0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

微软为何要停用基本身份验证

微软科技 来源:微软科技 作者:微软科技 2022-05-31 11:55 次阅读

小编语:基本身份验证在过去的很多年里被广泛应用于各种协议和应用,但随着时间的推移和技术的发展,它已经成为一种过时的技术,并存在一定的安全风险,基本身份验证的方式已经不能够满足日益严峻的网络安全需要。如果您的 Exchange Online 还在使用这种传统的验证方式,让我们一起完成一次安全进化吧。

1为何要停用基本身份验证?

从技术上来说,基本身份验证(也称旧式身份验证)是一种基于 HTTP 的身份验证方案。应用程序向服务器、服务或 API 结点发起每个连接请求时,都会同时发送用户名和密码,并将这些凭据保存在设备上。这种方式极大地简化了身份验证过程,但在攻击者的各种手段面前,简直是理想的狩猎目标!尤其是在没有 TLS 的保护时,他们可以轻而易举地盗取用户的身份。

从运维上来说,基本身份验证虽然容易配置,但也会使部署多重身份验证变得更复杂和困难。

因此,微软决定自2022年10月1日起,在全球范围内对使用 Exchange Online 的用户逐步关闭基本身份验证,并用更为高级的现代身份验证作为替代。您可以参考下方这个简单视频来了解更多细节。这有助于广大用户更好的维护自身利益,提高企业和用户的安全性。自2021年9月起,微软已持续通过官方网站以及管理中心中的“消息中心”发布提醒 (MC345821),并将持续每月对依然使用基本身份验证的客户进行“消息中心”提醒。请您预先做好准备。

详细官方时间表如下

对于未使用基本身份验证的租户:

- 自2021年6月起,尚未使用基本身份验证的租户,会陆续在消息中心中收到30天后对该租户关闭基本身份验证的通知,关闭完成后将再次收到通知。

对于正在使用基本身份验证的租户:

- 自2021年9月起,会陆续在消息中心收到多次提醒通知,以指导租户管理员采取相关动作。

- 自2022年10月1日起,对所有已使用基本身份验证的租户,将永久停用基本身份验证方式,对于所有租户的停用过程会陆续完成。微软会在关闭前7天通过消息中心再次发出预警,并发布服务运行状况仪表板通知,然后将基本身份验证关闭。在此之后,您无法以任何形式申请例外。

- 使用由世纪互联运营的 Office 365服务的租户将于2023年3月31日起全面关闭基本身份验证,在此之后,您无法以任何形式申请例外。

可能的影响及其范围

微软将关闭以下协议的基本身份验证:Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。(对尚未使用SMTP AUTH的租户,SMTP AUTH也将被关闭)

关闭后,对上述受影响协议使用了基本身份验证的任何客户端(用户应用、脚本、集成等)都将无法连接Exchange Online。应用将收到“HTTP 401错误:用户名或密码错误”这样的信息

2改进虽好,该如何从容应对?

为保证企业和用户能顺利的过渡到新式身份验证,建议您参考如下的“评估-修正-执行”的三步计划,逐步完成转化。

步骤1 – 评估,确定您的企业是否会受到影响

1.检查消息中心

从2021年底开始,我们开始向租户发送消息中心通知,总结基本身份验证在租户环境内的使用情况。如果您收到了使用情况的摘要,您可以了解在上个月内使用基本身份验证的用户数,以及他们使用的协议数,这表明某些内容或某人正在使用基本身份验证。

2.通过 Azure Active Directory 登陆日志进一步了解基本身份验证的使用情况

Azure AD Free 订阅可以查看过去7天的登陆日志;Azure AD P1/P2可以查看过去30天的登陆日志。通过筛选客户端应用,对新式和旧式身份验证加以区分。其中,浏览器、移动应用和桌面客户端被视为新式身份验证,而其他应用(如 IMAP、POP 和 MAPI等)则被视为旧式身份验证。您可以根据了解到的使用情况制定方案,来避免影响。

