Отключение обычной проверки подлинности в Exchange Online
Важно!
Начиная с декабря 2022 г. классический Exchange Администратор Center будет нерекомендуем для клиентов по всему миру. Корпорация Майкрософт рекомендует использовать новый Центр Администратор Exchange, если это еще не сделано.
Хотя большинство функций были перенесены в новый EAC, некоторые из них были перенесены в другие центры администрирования, а остальные вскоре будут перенесены в Новый EAC. Найдите функции, которых еще нет в новом центре администрирования EAC, см. в разделе Другие функции или используйте глобальный поиск, который поможет вам перемещаться по новому EAC.
Примечание.
Если в вашей организации включены параметры безопасности по умолчанию, обычная проверка подлинности уже отключена в Exchange Online. Дополнительные сведения см. в статье Параметры безопасности по умолчанию в Microsoft Entra ID.
Если вы достигли этой страницы, так как обычная проверка подлинности не работает в вашем клиенте и вы не настроили параметры безопасности по умолчанию или политики проверки подлинности, возможно, мы отключили обычную проверку подлинности в вашем клиенте в рамках нашей более широкой программы по повышению безопасности в Exchange Online. Проверьте центр сообщений на наличие записей, посвященных обычной проверке подлинности, и ознакомьтесь со статьей Обычная проверка подлинности и Exchange Online последних объявлений, касающихся обычной проверки подлинности.
Обычная проверка подлинности в Exchange Online использует имя пользователя и пароль для запросов на доступ клиентов. Блокировка обычной проверки подлинности помогает защитить организацию Exchange Online от атак методом подбора или атаки с распылением паролей. При отключении обычной проверки подлинности для пользователей в Exchange Online их почтовые клиенты и приложения должны поддерживать современную проверку подлинности. К этим клиентам относятся:
- Outlook 2013 или более поздней версии (outlook 2013 требуется изменение раздела реестра. Дополнительные сведения см. в разделе Включение современной проверки подлинности для Office 2013 на устройствах Windows.
- Outlook 2016 для Mac или более поздней версии
- Outlook для iOS и Android
- Почта для iOS 11.3.1 или более поздней версии
Если в вашей организации нет устаревших почтовых клиентов, вы можете использовать политики проверки подлинности в Exchange Online, чтобы отключить запросы на обычную проверку подлинности. Отключение обычной проверки подлинности заставляет все запросы на доступ клиентов использовать современную проверку подлинности. Дополнительные сведения о современной проверке подлинности см. в статье Использование современной проверки подлинности с клиентами Office.
В этом разделе объясняется, как используется и блокируется обычная проверка подлинности в Exchange Online, а также соответствующие процедуры для политик проверки подлинности.
Как работает обычная проверка подлинности в Exchange Online
Обычная проверка подлинности также называется проверкой подлинности на основе прокси-сервера, так как почтовый клиент передает имя пользователя и пароль Exchange Online, а Exchange Online перенаправит или прокси-сервер учетных данных доверенному поставщику удостоверений (IdP) от имени почтового клиента или приложения. Поставщик удостоверений зависит от модели проверки подлинности вашей организации:
- Облачная проверка подлинности. Поставщик удостоверений Microsoft Entra ID.
- Федеративная проверка подлинности. Поставщик удостоверений — это локальное решение, например службы федерации Active Directory (AD FS) (AD FS).
Эти модели проверки подлинности описаны в следующих разделах. Дополнительные сведения см. в статье Выбор правильного метода проверки подлинности для решения гибридной идентификации Microsoft Entra.
Облачная проверка подлинности
Шаги по проверке подлинности в облаке описаны на следующей схеме:
Почтовый клиент отправляет имя пользователя и пароль Exchange Online.
Примечание. Если обычная проверка подлинности заблокирована, она блокируется на этом шаге.
Exchange Online отправляет имя пользователя и пароль в Microsoft Entra ID.
Microsoft Entra ID возвращает билет пользователя в Exchange Online и пользователь проходит проверку подлинности.
