Xerox & Microsoft OAuth 2.0 : la combinaison gagnante pour votre scan vers e-mail

Depuis que la compagnie américaine a définitivement désactivé l’authentification basique sur Exchange Online et Microsoft 365, de nombreuses entreprises se retrouvent face à un défi opérationnel immédiat : leur multifonction n’assure plus le transfert de scans par e-mail. Les machines Xerox, largement déployées dans les entreprises belges et européennes, ont répondu à cette transition avec une compatibilité native et une configuration simplifiée autour du protocole OAuth 2.0 (définition et info Microsoft). En tant que partenaire Xerox certifié, D&O Partners accompagne ses clients dans cette migration technique avec expertise et réactivité.

Pourquoi la fin de l’authentification SMTP basique a tout changé

Pendant des années, la fonctionnalité « Scan vers e-mail » reposait sur un mécanisme simple : la machine multifonction se connectait au serveur mail de l’entreprise en transmettant un identifiant et un mot de passe en clair. Ce mécanisme, appelé Basic Auth, était fonctionnel mais présentait des risques de sécurité significatifs : interception des identifiants, absence de contrôle contextuel, et incompatibilité avec les politiques d’accès conditionnel modernes.

En octobre 2022, puis définitivement courant 2023, Basic Auth a été désactivé sur tous les tenants M365. Résultat : de nombreux équipements d’impression qui scannaient via les serveurs smtp.office365.com ont cessé d’assurer cette fonction du jour au lendemain, paralysant des workflows documentaires entiers.

Selon un rapport de Xerox datant de 2024, 68% des sociétés européennes ont rencontré des problèmes lors du passage à OAuth 2.0.

Trois alternatives ont émergé : un relais externe (moins sécurisé), la connexion directe sans authentification (soumis à des restrictions IP strictes), ou OAuth 2.0 — le standard moderne recommandé par Microsoft. C’est cette troisième voie que Xerox a intégrée nativement dans ses gammes AltaLink, VersaLink et PrimeLink. Notre équipe de techniciens certifiés Xerox peut vous aider à identifier la meilleure approche pour votre infrastructure.

OAuth 2.0 : le protocole d’authentification moderne expliqué simplement

OAuth 2.0 est un protocole d’autorisation standardisé (RFC 6749) qui permet à une application — ici, votre multifonction Xerox — d’accéder à un service tiers — ici, Microsoft 365 — sans jamais manipuler directement les identifiants utilisateur. Le mécanisme repose sur un jeton d’accès (access token) temporaire, émis par Microsoft Entra ID (anciennement Azure Active Directory).

Pour le scan vers e-mail sur une machine Xerox, le flux OAuth 2.0 se déroule ainsi :

• L’administrateur enregistre la machine comme « application » dans Microsoft Entra ID, générant un Client ID et un Client Secret.
• La machine utilise ces identifiants pour demander un access token via le flux Client Credentials auprès de l’endpoint Microsoft.
• Microsoft Entra ID vérifie les permissions attribuées (notamment Mail.Send via Microsoft Graph API) et délivre un token à durée de vie limitée.
• La machine Xerox utilise ce token pour s’authentifier auprès de Microsoft Graph API et envoyer le scan en pièce jointe.
• À expiration du token (généralement 1 heure), la machine en demande automatiquement un nouveau via le refresh token, sans aucune intervention humaine.

Ce mécanisme élimine totalement la transmission de mots de passe en clair et permet aux administrateurs de révoquer l’accès de la machine depuis le portail Azure, sans toucher aux paramètres de l’imprimante. Pour toute question sur la mise en œuvre, contactez notre équipe technique.

Compatibilité Xerox avec OAuth 2.0 : quels modèles sont concernés ?

Xerox a intégré la prise en charge d’OAuth 2.0 dans ses principales gammes professionnelles. Retrouvez l’ensemble de notre catalogue Xerox pour vérifier la disponibilité sur votre modèle :

Il est essentiel de vérifier et adapter la version du firmware installée sur votre appareil. Xerox publie régulièrement des mises à jour qui renforcent la compatibilité OAuth 2.0. Dans le cadre de nos contrats de maintenance, D&O Partners assure le suivi proactif des firmwares pour l’ensemble de votre parc.

Configuration pas à pas : activer OAuth 2.0 sur un Xerox avec Microsoft 365

La mise en place se divise en deux parties : l’enregistrement de l’application dans Azure AD, et le paramétrage via l’interface web de la machine (Serveur web embarqué).

