預設會在 Microsoft 365 Apps 中封鎖基本身份驗證登入提示
注意事項
本文中的資訊與在 Microsoft 365 系統管理中心 中發佈的訊息中心文章MC454810、MC499030和MC649046有關。
Word和 Excel 等應用程式可讓使用者透過每個要求傳送使用者名稱和密碼,以使用基本身份驗證連線到網頁伺服器上的資源。 這些認證通常會儲存在伺服器上,讓攻擊者更容易擷取這些認證,並針對其他端點或服務重複使用這些認證。
基本身份驗證是過時的業界標準,不支援更強大的安全性功能,例如多重要素驗證。 它所造成的威脅只會增加,而且有更好且更有效率的使用者驗證替代方案。 例如,支援多重要素驗證、智慧卡和憑證式驗證的新式驗證。
因此,為了協助改善 Microsoft 365 Apps的安全性,我們會變更其預設行為,以封鎖來自基本身份驗證的登入提示。
透過這項變更,如果用戶嘗試在只使用基本身份驗證的伺服器上開啟檔案,他們就不會看到任何基本身份驗證登入提示。 相反地,他們會看到一則訊息,指出檔案已遭到封鎖,因為它使用可能不安全的登入方法。 此訊息包含連結,可將使用者帶往包含基本身份驗證安全性風險相關信息的文章。
注意事項
- 裝載於 Windows 上的檔案共用不會受到這項變更的影響,因為使用的驗證方法是 NTLM。
- 針對新式驗證) 設定的 SharePoint Online、OneDrive 和內部部署 SharePoint Server (不會受到這項變更影響。
- 針對基本身份驗證設定的內部部署 SharePoint Server 會受到這項變更影響。
受此變更影響的 Microsoft 365 Apps 版本
這項變更只會在執行 Windows 的裝置上影響下列應用程式:
- Access
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
注意事項
- 這項變更不會影響使用基本身份驗證連線至內部部署 Exchange Server Outlook。
- 這項變更不會影響使用基本身份驗證連線至 Exchange Online Outlook。 另外還有一些用以取代基本身份驗證 Exchange Online。 如需詳細資訊,請參閱 Exchange Online 中的基本身份驗證淘汰。
在推出過程中,如果用戶嘗試使用基本身份驗證來存取檔案,則一開始會收到警告訊息。 在該警告期間之後,將會封鎖用戶開啟檔案,並會看到訊息,告知他們來源使用可能不安全的登入方法。
下表顯示每個更新通道的版本,其中會實作警告和封鎖變更。 斜體中的資訊可能會變更。
| 更新通道 | 警告版本 | 封鎖版本 |
|---|---|---|
| 目前通道 (預覽) | 版本 2303 |
版本 2311 (2023 年 11 月) |
| 目前通道 | 版本 2304 |
版本 2311 (2023 年 12 月) |
| 每月企業頻道 | 版本 2304 |
版本 2311 (2024 年 1 月 9 日) |
| 半年企業通道 (預覽) | 版本 2308 |
版本 2402 (2024 年 3 月 12 日) |
| 半年企業通道 |
版本 2308 (2024 年 1 月 9 日) |
版本 2402 (2024 年 7 月 9 日) |
注意事項
- 這項變更也會影響 Office 2021、Office 2019 和 Office 2016 的零售版。 其排程與目前通道相同。
- 這項變更不會影響大量授權版本的 Office,例如 Office LTSC 專業增強版 2021 或 Office 標準版 2019。
Microsoft 365 Apps 如何判斷是否要顯示基本身份驗證提示
下列流程圖顯示 Microsoft 365 Apps 如何決定是否要在伺服器使用基本身份驗證時開啟檔案。
下列步驟說明流程圖圖形中的資訊。
用戶嘗試開啟儲存在網頁伺服器上的檔案。
如果伺服器使用基本身份驗證 Proxy 驗證,Microsoft 365 Apps 會評估從網路 Proxy 允許基本身份驗證提示原則的狀態。
- 如果原則設定為 [已啟用],系統會提示使用者提供使用者名稱和密碼來開啟檔案。
- 否則,使用者不會看到登入提示,且檔案遭到封鎖而無法開啟。 相反地,使用者會看到一則訊息,指出檔案已遭到封鎖,因為它使用可能不安全的登入方法。
如果伺服器未使用基本身份驗證,檔案就會開啟。 如果伺服器使用基本身份驗證,Microsoft 365 Apps 檢查原則是否存在,以允許基本身份驗證提示。
如果伺服器直接使用基本身份驗證進行驗證,Microsoft 365 Apps 會評估 [允許指定的主機向 Office 應用程式顯示基本身份驗證提示] 原則的狀態。
- 如果原則設定為 [已啟用],且已指定伺服器,系統會提示使用者提供使用者名稱和密碼來開啟檔案。
- 否則,使用者不會看到登入提示,且檔案遭到封鎖而無法開啟。 相反地,使用者會看到一則訊息,指出檔案已遭到封鎖,因為它使用可能不安全的登入方法。
使用原則來管理基本身份驗證提示
如果您需要為特定主機或網路 Proxy 提供基本身份驗證提示,您可以設定下列原則:
重要事項
- 我們不建議針對特定主機或網路 Proxy 允許基本身份驗證提示,因為使用基本身份驗證並不安全。
- 但是,如果您需要在將這些伺服器移至更安全的驗證方法時暫時提供這些提示,則可以使用這些原則。
您可以在 群組原則 管理控制台的 [用戶設定\原則\系統管理範本\Microsoft Office 2016\安全性設定] 下找到這些原則。
注意事項
- 若要使用這些原則,請從 Microsoft 下載中心下載至少 5359.1000 版的 群組原則 系統管理範本檔案 (ADMX/ADML) Microsoft 365 Apps。 該版本已於 2022 年 8 月 11 日發行。
- 您也可以使用雲端原則來實作這些原則。 如需詳細資訊,請 參閱適用於 Microsoft 365 的雲端原則服務概觀。
允許指定的主機向 Office 應用程式顯示基本身份驗證提示
此原則可讓您指定哪些主機可以向應用程式顯示基本身份驗證登入提示,例如 Word 和 Excel。
下表顯示您針對原則的每個狀態所取得的保護層級。
| 圖示 | 保護層級 | 原則狀態 | 描述 |
|---|---|---|---|
|
受保護 | 啟用 (未指定任何主機) |
用戶無法開啟位於使用基本身份驗證之網頁伺服器上的檔案。 |
|
部分保護 | 已啟用 指定 (主機) |
只有指定的主機才允許基本身份驗證提示。
如果您指定多個主機,請以分號分隔它們。 |
|
|
受保護 | 已停用 | 用戶無法開啟位於使用基本身份驗證之網頁伺服器上的檔案。 |
|
|
Protected [recommended] |
未設定 | 用戶無法開啟位於使用基本身份驗證之網頁伺服器上的檔案。 |
允許來自網路 Proxy 的基本身份驗證提示
此原則可控制是否允許網路 Proxy 顯示基本身份驗證提示。
下表顯示您針對原則的每個狀態所取得的保護層級。
| 圖示 | 保護層級 | 原則狀態 | 描述 |
|---|---|---|---|
|
|
受保護 | 已停用 | 網路 Proxy 不會顯示基本身份驗證提示。 |
|
未受保護 | Enabled | 網路 Proxy 會顯示基本身份驗證提示。 |
|
|
受保護 [建議] | 未設定 | 網路 Proxy 不會顯示基本身份驗證提示。 |