Федеративная проверка подлинности
Шаги федеративной проверки подлинности описаны на следующей схеме:
Почтовый клиент отправляет имя пользователя и пароль Exchange Online.
Примечание. Если обычная проверка подлинности заблокирована, она блокируется на этом шаге.
Exchange Online отправляет имя пользователя и пароль локальному поставщику удостоверений.
Exchange Online получает токен SAML от локального поставщика удостоверений.
Exchange Online отправляет токен SAML в Microsoft Entra ID.
Microsoft Entra ID возвращает билет пользователя в Exchange Online и пользователь проходит проверку подлинности.
Блокировка обычной проверки подлинности в Exchange Online
Вы блокируете обычную проверку подлинности в Exchange Online путем создания и назначения политик проверки подлинности отдельным пользователям. Политики определяют клиентские протоколы, в которых блокируется обычная проверка подлинности, а назначение политики одному или нескольким пользователям блокирует их запросы на обычную проверку подлинности для указанных протоколов.
Если она заблокирована, обычная проверка подлинности в Exchange Online блокируется на первом этапе предварительной проверки подлинности (шаг 1 на предыдущих схемах) до того, как запрос достигнет Microsoft Entra ID или локального поставщика удостоверений. Преимущество этого подхода заключается в том, что атаки методом подбора или распылением паролей не достигают поставщика удостоверений (что может привести к блокировке учетных записей из-за неправильных попыток входа).
Так как политики проверки подлинности работают на уровне пользователя, Exchange Online могут блокировать только запросы на обычную проверку подлинности для пользователей, которые существуют в облачной организации. Для федеративной проверки подлинности, если пользователь не существует в Exchange Online, имя пользователя и пароль перенаправляются локальному поставщику удостоверений. Рассмотрим, например, описанный ниже сценарий.
Организация имеет федеративный домен contoso.com и использует локальную службу AD FS для проверки подлинности.
Пользователь ian@contoso.com существует в локальной организации, но не в Office 365 или Microsoft 365 (в Microsoft Entra ID нет учетной записи пользователя, а в глобальном списке адресов Exchange Online нет объекта получателя).
Почтовый клиент отправляет запрос на вход в Exchange Online с именем пользователя ian@contoso.com. Политика проверки подлинности не может быть применена к пользователю, и запрос ian@contoso.com на проверку подлинности отправляется в локальную службу AD FS.
Локальная служба AD FS может принять или отклонить запрос проверки подлинности для ian@contoso.com. Если запрос принят, маркер SAML возвращается в Exchange Online. Если значение ImmutableId токена SAML соответствует пользователю в Microsoft Entra ID, Microsoft Entra ID выдаст запрос пользователя на Exchange Online (значение ImmutableId задается во время настройки Microsoft Entra Connect).
В этом сценарии, если contoso.com использует локальный сервер AD FS для проверки подлинности, локальный сервер AD FS по-прежнему будет получать запросы на проверку подлинности для несуществующих имен пользователей от Exchange Online во время атаки с распылением пароля.
В гибридном развертывании Exchange проверка подлинности для локальных почтовых ящиков будет обрабатываться локальными серверами Exchange, а политики проверки подлинности не будут применяться. Для почтовых ящиков, перемещенных в Exchange Online, служба автообнаружения перенаправит их на Exchange Online, а затем применяются некоторые из предыдущих сценариев.
Процедуры политики проверки подлинности в Exchange Online
Вы управляете всеми аспектами политик проверки подлинности с помощью Exchange Online PowerShell. Протоколы и службы в Exchange Online, для которых можно заблокировать обычную проверку подлинности, описаны в следующей таблице.
