Exchange Online での基本認証の廃止

重要

すべてのテナントで基本認証が無効になりました。

2022 年 12 月 31 日より前は、テナント内のユーザーとアプリが接続できない場合は、影響を受けるプロトコルを再度有効にすることができます。 これで、テナントで基本認証を再度有効にすることはできません (お客様または Microsoft サポート)。

この記事の残りの部分を読んで、行った変更と、これらの変更がユーザーにどのような影響を与えるかを完全に理解してください。

長年にわたり、アプリケーションは基本認証を使用してサーバー、サービス、API エンドポイントに接続してきました。 基本認証とは、アプリケーションが要求ごとにユーザー名とパスワードを送信し、それらの資格情報も多くの場合、デバイスに保存または保存されていることを意味します。 従来、基本認証はほとんどのサーバーまたはサービスで既定で有効になっており、簡単に設定できます。

単純さはまったく悪くありませんが、基本認証を使用すると、攻撃者がユーザーの資格情報を簡単にキャプチャできるようになります (特に、資格情報が TLS によって保護されていない場合)。これにより、盗まれた資格情報が他のエンドポイントやサービスに再利用されるリスクが高まります。 さらに、基本認証が有効なままであれば、多要素認証 (MFA) の適用は単純ではなく、場合によっては可能です。

基本認証は時代遅れの業界標準です。 当初、この機能を無効にすると発表して以来、脅威は増加の一途をたどっています （「セキュリティの向上 - 共に」 参照）。より優れた、より効果的なユーザー認証の代替手段があります。

ユーザーとデバイスが企業情報にアクセスするときに、ゼロ トラスト (信用せず、常に検証する) などのセキュリティ戦略を採用するか、リアルタイムの評価ポリシーを適用することを積極的に推奨します。 これらの代替手段を使用すると、ユーザーを偽装する悪いアクターである可能性のある認証資格情報を信頼するのではなく、どのデバイスから何にアクセスしようとしているのかをインテリジェントに判断できます。

これらの脅威とリスクを念頭に置いて、Exchange Onlineのデータ セキュリティを向上させるための措置を講じていました。

注:

基本認証の廃止により、2 段階認証をサポートしていないアプリでアプリ パスワードを使用することもできなくなります。

変更する内容

Exchange ActiveSync (EAS)、POP、IMAP、リモート PowerShell、Exchange Web サービス (EWS)、オフライン アドレス帳 (OAB)、自動検出、Outlook for Windows、Outlook for MacのExchange Onlineで基本認証を使用する機能が削除されました。

また、使用されていないすべてのテナントで SMTP AUTH を無効にしました。

この決定では、顧客は基本認証を使用するアプリから最新の認証を使用するアプリに移行する必要があります。 最新の認証 (OAuth 2.0 トークン ベースの承認) には、基本認証の問題を軽減するするのに役立つ多くの利点と改善点があります。 たとえば、OAuth アクセス トークンの使用可能期間は限られており、発行先のアプリケーションとリソースに固有であるため、再利用することはできません。 最新の認証では、多要素認証 (MFA) の有効化と設定も簡単に行えます。

この変更はいつ行われましたか?

2021 年の初めから、既存のテナントの基本認証を無効にし、使用状況が報告されなくなりました。

2023 年初めから、任意の種類の拡張機能を持つすべてのテナントに対して基本認証を無効にしました。 タイミングの詳細については、 こちらを参照してください。

注:

21Vianet が運営するOffice 365では、2023 年 3 月 31 日に基本認証の無効化を開始しました。 その他のすべてのクラウド環境は、2022 年 10 月 1 日の対象でした。

メッセージング プロトコルと既存のアプリケーションへの影響

この変更は、さまざまな方法で使用する可能性があるアプリケーションとスクリプトに影響します。

POP、IMAP、および SMTP AUTH

2020 年に、POP、IMAP、および SMTP AUTH の OAuth 2.0 サポートをリリースしました。 一部のクライアント アプリへの更新は、これらの認証の種類をサポートするように更新されています (たとえば、Thunderbird は、21Vianet によって動作するOffice 365を使用しているお客様向けではありません)。そのため、最新バージョンのユーザーは OAuth を使用するように構成を変更できます。 Outlook クライアントが POP と IMAP の OAuth をサポートする予定はありませんが、Outlook は MAPI/HTTP （Windows クライアント）とEWS （Mac 版 Outlook）を使用して接続することができます。

これらのプロトコルを使用して電子メールを送信、読み取り、またはその他の方法で処理するアプリを構築したアプリケーション開発者は、同じプロトコルを維持できますが、ユーザーに対してセキュリティで保護された先進認証エクスペリエンスを実装する必要があります。 この機能は、Microsoft ID プラットフォーム v2.0 の上に構築され、Microsoft 365 メール アカウントへのアクセスをサポートします。

