为 Microsoft 365 启用现代或基本身份验证

默认情况下，为所有新的 Microsoft 365/Azure 租户启用新式身份验证。此身份验证协议比旧的基本身份验证更安全。 Microsoft 计划从 2021 年 10 月 1 日开始，完全阻止所有 Microsoft 365 客户端使用基本身份验证。在本文中，我们将了解如何在 Microsoft 365 中启用或禁用现代身份验证和基本身份验证。

现代身份验证与基本身份验证

Microsoft 目前支持 Office 365 (Microsoft 365) 的以下类型的身份验证：

• 基本身份验证 - 所有 Windows 用户都熟悉这种类型的身份验证。基本身份验证是通过一个简单的 Windows 安全窗口执行的，该窗口会提示输入凭据（用户名和密码）并提示您将密码保存到 Windows 凭据管理器。此身份验证类型不支持 MFA（多因素身份验证），并且无法抵御暴力攻击。应用程序存储并明确使用用户名和密码进行身份验证。

  

• 现代身份验证基于 ADAL（Active Directory 身份验证库）和 OAuth 2.0 协议。应用程序不存储或使用用户凭据，身份验证基于有时限的令牌。现代身份验证支持其他身份验证因素，包括 MFA。执行现代身份验证时输入用户名和密码的窗口如下所示。连接到 Microsoft 365 服务或连接到 Azure（包括 PowerShell 连接）时将会出现。

  

基本身份验证登录 登录 Azure AD

在启用新式身份验证并禁用基本身份验证之前，请检查您的 Microsoft 365 用户和应用使用哪些身份验证协议。

1. 打开 Azure 门户；

2. 转到Azure Active Directory -> 登录日志；

3. 选择日期范围最近 1 个月；

4. 添加按字段过滤客户端应用；

5. 为此过滤器选择所有旧版身份验证客户端。

这将允许您找到仍在使用基本身份验证的用户和应用程序。您需要将找到的应用程序迁移到 Modern Auth 协议。就我而言，大多数事件都与智能手机上的本机电子邮件客户端相关，它们需要迁移到 MS Outlook 应用程序。

Microsoft 会自动为不使用基本身份验证的租户禁用基本身份验证。

如何为 Microsoft 365 租户启用新式身份验证？

您可以通过 Microsoft 365 管理中心启用新式身份验证。

1. 打开 M365 管理门户 https://admin.microsoft.com；

2. 转到设置 -> 组织设置 -> 新式身份验证

3. 启用选项为 Outlook 2013 for Windows 及更高版本启用新式身份验证；

4. 保存更改。

正如我们提到的，对于新的 Office 365/Azure 租户，默认情况下对所有应用程序禁用基本身份验证。在这种情况下，此部分将显示警告：

Your organization has security defaults enabled, which means modern authentication to ‎Exchange Online‎ is required, and basic authentication connections are blocked. You must turn off security defaults in the ‎Azure‎ portal before you can change any settings here.

您可以从 Azure 门户为租户启用基本身份验证支持（Azure Active Directory -> 属性 -> 管理安全默认值 -> 启用安全默认值=否）。

请注意允许访问基本身份验证协议下的许多选项。以下是您可以启用基本身份验证的各种应用程序。

• Outlook客户端

• Exchange ActiveSync (EAS)

• 自动发现

• IMAP4

• POP3

• 经过身份验证的 SMTP（来自 telnet 的 SMTP 身份验证示例）

• Exchange Online PowerShell —（现代 EXOv2 PowerShell 模块不支持基本身份验证）

禁用所有绝对不需要的应用程序和协议的基本身份验证。

如果您在 Office 365 租户中配置了身份验证策略，则可以显示允许使用基本身份验证的当前设置和协议。使用以下 PowerShell 命令：

Get-AuthenticationPolicy

在我们的例子中，我们只有一项策略，并且所有应用程序都禁用 BasicAuth。

AllowBasicAuthActiveSync : False
AllowBasicAuthAutodiscover : False
AllowBasicAuthImap : False
AllowBasicAuthMapi : False
AllowBasicAuthOfflineAddressBook : False
AllowBasicAuthOutlookService : False
AllowBasicAuthPop : False
AllowBasicAuthReportingWebServices : False
AllowBasicAuthRest : False
AllowBasicAuthRpc : False
AllowBasicAuthSmtp : False
AllowBasicAuthWebServices : False
AllowBasicAuthPowershell : False

出于安全目的，您可以为特定协议创建具有不同基本身份验证权限的单独策略，并将其分配给使用旧应用程序的用户。在此示例中，我们将允许用户通过远程 PowerShell 会话使用基本身份验证连接到 Exchange Online：

Set-AuthenticationPolicy -Identity "BasicAuth_Allow_PoSh" -AllowBasicAuthPowershell:$true
Set-User -Identity k.muller -AuthenticationPolicy "BasicAuth_Allow_PoSh"

默认策略将阻止旧版身份验证协议：

New-AuthenticationPolicy -Name "BasicAuth_Block"
Set-OrganizationConfig -DefaultAuthenticationPolicy BasicAuth_Block

另请注意，组织设置中还有另一个 OAuth2ClientProfileEnabled 选项，用于确定是否为租户启用现代身份验证：

Get-OrganizationConfig | ft OAuth*

如果

OAuth2ClientProfileEnabled = False

，这意味着现代身份验证已禁用。

Outlook 365/2019/2016/2013/2010 中的现代身份验证

请注意不同 Outlook 版本中对新式身份验证支持的具体情况：

• Outlook 2010 及更早版本 - 不支持现代身份验证。如果在租户设置中禁用基本身份验证，这些版本的 Outlook 将无法连接到 Microsoft 365 上的 Exchange Online 邮箱；

• Outlook 2013 - 要支持 OAuth，您需要在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office 项下设置两个注册表参数.0\通用\身份（

  EnableADAL = 1

  和

  Version = 1

  ;

• Outlook 365、2019、2016 - 默认支持新式身份验证。为了始终首先使用 Modern Auth，请设置

  AlwaysUseMSOAuthForAutoDiscover = 1

  在注册表项 HKEY_CURRENT_USER\Software\Microsoft\Exchange 下（如果未启用此选项，Outlook 可能会不断提示输入密码进行连接）；

您可以验证 Outlook 客户端是否正在使用新式身份验证连接到 Office 365 邮箱。抓住

Ctrl

并单击托盘中的 Outlook 图标。确保在中指定了承载*

Authn

Outlook 连接状态中的字段。这意味着 Outlook 使用现代身份验证。