微軟為何要停用基本身份驗(yàn)證

小編語：基本身份驗(yàn)證在過去的很多年里被廣泛應(yīng)用于各種協(xié)議和應(yīng)用，但隨著時(shí)間的推移和技術(shù)的發(fā)展，它已經(jīng)成為一種過時(shí)的技術(shù)，并存在一定的安全風(fēng)險(xiǎn)，基本身份驗(yàn)證的方式已經(jīng)不能夠滿足日益嚴(yán)峻的網(wǎng)絡(luò)安全需要。如果您的 Exchange Online 還在使用這種傳統(tǒng)的驗(yàn)證方式，讓我們一起完成一次安全進(jìn)化吧。

1為何要停用基本身份驗(yàn)證?

從技術(shù)上來說，基本身份驗(yàn)證(也稱舊式身份驗(yàn)證)是一種基于 HTTP 的身份驗(yàn)證方案。應(yīng)用程序向服務(wù)器、服務(wù)或 API 結(jié)點(diǎn)發(fā)起每個(gè)連接請(qǐng)求時(shí)，都會(huì)同時(shí)發(fā)送用戶名和密碼，并將這些憑據(jù)保存在設(shè)備上。這種方式極大地簡(jiǎn)化了身份驗(yàn)證過程，但在攻擊者的各種手段面前，簡(jiǎn)直是理想的狩獵目標(biāo)!尤其是在沒有 TLS 的保護(hù)時(shí)，他們可以輕而易舉地盜取用戶的身份。

從運(yùn)維上來說，基本身份驗(yàn)證雖然容易配置，但也會(huì)使部署多重身份驗(yàn)證變得更復(fù)雜和困難。

因此，微軟決定自2022年10月1日起，在全球范圍內(nèi)對(duì)使用 Exchange Online 的用戶逐步關(guān)閉基本身份驗(yàn)證，并用更為高級(jí)的現(xiàn)代身份驗(yàn)證作為替代。您可以參考下方這個(gè)簡(jiǎn)單視頻來了解更多細(xì)節(jié)。這有助于廣大用戶更好的維護(hù)自身利益，提高企業(yè)和用戶的安全性。自2021年9月起，微軟已持續(xù)通過官方網(wǎng)站以及管理中心中的“消息中心”發(fā)布提醒 (MC345821)，并將持續(xù)每月對(duì)依然使用基本身份驗(yàn)證的客戶進(jìn)行“消息中心”提醒。請(qǐng)您預(yù)先做好準(zhǔn)備。

詳細(xì)官方時(shí)間表如下

對(duì)于未使用基本身份驗(yàn)證的租戶：

- 自2021年6月起，尚未使用基本身份驗(yàn)證的租戶，會(huì)陸續(xù)在消息中心中收到30天后對(duì)該租戶關(guān)閉基本身份驗(yàn)證的通知，關(guān)閉完成后將再次收到通知。

對(duì)于正在使用基本身份驗(yàn)證的租戶：

- 自2021年9月起，會(huì)陸續(xù)在消息中心收到多次提醒通知，以指導(dǎo)租戶管理員采取相關(guān)動(dòng)作。

- 自2022年10月1日起，對(duì)所有已使用基本身份驗(yàn)證的租戶，將永久停用基本身份驗(yàn)證方式，對(duì)于所有租戶的停用過程會(huì)陸續(xù)完成。微軟會(huì)在關(guān)閉前7天通過消息中心再次發(fā)出預(yù)警，并發(fā)布服務(wù)運(yùn)行狀況儀表板通知，然后將基本身份驗(yàn)證關(guān)閉。在此之后，您無法以任何形式申請(qǐng)例外。

- 使用由世紀(jì)互聯(lián)運(yùn)營的 Office 365服務(wù)的租戶將于2023年3月31日起全面關(guān)閉基本身份驗(yàn)證，在此之后，您無法以任何形式申請(qǐng)例外。

可能的影響及其范圍

微軟將關(guān)閉以下協(xié)議的基本身份驗(yàn)證：Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。(對(duì)尚未使用SMTP AUTH的租戶，SMTP AUTH也將被關(guān)閉)

關(guān)閉后，對(duì)上述受影響協(xié)議使用了基本身份驗(yàn)證的任何客戶端(用戶應(yīng)用、腳本、集成等)都將無法連接Exchange Online。應(yīng)用將收到“HTTP 401錯(cuò)誤：用戶名或密碼錯(cuò)誤”這樣的信息。

2改進(jìn)雖好，該如何從容應(yīng)對(duì)?

