微軟將在下個月禁用 Exchange Online 的基本身份驗證……但還不是很全

微軟將在下個月禁用 Exchange Online 的基本身份驗證……但還不是很全

大約三年前,Microsoft 宣布他們將從 Exchange Online 中刪除基本身份驗證並轉向現代身份驗證 (OAuth 2.0)。此後,該公司定期發布提醒,要求客戶盡快搬家。事實上,甚至 Google 也發布了一項建議,即使用 Calendar Interop 在 Google Calendar 和 Exchange Online 之間同步會議的客戶應該升級到 Modern Authentication。

微軟今天發布了另一份時事通訊,警告客戶它將從 10 月 1 日開始禁用基本身份驗證……並進行一些更改。

然而,過時的過程很有趣,因為它是漸進的。從 10 月 1 日開始,Microsoft 將開始隨機選擇租戶,然後禁用 MAPI、RPC、脫機通訊簿 (OAB)、Exchange Web 服務 (EWS)、POP、IMAP、Exchange ActiveSync (EAS) 和遠程 powershell 的基本身份驗證訪問。請務必注意,不會為 SMTP AUTH 禁用該協議。

受影響的租戶將在變更前 7 天收到通知,並在變更當天收到通知。Microsoft 指出,儘管有許多警告,但基本身份驗證的使用率仍然不是 0%。該公司表示:

我們承認,不幸的是,許多租戶還沒有為這些變化做好準備。儘管有大量博客帖子、消息中心帖子、服務中斷以及推文、視頻、會議演示文稿等內容的報導,但一些客戶仍然沒有意識到即將發生的變化。還有許多有截止日期意識的客戶根本沒有做必要的工作來避免停機。

我們在這些努力中的目標始終是保護您的數據和帳戶免受我們看到的使用基本身份驗證的越來越多的攻擊。

但是,我們了解電子郵件對我們的許多客戶來說是一項關鍵任務服務,並且為其中許多客戶禁用基本身份驗證可能會產生非常重要的影響。

但是,有一個問題。尚未準備好進行此配置更改的客戶端將能夠為每個協議重新啟用一次基本身份驗證。這可以使用自助服務工具來完成,重新啟用的基本身份驗證協議將繼續有效,直到 2022 年 12 月結束。從明年第一周開始,微軟將永久禁用基本身份驗證。

在某些方面,至少在 10 月份,這更像是“軟”過時而不是“硬”過時。但是,假設微軟這次​​信守諾言,那麼對於 Exchange Online 中的大多數協議來說,12 月肯定是 Basic Auth 死亡的那一天。

微軟還表示:

我們正在向 Microsoft 365 添加一項新功能,以幫助我們的客戶避免與基本身份驗證相關的風險。此新功能將 Office 應用程序的默認行為更改為使用基本身份驗證阻止登錄請求。通過此更改,如果用戶嘗試在僅使用基本身份驗證的服務器上打開 Office 文件,他們將不會看到使用基本身份驗證登錄的任何提示。相反,他們會看到文件被鎖定的消息,因為它使用了可能不安全的登錄方法。

如果您是一名痴迷於使用基本身份驗證的 IT 管理員,您應該在此處查看 Microsoft 指南

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *