A Microsoft descontinuou o suporte à Autenticação Básica (usuário e senha simples) para envio de e-mails via SMTP/Exchange Online, exigindo o uso do protocolo OAuth 2.0, conhecido como Autenticação Moderna.
Para acompanhar essa mudança, o Portal RH passou a oferecer o modo de envio Autenticação Moderna - Microsoft, que permite configurar o envio de e-mails de notificação utilizando esse protocolo mais seguro.
Diferente da autenticação tradicional, esse modo não usa a senha da caixa de e-mail diretamente. Em vez disso, ele se autentica através de um aplicativo registrado no Azure Active Directory (Azure AD / Microsoft Entra ID), que recebe permissão para enviar e-mails em nome da conta configurada.
Importante ressaltar que os dados necessários para realizar a parametrização do envio de email com Autenticação Moderna no Portal RH são obtidos pelo administrador de TI do cliente. Estes dados não são obtidos pelo Portal RH.
Para realizar a parametrização no Portal RH
Realizar acesso ao Portal RH através de um usuário com acesso às Configurações do Portal RH. Caso necessário, consulte as instruções presentes no artigo Como Habilitar a Opção Configurações no Portal RH;
No Portal RH, acessar a tela Configurações;
-
No grupo "Envio de E-mails", selecionar no campo Modo de Envio, a opção Autenticação Moderna - Microsoft.
-
-
Preencher os campos referentes ao modo de envio de emails com Autenticação Moderna da Microsoft considerando as informações abaixo:
E-mail
Endereço da caixa de e-mail (conta do Microsoft 365 / Exchange Online) que será utilizada como remetente das mensagens enviadas pelo Portal RH.Application (Client) ID
Identificador único do aplicativo registrado no Azure AD que representa o Portal RH perante a Microsoft.Directory (Tenant) ID
Identificador único do tenant (organização/domínio) do cliente no Azure AD.Client Secret
Uma "senha" gerada especificamente para o aplicativo (e não para o usuário), usada para autenticar as chamadas feitas pelo Portal RH ao Azure AD. Deve ser tratada como informação sensível, pois concede acesso ao envio de e-mails em nome da conta configurada.
Utilizar o botão Enviar e-mail teste para validar se a configuração está funcionando corretamente.
OBS.: Realize o envio do o e-mail de teste, antes de clicar em Salvar, pois o envio é feito com as informações presentes na tela e ao salvar as credenciais são mascaradas, impossibilitando o envio de email de teste.
Os valores de Application (Client) ID, Directory (Tenant) ID e Client Secret são obtidos através do registro de um aplicativo no Azure Active Directory, feito pelo administrador de TI do cliente (não pelo Portal RH). Segue abaixo, o passo a passo padrão:
1. Acessar o Azure Portal
Entrar em https://portal.azure.com com uma conta que tenha permissão de administrador no tenant do Microsoft 365.
2. Registrar o aplicativo
1. No menu, acessar Azure Active Directory (ou Microsoft Entra ID).
2. Ir em App registrations (Registros de aplicativo).
3. Clicar em New registration (Novo registro).
4. Informar um nome (ex.: "Portal RH - Envio de E-mails").
5. Em Supported account types, selecionar a opção referente apenas ao tenant da organização (single tenant), salvo orientação diferente do cliente.
6. Clicar em Register.
Após o registro, a tela de visão geral do aplicativo irá exibir os campos abaixo:
- Application (client) ID → copiar para o campo correspondente no Portal RH.
- Directory (tenant) ID → copiar para o campo correspondente no Portal RH.
3. Gerar o Client Secret
1. Dentro do aplicativo registrado, ir em Certificates & secrets.
2. Na aba Client secrets, clicar em New client secret.
3. Informar uma descrição e o prazo de expiração (ex.: 6, 12 ou 24 meses).
4. Clicar em Add.
5. Copiar imediatamente o Value gerado — esse valor só fica visível no momento da criação e não pode ser recuperado depois. Se for perdido, será necessário gerar um novo secret.
=>Atenção: o Client Secret possui data de expiração. Quando expirar, o envio de e-mails passará a falhar até que um novo secret seja gerado e atualizado na tela do Portal RH.
4. Conceder as permissões de API necessárias
Para que o aplicativo possa efetivamente enviar e-mails, é preciso conceder permissões, geralmente via Microsoft Graph:
1. No aplicativo registrado, ir em API permissions.
2. Clicar em Add a permission.
3. Selecionar Microsoft Graph.
4. Escolher Application permissions (não *Delegated*, já que o envio ocorre sem um usuário logado interativamente).
5. Adicionar a permissão Mail.Send.
6. Clicar em Grant admin consent para o tenant, autorizando a permissão (esse passo exige um administrador global ou de aplicativos).
5. Preencher e testar no Portal RH
Com os três valores em mãos (Application ID, Tenant ID e Client Secret) e a permissão concedida:
1. Preencher os campos na tela Configurações > Envio de E-mails.
2. Informar o e-mail remetente.
3. Clicar em Salvar.
4. Utilizar o botão Enviar e-mail teste para validar se a configuração está funcionando corretamente.
Considerações:
A geração e gestão das credenciais utilizadas para a parametrização da Autenticação Moderna no Portal RH é responsabilidade do administrador de TI/Azure do cliente, não do suporte ou da equipe do Portal RH.
O Client Secret deve ser reemitido periodicamente (conforme sua expiração), o que exige atualização recorrente da configuração no Portal RH.
Recomenda-se documentar internamente a data de expiração do Client Secret para evitar interrupções não planejadas no envio de notificações via e-mail do Portal RH.
Caso o e-mail remetente não pertença ao mesmo tenant configurado, o envio falhará mesmo com credenciais válidas.