3.通过 Outlook 客户端判断是否在使用基本身份验证

按住 CTRL,右键单击系统托盘中的 Outlook 图标并选择“连接状态”来选中连接状态对话框。如 Authn 列显示为 Clear, 说明 Outlook 在使用基本身份验证;如显示为 Bearer, 则代表 Outlook 在使用新式身份验证。

4. 在移动设备上确认身份验证方式

在移动设备上,如果设备尝试用新式身份验证进行连接,会显示类似基于 Web 的登录页(下图左侧)。基本身份验证则显示为凭据输入对话框(下图右侧)。

步骤 2 – 修正,为关闭基本身份验证做好准备

如果您确认自己的租户将受到影响,请参照如下建议进行应对:

1. 在目录中启用新式身份验证(2017年8月1日以后创建的目录已默认启用)

(1)安装 Skype for Business Online Powershell 模块,并运行 Set-CsOAuthConfiguration 更新设置以启用新式身份验证。

(2)连接Exchange Online Powershell并运行Set-OrganizationConfig-OAuth2ClientProfileEnabled $true,以启用新式身份验证。

2.更新代码

(1) 如果您使用受影响的协议编写自己的代码,请更新代码,使用 OAuth 2.0,或Graph API。

(2)如果您使用的第三方应用程序在使用这些协议,请联系该第三方应用的开发人员。更新程序,以支持 OAuth 2.0验证,或帮助用户切换到使用 OAuth 2.0验证的应用程序。

3.对不同的客户端进行相应调整,详见下表:

您也可以通过搜索“弃用 Exchange Online 中的基本身份验证”移步至微软 Exchange 官方文库,了解表格中所列项目相关配置的更详细步骤。

步骤3 – 执行,关闭基本身份验证

1. 确保经过上述步骤后,租户中以及 Exchange Online 已经启用新式身份验证,并且客户端支持并已启用新式身份验证。

2. 在不同场景下禁用基本身份验证。

(1)针对具体的协议,为整个租户关闭基本身份验证

设置-组织设置-新式身份验证

(2)创建身份验证策略,针对具体的协议和用户/组,关闭基本身份验证(官方推荐的最佳方法)。您可以在 Bing 中搜索“在 Exchange Online 中禁用基本身份验证”获取全部步骤。

(3)针对特定用户和组,通过条件访问阻止旧式身份验证。支持“仅报告”模式进行登陆评估(实时查看哪些用户使用旧式身份验证,但并不会真正阻止连接)。

原文标题:来一次安全进化吧!微软即将停用Exchange Online基本身份验证

文章出处:【微信公众号:微软科技】欢迎添加关注!文章转载请注明出处。

审核编辑:汤梓红
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 微软
    +关注

    关注

    4

    文章

    6594

    浏览量

    104054
  • 身份验证
    +关注

    关注

    0

    文章

    22

    浏览量

    10166
  • Exchange
    +关注

    关注

    0

    文章

    5

    浏览量

    1105

原文标题:来一次安全进化吧!微软即将停用Exchange Online基本身份验证

文章出处:【微信号:mstech2014,微信公众号:微软科技】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    Klocwork 2024.3新特性速览

    Klocwork 2024.3 为 C/C++ 分析引擎和构建上传流程引入了新功能和性能改进。此版本还附带了增强的安全性和用户体验改进,包括用于 SAML/OIDC 身份验证的 IDE 插件中更好
    的头像 发表于 11-07 09:49 637次阅读
    Klocwork 2024.3新特性速览

    深度识别人脸识别有什么重要作用吗

    深度学习人脸识别技术是人工智能领域的一个重要分支,它利用深度学习算法来识别和验证个人身份。这项技术在多个领域都有广泛的应用,包括但不限于安全监控、身份验证、社交媒体、智能设备等。 1. 安全监控 在
    的头像 发表于 09-10 14:55 515次阅读

    TMP1827 的 密钥生成和身份验证机制

    电子发烧友网站提供《TMP1827 的 密钥生成和身份验证机制.pdf》资料免费下载
    发表于 09-09 09:24 0次下载
    TMP1827 的 密钥生成和<b class='flag-5'>身份验证</b>机制

