小編語：基本身份驗證在過去的很多年里被廣泛應用于各種協議和應用，但隨著時間的推移和技術的發展，它已經成為一種過時的技術，并存在一定的安全風險，基本身份驗證的方式已經不能夠滿足日益嚴峻的網絡安全需要。如果您的 Exchange Online 還在使用這種傳統的驗證方式，讓我們一起完成一次安全進化吧。

1為何要停用基本身份驗證?

從技術上來說，基本身份驗證(也稱舊式身份驗證)是一種基于 HTTP 的身份驗證方案。應用程序向服務器、服務或 API 結點發起每個連接請求時，都會同時發送用戶名和密碼，并將這些憑據保存在設備上。這種方式極大地簡化了身份驗證過程，但在攻擊者的各種手段面前，簡直是理想的狩獵目標!尤其是在沒有 TLS 的保護時，他們可以輕而易舉地盜取用戶的身份。

從運維上來說，基本身份驗證雖然容易配置，但也會使部署多重身份驗證變得更復雜和困難。

因此，微軟決定自2022年10月1日起，在全球范圍內對使用 Exchange Online 的用戶逐步關閉基本身份驗證，并用更為高級的現代身份驗證作為替代。您可以參考下方這個簡單視頻來了解更多細節。這有助于廣大用戶更好的維護自身利益，提高企業和用戶的安全性。自2021年9月起，微軟已持續通過官方網站以及管理中心中的“消息中心”發布提醒 (MC345821)，并將持續每月對依然使用基本身份驗證的客戶進行“消息中心”提醒。請您預先做好準備。

詳細官方時間表如下

對于未使用基本身份驗證的租戶：

- 自2021年6月起，尚未使用基本身份驗證的租戶，會陸續在消息中心中收到30天后對該租戶關閉基本身份驗證的通知，關閉完成后將再次收到通知。

對于正在使用基本身份驗證的租戶：

- 自2021年9月起，會陸續在消息中心收到多次提醒通知，以指導租戶管理員采取相關動作。

- 自2022年10月1日起，對所有已使用基本身份驗證的租戶，將永久停用基本身份驗證方式，對于所有租戶的停用過程會陸續完成。微軟會在關閉前7天通過消息中心再次發出預警，并發布服務運行狀況儀表板通知，然后將基本身份驗證關閉。在此之后，您無法以任何形式申請例外。

- 使用由世紀互聯運營的 Office 365服務的租戶將于2023年3月31日起全面關閉基本身份驗證，在此之后，您無法以任何形式申請例外。

可能的影響及其范圍

微軟將關閉以下協議的基本身份驗證：Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。(對尚未使用SMTP AUTH的租戶，SMTP AUTH也將被關閉)

關閉后，對上述受影響協議使用了基本身份驗證的任何客戶端(用戶應用、腳本、集成等)都將無法連接Exchange Online。應用將收到“HTTP 401錯誤：用戶名或密碼錯誤”這樣的信息。

2改進雖好，該如何從容應對?

為保證企業和用戶能順利的過渡到新式身份驗證，建議您參考如下的“評估-修正-執行”的三步計劃，逐步完成轉化。

步驟1 – 評估，確定您的企業是否會受到影響

1.檢查消息中心

從2021年底開始，我們開始向租戶發送消息中心通知，總結基本身份驗證在租戶環境內的使用情況。如果您收到了使用情況的摘要，您可以了解在上個月內使用基本身份驗證的用戶數，以及他們使用的協議數，這表明某些內容或某人正在使用基本身份驗證。

2.通過 Azure Active Directory 登陸日志進一步了解基本身份驗證的使用情況

Azure AD Free 訂閱可以查看過去7天的登陸日志;Azure AD P1/P2可以查看過去30天的登陸日志。通過篩選客戶端應用，對新式和舊式身份驗證加以區分。其中，瀏覽器、移動應用和桌面客戶端被視為新式身份驗證，而其他應用(如 IMAP、POP 和 MAPI等)則被視為舊式身份驗證。您可以根據了解到的使用情況制定方案，來避免影響。

3.通過 Outlook 客戶端判斷是否在使用基本身份驗證

按住 CTRL，右鍵單擊系統托盤中的 Outlook 圖標并選擇“連接狀態”來選中連接狀態對話框。如 Authn 列顯示為 Clear, 說明 Outlook 在使用基本身份驗證;如顯示為 Bearer, 則代表 Outlook 在使用新式身份驗證。

4. 在移動設備上確認身份驗證方式

在移動設備上，如果設備嘗試用新式身份驗證進行連接，會顯示類似基于 Web 的登錄頁(下圖左側)。基本身份驗證則顯示為憑據輸入對話框(下圖右側)。

步驟 2 – 修正，為關閉基本身份驗證做好準備

如果您確認自己的租戶將受到影響，請參照如下建議進行應對：

1. 在目錄中啟用新式身份驗證(2017年8月1日以后創建的目錄已默認啟用)

(1)安裝 Skype for Business Online Powershell 模塊，并運行 Set-CsOAuthConfiguration 更新設置以啟用新式身份驗證。

(2)連接Exchange Online Powershell并運行Set-OrganizationConfig-OAuth2ClientProfileEnabled $true，以啟用新式身份驗證。

2.更新代碼

(1) 如果您使用受影響的協議編寫自己的代碼，請更新代碼，使用 OAuth 2.0，或Graph API。

(2)如果您使用的第三方應用程序在使用這些協議，請聯系該第三方應用的開發人員。更新程序，以支持 OAuth 2.0驗證，或幫助用戶切換到使用 OAuth 2.0驗證的應用程序。

3.對不同的客戶端進行相應調整，詳見下表：

您也可以通過搜索“棄用 Exchange Online 中的基本身份驗證”移步至微軟 Exchange 官方文庫，了解表格中所列項目相關配置的更詳細步驟。

步驟3 – 執行，關閉基本身份驗證

1. 確保經過上述步驟后，租戶中以及 Exchange Online 已經啟用新式身份驗證，并且客戶端支持并已啟用新式身份驗證。

2. 在不同場景下禁用基本身份驗證。

(1)針對具體的協議，為整個租戶關閉基本身份驗證

設置-組織設置-新式身份驗證

(2)創建身份驗證策略，針對具體的協議和用戶/組，關閉基本身份驗證(官方推薦的最佳方法)。您可以在 Bing 中搜索“在 Exchange Online 中禁用基本身份驗證”獲取全部步驟。

(3)針對特定用戶和組，通過條件訪問阻止舊式身份驗證。支持“僅報告”模式進行登陸評估(實時查看哪些用戶使用舊式身份驗證，但并不會真正阻止連接)。

原文標題：來一次安全進化吧!微軟即將停用Exchange Online基本身份驗證

文章出處：【微信公眾號：微軟科技】歡迎添加關注!文章轉載請注明出處。