Étape 1 — Enregistrement dans Microsoft Entra ID

• Connectez-vous au portail Azure (portal.azure.com) avec un compte administrateur global.
• Naviguez vers Microsoft Entra ID > Inscriptions d’applications > Nouvelle inscription.
• Nommez l’application (ex. : “Xerox-Scan-Email”) et sélectionnez le type de compte (tenant uniquement).
• Notez l’Application (client) ID et le Directory (tenant) ID affichés après création.
• Dans Certificats et secrets, créez un Client Secret et conservez immédiatement sa valeur (non récupérable ensuite).
• Dans Autorisations API > Microsoft Graph > Autorisations d’application, ajoutez Mail.Send, puis accordez le consentement administrateur.

Étape 2 — Paramétrage sur l’Embedded Web Server Xerox

Accédez à l’interface web de votre multifonction (adresse IP dans le navigateur) > Applications > E-mail > Paramètres SMTP :

• Serveur : smtp.office365.com | Port : 587 (STARTTLS)
• Méthode d’authentification : OAuth 2.0
• Adresse e-mail d’expédition : Adresse Microsoft 365 depuis laquelle les scans sont expédiés
• Client ID / Client Secret : Valeurs copiées depuis Entra ID
• Tenant ID : Votre Directory ID Azure
• URL Token : https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token
• Scope : https://graph.microsoft.com/.default

Une fois enregistrée, utilisez le bouton de test intégré pour valider la connexion. En cas d’erreur, les logs de l’Embedded Web Server (Dépannage > Journaux) fournissent des codes précis. Nos techniciens D&O Partners peuvent prendre la main à distance pour résoudre tout blocage rapidement.

Les avantages concrets pour votre entreprise

Au-delà de la conformité technique, adopter OAuth 2.0 sur vos équipements Xerox offre des bénéfices mesurables :

• Sécurité renforcée : plus aucun mot de passe stocké en clair sur l’appareil ou transmis sur le réseau. Les tokens sont éphémères et révocables à tout moment.
• Compatibilité Conditional Access : appliquez des règles basées sur la localisation, le type d’appareil ou le niveau de risque, même pour vos flux d’impression.
• Traçabilité et audit : chaque accès est journalisé dans Entra ID, facilitant vos audits de conformité ISO 27001, RGPD et NIS2.
• Maintenance simplifiée : en cas de départ d’un collaborateur, révoquez l’accès depuis Azure sans toucher aux paramètres de la machine.
• Pérennité : OAuth 2.0 est le standard Microsoft pour tous les accès applicatifs. Votre infrastructure est prête pour les futures évolutions de M365.

D&O Partners : votre partenaire pour une migration sans coupure

La migration vers OAuth 2.0 est parfaitement maîtrisable avec le bon accompagnement. En tant que revendeur et intégrateur Xerox certifié, D&O Partners dispose de l’expertise nécessaire pour intervenir sur toutes les gammes — AltaLink, VersaLink, PrimeLink — dans des environnements M365 variés : tenants hybrides, Exchange on-premises avec connecteur, politiques d’accès conditionnel avancées.

Nous proposons un audit complet de votre parc d’impression permettant d’identifier les machines nécessitant une mise à jour firmware, celles configurables directement, et celles qui requièrent une approche alternative (relais SMTP sécurisé pour les équipements en fin de vie). Cet audit est intégré à notre offre de services & maintenance.

Notre engagement : votre infrastructure documentaire reste opérationnelle, sécurisée et conforme — sans que vos équipes IT portent seules la complexité de ces évolutions.

Conclusion

La compatibilité des machines Xerox avec l’authentification OAuth 2.0 de Microsoft offre une réponse concrète et éprouvée à une exigence de sécurité moderne. Que vous gériez quelques imprimantes ou plusieurs dizaines de multifonctions, cette transition est incontournable pour continuer à exploiter le scan vers e-mail avec M365.

Xerox a fait le choix d’intégrer ce protocole nativement, rendant la configuration accessible et la maintenance durable. Avec D&O Partners à vos côtés, cette migration devient une opportunité de sécuriser et d’optimiser l’ensemble de votre infrastructure documentaire.

FAQ — Questions fréquentes

Pourquoi mon scan vers e-mail a-t-il soudainement cessé de fonctionner ?

C’est la question la plus fréquente depuis 2023. La cause principale est la désactivation progressive de la Basic Auth (authentification SMTP basique) sur Exchange Online et M365. Votre multifonction utilisait jusqu’ici un identifiant et un mot de passe en clair pour envoyer ses scans — cette méthode n’est plus acceptée par la plateforme cloud. La solution recommandée est de migrer vers OAuth 2.0. Si votre machine Xerox est récente (AltaLink, VersaLink, PrimeLink), cette migration est possible sans remplacement matériel. Contactez D&O Partners pour un diagnostic immédiat.

