Exchange Online即将停止基本身份验证,你准备好了吗?

这是一个计划内的安全性提升,一场全面的安全进化,对客户而言有着显而易见的好处。

基本身份验证在过去的很多年里被广泛应用于各种协议和应用,但随着时间的推移和技术的发展,它已经成为一种过时的技术,并存在一定的安全风险,基本身份验证的方式已经不能够满足日益严峻的网络安全需要。


变更时间:

2022年10月1日起,微软会在全球范围停用 Exchange Online 的基本身份验证,以”现代身份验证”为客户提供更为安全的云服务。

2023年3月31日起,世纪互联运营的 Exchange Online 服务也将于停用基本身份验证。

影响范围:

将为以下协议关闭基本身份验证:

MAPI、Outlook Anywhere 、脱机通讯簿 (OAB)、Exchange Web Services(EWS)、POP、IMAP、Exchange ActiveSync (EAS)、Remote PowerShell

禁用后产生的影响:

任何对受影响的协议之一使用基本身份验证的客户端(用户应用、脚本、集成等)都将无法连接Exchange Online。应用将收到 HTTP 401 错误:用户名或密码错误。



   如何应对?

【省时助手】

对于普通用户只需关注下面1,2项

对于企业IT需要关注1,2,3,5,6

对于应用开发人员需要关注第4项

1.WindowsMac建议使用Outlook 2016及更高版本;

2.移动端使用邮箱建议下载Outlook(免费的;iPhone中自带的邮箱也是支持支持Modern Auth的);

3.连接到Exchange onlinePower Shell脚本需要用Exchange Online PowerShell V2 模块;

参考链接:

https://docs.microsoft.com/zh-cn/powershell/exchange/connect-to-exchange-online-powershell?view=exchange-ps

4.基于EWS开发的邮箱收发功能的应用需要使用OAuth 对 EWS 应用程序进行身份验证;

参考链接:

https://docs.microsoft.com/zh-cn/exchange/client-developer/exchange-web-services/how-to-authenticate-an-ews-application-by-using-oauth

或改为基于Graph API开发。

参考链接:

https://docs.microsoft.com/en-us/graph/outlook-mail-concept-overview

5.已配置为使用POP3和IMAP4的客户端应用程序,使用 OAuth 对 IMAP、POP 或 SMTP 连接进行身份验证

参考链接:

https://docs.microsoft.com/zh-cn/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth

6.一些传统的打印机可能仍在使用SMTP Auth,并且无法进行升级,所以本次Basic Auth的弃用不会禁用SMTP Auth(如果客户的应用是配置连接EXO的smtp.office365.com的25端口或者587端口进行验证后发件,那么就是使用了SMTP Auth,不会受到影响)


以下内容推荐M365管理员阅读

我们强烈建议M365管理员可以未雨绸缪,首先确认组织中有哪些用户仍在使用基本身份验证访问邮箱,然后可以引导其使用新式身份验证,以确保用户始终能访问邮箱而不受此次服务变更影响。

步骤推荐:

1.首先我们可以在AAD管理中心–登录日志(Sign-In Log)查看有哪些用户依然在使用基本身份验证。

通过按客户端应用筛选,可以通过新式身份验证和基本身份验证来标识登录。客户端应用(包括浏览器或移动应用和桌面客户端)被视为新式身份验证,而其他应用(如 IMAP、POP 和 MAPI等)则被视为基本身份验证。

2.通过AAD条件访问(需要AAD P1的License)仅报告模式实时查看哪些用户正在使用基本身份验证。选择该模式并不会真正阻止用户登录。