请立即采取行动:Exchange Online服务即将停用基本身份验证

信息背景:

作为一种设置简单的身份验证方式,基本身份验证(也称旧式身份验证)一直被多种应用程序广泛使用,来完成到服务器、服务和API结点的连接。但基本身份验证在请求连接时会发送用户和密码,并将这些凭据保存在存储或设备上,导致凭据更容易被恶意捕获,增加了用户身份被盗等一系列安全风险。

为了提升企业和用户的安全性,微软决定自2022101日起,在全球范围内对使用Exchange Online的用户逐步关闭基本身份验证,以更为高级的现代身份验证方式取代。微软自20219月起持续通过官方网站以及管理中心中的“消息中心”发布提醒(MC345821),并将持续每月对依然使用基本身份验证的客户进行“消息中心”提醒。此文章也为提醒您预先做好准备。

具体信息请仔细阅读以下内容。

 

变更时间表:

对于未使用基本身份验证的用户

Ø 2021年6月起,对于尚未使用基本身份验证的用户,会陆续在消息中心中收到30天后对该用户关闭基本身份验证的通知,关闭完成后将再次收到通知。

对于正在使用基本身份验证的用户

Ø 20219月起,会陆续在消息中心收到多次提醒通知,以指导用户管理员采取相关动作

Ø 2022101日起,对所有已使用基本身份验证的用户,将永久停用基本身份验证方式,对于所有用户的停用过程会陆续完成。微软会在关闭前7天通过消息中心再次发出预警,并发布服务运行状况仪表板通知,然后将基本身份验证关闭。在此之后,您无法以任何形式申请例外

Ø 使用由世纪互联运营的Office 365服务的用户将于2023331日起全面关闭基本身份验证,在此之后,您无法以任何形式申请例外。

 

可能的影响及其范围:

微软将关闭以下协议的基本身份验证:Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。(对尚未使用SMTP AUTH用户SMTP AUTH也将被关闭)

关闭后,对上述受影响协议使用了基本身份验证的任何客户端(用户应用、脚本、集成等)都将无法连接Exchange Online。应用将收到HTTP 401错误:用户名或密码错误”这样的信息。

 

您需要采取的动作:

第一步  确定是否会受到影响

1. 检查消息中心

2021年底开始,微软开始向用户发送消息中心通知,总结基本身份验证在用户环境内的使用情况。如果您收到了使用情况的摘要,你可以了解在上个月内使用基本身份验证的用户数,以及他们使用的协议数,这表明某些内容或某人正在使用基本身份验证。

2. 通过Azure Active Directory登陆日志进一步了解基本身份验证的使用情况

Azure AD Free订阅可以查看过去7天的登陆日志;Azure AD P1/P2可以查看过去30天的登陆日志。通过筛选客户端应用,对新式和旧式身份验证加以区分。其中,浏览器、移动应用和桌面客户端被视为新式身份验证,而其他应用(如IMAPPOPMAPI等)则被视为旧式身份验证。您可以根据了解到的使用情况制定方案,来避免影响。

image001.png 

 

3. 通过Outlook客户端判断是否在使用基本身份验证

按住CTRL,右键单击系统托盘中的Outlook图标并选择“连接状态”来选中连接状态对话框。如Authn列显示为Clear说明Outlook在使用基本身份验证;如显示为Bearer则代表Outlook在使用新式身份验证。

thumbnail_image003.jpg 

 

4. 在移动设备上确认身份验证方式

在移动设备上,如果设备尝试用新式身份验证进行连接,会显示类似基于Web的登录页(下图左侧)。基本身份验证则显示为凭据输入对话框(下图右侧)

thumbnail_image004.png thumbnail_image005.png

 

第二步  处置方式

如果您确认自己的用户将受到影响,请参照如下建议进行应对:

1. 在目录中启用新式身份验证(201781日以后创建的目录已默认启用)

Ø 参考在目录中启用新式身份验证中的步骤为您的Azure目录启用新式身份验证。

Ø Exchange Online启用新式身份验证

2. 变更代码

Ø 如果您使用受影响的协议编写自己的代码,请更新代码,使用OAuth 2.0,或Graph API

Ø 如果您使用的第三方应用程序在使用这些协议,请联系该第三方应用的开发人员。更新程序,以支持OAuth 2.0验证,或帮助用户切换到使用OAuth 2.0验证的应用程序。

3. 对不同的客户端进行相应调整

图片1.png


第三步  关闭基本身份验证

1. 确保经过上述步骤后,用户中以及Exchange Online已经启用新式身份验证,并且客户端支持并已启用新式身份验证。

2. 在不同场景下禁用基本身份验证。

Ø 针对具体的协议,为整个用户关闭基本身份验证

设置-组织设置-新式身份验证

thumbnail_image006.png 

 

Ø 创建身份验证策略,针对具体的协议和用户/组,关闭基本身份验证(最佳方法

Ø 针对特定用户和组,通过条件访问阻止旧式身份验证。支持“仅报告”模式进行登陆评估(实时查看哪些用户使用旧式身份验证,但并不会真正阻止连接)。


image007.png

 

帮助和支持

如果您在此变更过程中有任何疑问或遇到任何问题,您可以通过以下途径联系微软或者昆仑联通,我们将竭诚为您提供技术支持:

Ø 如果您是昆仑联通的客户,可以直接联系您的客户经理,他们将竭诚为您服务。

Ø 如果您是Premier/Unified客户,可以通过Service Hub提交Ticket或拨打7*24支持电话80082018594008201859

Ø 如果您不是Premier/Unified客户,可以通过Admin Center提交Support Ticket或拨打支持电话800-820-3800 (针对全球版Office 365服务,每周一至周五900-1800)400-089-0365 (针对世纪互联运营的Office 365,法定工作日9002100)

 

更多提示

在全面关闭基本身份验证(2022101日)前,如果您不希望您的用户被自动关闭基本身份验证,可以按照此博客中的步骤请求豁免。该豁免将于202210月后失效。

对于已经被关闭的用户,如果您希望在202210月前可以继续使用基本身份验证,可以通过此博客中的步骤重新启用。

 

其他官方参考文档:

Basic Authentication Deprecation in Exchange Online– May 2022 Update - Microsoft Tech Community

New tools to block legacy authentication in your organization

Can't connect to Outlook by using POP/IMAP and Modern authentication

Exchange Online 中为 基于Windows的Outlook 启用新式身份验证

Enabling Modern Auth for Outlook

How modern authentication works for Office 2013, Office 2016, and Office 2019 client apps