Mon imprimante Xerox est ancienne et ne propose pas l’option OAuth 2.0 dans ses paramètres. Est-elle inutilisable ?

Pas nécessairement. Deux alternatives existent pour les équipements sans support natif OAuth 2.0. Première option : vérifier si une mise à jour firmware récente ajoute cette compatibilité — Xerox a déployé des mises à jour pour de nombreux modèles encore en service. Deuxième option : configurer un relais SMTP via un connecteur Exchange Online, qui autorise l’envoi depuis une adresse IP fixe sans authentification OAuth. Cette seconde approche reste fonctionnelle mais impose une IP publique statique et une configuration DNS/SPF précise. Nos techniciens D&O Partners vous guident vers la solution adaptée à votre équipement.

Quelle différence entre le Device Code Flow et le Client Credentials Flow pour configurer OAuth 2.0 sur un Xerox ?

Xerox propose deux flux OAuth 2.0 selon les modèles. Le Device Code Flow (DCF) demande à un administrateur de s’authentifier une première fois via un navigateur pour autoriser la machine : c’est la méthode la plus simple à mettre en place, car elle ne nécessite pas de créer manuellement une application dans Entra ID. Le Client Credentials Flow (CCF), décrit dans cet article, est plus avancé : la machine s’authentifie de manière entièrement autonome grâce à un Client ID et un Client Secret, sans aucune interaction humaine. Le CCF est préférable dans les environnements d’entreprise soumis à des politiques d’accès conditionnel strictes. Demandez conseil à nos experts.

Le test de connexion OAuth 2.0 réussit sur mon Xerox, mais l’envoi du scan échoue quand même. Pourquoi ?

C’est un problème très signalé sur les forums IT. Les causes les plus courantes sont : (1) la permission Mail.Send n’a pas reçu le consentement administrateur dans Entra ID — le test passe mais l’envoi réel est bloqué ; (2) une politique d’accès conditionnel bloque les appareils non-conformes (Intune, géolocalisation) ; (3) la boîte e-mail utilisée appartient à un compte Business ou School qui nécessite un consentement préalable de l’administrateur du tenant via xerox.com/OAuth2-email-admin-consent. Les journaux de l’Embedded Web Server (section Dépannage) fournissent le code d’erreur exact. Notre équipe peut analyser ces logs à distance.

Faut-il une licence M365 active pour le compte e-mail utilisé par le scanner Xerox ?

Oui, dans le cadre du flux Client Credentials Flow avec Mail.Send via Graph API, la boîte aux lettres utilisée doit disposer d’une licence Exchange Online active (plan Exchange Online Plan 1 minimum). Un compte sans boîte aux lettres active ne peut pas être utilisé comme expéditeur. Une alternative économique consiste à utiliser une boîte partagée (shared mailbox), qui ne nécessite pas de licence dédiée si elle est associée à un tenant disposant déjà de licences actives — c’est une pratique courante pour les flottes d’impression multi-utilisateurs. Consultez notre catalogue de solutions Xerox pour en savoir plus.

Mon Xerox envoie les scans en interne mais pas vers des adresses e-mail externes. Comment résoudre ce problème ?

Ce comportement est typique d’une configuration en Direct Send, qui utilise le port 25 sans authentification et autorise uniquement les courriels vers des domaines hébergés dans votre tenant. Pour envoyer vers des destinataires externes, il faut soit passer en relais SMTP authentifié via OAuth 2.0 (port 587), soit configurer un connecteur de messagerie Exchange qui autorise explicitement le relais vers l’extérieur. Dans ce dernier cas, l’adresse IP publique de la machine doit être déclarée dans le connecteur. Nos experts D&O Partners configurent ces connecteurs dans le cadre de nos interventions sur site.

D&O Partners peut-il prendre en charge l’ensemble de la migration OAuth 2.0 pour notre flotte Xerox ?

Oui, c’est précisément l’une de nos prestations phares. D&O Partners intervient de A à Z : audit préalable du parc, mise à jour des firmwares, configuration de chaque machine via l’Embedded Web Server, tests de validation et documentation. Pour les flottes importantes, nous proposons des déploiements en lot afin de minimiser l’impact sur votre activité. Cette prestation peut être intégrée dans un contrat de maintenance global ou réalisée en intervention ponctuelle. Demandez un devis gratuit.

Vous souhaitez évaluer la compatibilité de votre parc Xerox avec OAuth 2.0 ? Contactez D&O Partners pour un audit gratuit de votre infrastructure d’impression.