Прекращение поддержки обычной проверки подлинности в Exchange Online
Статья
Важно!
Обычная проверка подлинности теперь отключена во всех клиентах.
До 31 декабря 2022 г. вы можете повторно включить затронутые протоколы, если пользователям и приложениям в вашем клиенте не удалось подключиться. Теперь никто (вы или служба поддержки Майкрософт) не может повторно включить обычную проверку подлинности в вашем клиенте.
Прочтите оставшуюся часть этой статьи, чтобы полностью понять, что мы внесли изменения и как эти изменения могут повлиять на вас.
В течение многих лет приложения использовали обычную проверку подлинности для подключения к серверам, службам и конечным точкам API. Обычная проверка подлинности просто означает, что приложение отправляет имя пользователя и пароль с каждым запросом, и эти учетные данные также часто хранятся или сохраняются на устройстве. Обычно обычная проверка подлинности включена по умолчанию на большинстве серверов или служб и ее легко настроить.
Простота совсем не плоха, но обычная проверка подлинности упрощает для злоумышленников сбор учетных данных пользователя (особенно если учетные данные не защищены TLS), что повышает риск повторного использования украденных учетных данных в других конечных точках или службах. Кроме того, применение многофакторной проверки подлинности (MFA) не является простым и в некоторых случаях возможно, если обычная проверка подлинности остается включенной.
Обычная проверка подлинности является устаревшим отраслевым стандартом. Угрозы, связанные с ним, только увеличились, так как мы первоначально объявили, что собираемся отключить его (см. раздел Улучшение безопасности — вместе) Существуют лучшие и более эффективные альтернативы проверки подлинности пользователей.
Мы активно рекомендуем клиентам применять стратегии безопасности, такие как "Никому не доверяй" (никогда не доверяй, всегда проверяй), или применять политики оценки в режиме реального времени, когда пользователи и устройства получают доступ к корпоративной информации. Эти альтернативы позволяют принимать интеллектуальные решения о том, кто пытается получить доступ к тому, откуда на каком устройстве, а не просто доверять учетным данным проверки подлинности, которые могут быть плохим субъектом, олицетворяющим пользователя.
Учитывая эти угрозы и риски, мы приняли меры по повышению безопасности данных в Exchange Online.
Примечание
Прекращение обычной проверки подлинности также предотвращает использование паролей приложений с приложениями, которые не поддерживают двухфакторную проверку подлинности.
Что мы меняем
Мы удалили возможность использовать обычную проверку подлинности в Exchange Online для Exchange ActiveSync (EAS), POP, IMAP, Удаленного PowerShell, Веб-служб Exchange (EWS), автономной адресной книги (OAB), автообнаружения, Outlook для Windows и Outlook для Mac.
Мы также отключили SMTP AUTH во всех клиентах, где она не использовалась.
Это решение требует от клиентов перейти от приложений, использующих обычную проверку подлинности, на приложения, использующие современную проверку подлинности. Современная проверка подлинности (авторизация на основе маркеров OAuth 2.0) имеет множество преимуществ и улучшений, помогающих устранить проблемы при обычной проверке подлинности. Например, маркеры доступа OAuth имеют ограниченный срок использования и зависят от приложений и ресурсов, для которых они выдаются, поэтому их нельзя использовать повторно. Включение и применение многофакторной проверки подлинности (MFA) также является простым в современной проверке подлинности.
Когда произошло это изменение?
Начиная с начала 2021 года, мы начали отключать обычную проверку подлинности для существующих клиентов без зарегистрированного использования.
Начиная с начала 2023 года мы отключили обычную проверку подлинности для всех клиентов, у которых было расширение любого типа. Дополнительные сведения о сроках см. здесь.
Примечание
В Office 365 21Vianet мы начали отключать обычную проверку подлинности 31 марта 2023 г. На все остальные облачные среды распространяется дата 1 октября 2022 г.
Влияние на протоколы обмена сообщениями и существующие приложения
Это изменение влияет на приложения и скрипты, которые можно использовать по-разному.
POP, IMAP и SMTP AUTH
В 2020 году мы выпустили поддержку OAuth 2.0 для POP, IMAP и SMTP AUTH. Обновления для некоторых клиентских приложений были обновлены для поддержки этих типов проверки подлинности (например, Thunderbird, но еще не для клиентов, использующих Office 365, управляемых 21Vianet), поэтому пользователи с последними версиями могут изменять свою конфигурацию для использования OAuth. Клиенты Outlook не могут поддерживать OAuth для POP и IMAP, но Outlook может подключаться с помощью MAPI/HTTP (клиенты Windows) и EWS (Outlook для Mac).
Разработчики приложений, создавшие приложения, которые отправляют, считывают или иным образом обрабатывают электронную почту с помощью этих протоколов, смогут поддерживать тот же протокол, но должны реализовать безопасные современные возможности проверки подлинности для своих пользователей. Эта функция основана на платформа удостоверений Майкрософт версии 2.0 и поддерживает доступ к учетным записям электронной почты Microsoft 365.
