Exchange Online 基本認証間もなく廃止

schedule 2021/05/12  refresh 2023/11/09

 

Microsoft 365のフェデレーション有効環境へ、アプリケーションからMicrosoft 365(MS365)へ接続する場合、現在、先進認証(OAuth 2.0)による認証はデフォルトになっています。


先進認証時に、ブラウザーが開かれ、ログイン画面が表示されます。

 

20210512_1

 

アカウント入力した後、フェデレーション連携先認証機関へリダイレクトされ、SAMLの認証シーケンスを経て、認証情報が正しければ、アプリケーションの利用は開始します。


SeciossLinkの場合、SeciossLinkのログイン画面に遷移されます。

 

しかし、先進認証に対応しないメールアプリケーション(Outlook2016 before, ThunderBird78.3.1 beforeなど)のご利用はまだまだ存続されています。


この場合、メールアプリケーションの認証フォームが開かれ、基本認証が行われます。

 

20210512_2

 

アカウントとパスワードを入力して、MS365に認証リクエストをして、MS365より認証されます。
フェデレーション構成した場合、MS365に認証リクエストを出した後、さらに、MS365から、(SeciossLinkなどの)フェデレーション連携先認証機関へリクエストを出します。

 

今回話題になるのはこの「基本認証」の利用です。


基本認証にはレガシー認証、BASIC認証、ECP認証などなどの呼び方もありますが、多要素認証の利用ができず、ID/Passwordによる認証となります。
セキュリティー向上のため、間もなく廃止となります。
廃止は2021年の後半に予定されていて、実施する30日前に、MS365のテナントに通知されるそうです。
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-february-2021-update/ba-p/2111904

 

★基本認証廃止による影響
アプリケーションで、基本認証を用いたログイン方式は全て利用できなくなりますが、具体的には、以下のようなパターンが挙げられます。
■ 先進認証に対応しないアプリケーションでのexchange Onlineへ接続できなくなります。
■ outlook2016アプリの認証方式で基本認証を選択してもexchange onlineに接続できません。
■ Exchange ActiveSyncの利用ができなくなります。
■ 基本認証を用いたpop/imap接続ができなくなります。

 

★基本認証利用中のMS365ドメインはどう対応すればいい?
簡単にいえば、新しいアプリケーションを使ってくださいということになります。
outlook2016や新しいThunderBirdを利用することです。
また、古くから利用されているMS365ドメインの場合、Powershellで先進認証を有効にする必要があるかもしれません。詳細はMS365のサポートへお問合せいただくとよいでしょう。

 

★SeciossLinkで何か対応する必要がある?
特にないですが、強いていえば、今まで、基本認証しか利用してこなかった場合、先進認証(ブラウザ認証)に対するアクセス権限設定の見直しが必要となります。

 

SeciossLinkでMS365基本認証に対して特別なアクセス権限設定が必要でしたが、今後、クライアントの種類はブラウザーに統一されれば、SeciossLink側もスッキリになるでしょう。


ちなみに、同様なセキュリティー対策はGoogleでも実施済となっています。
https://workspaceupdates-ja.googleblog.com/2019/12/g-suite_24.html

 

追記:powershellのConvertTo-SecureStringでパスワード暗号化して、MS365 の各モジュールへ接続する場合、基本認証に該当しないだそうです。