信息背景：

作为一种设置简单的身份验证方式，基本身份验证（也称旧式身份验证）一直被多种应用程序广泛使用，来完成到服务器、服务和API结点的连接。但基本身份验证在请求连接时会发送用户和密码，并将这些凭据保存在存储或设备上，导致凭据更容易被恶意捕获，增加了用户身份被盗等一系列安全风险。

为了提升企业和用户的安全性，微软决定自2022年10月1日起，在全球范围内对使用Exchange Online的用户逐步关闭基本身份验证，以更为高级的现代身份验证方式取代。微软自2021年9月起持续通过官方网站以及管理中心中的“消息中心”发布提醒(MC345821)，并将持续每月对依然使用基本身份验证的客户进行“消息中心”提醒。此文章也为提醒您预先做好准备。

具体信息请仔细阅读以下内容。

 

变更时间表：

对于未使用基本身份验证的用户：

Ø 自2021年6月起，对于尚未使用基本身份验证的用户，会陆续在消息中心中收到30天后对该用户关闭基本身份验证的通知，关闭完成后将再次收到通知。

对于正在使用基本身份验证的用户：

Ø 自2021年9月起，会陆续在消息中心收到多次提醒通知，以指导用户管理员采取相关动作。

Ø 自2022年10月1日起，对所有已使用基本身份验证的用户，将永久停用基本身份验证方式，对于所有用户的停用过程会陆续完成。微软会在关闭前7天通过消息中心再次发出预警，并发布服务运行状况仪表板通知，然后将基本身份验证关闭。在此之后，您无法以任何形式申请例外。

Ø 使用由世纪互联运营的Office 365服务的用户将于2023年3月31日起全面关闭基本身份验证，在此之后，您无法以任何形式申请例外。

 

可能的影响及其范围：

微软将关闭以下协议的基本身份验证：Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。（对尚未使用SMTP AUTH的用户，SMTP AUTH也将被关闭）

关闭后，对上述受影响协议使用了基本身份验证的任何客户端（用户应用、脚本、集成等）都将无法连接Exchange Online。应用将收到“HTTP 401错误：用户名或密码错误”这样的信息。

 

您需要采取的动作：

第一步  确定是否会受到影响

1. 检查消息中心

从2021年底开始，微软开始向用户发送消息中心通知，总结基本身份验证在用户环境内的使用情况。如果您收到了使用情况的摘要，你可以了解在上个月内使用基本身份验证的用户数，以及他们使用的协议数，这表明某些内容或某人正在使用基本身份验证。

2. 通过Azure Active Directory登陆日志进一步了解基本身份验证的使用情况

Azure AD Free订阅可以查看过去7天的登陆日志；Azure AD P1/P2可以查看过去30天的登陆日志。通过筛选客户端应用，对新式和旧式身份验证加以区分。其中，浏览器、移动应用和桌面客户端被视为新式身份验证，而其他应用（如IMAP、POP和MAPI等）则被视为旧式身份验证。您可以根据了解到的使用情况制定方案，来避免影响。

 

 

3. 通过Outlook客户端判断是否在使用基本身份验证

按住CTRL，右键单击系统托盘中的Outlook图标并选择“连接状态”来选中连接状态对话框。如Authn列显示为Clear，说明Outlook在使用基本身份验证；如显示为Bearer，则代表Outlook在使用新式身份验证。

 

 

4. 在移动设备上确认身份验证方式

在移动设备上，如果设备尝试用新式身份验证进行连接，会显示类似基于Web的登录页(下图左侧)。基本身份验证则显示为凭据输入对话框(下图右侧)。

 

 

第二步  处置方式

如果您确认自己的用户将受到影响，请参照如下建议进行应对：

1. 在目录中启用新式身份验证（2017年8月1日以后创建的目录已默认启用）

Ø 参考在目录中启用新式身份验证中的步骤为您的Azure目录启用新式身份验证。

Ø 为Exchange Online启用新式身份验证

2. 变更代码

Ø 如果您使用受影响的协议编写自己的代码，请更新代码，使用OAuth 2.0，或Graph API。

Ø 如果您使用的第三方应用程序在使用这些协议，请联系该第三方应用的开发人员。更新程序，以支持OAuth 2.0验证，或帮助用户切换到使用OAuth 2.0验证的应用程序。

3. 对不同的客户端进行相应调整

第三步  关闭基本身份验证

1. 确保经过上述步骤后，用户中以及Exchange Online已经启用新式身份验证，并且客户端支持并已启用新式身份验证。

2. 在不同场景下禁用基本身份验证。

Ø 针对具体的协议，为整个用户关闭基本身份验证

设置-组织设置-新式身份验证

 

 

Ø 创建身份验证策略，针对具体的协议和用户/组，关闭基本身份验证（最佳方法）

Ø 针对特定用户和组，通过条件访问阻止旧式身份验证。支持“仅报告”模式进行登陆评估（实时查看哪些用户使用旧式身份验证，但并不会真正阻止连接）。

 

帮助和支持

如果您在此变更过程中有任何疑问或遇到任何问题，您可以通过以下途径联系微软或者昆仑联通，我们将竭诚为您提供技术支持：

Ø 如果您是昆仑联通的客户，可以直接联系您的客户经理，他们将竭诚为您服务。

Ø 如果您是Premier/Unified客户，可以通过Service Hub提交Ticket或拨打7*24支持电话8008201859或4008201859。

Ø 如果您不是Premier/Unified客户，可以通过Admin Center提交Support Ticket或拨打支持电话800-820-3800 (针对全球版Office 365服务，每周一至周五9：00-18：00)或400-089-0365 (针对世纪互联运营的Office 365，法定工作日9：00–21：00)。

 

更多提示

在全面关闭基本身份验证（2022年10月1日）前，如果您不希望您的用户被自动关闭基本身份验证，可以按照此博客中的步骤请求豁免。该豁免将于2022年10月后失效。

对于已经被关闭的用户，如果您希望在2022年10月前可以继续使用基本身份验证，可以通过此博客中的步骤重新启用。

 

其他官方参考文档：

Basic Authentication Deprecation in Exchange Online– May 2022 Update - Microsoft Tech Community

New tools to block legacy authentication in your organization

Can't connect to Outlook by using POP/IMAP and Modern authentication

在 Exchange Online 中为 基于Windows的Outlook 启用新式身份验证

Enabling Modern Auth for Outlook

How modern authentication works for Office 2013, Office 2016, and Office 2019 client apps