社内アプリケーションがExchange Onlineで IMAP、POP、SMTP AUTH プロトコルにアクセスする必要がある場合は、OAuth 2.0 認証を実装する手順に従います。OAuth を使用して IMAP、POP、または SMTP 接続を認証します。 さらに、PowerShell スクリプト Get-IMAPAccesstoken.ps1 を使用して、共有メールボックスのユース ケースを含む簡単な方法で、OAuth を有効にした後に IMAP アクセスをテストします。

基本認証が 2022 年 10 月 1 日に完全に無効になった場合でも、SMTP AUTH は引き続き使用できます。 SMTP が引き続き利用可能になる理由は、プリンターやスキャナーなどの多くの多機能デバイスを先進認証を使用するように更新できないためです。 ただし、可能な場合は、SMTP AUTH で基本認証を使用しないようにすることを強くお勧めします。 認証されたメールを送信するためのその他のオプションには、Microsoft Graph API などの代替プロトコルの使用があります。

Exchange ActiveSync (EAS)

多くのユーザーは、EAS を使用するように設定されたモバイル デバイスを持っています。 基本認証を使用していた場合、この変更の影響を受けます。

Exchange Online に接続するときは、iOS および Android 版 Outlook を使用することをお勧めします。 iOS および Android 版 Outlook は、条件付きアクセスとアプリ保護 (MAM) 機能を有効にする Microsoft Enterprise Mobility + Security (EMS) を完全に統合します。 iOS および Android 版の Outlook は、ユーザーと会社のデータをセキュリティで保護するのに役立ち、先進認証をネイティブにサポートします。

先進認証をサポートする他のモバイル デバイス メール アプリがあります。 すべての一般的なプラットフォーム用の組み込みメール アプリは、通常、先進認証をサポートするため、場合によっては、デバイスが最新バージョンのアプリを実行していることを確認することが解決策です。 電子メール アプリが最新であっても、基本認証を使用している場合は、デバイスからアカウントを削除してから、もう一度追加することが必要な場合があります。

Microsoft Intune を使用している場合は、デバイスにプッシュまたは展開するメール プロファイルを使用して認証の種類を変更できる可能性があります。 iOS デバイス (iPhone および iPad) を使用している場合は、「Microsoft Intune で iOS および iPadOS デバイスの電子メール設定を追加する」 をご覧ください。

次の条件に該当する場合、基本的なモビリティとセキュリティで管理されている iOS デバイスは電子メールにアクセスできません。

• アクセスにマネージド メール プロファイルを要求するようにデバイス セキュリティ ポリシーを構成しました。
• 2021 年 11 月 9 日以降、ポリシーを変更していません (つまり、ポリシーは Basic 認証を引き続き使用しています)。

この日付以降に作成または変更されたポリシーは、先進認証を使用するように既に更新されています。

最新の認証を使用するように 2021 年 11 月 9 日以降変更されていないポリシーを更新するには、ポリシーのアクセス要件を一時的に変更します。 [暗号化されたバックアップが必要] クラウド設定を変更して保存することをお勧めします。これにより、ポリシーが最新の認証を使用するようにアップグレードされます。 変更されたポリシーの状態値が [オン] になると、メール プロファイルがアップグレードされます。 その後、一時的な変更をポリシーに戻します。

注:

アップグレード プロセス中に、iOS デバイスで電子メール プロファイルが更新され、ユーザー名とパスワードの入力が求められます。

デバイスが証明書ベースの認証を使用している場合、今年後半に基本認証がExchange Onlineオフになっている場合、デバイスは影響を受けません。 Basic 認証を使用して直接認証するデバイスのみが影響を受けます。

証明書ベースの認証は引き続きレガシ認証であり、そのため、レガシ認証をブロックするMicrosoft Entra条件付きアクセス ポリシーによってブロックされます。 詳細については、「条件付きアクセスを使用してレガシ認証Microsoft Entraブロックする」を参照してください。

Exchange Online PowerShell

Exchange Online PowerShell モジュールがリリースされて以来、モダン認証を使用してコマンド ラインからExchange Online設定と保護設定を簡単に管理できます。 このモジュールでは、先進認証を使用し、Microsoft 365 のすべての Exchange 関連 PowerShell 環境 (Exchange Online PowerShell、セキュリティ & コンプライアンス PowerShell、スタンドアロン Exchange Online Protection (EOP) PowerShell に接続するために多要素認証 (MFA) と連携します。

Exchange Online PowerShell モジュールは、非対話型で使用することもできます。これにより、無人スクリプトを実行できます。 証明書ベースの認証を使用すると、管理者は、サービス アカウントを作成したり、資格情報をローカルに保存したりする必要なくスクリプトを実行できます。 詳細については、「Exchange Online PowerShell モジュールの無人スクリプトのアプリ専用認証」を参照してください。

重要

PowerShell で WinRM に対して基本認証が有効になっている必要があること (セッションの実行元のローカル コンピューター) を混同しないでください。 ユーザー名/パスワードは Basic を使用してサービスに送信されませんが、WinRM クライアントが OAuth をサポートしていないため、セッションの OAuth トークンを送信するには Basic Auth ヘッダーが必要です。 この問題に取り組んでおり、今後発表する予定です。 WinRM で Basic を有効にしても、Basic を使用してサービスに対する認証を 行いません。 詳細については、「Exchange Online PowerShell: WinRM で基本認証を有効にする」を参照してください。

この状況の詳細については、こちらの「Exchange Online PowerShell モジュールと Basic Auth のさまざまなバージョンについて」を参照してください。

モジュールの V1 バージョンから現在のバージョンへの移行の詳細については、 こちらのブログ投稿を参照してください。

Exchange Online PowerShell V3 モジュールのバージョン 3.0.0 (プレビュー バージョン 2.0.6-PreviewX) には、WinRM で基本認証を必要としないすべてのExchange Online コマンドレットの REST API がサポートされているバージョンが含まれています。 詳細については、「バージョン 3.0.0 の更新」を参照してください。

Exchange Web サービス (EWS)

多くのアプリケーションは、メールボックスと予定表のデータにアクセスするために EWS を使用して作成されています。

2018 年に、Exchange Web サービスは機能更新プログラムを受け取らなくなることを発表しました。アプリケーション開発者は、Microsoft Graph の使用に切り替えることが推奨されました。 「Office 365 向け Exchange Web サービス (EWS) API の今後の変更」 を参照してください。

多くのアプリケーションが Graph に正常に移行されましたが、まだ移行していないアプリケーションの場合、EWS でモダン認証が完全にサポートされていることは注目に値します。 そのため、まだ Graph に移行できない場合は、EWS で先進認証を使用するように切り替えることができます。EWS は最終的に非推奨になります。

詳細については、次を参照してください。

• Exchange Online 用 Exchange Web サービスでの今後の API 非推奨について - Microsoft Tech Community
• OAuth を使用して EWS アプリケーションを認証する
• 基本認証を使用する EWS マネージド API PowerShell スクリプトの操作

Outlook、MAPI、RPC、オフライン アドレス帳 (OAB)

2016 以降のすべてのバージョンの Outlook for Windows では、既定で先進認証が有効になっているため、既に先進認証を使用している可能性があります。 Outlook Anywhere (以前は RPC over HTTP と呼ばれていました) は、MAPI over HTTP を優先して Exchange Online で非推奨になりました。 Outlook for Windows では、MAPI over HTTP、EWS、OAB を使用してメールにアクセスし、空き時間情報と不在を設定し、オフライン アドレス帳をダウンロードします。 これらのプロトコルはすべて先進認証をサポートしています。

Outlook 2007 または Outlook 2010 は先進認証を使用できず、最終的に接続できなくなります。 Outlook 2013 では先進認証を有効にする設定が必要ですが、設定を構成すると、Outlook 2013 は問題なく先進認証を使用できます。 ここで既に発表したように、Outlook 2013 では、Exchange Online に接続するための最小更新レベルが必要です。 「 Microsoft 365 の新しい Outlook for Windows バージョン要件」を参照してください。

Mac 版 Outlook では、先進認証がサポートされています。

Office での先進認証のサポートの詳細については、「Office クライアント アプリの先進認証のしくみ」 を参照してください。

パブリック フォルダーを Exchange Online に移行する必要がある場合は、「先進認証サポートを使用したパブリック フォルダー移行スクリプト」を参照してください。

自動検出

2022 年 11 月に、EAS と EWS がテナントで無効になると、自動検出プロトコルの基本認証を無効にすることを 発表しました 。

クライアント オプション

影響を受けた各プロトコルで使用できるオプションの一部を以下に示します。

プロトコルの推奨事項

Exchange Web サービス (EWS)、リモート PowerShell (RPS)、POP と IMAP、Exchange ActiveSync (EAS) の場合:

• これらのプロトコルを使用して独自のコードを記述した場合 は、基本認証ではなく OAuth 2.0 を使用するようにコードを更新するか、新しいプロトコル (Graph API) に移行します。
• ユーザーまたはユーザーがこれらのプロトコルを使用するサード パーティ製アプリケーションを使用している場合は、このアプリケーションを提供したサード パーティのアプリ開発者に連絡して、OAuth 2.0 認証をサポートするように更新するか、ユーザーが OAuth 2.0 を使用してビルドされたアプリケーションに切り替えるのを支援します。

キー プロトコル サービス	影響を受けたクライアント	クライアント固有の推奨事項	21Vianet (Gallatin) が運営するOffice 365に関する特別な推奨事項	その他のプロトコル情報/メモ
Outlook	Windows および Mac 用のすべてのバージョンの Outlook	Windows 版Outlook 2013 以降、Mac 版 Outlook 2016 以降にアップグレードする Windows 版 Outlook 2013 を使用している場合は、レジストリ キーを使用して先進認証を有効にします		Outlook の先進認証を有効にする – どのくらい難しいのでしょうか?
Exchange Web サービス (EWS)	OAuth をサポートしていないサード パーティ製アプリケーション	最新の認証を使用するようにアプリを変更します。 Graph API と先進認証を使用するようにアプリを移行します。 人気のアプリ: Microsoft Teams Rooms: Authentication in Microsoft Teams Rooms の手順に従って先進認証を有効にします Dynamics 365 / PowerApps: Exchange Online での基本認証の使用 Cisco Unity: Microsoft Office 365 Product Bulletin を使用した Unified Messaging の Cisco Unity Connection Service Bulletin	この記事に従って、カスタマイズした Gallatin アプリケーションを移行して、OAuth で EWS を使用します Microsoft Teams と Cisco Unity は現在 Gallatin で利用できません	基本認証を使用する EWS マネージド API PowerShell スクリプトの操作 2018 年 7 月以降の EWS 機能の更新はありません
リモート PowerShell (RPS)	Exchange 管理者 委任された管理者権限 自動管理ツール	どちらかを使用します。 PowerShell モジュールをExchange Onlineします。 PowerShell within Azure Cloud Shell。	Azure Cloud Shellは Gallatin では使用できません	Exchange Online PowerShell モジュールの自動化と証明書ベースの認証のサポートと、Exchange Online PowerShell モジュールと基本認証の異なるバージョンについて説明します。
POP と IMAP	POP または IMAP を使用するように構成された Thunderbird ファースト パーティ クライアントなどのサード パーティ製モバイル クライアント	推奨事項: 完全な機能を有効にしないため、これらのプロトコルから離れる。 クライアント アプリでサポートされている場合は、POP/IMAP の OAuth 2.0 に移動します。	サンプル コードを使用して Gallatin で OAuth を使用して POP と IMAP を構成するには、この記事に従います	IMAP は、Linux および教育機関のお客様に人気があります。 OAuth 2.0 のサポートは、2020 年 4 月にロールアウトを開始しました。 OAuth を使用して IMAP、POP、または SMTP 接続を認証する
Exchange ActiveSync (EAS)	Apple、Samsung などのモバイル メール クライアント	iOS または Android 版 Outlook、および Modern Auth をサポートする別のモバイル メール アプリに移行する OAuth を実行できるがデバイスが引き続き Basic を使用している場合は、アプリの設定を更新してください Outlook on the web または最新の認証をサポートする別のモバイル ブラウザー アプリに切り替えます。 人気のアプリ: Apple iPhone/iPad/macOS: 最新の iOS/macOS デバイスはすべて、最新の認証を使用できます。アカウントを削除して追加し直すだけです。 Microsoft Windows 10 メール クライアント: アカウントの種類として Office 365 を選択して、アカウントを削除して追加し直します	iOS 上の Apple のネイティブ メール アプリは現在 Gallatin では動作しません。Outlook モバイルを使用することをお勧めします Windows 10/11 メール アプリは Gallatin ではサポートされていません この記事に従って、OAuth とサンプル コードを使用して EAS を構成します	ネイティブ アプリを使用して Exchange Online に接続するモバイル デバイスは、通常、このプロトコルを使用します。
自動検出	自動検出を使用してサービス エンドポイントを検索する EWS アプリと EAS アプリ	コード/アプリを OAuth をサポートする 1 つにアップグレードする		Exchange 用自動検出 Web サービス リファレンス

リソース

詳細については、次の記事をチェックします。

セキュリティの既定値:

• Microsoft Entra IDのセキュリティの既定値
• セキュリティの既定値群を有効にする

Exchange Online 認証ポリシー:

• Microsoft 365 管理センターでの基本認証の管理 (簡易)
• Exchange Online の認証ポリシープロシージャ (詳細設定)

条件付きアクセスのMicrosoft Entra:

• 一般的な条件付きアクセス ポリシー: レガシ認証をブロックする (Simple)
• Microsoft Entra条件付きアクセスを使用してレガシ認証をブロックする (詳細)