Desabilitar as configurações de segurança pode não ser mais necessário com a imposição do MFA. Se você habilitar e, em seguida, impor o MFA em uma conta M365, poderá acessar a página de configuração de MFA da conta e adicionar uma senha de aplicativo para usar e ignorar o MFA. Consegui fazer funcionar com um usuário licenciado M365 Business Basic com imposição de MFA, autenticação SMTP e configurações de segurança habilitadas. Eu só tive que aumentar os tempos limite de abertura e leitura SMTP com duas linhas adicionais. 30 pode ser excessivo, mas 5 foi muito pouco.
Entrada app.yml funcional, a partir de setembro de 2023:
DISCOURSE_SMTP_ADDRESS: smtp.office365.com
DISCOURSE_SMTP_PORT: 587
DISCOURSE_SMTP_USER_NAME: user@domain.com
DISCOURSE_SMTP_PASSWORD: whatever-your-app-password-is
DISCOURSE_SMTP_AUTHENTICATION: login
DISCOURSE_SMTP_ENABLE_START_TLS: true
DISCOURSE_NOTIFICATION_EMAIL: user@domain.com
DISCOURSE_SMTP_OPEN_TIMEOUT: 30
DISCOURSE_SMTP_READ_TIMEOUT: 30