T之家 9 月 20 日消息�,微軟今天面向 Exchange Online 用戶發布公告���,宣布 2026 年 10 月 1 日開始停止響應用戶的 Exchange Web Services 請求�,并推薦改用 Microsoft Graph。
IT之家注:微軟在 2018 年就曾發布公告���,表示不再繼續為 Exchange Online 中的 EWS 服務提供功能更新,而根據今天發布的公告�����,在未來 3 年內進一步推動 Exchange Online 過渡�����。
微軟表示本次 EWS 退休公告僅適用于 Microsoft 365 和 Exchange Online(所有環境),但對于 Exchange Server 上的 EWS 并沒有影響��。
此外����,Exchange Online 中的更改不會影響 Outlook for Windows 或 Mac、Teams 或任何其他 Microsoft 產品。
微軟表示在 2026 年 10 月之前�����,繼續為 Exchange Online 用戶發布 EWS 組件安全更新���。
IT之家 9 月 29 日消息�����,微軟近期發出最后提醒:此前已經多次在 Microsoft 365 管理中心通知�����,針對國際版 Microsoft 365�,產品組將于 2022/10/1 針對 Exchange Online 禁用基本身份驗證(Basic Auth)�,請大家相互轉告,并且確保采取措施,請參考此處�����。如果不采取行動�����,可能的影響是部分用戶無法連接到郵箱�。
實在來不及的�����,請參考此處,申請最后一次延期(2023/1/1 之后不能再延期)。
為何要停用基本身份驗證���?
從技術上來說,基本身份驗證(也稱舊式身份驗證)是一種基于 HTTP 的身份驗證方案。應用程序向服務器���、服務或 API 結點發起每個連接請求時,都會同時發送用戶名和密碼,并將這些憑據保存在設備上����。這種方式極大地簡化了身份驗證過程���,但在攻擊者的各種手段面前����,簡直是理想的狩獵目標��!尤其是在沒有 TLS 的保護時��,他們可以輕而易舉地盜取用戶的身份。
從運維上來說����,基本身份驗證雖然容易配置���,但也會使部署多重身份驗證變得更復雜和困難���。
因此�,微軟決定自 2022 年 10 月 1 日起���,在全球范圍內對使用 Exchange Online 的用戶逐步關閉基本身份驗證��,并用更為高級的現代身份驗證作為替代。這有助于廣大用戶更好的維護自身利益����,提高企業和用戶的安全性�。自 2021 年 9 月起�����,微軟已持續通過官方網站以及管理中心中的“消息中心”發布提醒 (MC345821)�����,并將持續每月對依然使用基本身份驗證的客戶進行“消息中心”提醒。請您預先做好準備���。
詳細官方時間表如下
對于未使用基本身份驗證的租戶:
- 自 2021 年 6 月起,尚未使用基本身份驗證的租戶�,會陸續在消息中心中收到 30 天后對該租戶關閉基本身份驗證的通知���,關閉完成后將再次收到通知��。
對于正在使用基本身份驗證的租戶:
- 自 2021 年 9 月起,會陸續在消息中心收到多次提醒通知���,以指導租戶管理員采取相關動作。
- 自 2022 年 10 月 1 日起���,對所有已使用基本身份驗證的租戶����,將永久停用基本身份驗證方式��,對于所有租戶的停用過程會陸續完成。微軟會在關閉前 7 天通過消息中心再次發出預警��,并發布服務運行狀況儀表板通知�����,然后將基本身份驗證關閉���。在此之后����,您無法以任何形式申請例外�。
- 使用由世紀互聯運營的 Office 365 服務的租戶將于 2023 年 3 月 31 日起全面關閉基本身份驗證,在此之后���,您無法以任何形式申請例外。
可能的影響及其范圍
微軟將關閉以下協議的基本身份驗證:Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows / Mac�。(對尚未使用 SMTP AUTH 的租戶�����,SMTP AUTH 也將被關閉)
IT之家了解到,關閉后,對上述受影響協議使用了基本身份驗證的任何客戶端(用戶應用�����、腳本����、集成等)都將無法連接 Exchange Online。應用將收到“HTTP 401 錯誤:用戶名或密碼錯誤”這樣的信息。
