弃用基本身份验证 - Office 365 基本身份验证报告

最近，微软宣布了一项重大更新：“Exchange Online 中旧协议的基本身份验证停用。 ”

2021 年 9 月更新：Microsoft 已恢复基本身份验证停用计划

今天，微软宣布他们将重新启动该计划，以结束在 Exchange Online 中使用基本身份验证。从 2022 年 10 月 1 日开始，Microsoft 将开始在所有租户中禁用基本身份验证，无论其使用情况如何（SMTP 身份验证除外，此后仍可以重新启用）。

简而言之，以下协议访问 Exchange Online 不再需要基本身份验证。

• EWS（交换网络服务）
• EAS（Exchange ActiveSync）
• IMAP4
• POP3
• RPS（远程 PowerShell）

本博客将帮助您了解什么是基本身份验证、基本身份验证与现代身份验证、基本身份验证弃用将如何影响组织等。主要关注以下内容。

1. 基本身份验证弃用 - 如何准备此更改
2. 下载 Office 365 基本身份验证报告

Exchange Online 中的基本身份验证：

Microsoft 计划从 2022 年 10 月 1 日起终止 Exchange Online 中的基本身份验证。

大多数客户端应用程序使用基本身份验证连接到服务器、服务和端点，因为它易于设置。 Exchange Online 中的基本身份验证随每个客户端访问请求发送用户名和密码。

基本身份验证的问题在于它很容易通过暴力或密码喷射攻击而受到损害。为了保护我们的环境免受安全威胁，我们需要采取更好的选择。

Exchange Online 中不再有基本身份验证 - 这对我有何影响？

从 2022 年 10 月 1 日起，使用上述任何旧版协议的客户端应用将无法使用基本身份验证连接到 Exchange Online。

从 2022 年初开始，Microsoft 将推出更改以支持基本身份验证弃用。因此，Microsoft 将选择租户并禁用除 SMTP AUTH 之外的所有受影响协议的基本身份验证 12-48 小时。在此期间，该租户中使用基本身份验证的所有客户端和应用程序都将受到影响，并且将无法连接。租户管理员可以使用自助服务工具手动重新启用基本身份验证。如果没有，这些协议将在特定时间段后自动重新启用。

随时了解即将推出的 Microsoft 365 变更和支持终止里程碑。

基本身份验证的替代方案 - 切换到现代身份验证：

最好的解决方案是转向现代身份验证方法。现代身份验证基于 Active Directory 身份验证库 (ADAL) 和 OAuth 2.0 令牌。

现代身份验证（即基于 OAuth 2.0 令牌的身份验证）具有许多优点，有助于克服基本身份验证中存在的问题。 OAuth 令牌的使用寿命有限，并且特定于为其颁发的应用程序。因此，它们不能重复使用。 Exchange Online 现代身份验证可确保比基本身份验证更安全、更可靠的方式。

我需要做哪些准备来应对这一变化？

您和您的用户可以采取多种操作来避免客户端应用程序的服务中断，我们将在下面进行描述。

• 您可以开始将用户正在使用的客户端应用程序更新为支持 OAuth 2.0 的版本。
• 如果您使用带有基本身份验证的协议编写了自己的代码，则需要更新代码以使用 OAuth 2.0。
• 如果您使用的是第 3 方应用程序，则需要联系第 3 方应用程序开发人员来更新应用程序以支持 OAuth 2.0，或者切换到支持 Oauth2.0 的应用程序。
• RPS：在没有基本身份验证的情况下连接到 Exchange Online PowerShell - 您是花费更多时间在远程 PowerShell 上访问 Exchange Online 的租户管理员吗？您可以使用支持现代身份验证的 Exchange Online PowerShell V2 模块。
• 无人参与脚本：要通过无人参与身份验证连接 Exchange Online，您可以使用 EXO V2 模块（2.0.3 预览版或更高版本）。
• Exchange ActiveSync：如果您的组织仍在使用 Exchange ActiveSync，您可以使用 Outlook Mobile 客户端与 Exchange Online 连接。
• IMAP/POP：Microsoft 计划在几个月内向 IMAP 和 POP 添加 OAuth 支持。如果您想继续使用这些协议，则需要将应用程序更新为支持 Modern Auth 的协议。