| Протокол или служба | Описание | Имя параметра |
|---|---|---|
| Exchange Active Sync (EAS) | Используется некоторыми почтовыми клиентами на мобильных устройствах. | AllowBasicAuthActiveSync |
| Автообнаружение | Используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online | AllowBasicAuthAutodiscover |
| IMAP4 | Используется почтовыми клиентами IMAP. | AllowBasicAuthImap |
| MAPI через HTTP (MAPI/HTTP) | Используется в Outlook 2010 и более поздних версиях. | AllowBasicAuthMapi |
| автономная адресная книга (OAB); | Копия коллекций списков адресов, которые скачиваются и используются Outlook. | AllowBasicAuthOfflineAddressBook |
| Служба Outlook | Используется приложением "Почта и календарь" для Windows 10. | AllowBasicAuthOutlookService |
| POP3 | Используется почтовыми клиентами POP. | AllowBasicAuthPop |
| Веб-службы Reporting | Используется для получения данных отчета в Exchange Online. | AllowBasicAuthReportingWebServices |
| Мобильный Outlook (RPC через HTTP) | Используется Outlook 2016 и более ранних версий. | AllowBasicAuthRpc |
| SMTP с проверкой подлинности | Используется клиентами POP и IMAP для отправки сообщений электронной почты. | AllowBasicAuthSmtp |
| Веб-службы Exchange (EWS) | Программный интерфейс, используемый Outlook, Outlook для Mac и сторонними приложениями. | AllowBasicAuthWebServices |
| PowerShell | Используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Инструкции см. в статье Подключение к Exchange Online PowerShell. | AllowBasicAuthPowerShell |
Как правило, при блокировке обычной проверки подлинности для пользователя рекомендуется блокировать обычную проверку подлинности для всех протоколов. Однако можно использовать параметры AllowBasicAuth* (переключатели) в командлетах New-AuthenticationPolicy и Set-AuthenticationPolicy , чтобы выборочно разрешать или блокировать обычную проверку подлинности для определенных протоколов.
Для почтовых клиентов и приложений, которые не поддерживают современную проверку подлинности, необходимо разрешить обычную проверку подлинности для необходимых протоколов и служб. Эти протоколы и службы описаны в следующей таблице:
| Клиент | Протоколы и службы |
|---|---|
| Старые клиенты EWS |
|
| Старые клиенты ActiveSync |
|
| Pop-клиенты |
|
| Клиенты IMAP |
|
| Outlook 2010 |
|
Примечание.
Блокировка обычной проверки подлинности приведет к блокировке паролей приложений в Exchange Online. Дополнительные сведения о паролях приложений см. в разделе Создание пароля приложения.
Что нужно знать перед началом работы
Убедитесь, что в организации Exchange Online включена современная проверка подлинности (она включена по умолчанию). Дополнительные сведения см. в статье Включение или отключение современной проверки подлинности для Outlook в Exchange Online.
Убедитесь, что почтовые клиенты и приложения поддерживают современную проверку подлинности (см. список в начале раздела). Кроме того, убедитесь, что на классических клиентах Outlook установлены минимальные необходимые накопительные обновления. Дополнительные сведения см. в статье Outlook Обновления.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Создание и применение политик проверки подлинности
Ниже приведены действия по созданию и применению политик проверки подлинности для блокировки обычной проверки подлинности в Exchange Online:
Создайте политику проверки подлинности.
Назначьте политику проверки подлинности пользователям.
Подождите 24 часа, пока политика будет применена к пользователям, или принудите ее немедленно применить.
Эти действия описаны в следующих разделах.
Шаг 1. Создание политики проверки подлинности
Чтобы создать политику, которая блокирует обычную проверку подлинности для всех доступных клиентских протоколов в Exchange Online (рекомендуемая конфигурация), используйте следующий синтаксис:
New-AuthenticationPolicy -Name "<Descriptive Name>"
В этом примере создается политика проверки подлинности с именем Блокировать обычную проверку подлинности.
New-AuthenticationPolicy -Name "Block Basic Auth"
Подробные сведения о синтаксисе и параметрах см. в разделе New-AuthenticationPolicy.
Примечания.
Вы не сможете изменить имя политики после ее создания (параметр Name недоступен в командлете Set-AuthenticationPolicy ).
