微软将于2022年10月正式弃用Exchange Online基本身份验证

微软将于2022年10月正式弃用Exchange Online基本身份验证

基本身份验证（也称旧式身份验证）作为一种设置简单的身份验证方式一直被多种应用程序广泛使用，来完成到服务器、服务和API结点的连接。

但基本身份验证在请求连接时会发送用户和密码，并将这些凭据保存在存储或设备上，导致凭据更容易被恶意捕获，增加了用户身份被盗等一系列安全风险。

为了提升企业和用户的安全性，微软决定自2022年10月1日起，在全球范围内对使用Exchange Online的用户逐步关闭基本身份验证，以更为高级的现代身份验证方式取代。使用现代身份验证后，启用或强制执行 MFA 将变得更加简单，可以快速提高 Exchange Online 中的数据安全性。

变更时间表

office 365新租户

创建新Microsoft 365租户时，基本身份验证已关闭，因为它们已启用​​安全默认值​​。

未使用基本身份验证的租户

2021年6月已开始，对没有使用基本身份验证的租户，会通过消息中心，通知用户将在30天后关闭基本身份验证，关闭后会再次通知

正在使用基本身份验证的租户

2022年10月1日开始，对所有使用基本身份验证的租户，永久禁用基本身份验证。随机选择租户，发送 7 天警告消息中心帖子（并发布服务运行状况仪表板通知），然后关闭租户中的基本身份验证。

在由世纪互联运营的Office 365，将于 2023 年 3 月 31 日开始在所有租户中永久禁用基本身份验证。 所有其他云环境都受 2022 年 10 月 1 日日期的约束。

影响范围

​将为以下协议关闭基本身份验证：

MAPI、RPC、脱机通讯簿 （OAB）、Exchange Web Services （EWS）、POP、IMAP、Exchange ActiveSync （EAS）、Remote PowerShell、Outlook Windows 和 Mac

禁用后产生的影响

任何对受影响的协议之一使用基本身份验证的客户端（用户应用、脚本、集成等）都将无法连接Exchange Online。应用将收到 HTTP 401 错误：用户名或密码错误。

​1.    检查消息中心

从 2021 年底开始，我们开始向租户发送消息中心帖子，总结其基本身份验证的使用情况。如果收到了使用情况的摘要，将了解在上个月使用基本身份验证的唯一用户数，以及他们使用的协议数，表明某些内容或某人正在使用基本身份验证成功向租户进行身份验证。

2.    检查Azure Active Directory登录（Sign-In）日志

l  Azure AD Free可以查看过去7天的登录日志

l  Azure AD P1/P2可以查看过去30天的登录日志

l  通过按客户端应用筛选，可以通过新式身份验证和旧式身份验证来标识登录。客户端应用（包括浏览器或移动应用和桌面客户端）被视为新式身份验证，而其他应用（如 IMAP、POP 和 MAPI等）则被视为旧式身份验证。

3.    检查客户端

通过 CTRL 和右键单击系统托盘中的Outlook图标并选择“连接状态”来选中连接状态对话框

l  使用基本身份验证时，“Outlook连接状态”对话框中的 Authn 列显示 Clear 的值

l  切换到新式身份验证后，“Outlook连接状态”对话框中的 Authn 列将显示 Bearer 的值

4.    移动设备

在移动设备上，如果设备尝试使用新式身份验证进行连接，新式身份验证显示类似基于 Web 的登录页

基本身份验证会显示对话框凭据模式框：

基本身份验证会显示对话框凭据模式框：

​如何避免影响

​1.    在目录中启用新式身份验证

l  对于在 2017 年 8 月 1 日或之后创建的目录，默认已启用新式身份验证

l  如果目录是在此日期之前创建的，则需要​​参考步骤​​手动为目录启用新式身份验证

l  ​​为​​​​Exchange Online​​​​启用新式身份验证​​

2.    对于受影响的协议

l  如果已使用这些协议编写自己的代码，请更新代码以使用 OAuth 2.0 而不是基本身份验证，或迁移到新的协议graph API

l  如果你或你的用户使用的是使用这些协议的第三方应用程序，请联系提供此应用程序的第三方应用开发人员，以更新该应用程序以支持 OAuth 2.0 身份验证，或帮助用户切换到使用 OAuth 2.0 身份验证的应用程序

3.    对于受影响的客户端

如何阻止基本身份验证

​1.    确保租户中以及Exchange Online已启用新式身份验证，并且客户端支持并启用新式身份验证；

2.    不同场景下禁用基本身份验证

l  ​​针对具体的协议关闭基本身份验证​​

Microsoft 365 admin center - Settings > Org Settings > Modern Authentication

l  通过​​​创建​​​​​Authentication Policy​​​并分配给不同的用户，具有相同属性的一组用户，一组指定的用户

l  通过条件访问在客户端阻止旧身份验证；可针对特定的用户和组；可采用“仅报告”模式进行登录评估，实时查看哪些用户使用旧式身份验证，但并不会真正阻止连接

Tips

q  官方说明

•         ​​Basic Authentication Deprecation in Exchange Online – May 2022 Update - Microsoft Tech Community​​

•         ​​New tools to block legacy authentication in your organization​​

•         ​​Can't connect to Outlook by using POP/IMAP and Modern authentication​​

•         ​​在 ​​​​Exchange Online ​​​​中为 基于​​​​Windows​​​​的​​​​Outlook ​​​​启用新式身份验证​​

•         ​​Enabling Modern Auth for Outlook​​

•         ​​How modern authentication works for Office 2013, Office 2016, and Office 2019 client apps​​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。