Если вашему приложению требуется доступ к протоколам IMAP, POP и SMTP AUTH в Exchange Online, выполните следующие пошаговые инструкции по реализации проверки подлинности OAuth 2.0: Проверка подлинности подключения IMAP, POP или SMTP с помощью OAuth. Кроме того, используйте скрипт PowerShell Get-IMAPAccesstoken.ps1 для самостоятельной проверки доступа по протоколу IMAP после включения OAuth, включая вариант использования общего почтового ящика.
Хотя сейчас доступна проверка подлинности SMTP, в сентябре 2025 г. мы объявили, Exchange Online что в сентябре 2025 г. будет окончательно удалена поддержка обычной проверки подлинности с помощью отправки клиента (SMTP AUTH). Мы настоятельно рекомендуем клиентам как можно скорее отойти от использования обычной проверки подлинности с SMTP AUTH. Дополнительные сведения об альтернативных вариантах см. в нашем объявлении здесь— https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750. Другие варианты отправки почты с проверкой подлинности включают использование альтернативных протоколов, таких как microsoft API Graph.
Exchange ActiveSync (EAS).
Многие пользователи имеют мобильные устройства, настроенные для использования EAS. Если они использовали обычную проверку подлинности, это изменение влияет на них.
При подключении к Exchange Online рекомендуется использовать Outlook для iOS и Android. Outlook для iOS и Android полностью интегрирует Microsoft Enterprise Mobility + Security (EMS), что обеспечивает возможности условного доступа и защиты приложений (MAM). Outlook для iOS и Android помогает защитить пользователей и корпоративные данные и изначально поддерживает современную проверку подлинности.
Существуют и другие мобильные приложения электронной почты, поддерживающие современную проверку подлинности. Встроенные почтовые приложения для всех популярных платформ обычно поддерживают современную проверку подлинности, поэтому иногда решение заключается в том, чтобы убедиться, что на вашем устройстве установлена последняя версия приложения. Если почтовое приложение является текущим, но по-прежнему использует обычную проверку подлинности, может потребоваться удалить учетную запись с устройства, а затем добавить ее обратно.
Любое устройство iOS, управляемое с помощью Базовая мобильность и безопасность, не сможет получить доступ к электронной почте, если выполняются следующие условия:
Вы настроили политику безопасности устройства, чтобы для доступа требовался управляемый профиль электронной почты.
Вы не изменяли политику с 9 ноября 2021 г. (это означает, что политика по-прежнему использует обычную проверку подлинности).
Политики, созданные или измененные после этой даты, уже были обновлены для использования современной проверки подлинности.
Чтобы обновить политики, которые не были изменены с 9 ноября 2021 г. для использования современной проверки подлинности, внесите временное изменение в требования к доступу политики. Рекомендуется изменить и сохранить облачный параметр Требовать зашифрованные резервные копии , который обновит политику для использования современной проверки подлинности. После того как измененная политика получит значение состояния Включено, профиль электронной почты будет обновлен. Затем можно отменить изменения временное изменение политики.
Примечание
В процессе обновления профиль электронной почты будет обновлен на устройстве iOS, и пользователю будет предложено ввести свое имя пользователя и пароль.
Если ваши устройства используют проверку подлинности на основе сертификатов, они не будут затронуты, если обычная проверка подлинности будет отключена в Exchange Online в конце этого года. Будут затронуты только устройства, которые непосредственно используют обычную проверку подлинности.
С момента выпуска модуля PowerShell Exchange Online было легко управлять параметрами Exchange Online и параметрами защиты из командной строки с помощью современной проверки подлинности. Модуль использует современную проверку подлинности и работает с многофакторной проверкой подлинности (MFA) для подключения ко всем средам PowerShell, связанным с Exchange, в Microsoft 365: Exchange Online PowerShell, безопасностью & соответствием требованиям PowerShell и автономной Exchange Online Protection (EOP) PowerShell.
Модуль PowerShell Exchange Online также можно использовать в неинтерактивном режиме, что позволяет выполнять автоматические скрипты. Проверка подлинности на основе сертификатов позволяет администраторам выполнять скрипты без необходимости создавать учетные записи служб или хранить учетные данные локально. Дополнительные сведения см. в статье Проверка подлинности только для приложений для автоматических сценариев в модуле Exchange Online PowerShell.
Важно!
Не следует путать тот факт, что Для PowerShell требуется включить обычную проверку подлинности для WinRM (на локальном компьютере, с которого выполняется сеанс). Имя пользователя или пароль не отправляются в службу с помощью basic, но для отправки маркера OAuth сеанса требуется заголовок Обычная проверка подлинности, так как клиент WinRM не поддерживает OAuth. Мы работаем над этой проблемой, и в будущем будет еще больше. Просто знайте, что включение basic в WinRM не использует basic для проверки подлинности в службе. Дополнительные сведения см. в статье Exchange Online PowerShell: включение обычной проверки подлинности в WinRM.