Чтобы включить обычную проверку подлинности для определенных протоколов в политике, см. раздел Изменение политик проверки подлинности далее в этом разделе. Те же параметры протокола доступны в командлетах New-AuthenticationPolicy и Set-AuthenticationPolicy , а действия по включению обычной проверки подлинности для определенных протоколов одинаковы для обоих командлетов.
Шаг 2. Назначение политики проверки подлинности пользователям
Методы, которые можно использовать для назначения политик проверки подлинности пользователям, описаны в этом разделе:
Учетные записи отдельных пользователей. Используйте следующий синтаксис:
Set-User -Identity <UserIdentity> -AuthenticationPolicy <PolicyIdentity>В этом примере для учетной записи laura@contoso.comпользователя назначается политика с именем Блокировать базовую проверку подлинности .
Set-User -Identity laura@contoso.com -AuthenticationPolicy "Block Basic Auth"Фильтрация учетных записей пользователей по атрибутам. Этот метод требует, чтобы все учетные записи пользователей использовали уникальный фильтруемый атрибут (например, Title или Department), который можно использовать для идентификации пользователей. В синтаксисе используются следующие команды (две для идентификации учетных записей пользователей, а другая — для применения политики к этим пользователям):
$<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter> $<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID $<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}В этом примере политика с именем Блокировать базовую проверку подлинности назначается всем учетным записям пользователей, атрибут Которых Title содержит значение Sales Associate.
$SalesUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (Title -like '*Sales Associate*')" $Sales = $SalesUsers.MicrosoftOnlineServicesID $Sales | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}Используйте список определенных учетных записей пользователей. Для этого метода требуется текстовый файл для идентификации учетных записей пользователей. Лучше всего работают значения, не содержащие пробелы (например, Office 365 или рабочая или учебная учетная запись Microsoft 365). Текстовый файл должен содержать одну учетную запись пользователя в каждой строке следующим образом:
akol@contoso.com
tjohnston@contoso.com
kakers@contoso.comВ синтаксисе используются следующие две команды (одна для идентификации учетных записей пользователей, а другая — для применения политики к этим пользователям):
$<VariableName> = Get-Content "<text file>" $<VariableName> | foreach {Set-User -Identity $_ -AuthenticationPolicy <PolicyIdentity>}В этом примере политика с именем Блокировать базовую проверку подлинности назначается учетным записям пользователей, указанным в файле C:\My Documents\BlockBasicAuth.txt.
$BBA = Get-Content "C:\My Documents\BlockBasicAuth.txt" $BBA | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}Фильтрация локальная служба Active Directory учетных записей пользователей, синхронизированных с Exchange Online. Дополнительные сведения см. в статье Фильтрация учетных записей пользователей локальная служба Active Directory, которые синхронизированы с Exchange Online раздел этой статьи.
Примечание.
Чтобы удалить назначение политики для пользователей, используйте значение $null параметра AuthenticationPolicy в командлете Set-User .
Шаг 3. (Необязательно) Немедленное применение политики проверки подлинности к пользователям
По умолчанию при создании или изменении назначения политики проверки подлинности для пользователей или обновлении политики изменения вступают в силу в течение 24 часов. Если вы хотите, чтобы политика действовала в течение 30 минут, используйте следующий синтаксис:
Set-User -Identity <UserIdentity> -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)
В этом примере политика проверки подлинности немедленно применяется к пользователю laura@contoso.com.
Set-User -Identity laura@contoso.com -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)
В этом примере политика проверки подлинности немедленно применяется к нескольким пользователям, которые ранее были определены фильтруемыми атрибутами или текстовым файлом. Этот пример работает, если вы по-прежнему находитесь в том же сеансе PowerShell и не изменили переменные, используемые для идентификации пользователей (вы не использовали то же имя переменной в других целях). Например:
$Sales | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}
или
$BBA | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}
Просмотр политик проверки подлинности
Чтобы просмотреть сводный список имен всех существующих политик проверки подлинности, выполните следующую команду:
Get-AuthenticationPolicy | Format-Table Name -Auto
Чтобы просмотреть подробные сведения о конкретной политике проверки подлинности, используйте следующий синтаксис:
Get-AuthenticationPolicy -Identity <PolicyIdentity>
В этом примере возвращаются подробные сведения о политике с именем Блокировать базовую проверку подлинности.
Get-AuthenticationPolicy -Identity "Block Basic Auth"
Подробные сведения о синтаксисе и параметрах см. в разделе Get-AuthenticationPolicy.
Изменение политик проверки подлинности
По умолчанию при создании новой политики проверки подлинности без указания протоколов обычная проверка подлинности блокируется для всех клиентских протоколов в Exchange Online. Иными словами, значение по умолчанию параметров AllowBasicAuth* (переключателей) — для False всех протоколов.
Чтобы включить обычную проверку подлинности для определенного протокола, который отключен, укажите параметр без значения.
Чтобы отключить обычную проверку подлинности для определенного протокола, который включен, можно использовать только значение
:$false.
Командлет Get-AuthenticationPolicy можно использовать для просмотра текущего состояния параметров AllowBasicAuth* в политике.
В этом примере включается обычная проверка подлинности для протокола POP3 и отключается обычная проверка подлинности для протокола IMAP4 в существующей политике проверки подлинности с именем Блокировать обычную проверку подлинности.
Set-AuthenticationPolicy -Identity "Block Basic Auth" -AllowBasicAuthPop -AllowBasicAuthImap:$false
Подробные сведения о синтаксисе и параметрах см. в разделе Set-AuthenticationPolicy.
Настройка политики проверки подлинности по умолчанию
Политика проверки подлинности по умолчанию назначается всем пользователям, которым еще не назначена определенная политика. Обратите внимание, что политики проверки подлинности, назначенные пользователям, имеют приоритет над политикой по умолчанию. Чтобы настроить политику проверки подлинности по умолчанию для организации, используйте следующий синтаксис:
Set-OrganizationConfig -DefaultAuthenticationPolicy <PolicyIdentity>
В этом примере настраивается политика проверки подлинности с именем Блокировать обычную проверку подлинности в качестве политики по умолчанию.
Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Basic Auth"
Примечание.
Чтобы удалить обозначение политики проверки подлинности по умолчанию, используйте значение $null параметра DefaultAuthenticationPolicy .
Используйте следующий пример, чтобы убедиться, что настроена политика проверки подлинности по умолчанию.
Get-OrganizationConfig | Format-Table DefaultAuthenticationPolicy
Удаление политик проверки подлинности
Чтобы удалить существующую политику проверки подлинности, используйте следующий синтаксис:
Remove-AuthenticationPolicy -Identity <PolicyIdentity>
В этом примере удаляется политика с именем Тестовая политика проверки подлинности.
Remove-AuthenticationPolicy -Identity "Test Auth Policy"
Подробные сведения о синтаксисе и параметрах см. в разделе Remove-AuthenticationPolicy.
Как узнать, что вы успешно отключили обычную проверку подлинности в Exchange Online?
Чтобы убедиться, что политика проверки подлинности была непосредственно применена к пользователям, выполните следующие действия:
Примечание.
Учитывайте, что политика проверки подлинности по умолчанию уже может быть настроена. Дополнительные сведения см. в статье Настройка политики проверки подлинности по умолчанию .
Выполните следующую команду, чтобы найти значение различающегося имени (DN) политики проверки подлинности:
Get-AuthenticationPolicy | Format-List Name,DistinguishedNameИспользуйте значение DN политики проверки подлинности в следующей команде:
Get-User -Filter "AuthenticationPolicy -eq '<AuthPolicyDN>'"Например:
Get-User -Filter "AuthenticationPolicy -eq 'CN=Block Basic Auth,CN=Auth Policies,CN=Configuration,CN=contoso.onmicrosoft.com,CN=ConfigurationUnits,DC=NAMPR11B009,DC=PROD,DC=OUTLOOK,DC=COM'"
Если политика проверки подлинности блокирует запросы обычной проверки подлинности от определенного пользователя для определенного протокола в Exchange Online, ответом будет 401 Unauthorized. Во избежание утечки дополнительных сведений о заблокированных пользователях клиенту не возвращаются никакие дополнительные сведения. Пример ответа выглядит следующим образом:
HTTP/1.1 401 Unauthorized
Server: Microsoft-IIS/10.0
request-id: 413ee498-f337-4b0d-8ad5-50d900eb1f72
X-CalculatedBETarget: DM5PR2101MB0886.namprd21.prod.outlook.com
X-BackEndHttpStatus: 401
Set-Cookie: MapiRouting=#################################################; path=/mapi/; secure; HttpOnly
X-ServerApplication: Exchange/15.20.0485.000
X-RequestId: {3146D993-9082-4D57-99ED-9E7D5EA4FA56}:8
X-ClientInfo: {B0DD130A-CDBF-4CFA-8041-3D73B4318010}:59
X-RequestType: Bind
X-DiagInfo: DM5PR2101MB0886
X-BEServer: DM5PR2101MB0886
X-Powered-By: ASP.NET
X-FEServer: MA1PR0101CA0031
WWW-Authenticate: Basic Realm="",Basic Realm=""
Date: Wed, 31 Jan 2018 05:15:08 GMT
Content-Length: 0
Управление обычной проверкой подлинности в Центр администрирования Microsoft 365
В Центр администрирования Microsoft 365 в https://admin.microsoft.comвыберите Параметры>Организации Параметры>Современная проверка подлинности. Во всплывающем окне Современная проверка подлинности можно определить протоколы, для которых больше не требуется обычная проверка подлинности.
В фоновом режиме эти параметры используют политики проверки подлинности. Если политики проверки подлинности были созданы ранее, изменение любого из этих вариантов автоматически создаст первую новую политику проверки подлинности. Эта политика отображается только через PowerShell. Для опытных клиентов, которые уже могут использовать политики проверки подлинности, изменения в Центр администрирования Microsoft 365 изменят существующую политику по умолчанию. Просмотрите журналы входа Microsoft Entra, чтобы узнать, какие протоколы используются клиентами, прежде чем вносить какие-либо изменения.
Отключение обычной проверки подлинности в Центр администрирования Microsoft 365 не отключает следующие устаревшие службы:
- AllowBasicAuthOutlookService
- AllowBasicAuthReportingWebServices
Эти параметры можно отключить только в Exchange Online PowerShell.
Выполните следующую команду, чтобы найти имя существующей политики проверки подлинности:
Get-AuthenticationPolicyЗамените <AuthenticationPolicyName> значением из предыдущего шага и выполните следующую команду:
Set-AuthenticationPolicy -Identity "<AuthenticationPolicyName>" -AllowBasicAuthReportingWebServices:$false -AllowBasicAuthOutlookService:$falseПредыдущая команда затрагивает все новые почтовые ящики, которые вы создадите, но не существующие. Чтобы применить политику к существующим почтовым ящикам, используйте <значение AuthenticationPolicyName> в следующей команде:
$mbx = Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited $mbx | foreach {Set-User -Identity $_.ExchangeObjectID.tostring() -AuthenticationPolicy <AuthenticationPolicyName>}
Фильтрация локальная служба Active Directory учетных записей пользователей, синхронизированных с Exchange Online
Этот метод использует один конкретный атрибут в качестве фильтра для локальная служба Active Directory членов группы, которые будут синхронизированы с Exchange Online. Этот метод позволяет отключить устаревшие протоколы для определенных групп, не затрагивая всю организацию.
В этом примере мы будем использовать атрибут Department , так как это общий атрибут, который идентифицирует пользователей на основе их отдела и роли. Чтобы просмотреть все расширенные свойства пользователя Active Directory, перейдите в раздел Active Directory: Get-ADUser По умолчанию и Расширенные свойства.
Шаг 1. Поиск пользователей Active Directory и установка атрибутов пользователя Active Directory
Получение членов группы Active Directory
Для выполнения этих действий требуется модуль Active Directory для Windows PowerShell. Чтобы установить этот модуль на компьютере, необходимо скачать и установить средства удаленного администрирования сервера (RSAT).
Выполните следующую команду в Active Directory PowerShell, чтобы вернуть все группы в Active Directory:
Get-ADGroup -Filter * | select -Property Name
После получения списка групп можно запросить пользователей, принадлежащих к этим группам, и создать список на основе любого из их атрибутов. Рекомендуется использовать атрибут objectGuid , так как значение уникально для каждого пользователя.
Get-ADGroupMember -Identity "<GroupName>" | select -Property objectGuid
В этом примере возвращается значение атрибута objectGuid для членов группы с именем Developers.
Get-ADGroupMember -Identity "Developers" | select -Property objectGuid
Установка фильтруемого атрибута пользователя
После определения группы Active Directory, содержащей пользователей, необходимо задать значение атрибута, которое будет синхронизировано с Exchange Online для фильтрации пользователей (и в конечном итоге отключить для них обычную проверку подлинности).
Используйте следующий синтаксис в Active Directory PowerShell, чтобы настроить значение атрибута для членов группы, которые вы определили на предыдущем шаге. Первая команда определяет членов группы на основе значения атрибута objectGuid . Вторая команда присваивает членам группы значение атрибута Department .
$variable1 = Get-ADGroupMember -Identity "<GroupName>" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="<DepartmentName>"}}
В этом примере атрибуту Department присваивается значение "Developer" для пользователей, принадлежащих к группе "Разработчики".
$variable1 = Get-ADGroupMember -Identity "Developers" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="Developer"}}
Используйте следующий синтаксис в Active Directory PowerShell, чтобы убедиться, что атрибут был применен к учетным записям пользователей (сейчас или ранее):
Get-ADUser -Filter "Department -eq '<DepartmentName>'" -Properties Department
В этом примере возвращаются все учетные записи пользователей со значением Developer для атрибута Department .
Get-ADUser -Filter "Department -eq 'Developer'" -Properties Department
Шаг 2. Отключение устаревшей проверки подлинности в Exchange Online
Примечание.
Значения атрибутов для локальных пользователей синхронизируются с Exchange Online только для пользователей с действующей лицензией Exchange Online. Дополнительные сведения см. в статье Добавление пользователей по отдельности или массово.
Синтаксис PowerShell Exchange Online использует следующие команды (две для идентификации учетных записей пользователей, а другая — для применения политики к этим пользователям):
$<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
$<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
$<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
В этом примере политика с именем Блокировать базовую проверку подлинности назначается всем синхронизированным учетным записям пользователей, атрибут Department которых содержит значение "Developer".
$developerUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (department -like '*developer*')"
$developers = $developerUsers.MicrosoftOnlineServicesID
$developers | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
При подключении к Exchange Online PowerShell в сеансе Active Directory PowerShell можно использовать следующий синтаксис, чтобы применить политику ко всем членам группы Active Directory.
В этом примере создается новая политика проверки подлинности с именем "Маркетинговая политика", которая отключает обычную проверку подлинности для членов группы Active Directory с именем Marketing Department for ActiveSync, POP3, SMTP и IMAP4.
Примечание.
Известное ограничение в Active Directory PowerShell не позволяет командлету Get-AdGroupMember возвращать более 5000 результатов. Таким образом, следующий пример работает только для групп Active Directory, имеющих менее 5000 членов.
New-AuthenticationPolicy -Name "Marketing Policy" -AllowBasicAuthActiveSync $false -AllowBasicAuthPop $false -AllowBasicAuthSmtp $false -AllowBasicAuthImap $false
$users = Get-ADGroupMember "Marketing Department"
foreach ($user in $users) {Set-User -Identity $user.SamAccountName -AuthenticationPolicy "Marketing Policy"}