注意：

• 此更改不会影响 SMTP AUTH - Microsoft 暂时继续支持基本身份验证。
• 此更改不会影响 Exchange Server 本地产品。

如何发现基本身份验证连接 - Office 365 基本身份验证报告

作为租户管理员，您可能会有这样的问题：我如何知道谁在我的租户中使用基本身份验证？微软已经回答了你的问题。是的，Microsoft 已更新 Azure AD 登录报告，以包含使用基本身份验证连接 Exchange Online 的用户和客户端应用程序的列表。

导出 Office 365 基本身份验证报告：

改进的 Azure 登录报告可帮助你获取使用旧身份验证连接 Exchange Online 的用户列表。请按照以下步骤生成 Office 365 旧版身份验证报告。

第 1 步：转到 Microsoft Azure 门户中的 Azure 登录报告。登录报告显示租户中的登录活动、日期、时间、用户 IP 地址、登录位置。

第 2 步：将“客户端应用程序”列添加到报告中（默认情况下不显示客户端应用程序）。 “客户端应用程序”列将显示用户用于连接 Office 365 的协议。

第三步：要查看 O365 基本身份验证报告，请点击“添加过滤器”，然后选择“客户端应用程序”。应用更改。现在，选择“客户端应用”过滤器来选择旧版身份验证，例如 Exchange Active 同步、Exchange Online PowerShell、IMAP4、POP3 等。

应用过滤器后，您可以查看符合您条件的连接/登录 - 即使用基本身份验证连接的用户。

注意：要生成所有基本身份验证连接，请选择“客户端应用程序”中除浏览器和移动应用程序和桌面客户端之外的所有内容。

要获取详细信息窗格，您可以单击任意行。详细信息窗格包含基本信息、位置、设备信息、身份验证详细信息、条件访问等。

基本身份验证报告可以作为 CSV 或 JSON 文件下载。您可以使用此 Exchange Online 基本身份验证报告来查找使用基本身份验证连接 Exchange Online 的用户，并采取必要的步骤来采用新式身份验证。

基本身份验证弃用 - 更新历史记录：

• 2020 年 2 月更新：Microsoft 更新了 Azure AD 登录报告，以包含使用基本身份验证连接 Exchange Online 的用户和客户端应用程序的列表。

注意：要访问 Azure 登录报告，您需要拥有 Azure AD Premium 许可证。我能听到你尖叫！不用担心。微软计划向所有人提供这份报告。我们可以期待很快的更新。

• 3 月 12 日 -2020 年更新：Azure 登录报告现已向所有人开放。
• 2020 年 4 月更新：Microsoft 将禁用 Exchange Online 中的基本身份验证推迟到 2021 年

由于 COVID-19 危机，Microsoft 将在 Exchange Online 中对使用基本身份验证的租户禁用基本身份验证的时间推迟到 2021 年下半年。

对于新创建的租户，默认禁用基本身份验证，如果租户从 2020 年 10 月起没有使用记录，则将禁用基本身份验证。由于微软希望提高安全性，因此将继续推出对 POP、IMAP、SMTP 的 OAuth 支持身份验证和远程 PowerShell。

• 2021 年 9 月：Microsoft 从 2022 年 10 月起停用 Exchange Online 中的基本身份验证。

结论：

从基本身份验证更改为现代身份验证将导致一些中断并且更具挑战性。但我们需要共同规划这一变化以保护我们的数据。

你准备好迎接改变了吗？您将在您的组织中实施哪种方法？请在评论部分分享您在采用现代身份验证期间的经验/困难，以帮助其他管理员。