Дополнительные сведения о переходе с версии 1 модуля на текущую версию см. в этой записи блога.
Версия 3.0.0 модуля Exchange Online PowerShell версии 3 (предварительная версия 2.0.6-PreviewX) содержит версии с поддержкой REST API всех командлетов Exchange Online, которые не требуют обычной проверки подлинности в WinRM. Дополнительные сведения см. в разделе Обновления для версии 3.0.0.
Веб-службы Exchange (EWS)
Многие приложения были созданы с помощью EWS для доступа к данным почтовых ящиков и календаря.
Многие приложения успешно перемещены в Graph, но для тех приложений, которые еще не сделали этого, следует отметить, что EWS уже полностью поддерживает современную проверку подлинности. Таким образом, если вы еще не можете перейти на Graph, вы можете переключиться на использование современной проверки подлинности с EWS, зная, что EWS в конечном итоге будет нерекомендуемой.
Outlook, MAPI, RPC и автономная адресная книга (OAB)
Для всех версий Outlook для Windows с 2016 года по умолчанию включена современная проверка подлинности, поэтому, скорее всего, вы уже используете современную проверку подлинности. Outlook Anywhere (прежнее название — RPC через HTTP) является устаревшим в Exchange Online в пользу MAPI через HTTP. Outlook для Windows использует MAPI через HTTP, EWS и автономную адресную книгу для доступа к почте, настройки доступности и выхода из офиса, а также для скачивания автономной адресной книги. Все эти протоколы поддерживают современную проверку подлинности.
Outlook 2007 или Outlook 2010 не могут использовать современную проверку подлинности и в конечном итоге не смогут подключиться. Outlook 2013 требуется параметр для включения современной проверки подлинности, но после настройки этого параметра Outlook 2013 сможет использовать современную проверку подлинности без проблем. Как было объявлено ранее, outlook 2013 требуется минимальный уровень обновления для подключения к Exchange Online. См. статью Новые минимальные требования к версии Outlook для Windows для Microsoft 365.
Outlook для Mac поддерживает современную проверку подлинности.
В ноябре 2022 г. мы объявили, что отключим обычную проверку подлинности для протокола автообнаружения после отключения EAS и EWS в клиенте.
Параметры клиента
Ниже перечислены некоторые параметры, доступные для каждого из затронутых протоколов.
Рекомендации по протоколу
Для веб-служб Exchange (EWS), удаленного PowerShell (RPS), POP и IMAP и Exchange ActiveSync (EAS):
Если вы написали собственный код с помощью этих протоколов, обновите код, чтобы использовать OAuth 2.0 вместо обычной проверки подлинности, или перейдите на более новый протокол (API Graph).
Если вы или ваши пользователи используют стороннее приложение, использующее эти протоколы, обратитесь к стороннему разработчику приложений, который предоставил это приложение, чтобы обновить его для поддержки проверки подлинности OAuth 2.0 или помочь пользователям переключиться на приложение, созданное с использованием OAuth 2.0.
Служба протокола ключей
Затронутые клиенты
Рекомендации для конкретного клиента
Специальная рекомендация для Office 365, эксплуатируемых 21Vianet (Gallatin)
Другие сведения о протоколе / Примечания
Outlook
Все версии Outlook для Windows и Mac
Обновление до Outlook 2013 или более поздней версии для Windows и Outlook 2016 или более поздней версии для Mac
Если вы используете Outlook 2013 для Windows, включите современную проверку подлинности с помощью раздела реестра.
Мобильные почтовые клиенты от Apple, Samsung и т. д.
Перейдите в Outlook для iOS и Android или другое мобильное почтовое приложение, поддерживающее современную проверку подлинности
Обновите параметры приложения, если оно может выполнять OAuth, но устройство по-прежнему использует базовый
Переключитесь на Outlook в Интернете или другое мобильное приложение браузера, которое поддерживает современную проверку подлинности.
Популярные приложения:
Apple iPhone,iPad/macOS: все актуальные устройства iOS/macOS могут использовать современную проверку подлинности, просто удалите и добавьте учетную запись.
Почтовый клиент Microsoft Windows 10: удалите и добавьте учетную запись, выбрав Office 365 в качестве типа учетной записи.
Собственное почтовое приложение Apple в iOS в настоящее время не работает в Gallatin, мы рекомендуем использовать Outlook mobile
Приложение "Почта Windows 10/11" не поддерживается в Gallatin
Многофакторная проверка подлинности помогает защитить среду и ресурсы, требуя от пользователей подтвердить личность с помощью нескольких методов проверки подлинности, таких как телефонный звонок, текстовое сообщение, уведомление мобильного приложения или одноразовый пароль. Многофакторную проверку подлинности можно использовать как в локальной, так и в облачной среде, чтобы обеспечить дополнительную безопасность при доступе к веб-службам Майкрософт, приложениям удаленного доступа и т. д. В этой схеме обучен
Планирование и выполнение стратегии развертывания конечных точек с помощью основных элементов современного управления, совместного управления и интеграции Microsoft Intune.