信息背景:
作为一种设置简单的身份验证方式,基本身份验证(也称旧式身份验证)一直被多种应用程序广泛使用,来完成到服务器、服务和API结点的连接。但基本身份验证在请求连接时会发送用户和密码,并将这些凭据保存在存储或设备上,导致凭据更容易被恶意捕获,增加了用户身份被盗等一系列安全风险。
为了提升企业和用户的安全性,微软决定自2022年10月1日起,在全球范围内对使用Exchange Online的用户逐步关闭基本身份验证,以更为高级的现代身份验证方式取代。微软自2021年9月起持续通过官方网站以及管理中心中的“消息中心”发布提醒(MC345821),并将持续每月对依然使用基本身份验证的客户进行“消息中心”提醒。此文章也为提醒您预先做好准备。
具体信息请仔细阅读以下内容。
变更时间表:
对于未使用基本身份验证的用户:
Ø 自2021年6月起,对于尚未使用基本身份验证的用户,会陆续在消息中心中收到30天后对该用户关闭基本身份验证的通知,关闭完成后将再次收到通知。
对于正在使用基本身份验证的用户:
Ø 自2021年9月起,会陆续在消息中心收到多次提醒通知,以指导用户管理员采取相关动作。
Ø 自2022年10月1日起,对所有已使用基本身份验证的用户,将永久停用基本身份验证方式,对于所有用户的停用过程会陆续完成。微软会在关闭前7天通过消息中心再次发出预警,并发布服务运行状况仪表板通知,然后将基本身份验证关闭。在此之后,您无法以任何形式申请例外。
Ø 使用由世纪互联运营的Office 365服务的用户将于2023年3月31日起全面关闭基本身份验证,在此之后,您无法以任何形式申请例外。
可能的影响及其范围:
微软将关闭以下协议的基本身份验证:Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。(对尚未使用SMTP AUTH的用户,SMTP AUTH也将被关闭)
关闭后,对上述受影响协议使用了基本身份验证的任何客户端(用户应用、脚本、集成等)都将无法连接Exchange Online。应用将收到“HTTP 401错误:用户名或密码错误”这样的信息。
您需要采取的动作:
第一步 确定是否会受到影响
1. 检查消息中心
从2021年底开始,微软开始向用户发送消息中心通知,总结基本身份验证在用户环境内的使用情况。如果您收到了使用情况的摘要,你可以了解在上个月内使用基本身份验证的用户数,以及他们使用的协议数,这表明某些内容或某人正在使用基本身份验证。
2. 通过Azure Active Directory登陆日志进一步了解基本身份验证的使用情况
Azure AD Free订阅可以查看过去7天的登陆日志;Azure AD P1/P2可以查看过去30天的登陆日志。通过筛选客户端应用,对新式和旧式身份验证加以区分。其中,浏览器、移动应用和桌面客户端被视为新式身份验证,而其他应用(如IMAP、POP和MAPI等)则被视为旧式身份验证。您可以根据了解到的使用情况制定方案,来避免影响。
3. 通过Outlook客户端判断是否在使用基本身份验证
按住CTRL,右键单击系统托盘中的Outlook图标并选择“连接状态”来选中连接状态对话框。如Authn列显示为Clear,说明Outlook在使用基本身份验证;如显示为Bearer,则代表Outlook在使用新式身份验证。
4. 在移动设备上确认身份验证方式
在移动设备上,如果设备尝试用新式身份验证进行连接,会显示类似基于Web的登录页(下图左侧)。基本身份验证则显示为凭据输入对话框(下图右侧)。
第二步 处置方式
如果您确认自己的用户将受到影响,请参照如下建议进行应对:
1. 在目录中启用新式身份验证(2017年8月1日以后创建的目录已默认启用)
Ø 参考在目录中启用新式身份验证中的步骤为您的Azure目录启用新式身份验证。
2. 变更代码
Ø 如果您使用受影响的协议编写自己的代码,请更新代码,使用OAuth 2.0,或Graph API。
Ø 如果您使用的第三方应用程序在使用这些协议,请联系该第三方应用的开发人员。更新程序,以支持OAuth 2.0验证,或帮助用户切换到使用OAuth 2.0验证的应用程序。
3. 对不同的客户端进行相应调整
第三步 关闭基本身份验证
1. 确保经过上述步骤后,用户中以及Exchange Online已经启用新式身份验证,并且客户端支持并已启用新式身份验证。
2. 在不同场景下禁用基本身份验证。
Ø 针对具体的协议,为整个用户关闭基本身份验证
设置-组织设置-新式身份验证
Ø 创建身份验证策略,针对具体的协议和用户/组,关闭基本身份验证(最佳方法)
Ø 针对特定用户和组,通过条件访问阻止旧式身份验证。支持“仅报告”模式进行登陆评估(实时查看哪些用户使用旧式身份验证,但并不会真正阻止连接)。
帮助和支持
如果您在此变更过程中有任何疑问或遇到任何问题,您可以通过以下途径联系微软或者昆仑联通,我们将竭诚为您提供技术支持:
Ø 如果您是昆仑联通的客户,可以直接联系您的客户经理,他们将竭诚为您服务。
Ø 如果您是Premier/Unified客户,可以通过Service Hub提交Ticket或拨打7*24支持电话8008201859或4008201859。
Ø 如果您不是Premier/Unified客户,可以通过Admin Center提交Support Ticket或拨打支持电话800-820-3800 (针对全球版Office 365服务,每周一至周五9:00-18:00)或400-089-0365 (针对世纪互联运营的Office 365,法定工作日9:00–21:00)。
更多提示
在全面关闭基本身份验证(2022年10月1日)前,如果您不希望您的用户被自动关闭基本身份验证,可以按照此博客中的步骤请求豁免。该豁免将于2022年10月后失效。
对于已经被关闭的用户,如果您希望在2022年10月前可以继续使用基本身份验证,可以通过此博客中的步骤重新启用。
其他官方参考文档:
Basic Authentication Deprecation in Exchange Online– May 2022 Update - Microsoft Tech Community
New tools to block legacy authentication in your organization
Can't connect to Outlook by using POP/IMAP and Modern authentication
在 Exchange Online 中为 基于Windows的Outlook 启用新式身份验证
Enabling Modern Auth for Outlook
How modern authentication works for Office 2013, Office 2016, and Office 2019 client apps