淘汰 Exchange Online 中的基本驗證
重要事項
所有租用戶現在都已停用基本身份驗證。
在 2022 年 12 月 31 日之前,如果租使用者中的使用者和應用程式無法連線,您可以重新啟用受影響的通訊協定。 現在 (您或 Microsoft 支援服務) 都無法在您的租使用者中重新啟用基本身份驗證。
閱讀本文的其餘部分,以完整瞭解我們所做的變更,以及這些變更對您有何影響。
多年來,應用程式一直使用基本身份驗證來連線到伺服器、服務和 API 端點。 基本身份驗證只是表示應用程式會傳送每個要求的使用者名稱和密碼,而且這些認證通常也會儲存或儲存在裝置上。 傳統上,基本身份驗證預設會在大部分的伺服器或服務上啟用,而且很容易設定。
簡單性完全不正確,但基本身份驗證可讓攻擊者更輕鬆地擷取使用者認證 (特別是當認證不受 TLS) 保護時,這會增加這些遭竊認證對其他端點或服務重複使用的風險。 此外,強制執行多重要素驗證 (MFA) 並不簡單,或在某些情況下,可能在基本身份驗證維持啟用狀態時。
基本身份驗證是過時的業界標準。 它所造成的威脅只會增加,因為我們最初宣佈要關閉它 (請參閱 改善安全性 - 一起) 有更好且更有效率的使用者驗證替代方案。
我們主動建議客戶採用安全策略,例如 零信任 (永不信任、永遠驗證) ,或在使用者和裝置存取公司資訊時套用即時評定原則。 這些替代方案可讓您做出智慧型手機決策,決定誰嘗試從哪個裝置存取哪些專案,而不只是信任可能是模擬使用者的不良執行者驗證認證。
考慮到這些威脅和風險,我們採取步驟來改善 Exchange Online 中的數據安全性。
注意事項
基本身份驗證的淘汰也可防止在不支援雙步驟驗證的應用程式中使用應用程式密碼。
我們正在變更的內容
我們已移除在 Exchange ActiveSync (EAS) 、POP、IMAP、遠端 PowerShell、Exchange Web 服務 (EWS) 、離線通訊簿 (OAB) 、自動探索、Windows 版 Outlook 和 Mac 版 Outlook 的 Exchange Online 中使用基本身份驗證的功能。
我們也已在未使用 SMTP 驗證的所有租使用者中停用 SMTP 驗證。
此決策需要客戶從使用基本身份驗證的應用程式移至使用新式驗證的應用程式。 新式驗證 (OAuth 2.0 令牌型授權) 有許多優點和改善,可協助減輕基本身份驗證中的問題。 例如,OAuth 存取令牌的可用存留期有限,且專屬於發出令牌的應用程式和資源,因此無法重複使用。 啟用和強制執行多重要素驗證 (MFA) 也很容易使用新式驗證。
這項變更何時發生?
從 2021 年初開始,我們開始針對沒有報告使用量的現有租使用者停用基本身份驗證。
從 2023 年初開始,我們已針對具有任何延伸模組類型的所有租使用者停用基本身份驗證。 您可以 在這裡深入了解時間。
注意事項
在 Office 365 由 21Vianet 運作時,我們於 2023 年 3 月 31 日開始停用基本身份驗證。 所有其他雲端環境都受限於 2022 年 10 月 1 日。
對傳訊通訊協議和現有應用程式的影響
這項變更會影響您可能以不同方式使用的應用程式和腳本。
POP、IMAP 和 SMTP 驗證
在 2020 年,我們發行了 POP、IMAP 和 SMTP 驗證的 OAuth 2.0 支援。 例如,某些用戶端應用程式 匯報 已更新為支援這些驗證類型 (,但尚未針對使用 Office 365 由 21Vianet) 運作的客戶,因此具有最新版本的使用者可以將其設定變更為使用 OAuth。 Outlook 用戶端沒有支援 OAuth for POP 和 IMAP 的計畫,但 Outlook 可以使用 MAPI/HTTP (Windows 用戶端) 和 EWS (Mac 版 Outlook) 連線。
已使用這些通訊協定建置應用程式以傳送、讀取或以其他方式處理電子郵件的應用程式開發人員,將能夠保留相同的通訊協定,但需要為其用戶實作安全的新式驗證體驗。 這項功能建置在 v2.0 Microsoft 身分識別平台 之上,並支援存取 Microsoft 365 電子郵件帳戶。
如果您的內部應用程式需要存取 Exchange Online 中的IMAP、POP和SMTP驗證通訊協定,請遵循下列逐步指示來實作OAuth 2.0驗證:使用OAuth驗證 IMAP、POP 或 SMTP 連線。 此外,使用PowerShell腳本 Get-IMAPAccesstoken.ps1 ,以簡單的方式測試OAuth啟用之後的IMAP存取,包括共用信箱使用案例。
雖然現在已提供 SMTP 驗證,但我們宣佈 Exchange Online 將在 2025 年 9 月永久移除用戶端提交 (SMTP 驗證) 的基本身份驗證支援。 我們強烈建議客戶儘快不使用 SMTP 驗證的基本身份驗證。 如需替代選項的詳細資訊,請參閱這裡的公告- https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750。 傳送已驗證郵件的其他選項包括使用替代通訊協定,例如 Microsoft 圖形 API。
