Прекращение поддержки обычной проверки подлинности в Exchange Online
Важно!
Обычная проверка подлинности теперь отключена во всех клиентах.
До 31 декабря 2022 г. вы можете повторно включить затронутые протоколы, если пользователям и приложениям в вашем клиенте не удалось подключиться. Теперь никто (вы или служба поддержки Майкрософт) не может повторно включить обычную проверку подлинности в вашем клиенте.
Прочтите оставшуюся часть этой статьи, чтобы полностью понять, что мы внесли изменения и как эти изменения могут повлиять на вас.
В течение многих лет приложения использовали обычную проверку подлинности для подключения к серверам, службам и конечным точкам API. Обычная проверка подлинности просто означает, что приложение отправляет имя пользователя и пароль с каждым запросом, и эти учетные данные также часто хранятся или сохраняются на устройстве. Обычно обычная проверка подлинности включена по умолчанию на большинстве серверов или служб и ее легко настроить.
Простота совсем не плоха, но обычная проверка подлинности упрощает для злоумышленников сбор учетных данных пользователя (особенно если учетные данные не защищены TLS), что повышает риск повторного использования украденных учетных данных в других конечных точках или службах. Кроме того, применение многофакторной проверки подлинности (MFA) не является простым и в некоторых случаях возможно, если обычная проверка подлинности остается включенной.
Обычная проверка подлинности является устаревшим отраслевым стандартом. Угрозы, связанные с ним, только увеличились, так как мы первоначально объявили, что собираемся отключить его (см. раздел Улучшение безопасности — вместе) Существуют лучшие и более эффективные альтернативы проверки подлинности пользователей.
Мы активно рекомендуем клиентам применять стратегии безопасности, такие как "Никому не доверяй" (никогда не доверяй, всегда проверяй), или применять политики оценки в режиме реального времени, когда пользователи и устройства получают доступ к корпоративной информации. Эти альтернативы позволяют принимать интеллектуальные решения о том, кто пытается получить доступ к тому, откуда на каком устройстве, а не просто доверять учетным данным проверки подлинности, которые могут быть плохим субъектом, олицетворяющим пользователя.
Учитывая эти угрозы и риски, мы приняли меры по повышению безопасности данных в Exchange Online.
Примечание.
Прекращение обычной проверки подлинности также предотвращает использование паролей приложений с приложениями, которые не поддерживают двухфакторную проверку подлинности.
Что мы меняем
Мы удалили возможность использовать обычную проверку подлинности в Exchange Online для Exchange ActiveSync (EAS), POP, IMAP, Удаленного PowerShell, Веб-служб Exchange (EWS), автономной адресной книги (OAB), автообнаружения, Outlook для Windows и Outlook для Mac.
Мы также отключили SMTP AUTH во всех клиентах, где она не использовалась.
Это решение требует от клиентов перейти от приложений, использующих обычную проверку подлинности, на приложения, использующие современную проверку подлинности. Современная проверка подлинности (авторизация на основе маркеров OAuth 2.0) имеет множество преимуществ и улучшений, помогающих устранить проблемы при обычной проверке подлинности. Например, маркеры доступа OAuth имеют ограниченный срок использования и зависят от приложений и ресурсов, для которых они выдаются, поэтому их нельзя использовать повторно. Включение и применение многофакторной проверки подлинности (MFA) также является простым в современной проверке подлинности.
Когда произошло это изменение?
Начиная с начала 2021 года, мы начали отключать обычную проверку подлинности для существующих клиентов без зарегистрированного использования.
Начиная с начала 2023 года мы отключили обычную проверку подлинности для всех клиентов, у которых было расширение любого типа. Дополнительные сведения о сроках см. здесь.
Примечание.
В Office 365 21Vianet мы начали отключать обычную проверку подлинности 31 марта 2023 г. На все остальные облачные среды распространяется дата 1 октября 2022 г.
Влияние на протоколы обмена сообщениями и существующие приложения
Это изменение влияет на приложения и скрипты, которые можно использовать по-разному.
POP, IMAP и SMTP AUTH
В 2020 году мы выпустили поддержку OAuth 2.0 для POP, IMAP и SMTP AUTH. Обновления для некоторых клиентских приложений были обновлены для поддержки этих типов проверки подлинности (например, Thunderbird, но еще не для клиентов, использующих Office 365, управляемых 21Vianet), поэтому пользователи с последними версиями могут изменять свою конфигурацию для использования OAuth. Клиенты Outlook не могут поддерживать OAuth для POP и IMAP, но Outlook может подключаться с помощью MAPI/HTTP (клиенты Windows) и EWS (Outlook для Mac).
Разработчики приложений, создавшие приложения, которые отправляют, считывают или иным образом обрабатывают электронную почту с помощью этих протоколов, смогут поддерживать тот же протокол, но должны реализовать безопасные современные возможности проверки подлинности для своих пользователей. Эта функция основана на платформа удостоверений Майкрософт версии 2.0 и поддерживает доступ к учетным записям электронной почты Microsoft 365.
Если вашему приложению требуется доступ к протоколам IMAP, POP и SMTP AUTH в Exchange Online, выполните следующие пошаговые инструкции по реализации проверки подлинности OAuth 2.0: Проверка подлинности подключения IMAP, POP или SMTP с помощью OAuth. Кроме того, используйте скрипт PowerShell Get-IMAPAccesstoken.ps1 для самостоятельной проверки доступа по протоколу IMAP после включения OAuth, включая вариант использования общего почтового ящика.
Хотя сейчас доступна проверка подлинности SMTP, в сентябре 2025 г. мы объявили, Exchange Online что в сентябре 2025 г. будет окончательно удалена поддержка обычной проверки подлинности с помощью отправки клиента (SMTP AUTH). Мы настоятельно рекомендуем клиентам как можно скорее отойти от использования обычной проверки подлинности с SMTP AUTH. Дополнительные сведения об альтернативных вариантах см. в нашем объявлении здесь— https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750. Другие варианты отправки почты с проверкой подлинности включают использование альтернативных протоколов, таких как microsoft API Graph.
Exchange ActiveSync (EAS).
Многие пользователи имеют мобильные устройства, настроенные для использования EAS. Если они использовали обычную проверку подлинности, это изменение влияет на них.
При подключении к Exchange Online рекомендуется использовать Outlook для iOS и Android. Outlook для iOS и Android полностью интегрирует Microsoft Enterprise Mobility + Security (EMS), что обеспечивает возможности условного доступа и защиты приложений (MAM). Outlook для iOS и Android помогает защитить пользователей и корпоративные данные и изначально поддерживает современную проверку подлинности.
Существуют и другие мобильные приложения электронной почты, поддерживающие современную проверку подлинности. Встроенные почтовые приложения для всех популярных платформ обычно поддерживают современную проверку подлинности, поэтому иногда решение заключается в том, чтобы убедиться, что на вашем устройстве установлена последняя версия приложения. Если почтовое приложение является текущим, но по-прежнему использует обычную проверку подлинности, может потребоваться удалить учетную запись с устройства, а затем добавить ее обратно.
Если вы используете Microsoft Intune, вы можете изменить тип проверки подлинности с помощью профиля электронной почты, который вы отправляете или развертываете на устройствах. Если вы используете устройства iOS (iPhone и iPad), ознакомьтесь с разделом Добавление параметров электронной почты для устройств iOS и iPadOS в Microsoft Intune
Любое устройство iOS, управляемое с помощью Базовая мобильность и безопасность, не сможет получить доступ к электронной почте, если выполняются следующие условия:
- Вы настроили политику безопасности устройства, чтобы для доступа требовался управляемый профиль электронной почты.
- Вы не изменяли политику с 9 ноября 2021 г. (это означает, что политика по-прежнему использует обычную проверку подлинности).
Политики, созданные или измененные после этой даты, уже были обновлены для использования современной проверки подлинности.
Чтобы обновить политики, которые не были изменены с 9 ноября 2021 г. для использования современной проверки подлинности, внесите временное изменение в требования к доступу политики. Рекомендуется изменить и сохранить облачный параметр Требовать зашифрованные резервные копии , который обновит политику для использования современной проверки подлинности. После того как измененная политика получит значение состояния Включено, профиль электронной почты будет обновлен. Затем можно отменить изменения временное изменение политики.
Примечание.
В процессе обновления профиль электронной почты будет обновлен на устройстве iOS, и пользователю будет предложено ввести свое имя пользователя и пароль.
Если ваши устройства используют проверку подлинности на основе сертификатов, они не будут затронуты, если обычная проверка подлинности будет отключена в Exchange Online в конце этого года. Будут затронуты только устройства, которые непосредственно используют обычную проверку подлинности.
Проверка подлинности на основе сертификатов по-прежнему является устаревшей и поэтому будет блокироваться политиками условного доступа Microsoft Entra, которые блокируют устаревшую проверку подлинности. Дополнительные сведения см. в статье Блокировка устаревшей проверки подлинности с помощью Microsoft Entra условного доступа.
Exchange Online PowerShell
С момента выпуска модуля PowerShell Exchange Online было легко управлять параметрами Exchange Online и параметрами защиты из командной строки с помощью современной проверки подлинности. Модуль использует современную проверку подлинности и работает с многофакторной проверкой подлинности (MFA) для подключения ко всем средам PowerShell, связанным с Exchange, в Microsoft 365: Exchange Online PowerShell, безопасностью & соответствием требованиям PowerShell и автономной Exchange Online Protection (EOP) PowerShell.
Модуль PowerShell Exchange Online также можно использовать в неинтерактивном режиме, что позволяет выполнять автоматические скрипты. Проверка подлинности на основе сертификатов позволяет администраторам выполнять скрипты без необходимости создавать учетные записи служб или хранить учетные данные локально. Дополнительные сведения см. в статье Проверка подлинности только для приложений для автоматических сценариев в модуле Exchange Online PowerShell.
Важно!
Не следует путать тот факт, что Для PowerShell требуется включить обычную проверку подлинности для WinRM (на локальном компьютере, с которого выполняется сеанс). Имя пользователя или пароль не отправляются в службу с помощью basic, но для отправки маркера OAuth сеанса требуется заголовок Обычная проверка подлинности, так как клиент WinRM не поддерживает OAuth. Мы работаем над этой проблемой, и в будущем будет еще больше. Просто знайте, что включение basic в WinRM не использует basic для проверки подлинности в службе. Дополнительные сведения см. в статье Exchange Online PowerShell: включение обычной проверки подлинности в WinRM.
Дополнительные сведения об этой ситуации см. здесь: Общие сведения о различных версиях Exchange Online модулях PowerShell и базовой проверке подлинности.
Дополнительные сведения о переходе с версии 1 модуля на текущую версию см. в этой записи блога.
Версия 3.0.0 модуля Exchange Online PowerShell версии 3 (предварительная версия 2.0.6-PreviewX) содержит версии с поддержкой REST API всех командлетов Exchange Online, которые не требуют обычной проверки подлинности в WinRM. Дополнительные сведения см. в разделе Обновления для версии 3.0.0.
Веб-службы Exchange (EWS)
Многие приложения были созданы с помощью EWS для доступа к данным почтовых ящиков и календаря.
В 2018 году мы объявили, что веб-службы Exchange больше не будут получать обновления компонентов, и мы рекомендовали разработчикам приложений перейти на использование Microsoft Graph. См. сведения о предстоящих изменениях в API веб-служб Exchange (EWS) для Office 365.
Многие приложения успешно перемещены в Graph, но для тех приложений, которые еще не сделали этого, следует отметить, что EWS уже полностью поддерживает современную проверку подлинности. Таким образом, если вы еще не можете перейти на Graph, вы можете переключиться на использование современной проверки подлинности с EWS, зная, что EWS в конечном итоге будет нерекомендуемой.
Дополнительные сведения см. в статьях
- Предстоящие устаревания API в веб-службах Exchange для Exchange Online — Microsoft Tech Community
- Проверка подлинности приложения EWS с помощью OAuth
- Что делать со сценариями PowerShell EWS Managed API, использующими обычную проверку подлинности
Outlook, MAPI, RPC и автономная адресная книга (OAB)
Для всех версий Outlook для Windows с 2016 года по умолчанию включена современная проверка подлинности, поэтому, скорее всего, вы уже используете современную проверку подлинности. Outlook Anywhere (прежнее название — RPC через HTTP) является устаревшим в Exchange Online в пользу MAPI через HTTP. Outlook для Windows использует MAPI через HTTP, EWS и автономную адресную книгу для доступа к почте, настройки доступности и выхода из офиса, а также для скачивания автономной адресной книги. Все эти протоколы поддерживают современную проверку подлинности.