    富士通生物识别身份验证PalmSecure重塑安全边界

    掌静脉认证技术,凭借其通过分析手掌内部独特静脉结构来确认个人身份的能力,近年来在安全识别领域崭露头角,赢得广泛青睐,主要归功于其卓越的安全保障与极高识别精度。
    的头像 发表于 08-27 14:18 439次阅读
    富士通生物识别<b class='flag-5'>身份验证</b>PalmSecure重塑安全边界

    微软推出企业版付费人脸识别技术Face Check

    微软近日宣布,其先进的人脸识别技术Face Check已全面向全球企业客户开放,标志着微软身份认证安全领域迈出了重要一步。Face Check技术通过融合用户手机自拍与已验证
    的头像 发表于 08-14 17:38 1058次阅读

    Apple设备为什么无法连接到AP?

    设备的 802.11 身份验证数据包。Windows 和 Apple 身份验证请求之间的唯一区别是附加的 OUI 数据,这意味着帧检查序列不会立即跟随 802.11 无线管理帧,也许这就
    发表于 07-17 07:51

    ESP8266使用命令AT CWJAP_CUR连接wifi,如何增加身份验证时间?

    我尝试使用命令 AT CWJAP_CUR 连接 wifi。但是在超时时给出响应,我想知道如何增加身份验证时间
    发表于 07-16 07:29

    生物识别验证在哪里开启

    生物识别验证是一种利用生物特征进行身份验证的技术,包括指纹、面部、虹膜、声音等。随着科技的发展,生物识别验证已经被广泛应用于各个领域,如手机解锁、银行交易、门禁系统等。 一、生物识别验证
    的头像 发表于 07-08 10:26 1107次阅读

    芯科科技领先提供CBAP解决方案支持基于证书的身份验证和配对

      “基于证书的身份验证和配对(CBAP)”有助于简化低功耗蓝牙(BluetoothLE)设备的身份验证和配对过程。它具有内置的安全功能,无需使用二维码、密码或基于 NFC 的配对来手动对设备进行
    的头像 发表于 06-04 11:35 692次阅读

    求助,关于TRAVEO™ II MCU安全调试的几个问题求解

    我对TRAVEO™ II MCU 的安全调试有几个问题。 1.TRAVEO TRAVEO™ II 有两种方式保护DAP,一种是永久禁用,一种是身份验证访问,对于身份验证访问,它像密码一样吗? 不喜欢
    发表于 05-30 07:34

    Aurix TC364D是否可以通过某些UDS服务停用HSM?

    无法更新,因为 HSM 无法验证。 我们无法连接 JTAG 或其他 UCB,因此唯一的办法是通过诊断插座(UDS 服务)停用它。 请问谁有经验? 非常感谢。
    发表于 05-20 07:19

    美国网安审查委指控微软安全措施欠妥致电邮泄漏

    此起出现在2021年的安全问题源于黑客集团Storm-0558成功盗取微软帐户的加密密钥并以此欺诈性地生成身份验证令牌,从而进入美国政府部门电子邮箱。
    的头像 发表于 04-10 10:11 700次阅读

    OpenAI启用多重身份验证,ChatGPT用户可自行开启

    以ChatGPT服务实例分析,使用者需首先抵达chat.openai.com网页,点击左侧用户名下方的设置图标进入配置界面。随后在“常规”选项组中寻找并选定“多重身份验证”启动与否。
    的头像 发表于 03-10 11:18 1339次阅读

    30%企业对AI驱动的深度伪造攻击质疑身份认证和验证方案有效性

    Gartner副总裁Akif Khan指出,过去十年的技术变革使得深度伪造就像合成照片一样成为可能,那些虚假人脸图片可以欺骗甚至让生物识别身份验证失效。严重的是,假如身份认证和验证系统无法区分真假面部,那么它们的可信度会大打折扣
    的头像 发表于 02-25 15:14 487次阅读

    Azentio Software 和 Regula 合作强化数字化入职的身份验证

    Software(以下简称 "Azentio")技术公司于今日宣布,与全球性的取证设备和身份验证 (IDV) 解决方案开发商 Regula 建立战略合作伙伴关系。 通过此次合作,Azentio 得以
    的头像 发表于 01-23 21:27 486次阅读