弃用 Exchange Online 中的基本身份验证

重要

现在,所有租户中都禁用了基本身份验证。

在 2022 年 12 月 31 日之前,如果租户中的用户和应用无法连接,则可以重新启用受影响的协议。 现在, (你或 Microsoft 支持人员) 无法在租户中重新启用基本身份验证。

阅读本文的其余部分,充分了解我们所做的更改以及这些更改对你的影响。

多年来,应用程序一直使用基本身份验证连接到服务器、服务和 API 终结点。 基本身份验证只是意味着应用程序会随每个请求发送用户名和密码,并且这些凭据通常也会存储在设备上或设备上。 传统上,基本身份验证默认在大多数服务器或服务上启用,并且设置简单。

简单性一点也不坏,但基本身份验证使攻击者能够更轻松地捕获用户凭据 (尤其是在凭据不受 TLS) 保护的情况下,这增加了这些被盗凭据在其他终结点或服务中重复使用的风险。 此外,强制实施多重身份验证 (MFA) 并不简单,或者在某些情况下,在基本身份验证保持启用状态时是可能的。

基本身份验证是过时的行业标准。 自我们最初宣布,我们将关闭它 (看到 提高安全性 - 共同) 有更好、更有效的用户身份验证替代方法以来,它带来的威胁才有所增加。

我们积极建议客户采用安全策略,例如零信任 (从不信任、始终验证) ,或者在用户和设备访问公司信息时应用实时评估策略。 这些替代方法可以智能地决定谁正在尝试从哪个设备上从何处访问什么内容,而不是简单地信任可能是模拟用户的恶意参与者的身份验证凭据。

考虑到这些威胁和风险,我们已采取措施提高Exchange Online中的数据安全性。

注意

弃用基本身份验证还会阻止对不支持双重验证的应用使用应用密码。

我们正在更改的内容

我们删除了在 Exchange Online 中对 Exchange ActiveSync (EAS) 、POP、IMAP、远程 PowerShell、Exchange Web Services (EWS) 、脱机通讯簿 (OAB) 、自动发现、Outlook for Windows 和 Outlook for Mac 使用基本身份验证的功能。

我们还在未使用 SMTP 身份验证的所有租户中禁用了 SMTP 身份验证。

此决策要求客户从使用基本身份验证的应用迁移到使用新式身份验证的应用。 新式身份验证 (OAuth 2.0 基于令牌的授权) 具有许多优势和改进,可帮助缓解基本身份验证中的问题。 例如,OAuth 访问令牌的可用生存期有限,特定于颁发令牌的应用程序和资源,因此不能重复使用。 使用新式身份验证,启用和强制实施多重身份验证 (MFA) 也很简单。

此更改是何时发生的?

从 2021 年初开始,我们开始为未报告使用情况的现有租户禁用基本身份验证。

从 2023 年初开始,我们为具有任何类型的扩展的所有租户禁用了基本身份验证。 可 在此处阅读有关计时的详细信息。

注意

在由世纪互联运营的 Office 365 中,我们于 2023 年 3 月 31 日开始禁用基本身份验证。 所有其他云环境受 2022 年 10 月 1 日的约束。

对消息传递协议和现有应用程序的影响

此更改会影响可能以不同方式使用的应用程序和脚本。

POP、IMAP 和 SMTP 身份验证

2020 年,我们发布了对 POP、IMAP 和 SMTP AUTH 的 OAuth 2.0 支持。 例如,某些客户端应用汇报已更新为支持这些身份验证类型 (Thunderbird,但目前尚未针对使用由世纪互联运营的 Office 365) 的客户,因此具有最新版本的用户可以更改其配置以使用 OAuth。 Outlook 客户端没有支持适用于 POP 和 IMAP 的 OAuth 的计划,但 Outlook 可以使用 MAPI/HTTP(Windows 客户端)和 EWS (Outlook for Mac) 进行连接。

