תצטרכו לשלוח בדחיפה את חשבונות המשתמשים דרך ספק ניהול הניידים. הפעולה הזו תגרום להוספה מחדש של חשבונות המשתמשים למכשירי iOS שמשתמשים בשיטת האימות OAuth. אם אתם משתמשים בניהול נקודות קצה ב-Google, ההגדרות דחיפת התצורה בהתאמה אישית – CalDAV ודחיפת התצורה בהתאמה אישית – CardDAV לא יפעלו יותר. תוכלו לקרוא פרטים נוספים על ההגדרות האלה בקטע בנושא הגדרות חשבון.
3. סתיו 2024 – שליחה בדחיפה דרך ניהול ניידים בחשבונות מבוססי-סיסמה של Exchange ActiveSync ‏ (Google Sync) לא תפעל יותר למשתמשים קיימים. תצטרכו לשלוח בדחיפה את חשבונות המשתמשים דרך ספק ניהול הניידים. הפעולה הזו תגרום להוספה מחדש של חשבונות המשתמשים למכשירי iOS שמשתמשים בשיטת האימות OAuth. פרטים נוספים זמינים במאמר בנושא החלת הגדרות במכשירי iOS.

הערה: דחיפה אוטומטית של התצורה באמצעות OAuth תמשיך לפעול.

אפליקציות אחרות ברמת אבטחה נמוכה

כדי להשתמש באפליקציות אחרות ברמת אבטחה נמוכה, צריך לבקש ממפתח האפליקציה להתחיל לתמוך ב-OAuth.

סורקים ומכשירים אחרים

כדי לשלוח אימיילים מסורקים וממכשירים אחרים שמשתמשים ב-SMTP או באפליקציות ברמת אבטחה נמוכה, משתמשים באחת מהאפשרויות האלה:

• הגדרה של המכשיר לשימוש ב-OAuth.
• שימוש בדרך חלופית כדי לסרוק או לשלוח אימייל מהמכשיר.
• הגדרה של סיסמה לאפליקציה לשימוש עם המכשיר.

טיפ: אם תכננתם להחליף מכשיר, כדאי לוודא שהמכשיר החדש שולח אימיילים ב-OAuth.

שיתוף המידע עם המשתמשים

אם משתמשים בארגון שלכם רגילים להיכנס לחשבונות Google המנוהלים שלהם דרך אפליקציות שדורשות שם משתמש וסיסמה בלבד, חשוב לבקש מהם לעבור לשיטה מאובטחת יותר לפי ההוראות שכאן. זה יאפשר להם להמשיך לגשת לאימייל, ליומן ולאנשי הקשר שלהם.

אם הם לא יבצעו אחת מהפעולות האלה, כשתופסק הגישה לאפליקציות ברמת אבטחה נמוכה, יתחילו להופיע אצלם הודעות שגיאה על כך שהשילוב של שם המשתמש והסיסמה שגוי.

אימייל

• משתמשים בגרסה עצמאית של Microsoft Outlook 2016 או גרסה קודמת – צריך לעבור ל-Microsoft Office 365 (גרסה מבוססת-אינטרנט של Outlook) או ל-Outlook ל-Windows או ל-Mac. שתי הגרסאות האלה תומכות בגישה דרך OAuth. אפשרות אחרת היא להגדיר בארגון את Google Workspace Sync for Microsoft Outlook‏ (GWSMO). פרטים נוספים זמינים במאמר על הכנה והתקנה של GWSMO.
• משתמשים ב-Mozilla Thunderbird או בתוכנת אימייל אחרת – צריך להסיר את חשבון Google שלהם, להוסיף אותו מחדש ולהגדיר אותו לשימוש ב-IMAP דרך OAuth.
• משתמשים באפליקציית האימייל ב-iOS או ב-MacOS או ב-Outlook ל-Mac – אם משתמשים רק בסיסמה כדי להיכנס לחשבון:
  1. מסירים את חשבון Google ומוסיפים אותו מחדש.
  2. לוחצים על כניסה באמצעות חשבון Google כדי להתחיל להשתמש ב-OAuth באופן אוטומטי.

יומן

• אם אתם משתמשים באפליקציה שמשתמשת ב-CalDAV מבוסס-סיסמה כדי לתת גישה ליומן, אתם צריכים לעבור לשיטה שתומכת ב-OAuth. אנחנו ממליצים להשתמש באפליקציית יומן Google (זמינה לשימוש ב-Android, באינטרנט וב-iOS) כי היא אפליקציה מאובטחת שמתאימה לשימוש עם חשבון Google. מידע נוסף זמין במאמר בנושא גישה ליומן.
• אם חשבון Google שלכם מקושר לאפליקציית היומן ב-iOS או ב-MacOS, וכדי להתחבר אתם משתמשים רק בסיסמה:
  1. מסירים את החשבון מהמכשיר ומוסיפים אותו מחדש.
  2. לוחצים על כניסה באמצעות חשבון Google כדי להתחיל להשתמש ב-OAuth באופן אוטומטי.

מידע נוסף זמין במאמר בנושא הוספת אירועים מיומן Google ללוח השנה של Apple.

אנשי קשר

• אם אנשי הקשר בחשבון Google שלכם מסונכרנים עם iOS או MacOS באמצעות CardDAV, וכדי להתחבר אתם משתמשים רק בסיסמה:

  1. מסירים את החשבון ומוסיפים אותו מחדש.
  2. לוחצים על כניסה באמצעות חשבון Google כדי להתחיל להשתמש ב-OAuth באופן אוטומטי.

  מידע נוסף במאמר סנכרון אנשי הקשר מחשבון Google עם הנייד או המחשב

• אם אנשי הקשר בחשבון Google Workspace שלכם מסונכרנים עם פלטפורמות או אפליקציות אחרות באמצעות CardDAV, וכדי להתחבר אתם רק מזינים סיסמה, תצטרכו לעבור לשיטה שתומכת ב-OAuth.

שיתוף המידע עם מפתחי אפליקציות

כדי לשמר את התאימות לחשבונות Google, צריך לעדכן את האפליקציה ולהגדיר בה שימוש בשיטת חיבור OAuth 2.0. כדי להתחיל, אפשר להיעזר במאמרים:

• שימוש ב-OAuth 2.0 כדי לגשת אל Google APIs
• ‫OAuth 2.0 לאפליקציות לנייד ולמחשב.

מעבר מ-Google Sync

שירות Google Sync לא תומך ב-OAuth, ולכן אם משתמשים בו הנתונים של הארגון פחות מאובטחים. כדי להוציא את המשתמשים משירות Google Sync ולהשבית אותו, צריך לבצע את ההוראות שבמאמר בנושא הוצאת הארגון מ-Google Sync.

‫Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.