為保證企業(yè)和用戶能順利的過渡到新式身份驗(yàn)證，建議您參考如下的“評(píng)估-修正-執(zhí)行”的三步計(jì)劃，逐步完成轉(zhuǎn)化。

步驟1 – 評(píng)估，確定您的企業(yè)是否會(huì)受到影響

1.檢查消息中心

從2021年底開始，我們開始向租戶發(fā)送消息中心通知，總結(jié)基本身份驗(yàn)證在租戶環(huán)境內(nèi)的使用情況。如果您收到了使用情況的摘要，您可以了解在上個(gè)月內(nèi)使用基本身份驗(yàn)證的用戶數(shù)，以及他們使用的協(xié)議數(shù)，這表明某些內(nèi)容或某人正在使用基本身份驗(yàn)證。

2.通過 Azure Active Directory 登陸日志進(jìn)一步了解基本身份驗(yàn)證的使用情況

Azure AD Free 訂閱可以查看過去7天的登陸日志;Azure AD P1/P2可以查看過去30天的登陸日志。通過篩選客戶端應(yīng)用，對(duì)新式和舊式身份驗(yàn)證加以區(qū)分。其中，瀏覽器、移動(dòng)應(yīng)用和桌面客戶端被視為新式身份驗(yàn)證，而其他應(yīng)用(如 IMAP、POP 和 MAPI等)則被視為舊式身份驗(yàn)證。您可以根據(jù)了解到的使用情況制定方案，來避免影響。

3.通過 Outlook 客戶端判斷是否在使用基本身份驗(yàn)證

按住 CTRL，右鍵單擊系統(tǒng)托盤中的 Outlook 圖標(biāo)并選擇“連接狀態(tài)”來選中連接狀態(tài)對(duì)話框。如 Authn 列顯示為 Clear, 說明 Outlook 在使用基本身份驗(yàn)證;如顯示為 Bearer, 則代表 Outlook 在使用新式身份驗(yàn)證。

4. 在移動(dòng)設(shè)備上確認(rèn)身份驗(yàn)證方式

在移動(dòng)設(shè)備上，如果設(shè)備嘗試用新式身份驗(yàn)證進(jìn)行連接，會(huì)顯示類似基于 Web 的登錄頁(下圖左側(cè))?；旧矸蒡?yàn)證則顯示為憑據(jù)輸入對(duì)話框(下圖右側(cè))。

步驟 2 – 修正，為關(guān)閉基本身份驗(yàn)證做好準(zhǔn)備

如果您確認(rèn)自己的租戶將受到影響，請(qǐng)參照如下建議進(jìn)行應(yīng)對(duì)：

1. 在目錄中啟用新式身份驗(yàn)證(2017年8月1日以后創(chuàng)建的目錄已默認(rèn)啟用)

(1)安裝 Skype for Business Online Powershell 模塊，并運(yùn)行 Set-CsOAuthConfiguration 更新設(shè)置以啟用新式身份驗(yàn)證。

(2)連接Exchange Online Powershell并運(yùn)行Set-OrganizationConfig-OAuth2ClientProfileEnabled $true，以啟用新式身份驗(yàn)證。

2.更新代碼

(1) 如果您使用受影響的協(xié)議編寫自己的代碼，請(qǐng)更新代碼，使用 OAuth 2.0，或Graph API。

(2)如果您使用的第三方應(yīng)用程序在使用這些協(xié)議，請(qǐng)聯(lián)系該第三方應(yīng)用的開發(fā)人員。更新程序，以支持 OAuth 2.0驗(yàn)證，或幫助用戶切換到使用 OAuth 2.0驗(yàn)證的應(yīng)用程序。

3.對(duì)不同的客戶端進(jìn)行相應(yīng)調(diào)整，詳見下表：

您也可以通過搜索“棄用 Exchange Online 中的基本身份驗(yàn)證”移步至微軟 Exchange 官方文庫，了解表格中所列項(xiàng)目相關(guān)配置的更詳細(xì)步驟。

步驟3 – 執(zhí)行，關(guān)閉基本身份驗(yàn)證

1. 確保經(jīng)過上述步驟后，租戶中以及 Exchange Online 已經(jīng)啟用新式身份驗(yàn)證，并且客戶端支持并已啟用新式身份驗(yàn)證。

2. 在不同場(chǎng)景下禁用基本身份驗(yàn)證。

(1)針對(duì)具體的協(xié)議，為整個(gè)租戶關(guān)閉基本身份驗(yàn)證

設(shè)置-組織設(shè)置-新式身份驗(yàn)證

(2)創(chuàng)建身份驗(yàn)證策略，針對(duì)具體的協(xié)議和用戶/組，關(guān)閉基本身份驗(yàn)證(官方推薦的最佳方法)。您可以在 Bing 中搜索“在 Exchange Online 中禁用基本身份驗(yàn)證”獲取全部步驟。

(3)針對(duì)特定用戶和組，通過條件訪問阻止舊式身份驗(yàn)證。支持“僅報(bào)告”模式進(jìn)行登陸評(píng)估(實(shí)時(shí)查看哪些用戶使用舊式身份驗(yàn)證，但并不會(huì)真正阻止連接)。

原文標(biāo)題：來一次安全進(jìn)化吧!微軟即將停用Exchange Online基本身份驗(yàn)證

文章出處：【微信公眾號(hào)：微軟科技】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。