构建了使用这些协议发送、读取或以其他方式处理电子邮件的应用的应用程序开发人员将能够保留相同的协议,但需要为其用户实现安全的现代身份验证体验。 此功能基于 Microsoft 标识平台 v2.0 构建,支持访问 Microsoft 365 电子邮件帐户。

如果内部应用程序需要访问 Exchange Online 中的 IMAP、POP 和 SMTP 身份验证协议,请按照以下分步说明实现 OAuth 2.0 身份验证:使用 OAuth 对 IMAP、POP 或 SMTP 连接进行身份验证。 此外,使用 PowerShell 脚本 Get-IMAPAccesstoken.ps1 在启用 OAuth 后自行测试 IMAP 访问,包括共享邮箱用例。

虽然 SMTP 身份验证现已推出,但我们宣布Exchange Online将于 2025 年 9 月永久取消对客户端提交 (SMTP 身份验证) 基本身份验证的支持。 强烈建议客户尽快弃用 SMTP AUTH 进行基本身份验证。 有关替代选项的详细信息,请参阅此处的公告 - https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750。 发送经过身份验证的邮件的其他选项包括使用替代协议,例如 Microsoft 图形 API

Exchange ActiveSync (EAS)

许多用户都有设置为使用 EAS 的移动设备。 如果他们使用的是基本身份验证,则受此更改的影响。

建议在连接到Exchange Online时使用 Outlook for iOS 和 Android。 Outlook for iOS 和 Android 完全集成了 Microsoft 企业移动性 + 安全性 (EMS) , (MAM) 功能启用条件访问和应用保护。 Outlook for iOS 和 Android 可帮助你保护用户和公司数据的安全,并且本机支持新式身份验证。

还有其他支持新式身份验证的移动设备电子邮件应用。 所有常用平台的内置电子邮件应用通常支持新式身份验证,因此有时解决方案是验证设备是否正在运行最新版本的应用。 如果电子邮件应用是最新的,但仍使用基本身份验证,则可能需要从设备中删除帐户,然后将其重新添加。

如果使用 Microsoft Intune,则可能能够使用推送或部署到设备的电子邮件配置文件更改身份验证类型。 如果使用 iOS 设备 (iPhone 和 iPad) 则应在 Microsoft Intune中为 iOS 和 iPadOS 设备添加电子邮件设置

如果满足以下条件,则使用 基本移动性和安全性 管理的任何 iOS 设备都无法访问电子邮件:

  • 你已将设备安全策略配置为要求使用托管电子邮件配置文件进行访问。
  • 自 2021 年 11 月 9 日 (,这意味着策略仍在使用基本身份验证) 。

在此日期之后创建或修改的策略已更新为使用新式身份验证。

若要更新自 2021 年 11 月 9 日以来未修改的策略以使用新式身份验证,请对策略的访问要求进行临时更改。 建议更改并保存 “需要加密备份” 云设置,这将升级策略以使用新式身份验证。 更改的策略的状态值 “已打开”后,电子邮件配置文件已升级。 然后,可以还原策略的临时更改。

注意

在升级过程中,将在 iOS 设备上更新电子邮件配置文件,并提示用户输入其用户名和密码。

如果设备使用基于证书的身份验证,则在今年晚些时候Exchange Online中关闭基本身份验证时,它们将不受影响。 只有使用基本身份验证直接进行身份验证的设备才会受到影响。

基于证书的身份验证仍然是旧式身份验证,因此,阻止旧式身份验证Microsoft Entra条件访问策略将阻止。 有关详细信息,请参阅使用Microsoft Entra条件访问阻止旧身份验证

Exchange Online PowerShell

自 Exchange Online PowerShell 模块发布以来,使用新式身份验证从命令行管理Exchange Online设置和保护设置非常简单。 该模块使用新式身份验证,可与多重身份验证 (MFA) 配合使用,以连接到 Microsoft 365 中与 Exchange 相关的所有 PowerShell 环境:Exchange Online PowerShell、安全性 & 符合性 PowerShell 和独立Exchange Online Protection (EOP) PowerShell。

