Office 365 中的基本身份验证第 I 部分

There are a few things to be aware of. For new tenants, Basic Authentication is already turned off, for older tenants it is still turned on. However, if Basic Authentication has not been used in a tenant it will be turned off as well. This will start upcoming October.

Microsoft 将于 2020 年 10 月停止对基本身份验证的支持，如以下博文中所述：基本身份验证和 Exchange Online - 2020 年 2 月更新。通过这样做，Microsoft 提高了（尤其是）Exchange Online 的安全性，因为基本身份验证是恶意用户的完美攻击媒介。

但是这是什么意思？使用 Exchange Web 服务 (EWS)、ActiveSync、PowerShell、POP3 和 IMAP4 并使用基本身份验证进行身份验证的客户端将停止工作。我们谈论的是哪些客户？基本身份验证仅针对 Exchange Online 停止，而不针对 Exchange 本地部署停止，但是当您使用混合方案时会发生什么情况？将 Outlook for iOS 与本地邮箱结合使用。

在这篇博文中，我将尝试更深入地探讨身份验证并解释将要发生的情况。

基本认证

基本身份验证是任何 Web 应用程序中最古老的身份验证方法之一。您访问应用程序时，会出现一个对话框，您输入凭据，然后凭据会通过网络发送（以明文形式）。为了提高安全性，通常使用 SSL 连接，因此客户端和服务器之间的连接是加密的。

对于 Exchange Online，这意味着 (Outlook) 客户端以明文形式将其凭据发送到 Exchange Online，并且 Exchange Online 根据 Azure AD 进行身份验证，如以下屏幕截图所示：

使用 ADFS 时，基本身份验证没有太大不同。客户端进行身份验证并将凭据以明文形式发送到 Exchange Online，Exchange Online 使用 ADFS 和本地域控制器处理剩余的通信（以下屏幕截图中的步骤 2 和 3）：

需要注意的是，这里的客户端仍然使用基本身份验证。

那么哪些客户端正在使用基本身份验证呢？ Outlook 2010 是最常见的，但许多 ActiveSync 客户端、POP3 和 IMAP4 客户端、PowerShell 和 Exchange Web 服务（脚本和工具！）仍在使用基本身份验证。

当 Microsoft 今年 10 月停止对基本身份验证（上面屏幕截图中的步骤 1）的支持时，会发生什么情况，请各位自行想象！

现代认证

现代身份验证是一种基于令牌的身份验证机制，因此它与联合服务有相似之处。在旧金山举行的 2017 年 IT Dev Connections 上，我做了一个关于这个主题的演讲。以下屏幕截图是演示文稿中的动画幻灯片，显示客户端、Exchange Online、Azure AD 和本地域控制器之间的身份验证流程：

现代身份验证基于 OAuth2 框架。使用 OAuth2 时，您向应用程序授予代表您联系服务器的权限（“同意”）。客户端第一次联系服务器，您在 Web 框架中输入凭据，这是一个基于服务器的 Web 框架，输入凭据时会生成两个令牌：

• 访问令牌，用于访问各种服务。
• 刷新令牌，用于在访问令牌即将过期时更新该令牌。

如下图所示：

来源：使用 OAuth 2.0 代码授权流程授权访问 Azure Active Directory Web 应用程序。

访问令牌会不断更新（因此无需手动重新进行身份验证），直到无法更新为止，例如当密码过期、帐户被阻止（访问令牌被撤销）或条件访问策略不再可用时被应用。在所有这些情况下，对服务的访问都会被拒绝。

Outlook 2013 及更高版本支持新式身份验证。在 Outlook 2013 中，您必须设置一些注册表项，但在 Outlook 2016 及更高版本中默认启用它。

识别您是否使用现代身份验证的方法是基于 HTML 的登录屏幕，如下所示：

虽然基本身份验证（在 Exchange 2016 中，但在 Outlook 2010 中类似）如下所示：

识别新式身份验证的另一种方法是使用 Outlook 中的连接状态：

当您看到“承载”（来自 OAuth 承载令牌）时，Outlook 正在使用现代身份验证，如果您看到“清除”，则 Outlook 使用基本身份验证。

概括

在第一部分中，我尝试解释基本身份验证和新式身份验证之间的区别、新式身份验证的工作原理以及如何识别 Outlook 客户端正在使用哪种身份验证方法。

在我的下一篇博客（第二部分）中，我将详细解释如何监控基本身份验证以及如何开始测试禁用基本身份验证时会发生什么。