Outlook 2007 или Outlook 2010 не могут использовать современную проверку подлинности и в конечном итоге не смогут подключиться. Outlook 2013 требуется параметр для включения современной проверки подлинности, но после настройки этого параметра Outlook 2013 сможет использовать современную проверку подлинности без проблем. Как было объявлено ранее, outlook 2013 требуется минимальный уровень обновления для подключения к Exchange Online. См. статью Новые минимальные требования к версии Outlook для Windows для Microsoft 365.
Outlook для Mac поддерживает современную проверку подлинности.
Дополнительные сведения о поддержке современной проверки подлинности в Office см. в статье Как работает современная проверка подлинности для клиентских приложений Office.
Если вам нужно перенести общедоступные папки в Exchange Online, см. статью Сценарии миграции общедоступных папок с поддержкой современной проверки подлинности.
Автообнаружение
В ноябре 2022 г. мы объявили, что отключим обычную проверку подлинности для протокола автообнаружения после отключения EAS и EWS в клиенте.
Параметры клиента
Ниже перечислены некоторые параметры, доступные для каждого из затронутых протоколов.
Рекомендации по протоколу
Для веб-служб Exchange (EWS), удаленного PowerShell (RPS), POP и IMAP и Exchange ActiveSync (EAS):
- Если вы написали собственный код с помощью этих протоколов, обновите код, чтобы использовать OAuth 2.0 вместо обычной проверки подлинности, или перейдите на более новый протокол (API Graph).
- Если вы или ваши пользователи используют стороннее приложение, использующее эти протоколы, обратитесь к стороннему разработчику приложений, который предоставил это приложение, чтобы обновить его для поддержки проверки подлинности OAuth 2.0 или помочь пользователям переключиться на приложение, созданное с использованием OAuth 2.0.
| Служба протокола ключей | Затронутые клиенты | Рекомендации для конкретного клиента | Специальная рекомендация для Office 365, эксплуатируемых 21Vianet (Gallatin) | Другие сведения о протоколе / Примечания |
|---|---|---|---|---|
| Outlook | Все версии Outlook для Windows и Mac |
|
Включение современной проверки подлинности для Outlook — насколько сложно это может быть? | |
| Веб-службы Exchange (EWS) | Сторонние приложения, не поддерживающие OAuth |
Популярные приложения:
|
Следуйте этой статье, чтобы перенести настроенное приложение Gallatin на использование EWS с OAuth. Microsoft Teams и Cisco Unity в настоящее время недоступны в Gallatin |
Что делать со сценариями PowerShell EWS Managed API, использующими обычную проверку подлинности |
| Remote PowerShell (RPS) |
|
Используйте один из следующих вариантов: | Azure Cloud Shell недоступна в Gallatin | Узнайте больше о поддержке автоматизации и проверки подлинности на основе сертификатов для модуля PowerShell Exchange Online и о различных версиях Exchange Online модулей PowerShell и базовой проверки подлинности. |
| POP и IMAP | Сторонние мобильные клиенты, такие как сторонние клиенты Thunderbird, настроенные для использования ПРОТОКОЛА POP или IMAP | Рекомендации:
|
Следуйте этой статье, чтобы настроить POP и IMAP с OAuth в Gallatin с примером кода. | IMAP популярен среди клиентов Linux и образовательных учреждений. Поддержка OAuth 2.0 началась в апреле 2020 г. Проверка подлинности подключения IMAP, POP или SMTP с помощью OAuth |
| Exchange ActiveSync (EAS). | Мобильные почтовые клиенты от Apple, Samsung и т. д. |
Популярные приложения:
|
Мобильные устройства, использующие собственное приложение для подключения к Exchange Online обычно используют этот протокол. | |
| Автообнаружение | Приложения EWS и EAS с помощью автообнаружения для поиска конечных точек служб |
|
Справочник по веб-службе автообнаружения для Exchange |
Ресурсы
Чтобы узнать больше, проверка следующие статьи:
Параметры безопасности по умолчанию:
- Параметры безопасности по умолчанию в Microsoft Entra ID
- Включение параметров безопасности по умолчанию
политики проверки подлинности Exchange Online:
- Управление обычной проверкой подлинности в центре Microsoft 365 Admin (простая)
- Процедуры политики проверки подлинности в Exchange Online (дополнительно)
условный доступ Microsoft Entra: