最近遇到几个客户都对微软宣布关闭M365中的Basic Authentication比较关注,这个问题其实在官方宣布的时间线和影响范围都非常容易confused,我把一些信息整理后在这里分享给大家。
首先,关闭Basic Auth的主要影响在Exchange Online,在这里也主要针对Exchange Online做说明。
Modern vs. Basic Authentication:
目前在M365的Tenant中,是同时支持Modern Auth和Basic Auth两种身份验证协议的,由于Basic Auth不够安全、不支持MFA和第三方的身份验证协议等,微软计划关闭Basic Authentication。
关闭Basic Auth的时间点:
微软Exchagne Team在2019年9月20日宣布将在2020年10月13日在Exchange Online中关闭Basic Authentication。
https://techcommunity.microsoft.com/t5/exchange-team-blog/improving-security-together/ba-p/805892
在2020年4月3日,Exchagne Team又宣布因为疫情影响,关闭Basic Auth的计划将会推迟到2021年下半年。但是仍会将在2020年10月13后新创建的Tenant和没有Usage Reprot的Tenant中继续关闭Basic Auth.
M365默认安全性:
在2019年10月22后新创建的Tenant中,会默认开启一个新的Feather叫做Security Defaults默认安全性,如果开启了默认安全性,其中有一项就是会关闭Basic Authentication:
- Requiring all users to register for Azure Multi-Factor Authentication.
- Requiring administrators to perform multi-factor authentication.
- Blocking legacy authentication protocols.
- Requiring users to perform multi-factor authentication when necessary.
- Protecting privileged activities like access to the Azure portal.
如果默认安全性在租户中被开启,即使没到到2020年10月13日,Basic Authentication也会立即无法使用。
关闭Basic Authentication对EXO的影响:
如果当前客户端使用了Basic Auth使用EXO服务,最直观的表现就是会不断弹出用户名和密码的窗口:
- 使用Basic Auth身份验证的POP和IMAP将无法使用,也就是当前绝大多数POP和IMAP都无法正常使用;
- SMTP:如果第三方应用依赖了EXO的SMTP服务(例如打印机、OA系统等),或者POP和IMAP客户端,邮件会发送失败;
不支持Modern Auth的ActiveSync客户端;
Bacis Auth的Remote Powershell:https://docs.microsoft.com/en-us/powershell/exchange/connect-to-exchange-online-powershell?view=exchange-ps
Office 2013及以前的Office版本。
解决方案:
- POP和IMAP:微软已经在Global M365中宣布对POP和IMAP支持Oauth身份验证协议:https://docs.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth
- SMTP:Basic Auth或继续支持SMTP,可以在EXO中针对组织或单个用户继续开启基于Basic Auth的SMTP。https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/authenticated-client-smtp-submission
- ActiveSync:强烈建议使用Outlook Mobile APP;
- Remote Powershell:使用支持Modern Auth的EXO Powershell v2:https://docs.microsoft.com/en-us/powershell/exchange/exchange-online-powershell-v2?view=exchange-ps
- Office 2013及以前版本:升级到Office ProPlus或者Office 2016以后版本。对于Office 2013可以通过添加注册表的方式支持Modern Authentication。https://docs.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/enable-modern-authentication?view=o365-worldwide
另外,对于21v,还没有关闭Basic Authentication的具体时间点,但会follow国际版,会有一定的时间延迟。