Exchange Online PowerShell 模块也可以以非交互方式使用,从而允许运行无人参与的脚本。 基于证书的身份验证使管理员能够运行脚本,而无需在本地创建服务帐户或存储凭据。 若要了解详细信息,请参阅:Exchange Online PowerShell 模块中的无人参与脚本的仅限应用身份验证

重要

不要混淆 PowerShell 要求在从) 运行会话的本地计算机上为 WinRM (启用基本身份验证这一事实。 用户名/密码不会使用 Basic 发送到服务,但需要基本身份验证标头才能发送会话的 OAuth 令牌,因为 WinRM 客户端不支持 OAuth。 我们正在努力解决这个问题,将来将有更多的宣布。 只需知道在 WinRM 上启用 Basic 不会 使用 Basic 向服务进行身份验证。 有关详细信息,请参阅 Exchange Online PowerShell:在 WinRM 中启用基本身份验证

在此处阅读有关这种情况的详细信息:了解Exchange Online PowerShell 模块和基本身份验证的不同版本

有关从模块的 V1 版本迁移到当前版本的详细信息,请参阅 此博客文章

Exchange Online PowerShell V3 模块的版本 3.0.0 (预览版 2.0.6-PreviewX) 包含所有不需要 WinRM 中基本身份验证的 Exchange Online cmdlet 的 REST API 支持版本。 有关详细信息,请参阅版本 3.0.0 的 汇报

Exchange Web 服务 (EWS)

许多应用程序都是使用 EWS 创建的,用于访问邮箱和日历数据。

2018 年,我们宣布 Exchange Web 服务将不再接收功能更新,我们建议应用程序开发人员改用 Microsoft Graph。 请参阅 Exchange Web Services (EWS) API for Office 365 即将进行的更改

许多应用程序已成功迁移到 Graph,但对于尚未迁移到 Graph 的应用程序,值得注意的是,EWS 已经完全支持新式身份验证。 因此,如果尚无法迁移到 Graph,可以切换到使用 EWS 的新式身份验证,因为知道 EWS 最终将弃用。

若要了解详细信息,请参阅:

Outlook、MAPI、RPC 和脱机通讯簿 (OAB)

自 2016 年以来的所有 Outlook for Windows 版本都默认启用了新式身份验证,因此你可能已在使用新式身份验证。 Outlook Anywhere (以前称为 RPC over HTTP) 已在 Exchange Online 中弃用,转而使用 MAPI over HTTP。 Outlook for Windows 使用 MAPI over HTTP、EWS 和 OAB 访问邮件、设置闲/忙和外出,以及下载脱机通讯簿。 所有这些协议都支持新式身份验证。

Outlook 2007 或 Outlook 2010 无法使用新式身份验证,最终将无法连接。 Outlook 2013 需要设置来启用新式身份验证,但配置设置后,Outlook 2013 可以使用新式身份验证,且没有问题。 如本文前面所述,Outlook 2013 需要最低更新级别才能连接到Exchange Online。 请参阅: Microsoft 365 的新最低 Outlook for Windows 版本要求

Outlook for Mac支持新式身份验证。

有关 Office 中的新式身份验证支持的详细信息,请参阅 新式身份验证如何适用于 Office 客户端应用

如果需要将公用文件夹迁移到 Exchange Online,请参阅 具有新式身份验证支持的公用文件夹迁移脚本

自动发现

2022 年 11 月 ,我们宣布 ,在租户中禁用 EAS 和 EWS 后,我们将禁用自动发现协议的基本身份验证。

客户端选项

下面列出了适用于每个受影响的协议的一些选项。

协议建议

对于 Exchange Web Services (EWS) 、远程 PowerShell (RPS) 、POP 和 IMAP,以及 Exchange ActiveSync (EAS) :