Exchange ActiveSync (EAS)
許多使用者都有已設定為使用EAS的行動裝置。 如果他們使用基本身份驗證,則會受到這項變更的影響。
我們建議您在連線到 Exchange Online 時使用適用於 iOS 和 Android 的 Outlook。 iOS 版和 Android 版 Outlook 完全整合了 Microsoft Enterprise Mobility + Security (EMS) ,可讓您 (MAM) 功能進行條件式存取和應用程式保護。 iOS 和 Android 版 Outlook 可協助您保護使用者和公司數據的安全,且其原生支援新式驗證。
還有其他支援新式驗證的行動裝置電子郵件應用程式。 適用於所有熱門平臺的內建電子郵件應用程式通常支援新式驗證,因此有時候解決方案是確認您的裝置正在執行最新版的應用程式。 如果電子郵件應用程式是最新的,但仍在使用基本身份驗證,您可能需要從裝置移除帳戶,然後再將它新增回來。
如果您使用 Microsoft Intune,您可能可以使用您推送或部署到裝置的電子郵件設置檔來變更驗證類型。 如果您使用 iOS 裝置 (iPhone 和 iPad) 您應該查看在 Microsoft Intune 中新增 iOS 和 iPadOS 裝置的電子郵件設定
如果下列條件成立,使用 基本行動性和安全性 管理的任何 iOS 裝置將無法存取電子郵件:
- 您已設定裝置安全策略,要求受管理的電子郵件設置檔進行存取。
- 自 2021 年 11 月 9 日起,您尚未修改此原則 (這表示原則仍在使用基本身份驗證) 。
在此日期之後建立或修改的原則已更新為使用新式驗證。
若要將自 2021 年 11 月 9 日起尚未修改的原則更新為使用新式驗證,請暫時變更原則的存取需求。 建議您變更和儲存 [需要加密備份 ] 雲端設定,這會將原則升級為使用新式驗證。 一旦變更的原則具有狀態值 [開啟],電子郵件設置檔就已升級。 然後,您可以將暫時變更還原為原則。
注意事項
在升級程式期間,iOS 裝置上的電子郵件設置檔將會更新,系統會提示使用者輸入其使用者名稱和密碼。
如果您的裝置使用憑證式驗證,當本年度稍後在 Exchange Online 中關閉基本身份驗證時,它們將不會受到影響。 只有使用基本身份驗證直接驗證的裝置才會受到影響。
憑證式驗證仍是舊版驗證,因此會遭到封鎖舊版驗證 Microsoft Entra 條件式存取原則封鎖。 如需詳細資訊,請參閱使用 Microsoft Entra 條件式存取封鎖舊版驗證。
Exchange Online PowerShell
自 Exchange Online PowerShell 模組發行以來,使用新式驗證從命令行管理 Exchange Online 設定和保護設定相當容易。 此模組使用新式驗證,並搭配多重要素驗證 (MFA) 來連線到 Microsoft 365 中所有 Exchange 相關的 PowerShell 環境:Exchange Online PowerShell、安全性 & 合規性 PowerShell,以及獨立 Exchange Online Protection (EOP) PowerShell。
Exchange Online PowerShell 模組也可以非互動方式使用,這可讓您執行自動腳本。 憑證式驗證可讓系統管理員執行腳本,而不需要在本機建立服務帳戶或儲存認證。 若要深入瞭解,請參閱 Exchange Online PowerShell 模組中自動腳本的僅限應用程式驗證。
重要事項
請勿混淆 PowerShell 需要在從) 執行工作階段的本機電腦上,為 WinRM (啟用基本身份驗證。 使用者名稱/密碼不會使用 Basic 傳送至服務,但必須有基本身份驗證標頭才能傳送會話的 OAuth 令牌,因為 WinRM 用戶端不支援 OAuth。 我們正在處理此問題,未來將會有更多公告。 只要知道在 WinRM 上啟用 Basic 並不會 使用 Basic 向服務進行驗證。 如需詳細資訊,請參閱 Exchange Online PowerShell:在 WinRM 中開啟基本身份驗證。
在這裡深入瞭解這種情況:瞭解不同版本的 Exchange Online PowerShell 模組和基本身份驗證。
如需從 V1 版本模組移至目前版本的詳細資訊,請參閱 此部落格文章。
Exchange Online PowerShell V3 模組 3.0.0 版 (Preview 2.0.6-PreviewX) 包含所有在 WinRM 中不需要基本身份驗證的 Exchange Online Cmdlet REST API 支援版本。 如需詳細資訊,請參閱 3.0.0 版的 匯報。
Exchange Web 服務 (EWS)
許多應用程式已使用EWS建立,以存取信箱和行事曆數據。
在 2018 年,我們宣佈 Exchange Web 服務不會再收到功能更新,我們建議應用程式開發人員切換為使用 Microsoft Graph。 如需 Office 365,請參閱 Exchange Web 服務即將 (EWS) API 的變更。
