是时候在 Office 365 中禁用基本身份验证了 - Office 365 报告

在发布多项公告后，微软最终将从 2022 年 10 月起弃用 Exchange Online 中的基本身份验证（已从 2020 年 10 月推迟）。因此，是时候禁用基本身份验证并升级脚本/应用程序以获得不间断的服务了。

本博客将指导您通过各种方法禁用基本身份验证并采用现代身份验证来提高组织的安全性。在禁用基本身份验证之前，您必须确保您的组织是否仍在使用基本身份验证。

如何检查是否启用了基本身份验证？

在新创建的 Microsoft 365 租户（即 2019 年 10 月 22 日之后创建的租户）中，基本身份验证默认处于关闭状态，因为它们启用了安全默认值。要检查基本身份验证状态，

1. 登录 Microsoft 365 管理中心。
2. 单击“设置”->“组织设置”。
3. 选择“服务”选项卡下的“现代身份验证”。

根据显示的消息，您可以断定是强制使用新式身份验证还是租户仍在使用基本身份验证。

当租户使用新式身份验证时，会显示以下信息。

如果租户使用基本身份验证，组织设置如下所示。

如果你的租户允许基本身份验证，则你可以利用 Azure AD 门户中提供的基本身份验证报告来跟踪仍使用基本身份验证协议进行登录的用户。在关闭协议的基本身份验证之前，您可以确保组织中的这些用户没有使用基本身份验证协议。

如何从基本身份验证切换到现代身份验证？

通过阻止组织中的基本身份验证，您可以强制用户/应用程序使用新式身份验证。您可以选择以下任意方法来禁用 Office 365 中的基本身份验证。

1. 配置 Exchange Online 身份验证策略
2. 禁用邮箱的旧协议
3. 启用安全默认值
4. 使用条件访问策略阻止基本身份验证

注意：在使用 Exchange Online PowerShell cmdlet 之前，您必须安装 EXO V2 PowerShell 模块并连接到 Exchange Online PowerShell。

方法 1：配置 Exchange Online 身份验证策略：

管理员可以禁用基本身份验证并允许用户通过身份验证策略使用现代身份验证。它涉及以下步骤。

1. 创建新的身份验证策略。
2. 为用户分配认证策略。

创建新的身份验证策略：

您可以使用 New-AuthenticationPolicy cmdlet 为您的 Office 365 组织创建身份验证策略。

New-AuthenticationPolicy -Name “Block Basic Auth"

上面的示例创建了身份验证策略“阻止基本身份验证”，该策略禁用所有基本身份验证协议。

您还可以创建带有协议例外的身份验证策略。例如，下面的代码将创建允许 SMTP 身份验证的身份验证策略。

New-AuthenticationPolicy -Name “Allow SMTP Auth" -AllowBasicAuthSMTP

要查看现有的 Exchange Online 身份验证策略，请运行 Get-AuthenticationPolicy cmdlet。

为用户分配身份验证策略：

身份验证策略可以在组织范围内分配或分配给特定用户。要在整个组织中应用该策略，请执行以下 cmdlet。

Set-OrganizationConfig -DefaultAuthenticationPolicy <PolicyName>

管理员可以使用 Set-User cmdlet 将身份验证策略分配给特定用户。

Set-User -Identity <UPN> -AuthenticationPolicy <Policy Name>

要阻止所有 Exchange Online 邮箱的基本身份验证，

Get-User -ResultSize Unlimited | Set-User -AuthenticationPolicy “Block Basic Auth"

当您为用户设置认证策略时，最长需要24小时才能生效。如果您希望策略在30分钟内生效，请使用以下代码。

Set-User -Identity <UPN> -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

要使用 PowerShell 获取用户的身份验证策略，请运行以下 cmdlet。

Get-Recipient -RecipientTypeDetails UserMailbox -ResultSize Unlimited | Get-User | Select DisplayName,AuthenticationPolicy

方法 2：禁用邮箱的旧协议：

管理员可以通过 Set-CasMailbox cmdlet 禁用 POP3、IMAP4、Exchange Active Sync 等旧协议。

要查看特定邮箱的旧协议状态，

Get-CASMailbox -identity <UPN> | Select OwaEnabled,MapiEnabled,EwsEnabled,ActiveSyncEnabled,PopEnabled,ImapEnabled

要关闭旧身份验证协议，您可以运行以下 cmdlet。

Set-CasMailbox -Identity <UPN> -PopEnabled $false -ImapEnabled $false -SmtpClientAuthenticationDisabled $true

要阻止所有邮箱的旧身份验证协议，请执行以下代码片段。

Get-Mailbox -ResultSize Unlimited | Set-CasMailbox -PopEnabled $false -ImapEnabled $false -SmtpClientAuthenticationDisabled $true

此示例将为所有邮箱禁用 POP、IMAP 和 SMTP。

在 Office 365 中启用或禁用 SMTP 身份验证：

由于 Microsoft 添加了 SMTP AUTH 的例外（管理员可以在基本身份验证弃用后重新启用 SMTP AUTH），因此最好了解一种根据组织要求启用或禁用 SMTP 身份验证的方法。

Microsoft 禁用该协议后，管理员可以使用以下 cmdlet 在组织范围内重新启用 SMTP Auth。

Set-TransportConfig -SmtpClientAuthenticationDisabled $False

要在组织范围内禁用 SMTP 身份验证，

Set-TransportConfig -SmtpClientAuthenticationDisabled $True

要启用或禁用特定邮箱的 SMTP 身份验证，您可以使用 Set-CASMailbox cmdlet。

Set-CasMailbox -Identity <UPN> -SmtpClientAuthenticationDisabled $False

上面的示例将为每个邮箱启用 SMTP 身份验证设置。

方法 3：启用安全默认值：

管理员可以启用安全默认设置以关闭所有协议的基本身份验证。要启用安全默认设置，您可以按照以下步骤操作。

1. 登录 Azure AD 管理中心。
2. 导航到 Azure Active Directory -> 属性。
3. 选择“管理安全默认设置”。
4. 将“启用安全默认值”开关设置为是。

方法 4：使用条件访问 (CA) 策略阻止基本身份验证：

如果您的组织拥有 Azure AD P1/P2 许可证，您可以通过条件访问阻止基本身份验证以改善保护。您可以按照以下步骤创建条件访问策略以阻止旧身份验证。

1. 登录到 Azure AD 门户。
2. 导航到 Azure Active Directory -> 安全 -> 条件访问。

3. 单击“新建策略”并使用以下配置创建新策略。

   • 名称 - 提供 CA 策略的名称
4. 分配 - 包括 -> 选择“所有用户”。如果您想为少数用户添加例外，您可以在“排除”选项下提及他们。
5. 云应用程序或操作 - 选择“所有云应用程序”
6. 条件 - 在“客户端应用程序”中，将“配置”开关设置为是。 并仅选择“旧版身份验证客户端”下可用的 2 个选项。 （应取消选中“现代身份验证客户端”下的选项）
7. 授予 - 选择“阻止访问”。
8. 将“启用策略”开关设置为“开”并创建策略。

当用户尝试使用基本身份验证进行身份验证时，他们的访问请求将被阻止。

由于如今密码喷射攻击不断增加，最好禁用基本身份验证并切换到现代身份验证，而不是等待支持结束。我希望此博客将帮助管理员关闭基本身份验证并通过现代身份验证保护其 Microsoft 365 组织。