  • 如果已使用这些协议编写自己的代码,请将代码更新为使用 OAuth 2.0 而不是基本身份验证,或迁移到较新的协议 (图形 API) 。
  • 如果你或你的用户使用使用这些协议的第三方应用程序,请联系提供此应用程序的第三方应用开发人员,以更新该应用程序以支持 OAuth 2.0 身份验证,或协助用户切换到使用 OAuth 2.0 生成的应用程序。
密钥协议服务 受影响的客户端 客户端特定建议 世纪互联运营的Office 365特别推荐 (加拉廷) 其他协议信息/说明
Outlook 所有版本的 Outlook for Windows 和 Mac
  • 升级到适用于 Windows 的 Outlook 2013 或更高版本以及适用于 Mac 的 Outlook 2016 或更高版本
  • 如果使用 Outlook 2013 for Windows,请通过注册表项启用新式身份验证
为 Outlook 启用新式身份验证 - 它有多难?
Exchange Web 服务 (EWS) 不支持 OAuth 的第三方应用程序
  • 修改应用以使用新式身份验证。
  • 迁移应用以使用图形 API和新式身份验证。

热门应用:

按照本文操作,迁移自定义的 Gallatin 应用程序以将 EWS 与 OAuth 配合使用

Microsoft Teams 和 Cisco Unity目前在加拉廷中不可用
如何处理使用基本身份验证的 EWS 托管 API PowerShell 脚本
  • 自 2018 年 7 月起无 EWS 功能更新
  • 远程 PowerShell (RPS) 使用以下任一项: Azure Cloud Shell在 Gallatin 中不可用 详细了解 Exchange Online PowerShell 模块的自动化和基于证书的身份验证支持,以及了解 Exchange Online PowerShell 模块和基本身份验证的不同版本
    POP 和 IMAP 配置为使用 POP 或 IMAP 的第三方移动客户端,例如 Thunderbird 第一方客户端 建议:
    • 远离这些协议,因为它们不会启用完整功能。
    • 当客户端应用支持 OAuth 2.0 for POP/IMAP 时,将其移动到 OAuth 2.0。
    按照本文操作,使用示例代码在 Gallatin 中使用 OAuth 配置 POP 和 IMAP IMAP 很受 Linux 和教育客户的欢迎。 OAuth 2.0 支持于 2020 年 4 月开始推出。

    使用 OAuth 对 IMAP、POP 或 SMTP 连接进行身份验证
    Exchange ActiveSync (EAS) 来自苹果、三星等的移动电子邮件客户端。
    • 移动到 Outlook for iOS 和 Android 或其他支持新式身份验证的移动电子邮件应用
    • 如果应用可以执行 OAuth,但设备仍在使用“基本”,请更新应用设置
    • 切换到Outlook 网页版或其他支持新式身份验证的移动浏览器应用。

    热门应用:

    • Apple iPhone/iPad/macOS:所有最新的 iOS/macOS 设备都能够使用新式身份验证,只需删除并添加回帐户即可。
    • Microsoft Windows 10邮件客户端:删除并重新添加帐户,选择Office 365作为帐户类型
  • iOS 上的 Apple 本机邮件应用目前在加拉廷不起作用,我们建议使用 Outlook 移动版
  • Windows 10/11 Gallatin 不支持邮件应用
  • 按照本文操作,使用 OAuth 和示例代码配置 EAS
  • 使用本机应用连接到Exchange Online的移动设备通常使用此协议。
    自动发现 使用自动发现查找服务终结点的 EWS 和 EAS 应用
    • 将代码/应用升级到支持 OAuth 的一个
    Exchange 的自动发现 Web 服务参考

    资源

    若要了解详细信息,检查以下文章:

    安全默认值

    Exchange Online身份验证策略

    Microsoft Entra条件访问