微软为何要停用基本身份验证

小编语：基本身份验证在过去的很多年里被广泛应用于各种协议和应用，但随着时间的推移和技术的发展，它已经成为一种过时的技术，并存在一定的安全风险，基本身份验证的方式已经不能够满足日益严峻的网络安全需要。如果您的 Exchange Online 还在使用这种传统的验证方式，让我们一起完成一次安全进化吧。

1为何要停用基本身份验证?

从技术上来说，基本身份验证(也称旧式身份验证)是一种基于 HTTP 的身份验证方案。应用程序向服务器、服务或 API 结点发起每个连接请求时，都会同时发送用户名和密码，并将这些凭据保存在设备上。这种方式极大地简化了身份验证过程，但在攻击者的各种手段面前，简直是理想的狩猎目标!尤其是在没有 TLS 的保护时，他们可以轻而易举地盗取用户的身份。

从运维上来说，基本身份验证虽然容易配置，但也会使部署多重身份验证变得更复杂和困难。

因此，微软决定自2022年10月1日起，在全球范围内对使用 Exchange Online 的用户逐步关闭基本身份验证，并用更为高级的现代身份验证作为替代。您可以参考下方这个简单视频来了解更多细节。这有助于广大用户更好的维护自身利益，提高企业和用户的安全性。自2021年9月起，微软已持续通过官方网站以及管理中心中的“消息中心”发布提醒 (MC345821)，并将持续每月对依然使用基本身份验证的客户进行“消息中心”提醒。请您预先做好准备。

详细官方时间表如下

对于未使用基本身份验证的租户：

- 自2021年6月起，尚未使用基本身份验证的租户，会陆续在消息中心中收到30天后对该租户关闭基本身份验证的通知，关闭完成后将再次收到通知。

对于正在使用基本身份验证的租户：

- 自2021年9月起，会陆续在消息中心收到多次提醒通知，以指导租户管理员采取相关动作。

- 自2022年10月1日起，对所有已使用基本身份验证的租户，将永久停用基本身份验证方式，对于所有租户的停用过程会陆续完成。微软会在关闭前7天通过消息中心再次发出预警，并发布服务运行状况仪表板通知，然后将基本身份验证关闭。在此之后，您无法以任何形式申请例外。

- 使用由世纪互联运营的 Office 365服务的租户将于2023年3月31日起全面关闭基本身份验证，在此之后，您无法以任何形式申请例外。

可能的影响及其范围

微软将关闭以下协议的基本身份验证：Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。(对尚未使用SMTP AUTH的租户，SMTP AUTH也将被关闭)

关闭后，对上述受影响协议使用了基本身份验证的任何客户端(用户应用、脚本、集成等)都将无法连接Exchange Online。应用将收到“HTTP 401错误：用户名或密码错误”这样的信息。

2改进虽好，该如何从容应对?

为保证企业和用户能顺利的过渡到新式身份验证，建议您参考如下的“评估-修正-执行”的三步计划，逐步完成转化。

步骤1 – 评估，确定您的企业是否会受到影响

1.检查消息中心

从2021年底开始，我们开始向租户发送消息中心通知，总结基本身份验证在租户环境内的使用情况。如果您收到了使用情况的摘要，您可以了解在上个月内使用基本身份验证的用户数，以及他们使用的协议数，这表明某些内容或某人正在使用基本身份验证。

2.通过 Azure Active Directory 登陆日志进一步了解基本身份验证的使用情况

Azure AD Free 订阅可以查看过去7天的登陆日志;Azure AD P1/P2可以查看过去30天的登陆日志。通过筛选客户端应用，对新式和旧式身份验证加以区分。其中，浏览器、移动应用和桌面客户端被视为新式身份验证，而其他应用(如 IMAP、POP 和 MAPI等)则被视为旧式身份验证。您可以根据了解到的使用情况制定方案，来避免影响。

3.通过 Outlook 客户端判断是否在使用基本身份验证

按住 CTRL，右键单击系统托盘中的 Outlook 图标并选择“连接状态”来选中连接状态对话框。如 Authn 列显示为 Clear, 说明 Outlook 在使用基本身份验证;如显示为 Bearer, 则代表 Outlook 在使用新式身份验证。

4. 在移动设备上确认身份验证方式

在移动设备上，如果设备尝试用新式身份验证进行连接，会显示类似基于 Web 的登录页(下图左侧)。基本身份验证则显示为凭据输入对话框(下图右侧)。

步骤 2 – 修正，为关闭基本身份验证做好准备

如果您确认自己的租户将受到影响，请参照如下建议进行应对：

1. 在目录中启用新式身份验证(2017年8月1日以后创建的目录已默认启用)

(1)安装 Skype for Business Online Powershell 模块，并运行 Set-CsOAuthConfiguration 更新设置以启用新式身份验证。

(2)连接Exchange Online Powershell并运行Set-OrganizationConfig-OAuth2ClientProfileEnabled $true，以启用新式身份验证。

2.更新代码

(1) 如果您使用受影响的协议编写自己的代码，请更新代码，使用 OAuth 2.0，或Graph API。

(2)如果您使用的第三方应用程序在使用这些协议，请联系该第三方应用的开发人员。更新程序，以支持 OAuth 2.0验证，或帮助用户切换到使用 OAuth 2.0验证的应用程序。

3.对不同的客户端进行相应调整，详见下表：

您也可以通过搜索“弃用 Exchange Online 中的基本身份验证”移步至微软 Exchange 官方文库，了解表格中所列项目相关配置的更详细步骤。

步骤3 – 执行，关闭基本身份验证

1. 确保经过上述步骤后，租户中以及 Exchange Online 已经启用新式身份验证，并且客户端支持并已启用新式身份验证。

2. 在不同场景下禁用基本身份验证。

(1)针对具体的协议，为整个租户关闭基本身份验证

设置-组织设置-新式身份验证

(2)创建身份验证策略，针对具体的协议和用户/组，关闭基本身份验证(官方推荐的最佳方法)。您可以在 Bing 中搜索“在 Exchange Online 中禁用基本身份验证”获取全部步骤。

(3)针对特定用户和组，通过条件访问阻止旧式身份验证。支持“仅报告”模式进行登陆评估(实时查看哪些用户使用旧式身份验证，但并不会真正阻止连接)。

原文标题：来一次安全进化吧!微软即将停用Exchange Online基本身份验证

文章出处：【微信公众号：微软科技】欢迎添加关注!文章转载请注明出处。