許多應用程式已成功移至 Graph,但對於尚未移至 Graph 的應用程式,EWS 已完全支援新式驗證是值得注意的。 因此,如果您還無法移轉至 Graph,您可以切換為搭配 EWS 使用新式驗證,因為您知道 EWS 最終會被取代。
若要深入了解,請參閱:
- 適用於 Exchange Online 的 Exchange Web 服務即將淘汰 API - Microsoft Tech Community
- 使用 OAuth 驗證 EWS 應用程式
- 使用基本身份驗證的 EWS 受控 API PowerShell 腳本該怎麼辦
OAB 通訊簿 (Outlook、MAPI、RPC 和離線通訊錄)
自 2016 年起的所有 Windows 版 Outlook 預設都已啟用新式驗證,因此您可能已經在使用新式驗證。 先前稱為 RPC over HTTP) 的 Outlook Anywhere (在 Exchange Online 中已被取代,而改用 MAPI 而非 HTTP。 Windows 版 Outlook 使用 MAPI over HTTP、EWS 和 OAB 來存取郵件、設定空閒/忙碌和不在辦公室,以及下載離線通訊簿。 所有這些通訊協定都支援新式驗證。
Outlook 2007 或 Outlook 2010 無法使用新式驗證,最後將無法連線。 Outlook 2013 需要設定才能啟用新式驗證,但一旦您設定此設定,Outlook 2013 就可以使用新式驗證,而不會有任何問題。 如這裡稍早所宣佈,Outlook 2013 需要最低更新層級才能連線到 Exchange Online。 請參閱: Microsoft 365 的新最低 Windows 版 Outlook 需求。
Mac 版 Outlook 支援新式驗證。
如需 Office 中新式驗證支援的詳細資訊,請 參閱新式驗證如何適用於 Office 用戶端應用程式。
如果您需要將公用資料夾移轉至 Exchange Online,請參閱 具有新式驗證支援的公用資料夾移轉腳本。
自動探索
在 2022 年 11 月,我們 宣佈 在租使用者中停用 EAS 和 EWS 之後,我們將停用自動探索通訊協定的基本身份驗證。
用戶端選項
以下列出每個受影響通訊協定可用的一些選項。
通訊協議建議
針對 Exchange Web 服務 (EWS) 、遠端 PowerShell (RPS) 、POP 和 IMAP,以及 Exchange ActiveSync (EAS) :
- 如果您已使用這些通訊協定撰寫自己的程式代碼,請更新程式代碼以使用OAuth 2.0 而非基本身份驗證,或移轉至較新的通訊協定 (圖形 API) 。
- 如果您或您的使用者使用使用這些通訊協定的第三方應用程式,請連絡提供此應用程式以支援 OAuth 2.0 驗證的第三方應用程式開發人員,或協助您的使用者切換至使用 OAuth 2.0 建置的應用程式。
金鑰通訊協定服務 | 受影響的用戶端 | 用戶端特定建議 | 由 21Vianet (的 21Vianet) 運作 Office 365 的特殊建議 | 其他通訊協定資訊/附注 |
---|---|---|---|---|
Outlook | Windows 和 Mac 版 Outlook 的所有版本 |
|
啟用 Outlook 的新式驗證 – 這有多困難? | |
Exchange Web 服務 (EWS) | 不支援 OAuth 的第三方應用程式 |
熱門應用程式:
|
請遵循這篇文章來移轉自定義的加勒特文應用程式,以搭配 OAuth 使用 EWS 目前無法在加勒特in 中使用 Microsoft Teams 和 Cisco Unity |
使用基本身份驗證的 EWS 受控 API PowerShell 腳本該怎麼辦 |
遠端 PowerShell (RPS) |
|
使用下列其中一種: | Azure Cloud Shell 無法在加勒特文中使用 | 深入瞭解 Exchange Online PowerShell 模組的自動化和憑證式驗證支援,以及瞭解不同版本的 Exchange Online PowerShell 模組和基本身份驗證。 |
POP 與 IMAP | 第三方行動用戶端,例如設定為使用 POP 或 IMAP 的第一方用戶端 | 建議:
|
請遵循這篇文章,以範例程式代碼在加勒納中使用 OAuth 設定 POP 和 IMAP | IMAP 很適合 Linux 和教育版客戶。 OAuth 2.0 支援已於 2020 年 4 月開始推出。 使用 OAuth 驗證 IMAP、POP 或 SMTP 連線 |
Exchange ActiveSync (EAS) | 來自 Apple、Samsung 等的行動電子郵件用戶端。 |
熱門應用程式:
|
使用原生應用程式連線到 Exchange Online的行動裝置通常會使用此通訊協定。 | |
自動探索 | 使用自動探索尋找服務端點的 EWS 和 EAS 應用程式 |
|
Exchange 的自動探索 Web 服務參考 |
資源
若要深入瞭解,請參閱下列文章:
安全性預設值:
Exchange Online 驗證原則:
Microsoft Entra 條件式存取: