Exchange Online での基本認証の無効化Disable Basic authentication in Exchange Online

Exchange のオンラインでの基本認証は、クライアントのアクセス要求に対してユーザー名とパスワードを使用します。基本認証のブロックは、ブルート フォース攻撃またはパスワードのスプレー攻撃から Exchange Online 組織を保護するために役立ちます。Exchange Online でユーザーの基本認証を無効にすると、電子メール クライアントやアプリケーションを使うことにより現代の認証をサポートする必要があります。これらのクライアントは次のとおりです。Basic authentication in Exchange Online uses a username and a password for client access requests. Blocking Basic authentication can help protect your Exchange Online organization from brute force or password spray attacks. When you disable Basic authentication for users in Exchange Online, their email clients and apps must support modern authentication. Those clients are:

  • Outlook 2013 またはそれ以降 (Outlook 2013 がレジストリ キーの変更が必要です)Outlook 2013 or later (Outlook 2013 requires a registry key change)

  • Mac またはそれ以降の outlook の 2016 年Outlook 2016 for Mac or later

  • iOS および Android 用の OutlookOutlook for iOS and Android

  • 11.3.1 の iOS のメールまたはそれ以降Mail for iOS 11.3.1 or later

組織には、従来の電子メール クライアントがなければ、使用できます認証ポリシー Exchange Online で基本認証の要求を無効にするのには最新の認証を使用するのにすべてのクライアント アクセス要求を強制します。現代の認証の詳細については、 Office クライアントと Office 365 を使用して最新の認証を参照してください。If your organization has no legacy email clients, you can use authentication policies in Exchange Online to disable Basic authentication requests, which forces all client access requests to use modern authentication. For more information about modern authentication, see Using Office 365 modern authentication with Office clients.

このトピックで説明する方法の基本認証が使用され、Exchange Online では、および、対応するプロシージャの認証ポリシーをブロックします。This topic explains how Basic authentication is used and blocked in Exchange Online, and the corresponding procedures for authentication policies.

基本認証は、Exchange オンラインの動作方法How Basic authentication works in Exchange Online

基本認証とも呼ばれます_プロキシの認証_電子メール クライアントから送信されるユーザー名とパスワードのオンラインの Exchange および Exchange Online の転送または_プロキシ_資格情報を信頼できる id プロバイダー (IdP) にあるために代わって電子メール クライアントまたはアプリケーションです。IdP では、組織の認証モデルによって異なります。Basic authentication is also known as proxy authentication because the email client transmits the username and password to Exchange Online, and Exchange Online forwards or proxies the credentials to an authoritative identity provider (IdP) on behalf of the email client or app. The IdP depends your organization's authentication model:

  • クラウド認証: Azure Active Directory では、IdP。Cloud authentication: The IdP is Azure Active Directory.

  • フェデレーション認証: Active Directory フェデレーション サービス (AD FS) のように、オンプレミスのソリューションは、「IdP。Federated authentication: The IdP is an on-premises solution like Active Directory Federation Services (AD FS).

これらの認証モデルは、次のセクションで説明します。These authentication models are described in the following sections.

クラウドの認証Cloud authentication

クラウド認証の手順は次の図で説明します。The steps in cloud authentication are described in the following diagram:

基本は、クラウド ベースの認証と基本認証がブロックされている手順です。

  1. 電子メール クライアントは、Exchange Online にユーザー名とパスワードを送信します。The email client sends the username and password to Exchange Online.

    : 基本認証をブロックすると、この手順でブロックされます。Note: When Basic authentication is blocked, it's blocked at this step.

  2. Exchange オンライン送信ユーザー名とパスワード Azure Active Directory にします。Exchange Online sends the username and password to Azure Active Directory.

  3. Azure Active Directory Exchange Online をユーザーのチケットを取得してユーザーは認証されます。Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

フェデレーション認証Federated authentication

フェデレーション認証の手順は次の図で説明します。The steps in federated authentication are described in the following diagram:

基本手順の共通の認証、および基本認証がブロックされています。

  1. 電子メール クライアントは、Exchange Online にユーザー名とパスワードを送信します。The email client sends the username and password to Exchange Online.

    : 基本認証をブロックすると、この手順でブロックされます。Note: When Basic authentication is blocked, it's blocked at this step.

  2. Exchange オンライン送信ユーザー名とパスワード設置 IdP にします。Exchange Online sends the username and password to the on-premises IdP.

  3. Exchange Online は、オンプレミスの IdP からセキュリティ アサーション マークアップ言語 (SAML) トークンを受信します。Exchange Online receives a Security Assertion Markup Language (SAML) token from the on-premises IdP.

  4. Exchange Online は、Azure Active Directory に SAML トークンを送信します。Exchange Online sends the SAML token to Azure Active Directory.

  5. Azure Active Directory Exchange Online をユーザーのチケットを取得してユーザーは認証されます。Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

基本認証は、Exchange Online でブロックされている方法How Basic authentication is blocked in Exchange Online

作成し、個々 のユーザーに認証ポリシーを割り当てることによって、Exchange のオンラインでの基本認証をブロックします。ポリシーは、基本認証はブロックされ、指定したプロトコルに対する、基本認証の要求をブロックする 1 つまたは複数のユーザーにポリシーを割り当てて、クライアント プロトコルを定義します。You block Basic authentication in Exchange Online by creating and assigning authentication policies to individual users. The policies define the client protocols where Basic authentication is blocked, and assigning the policy to one or more users blocks their Basic authentication requests for the specified protocols.

ブロックされると、Exchange Online で基本認証が Azure Active Directory の要求に達する前に最初の事前認証の手順 (前の図のステップ 1) またはオンプレミスの IdP でブロックされます。この方法の利点は、ブルート フォース攻撃またはパスワードのスプレー攻撃には、(これは、アカウント ロックアウトを無効なログイン試行のためのトリガーがあります) IdP は届きません。When it's blocked, Basic authentication in Exchange Online is blocked at the first pre-authentication step (Step 1 in the previous diagrams) before the request reaches Azure Active Directory or the on-premises IdP. The benefit of this approach is brute force or password spray attacks won't reach the IdP (which might trigger account lock-outs due to incorrect login attempts).

認証ポリシーは、ユーザー レベルで動作するため Exchange Online のみをブロックできますクラウド組織に存在するユーザーの基本認証の要求。フェデレーション認証は、ユーザーが Exchange オンラインで存在しない場合、ユーザー名とパスワードに転送されます設置 IdP。例えば、次のシナリオがあるとします。Because authentication policies operate at the user level, Exchange Online can only block Basic authentication requests for users that exist in the cloud organization. For federated authentication, if a user doesn't exist in Exchange Online, the username and password are forwarded to the on-premises IdP. For example, consider the following scenario:

  1. 組織には、フェデレーション ドメインが contoso.com とは、設置型認証のための AD FS です。An organization has the federated domain contoso.com and uses on-premises AD FS for authentication.

  2. ユーザー ian@contoso.com は、(は Azure Active Directory 内のユーザー アカウントおよび Exchange オンラインのグローバル アドレス一覧の受信者オブジェクトはありません)、Office 365 ではありませんが、設置、組織内に存在します。The user ian@contoso.com exists in the on-premises organization, but not in Office 365 (there's no user account in Azure Active Directory and no recipient object in the Exchange Online global address list).

  3. 電子メール クライアントは、ユーザー名 ian@contoso.com で、Exchange Online にログイン要求を送信します。認証ポリシーをユーザーに適用することはできませんし、設置する ian@contoso.com の認証要求が送信される AD FS です。An email client sends a login request to Exchange Online with the username ian@contoso.com. An authentication policy can't be applied to the user, and the authentication request for ian@contoso.com is sent to the on-premises AD FS.

  4. オンプレミス AD FS の承認または ian@contoso.com の認証要求を拒否できます。要求を承諾すると、Exchange Online に SAML トークンが返されます。として SAML トークンのImmutableIdの値には、Azure Active Directory 内のユーザーが一致すると、Azure AD は Exchange Online ( ImmutableIdの値は、Azure Active Directory 接続のセットアップ中に設定されます) に、ユーザーのチケットを発行します。The on-premises AD FS can either accept or reject the authentication request for ian@contoso.com. If the request is accepted, a SAML token is returned to Exchange Online. As long as the SAML token's ImmutableId value matches a user in Azure Active Directory, Azure AD will issue a user ticket to Exchange Online (the ImmutableId value is set during Azure Active Directory Connect setup).

このシナリオでは、contoso.com は設置型の認証では、施設内での AD FS サーバーの場合に AD FS サーバーがまだ存在しないユーザー名の認証要求 Exchange Online の中に表示されるパスワード スプレー攻撃します。In this scenario, if contoso.com uses on-premises AD FS server for authentication, the on-premises AD FS server will still receive authentication requests for non-existent usernames from Exchange Online during a password spray attack.

Exchange のオンラインでの認証ポリシーの手順Authentication policy procedures in Exchange Online

Exchange オンライン PowerShell での認証ポリシーのすべての側面を管理します。プロトコルと Exchange Online の基本認証をブロックすることでサービスについては、次の表で説明します。You manage all aspects of authentication policies in Exchange Online PowerShell. The protocols and services in Exchange Online that you can block Basic authentication for are described in the following table.

プロトコルまたはサービスProtocol or service 説明Description パラメーター名Parameter name
Exchange Active Sync (EA)Exchange Active Sync (EAS) モバイル デバイス上のいくつかの電子メール クライアントによって使用されます。Used by some email clients on mobile devices. AllowBasicAuthActiveSyncAllowBasicAuthActiveSync
自動検出Autodiscover 検索し、オンライン Exchange メールボックスに接続および EA は、Outlook クライアントによって使用されます。Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online AllowBasicAuthAutodiscoverAllowBasicAuthAutodiscover
IMAP4IMAP4 IMAP 電子メール クライアントによって使用されます。Used by IMAP email clients. AllowBasicAuthImapAllowBasicAuthImap
MAPI over HTTP (HTTP または MAPI)MAPI over HTTP (MAPI/HTTP) Outlook 2013 と後で使用されます。Used by Outlook 2013 and later. AllowBasicAuthMapiAllowBasicAuthMapi
オフラインアドレス帳 (OAB)Offline Address Book (OAB) ダウンロードされ、Outlook で使用するアドレス一覧のコレクションのコピー。A copy of address list collections that are downloaded and used by Outlook. AllowBasicAuthOfflineAddressBookAllowBasicAuthOfflineAddressBook
Outlook サービスOutlook Service 10 の Windows のメールおよび予定表アプリケーションによって使用されます。Used by the Mail and Calendar app for Windows 10. AllowBasicAuthOutlookServiceAllowBasicAuthOutlookService
POP3POP3 POP 電子メール クライアントによって使用されます。Used by POP email clients. AllowBasicAuthPopAllowBasicAuthPop
レポート Web サービスReporting Web Services Exchange のオンラインでのレポート データを取得するために使用されます。Used to retrieve report data in Exchange Online. AllowBasicAuthReportingWebServicesAllowBasicAuthReportingWebServices
Exchange の主要な状態転送 (他)Exchange Representational State Transfer (REST) プログラミングは、サード ・ パーティ製のアプリケーションで使用されているを結びます。A programming interfaced that's used by third-party apps. AllowBasicAuthRestAllowBasicAuthRest
Outlook Anywhere (RPC over HTTP)Outlook Anywhere (RPC over HTTP) Outlook 2016 と以前のバージョンを使用します。Used by Outlook 2016 and earlier. AllowBasicAuthRpcAllowBasicAuthRpc
認証された SMTPAuthenticated SMTP 電子メール メッセージを送信するのには、POP および IMAP クライアントによって使用されます。Used by POP and IMAP client's to send email messages. AllowBasicAuthSmtpAllowBasicAuthSmtp
Exchange Web サービス (EWS)Exchange Web Services (EWS) Outlook では、Mac、およびサード ・ パーティ製のアプリケーションは、Outlook で使用されているプログラミング インターフェイスです。A programming interface that's used by Outlook, Outlook for Mac, and third-party apps. AllowBasicAuthWebServicesAllowBasicAuthWebServices
PowerShellPowerShell リモート PowerShell で Exchange のオンラインへの接続に使用されます。Exchange オンライン PowerShell の基本認証をブロックする場合は、Exchange オンラインの PowerShell モジュールを使用して接続する必要があります。手順については、 Exchange オンライン PowerShell への接続は、多要素認証を使用して参照してください。Used to connect to Exchange Online with remote PowerShell. If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication. AllowBasicAuthPowerShellAllowBasicAuthPowerShell

通常、ユーザーの基本認証を拒否すると、すべてのプロトコルに対して基本認証をブロックすることお勧めします。ただし、使用することができます、 AllowBasicAuth* 選択的に許可するか、特定のプロトコルに対して基本認証を禁止する新しい AuthenticationPolicyセット AuthenticationPolicyコマンドレットのパラメーター (スイッチ) します。Typically, when you block Basic authentication for a user, we recommend that you block Basic authentication for all protocols. However, you can use the AllowBasicAuth* parameters (switches) on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets to selectively allow or block Basic authentication for specific protocols.

電子メール クライアントと最新の認証をサポートしていないアプリケーションでは、プロトコルと必要なサービスの基本認証を許可する必要があります。これらのプロトコルおよびサービスは、次の表のとおりです。For email clients and apps that don't support modern authentication, you need to allow Basic authentication for the protocols and services that they require. These protocols and services are described in the following table:

クライアントClient プロトコルおよびサービスProtocols and services
Outlook 2013 以降でOutlook 2013 and later • 自動検出• Autodiscover
• Exchange Web サービス (EWS)• Exchange Web Services (EWS)
• HTTP 経由で MAPI• MAPI over HTTP
• Outlook 任意の場所 (HTTP を経由した RPC)• Outlook Anywhere (RPC over HTTP)
• オフライン アドレス帳 (OAB)• Offline Address Book (OAB)
Outlook for Mac 2016Outlook for Mac 2016 • 自動検出• Autodiscover
• EWS• EWS
Exchange ActiveSync クライアント (たとえば、iOS メール 11.3.1)Exchange ActiveSync clients (for example, iOS Mail 11.3.1) • 自動検出• Autodiscover
• ActiveSync (EA)• ActiveSync (EAS)
POP クライアントPOP clients • POP3• POP3
• SMTP の認証• Authenticated SMTP
IMAP クライアントIMAP clients • IMAP4• IMAP4
• SMTP の認証• Authenticated SMTP

: 基本認証をブロックと、Exchange のオンラインでのアプリケーションのパスワードがブロックされます。アプリケーションのパスワードの詳細については、 Office 365 用にアプリケーションのパスワードの作成を参照してください。Note: Blocking Basic authentication will block app passwords in Exchange Online. For more information about app passwords, see Create an app password for Office 365.

始める前に把握しておくべき情報What do you need to know before you begin?

  • (これは既定で有効)、Exchange Online の組織でその最新の認証が有効になっていることを確認します。詳細については、有効または無効にする最新の認証では、Exchange オンラインを参照してください。Verify that modern authentication is enabled in your Exchange Online organization (it's enabled by default). For more information, see Enable or disable modern authentication in Exchange Online.

  • 電子メール クライアントとアプリケーションは、最新の認証をサポートすることを確認 (トピックの先頭に一覧を参照してください)。また、Outlook デスクトップ クライアントは、最低限必要な累積的な更新プログラムを実行していることを確認します。詳細については、 Outlook の更新プログラムを参照してください。Verify your email clients and apps support modern authentication (see the list at the beginning of the topic). Also, verify that your Outlook desktop clients are running the minimum required cumulative updates. For more information, see Outlook Updates.

  • オンライン PowerShell を Exchange に接続する方法については、 Exchange オンライン PowerShell への接続を参照してください。To learn how to connect to Exchange Online PowerShell, see Connect to Exchange Online PowerShell.

作成し、認証ポリシーを適用します。Create and apply authentication policies

作成し、Exchange のオンラインでの基本認証を禁止するのには、認証ポリシーを適用する手順は次のとおりです。The steps to create and apply authentication policies to block Basic authentication in Exchange Online are:

  1. 認証ポリシーを作成します。Create the authentication policy.

  2. 認証ポリシーをユーザーに割り当てます。Assign the authentication policy to users.

  3. 24 時間、ユーザーに適用されるポリシーを待つか、強制的にポリシーを即座に適用されます。Wait 24 hours for the policy to be applied to users, or force the policy to be immediately applied.

次の手順は、次のセクションで説明します。These steps are described in the following sections.

手順 1: 認証ポリシーを作成します。Step 1: Create the authentication policy

Exchange オンライン (推奨構成) ですべての利用可能なクライアント プロトコルの基本的な認証をブロック ポリシーを作成するには、次の構文を使用します。To create a policy that blocks Basic authentication for all available client protocols in Exchange Online (the recommended configuration), use the following syntax:

New-AuthenticationPolicy -Name "<Descriptive Name>"

ブロックの基本的な Auth. という名前の認証ポリシーを作成する次の使用例This example creates an authentication policy named Block Basic Auth.

New-AuthenticationPolicy -Name "Block Basic Auth"

詳細な構文とパラメーター情報は、新規 AuthenticationPolicyを参照してください。For detailed syntax and parameter information, see New-AuthenticationPolicy.

:Notes:

  • (セット AuthenticationPolicyコマンドレットで使用可能なは、 Nameパラメーターです) それを作成した後は、ポリシーの名前を変更できません。You can't change the name of the policy after you create it (the Name parameter isn't available on the Set-AuthenticationPolicy cmdlet).

  • ポリシー内の特定のプロトコルに対して基本認証を有効にするには、この後の認証ポリシーの変更」を参照してください。同じプロトコルの設定は新規 AuthenticationPolicyセット AuthenticationPolicyのコマンドレットで使用できると、特定のプロトコルに対して基本認証を有効にする手順は、両方のコマンドレットに同じです。To enable Basic authentication for specific protocols in the policy, see the Modify authentication policies section later in this topic. The same protocol settings are available on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets, and the steps to enable Basic authentication for specific protocols are the same for both cmdlets.

手順 2: は、ユーザーに認証ポリシーを割り当てるStep 2: Assign the authentication policy to users

認証ポリシーをユーザーに割り当てることができますを使用する 3 つの基本的な方法があります。There are three basic methods you can use to assign authentication policies to users:

  • 個々 のユーザー アカウント: 次の構文を使用します。Individual user accounts: Use the following syntax:

    Set-User -Identity <UserIdentity> -AuthenticationPolicy <PolicyIdentity>
    

    この例では、ブロックの基本認証をユーザー アカウントの laura@contoso.com という名前のポリシーが割り当てられます。This example assigns the policy named Block Basic Auth to the user account laura@contoso.com.

    Set-User -Identity laura@contoso.com -AuthenticationPolicy "Block Basic Auth"
    
  • 属性によって、ユーザー アカウントにフィルターを適用: この方法では、すべてのユーザー アカウントに一意なフィルター処理可能属性 (たとえば、タイトルまたは部門)、ユーザーの識別に使用できるが共有する必要があります。構文は、次のコマンド (特定のユーザー アカウント、およびそれらのユーザーにポリシーを適用するのには、その他の 2 つ) を使用します。Filter user accounts by attributes: This method requires that the user accounts all share a unique filterable attribute (for example, Title or Department) that you can use to identify the users. The syntax uses the following commands (two to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
    
    $<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
    
    $<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    

    この例では、基本認証のブロックをという名前のTitle属性に「販売員」の値が含まれているすべてのユーザー アカウントにポリシーを割り当てます。This example assigns the policy named Block Basic Auth to all user accounts whose Title attribute contains the value "Sales Associate".

    $SalesUsers = Get-User -ResultSize unlimited -Filter {(RecipientType -eq 'UserMailbox') -and (Title -like '*Sales Associate*')}
    
    $Sales = $SalesUsers.MicrosoftOnlineServicesID
    
    $Sales | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    
  • 特定のユーザー アカウントのリストを使用: このメソッドには、ユーザー アカウントを識別するテキスト ファイルが必要です。スペースが含まれていない値 (たとえば、Office 365 作業またはアカウントの学校) で最適に動作します。テキスト ファイルには、次のように各行に 1 つのユーザー アカウントを含める必要があります。Use a list of specific user accounts: This method requires a text file to identify the user accounts. Values that don't contain spaces (for example, the Office 365 work or school account) work best. The text file must contain one user account on each line like this:

    akol@contoso.com

    tjohnston@contoso.com

    kakers@contoso.com

    構文は、次の 2 つのコマンド (特定のユーザー アカウント、およびそれらのユーザーにポリシーを適用するのには、その他の 1 つ) を使用します。The syntax uses the following two commands (one to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName> = Get-Content "<text file>"
    
    $<VariableName> | foreach {Set-User -Identity $_ -AuthenticationPolicy <PolicyIdentity>}
    

    この例では、C:\My Documents\BlockBasicAuth.txt ファイルで指定されたユーザー アカウントをブロックの基本認証] というポリシーが割り当てられます。This example assigns the policy named Block Basic Auth to the user accounts specified in the file C:\My Documents\BlockBasicAuth.txt.

    $BBA = Get-Content "C:\My Documents\BlockBasicAuth.txt"
    
    $BBA | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    

: ユーザーからのポリシーの割り当てを削除するには、値を使用して$nullユーザー セットのコマンドレットのAuthenticationPolicyパラメーターにします。Note: To remove the policy assignment from users, use the value $null for the AuthenticationPolicy parameter on the Set-User cmdlet.

手順 3: (省略可能) すぐにユーザーに認証ポリシーを適用Step 3: (Optional) Immediately apply the authentication policy to users

既定では、ユーザーの認証ポリシーの割り当てを変更したり、ポリシーを更新するを作成すると変更は有効に 24 時間以内です。30 分以内に有効にするポリシーを設定する場合は、次の構文を使用します。By default, when you create or change the authentication policy assignment on users or update the policy, the changes take effect within 24 hours. If you want the policy to take effect within 30 minutes, use the following syntax:

Set-User -Identity <UserIdentity> -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

すぐに、この例では、ユーザー laura@contoso.com に認証ポリシーが適用されます。This example immediately applies the authentication policy to the user laura@contoso.com.

Set-User -Identity laura@contoso.com -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

すぐに、次の使用例は、フィルター処理可能な属性またはテキスト ファイルで識別していた複数のユーザーに認証ポリシーを適用します。同じ PowerShell セッションでは、(いくつか他の目的の後に同じ変数名を使用していない) ユーザーを識別するために使用する変数を変更していない場合、次の使用例が動作します。例えば:This example immediately applies the authentication policy to multiple users that were previously identified by filterable attributes or a text file. This example works if you're still in the same PowerShell session and you haven't changed the variables you used to identify the users (you didn't use the same variable name afterwards for some other purpose). For example:

$Sales | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

またはor

$BBA | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

認証ポリシーの表示View authentication policies

既存のすべての認証ポリシーの名前の一覧を表示するには、次のコマンドを実行します。To view a summary list of the names of all existing authentication policies, run the following command:

Get-AuthenticationPolicy | Format-Table -Auto Name

特定の認証ポリシーに関する詳細情報を表示するには、この構文を使用します。To view detailed information about a specific authentication policy, use this syntax:

Get-AuthenticationPolicy -Identity <PolicyIdentity>

この使用例は、ブロックの基本的な Auth. という名前のポリシーに関する詳細情報を取得します。This example returns detailed information about the policy named Block Basic Auth.

Get-AuthenticationPolicy -Identity "Block Basic Auth"

詳細な構文とパラメーター情報は、 Get AuthenticationPolicyを参照してください。For detailed syntax and parameter information, see Get-AuthenticationPolicy.

認証ポリシーを変更します。Modify authentication policies

既定では、任意のプロトコルを指定せずに新しい認証ポリシーを作成するときに基本認証が Exchange Online 内のすべてのクライアント プロトコルがブロックされます。既定値、つまり、 AllowBasicAuth* パラメーター (スイッチ) は、Falseのすべてのプロトコルです。By default, when you create a new authentication policy without specifying any protocols, Basic authentication is blocked for all client protocols in Exchange Online. In other words, the default value of the AllowBasicAuth* parameters (switches) is False for all protocols.

  • 無効になっている特定のプロトコルに対して基本認証を有効にするには、値のないスイッチを指定します。To enable Basic authentication for a specific protocol that's disabled, specify the switch without a value.

  • 有効にする特定のプロトコルに対して基本認証を無効にする場合、値を使用することができますのみ:$falseTo disable Basic authentication for a specific protocol that's enabled, you can only use the value :$false.

Get AuthenticationPolicyコマンドレットを使用するにはの現在のステータスを表示するのには、 *AllowBasicAuth* * 、ポリシー内のスイッチです。You can use the Get-AuthenticationPolicy cmdlet to see the current status of the AllowBasicAuth* switches in the policy.

この例は、POP3 プロトコルの基本認証を有効にし、ブロックの基本的な Auth. という名前の既存の認証ポリシーでは、IMAP4 プロトコルの基本認証を無効になります。This example enables basic authentication for the POP3 protocol and disables basic authentication for the IMAP4 protocol in the existing authentication policy named Block Basic Auth.

Set-AuthenticationPolicy -Identity "Block Basic Auth" -AllowBasicAuthPop -AllowBasicAuthImap:$false

詳細な構文とパラメーター情報は、一連の AuthenticationPolicyを参照してください。For detailed syntax and parameter information, see Set-AuthenticationPolicy.

既定の認証ポリシーを構成します。Configure the default authentication policy

既定の認証ポリシーは、割り当てられている特定のポリシーを持っていないすべてのユーザーに割り当てられます。認証ポリシーがユーザーに割り当てられている優先されることには、既定のポリシーに注意してください。組織の既定の認証ポリシーを構成するには、この構文を使用します。The default authentication policy is assigned to all users who don't already have a specific policy assigned to them. Note that the authentication policies assigned to users take precedence to the default policy. To configure the default authentication policy for the organization, use this syntax:

Set-OrganizationConfig -DefaultAuthenticationPolicy <PolicyIdentity>

次の使用例は、既定のポリシーとして基本認証をブロック] という名前の認証ポリシーを構成します。This example configures the authentication policy named Block Basic Auth as the default policy.

Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Basic Auth"

: 既定の認証ポリシーの指定を削除するには、値を使用して$null DefaultAuthenticationPolicyパラメーターにします。Note: To remove the default authentication policy designation, use the value $null for the DefaultAuthenticationPolicy parameter.

認証ポリシーを削除します。Remove authentication policies

既存の認証ポリシーを削除するには、この構文を使用します。To remove an existing authentication policy, use this syntax:

Remove-AuthenticationPolicy -Identity <PolicyIdentity>

この例では、認証ポリシーのテストをという名前のポリシーを削除します。This example removes the policy named Test Auth Policy.

Remove-AuthenticationPolicy -Identity "Test Auth Policy"

詳細な構文やパラメーターの情報を削除 AuthenticationPolicyを参照してください。For detailed syntax and parameter information, see Remove-AuthenticationPolicy.

すれば Exchange Online で基本認証を無効にしたか。How do you know that you've successfully disabled Basic authentication in Exchange Online?

認証ポリシーは、Exchange Online で特定のプロトコルの特定のユーザーからの基本的な認証要求をブロックするときの応答は、 401 Unauthorized。クライアントがブロックされているユーザーに関する追加情報を漏らさないようにするには、追加情報は返されません。応答の例は、次のようになります。When an authentication policy blocks Basic authentication requests from a specific user for a specific protocol in Exchange Online, the response is 401 Unauthorized. No additional information is returned to the client to avoid leaking any additional information about the blocked user. An example of the response looks like this:

HTTP/1.1 401 Unauthorized
Server: Microsoft-IIS/10.0
request-id: 413ee498-f337-4b0d-8ad5-50d900eb1f72
X-CalculatedBETarget: DM5PR2101MB0886.namprd21.prod.outlook.com
X-BackEndHttpStatus: 401
Set-Cookie: MapiRouting=#################################################; path=/mapi/; secure; HttpOnly
X-ServerApplication: Exchange/15.20.0485.000
X-RequestId: {3146D993-9082-4D57-99ED-9E7D5EA4FA56}:8
X-ClientInfo: {B0DD130A-CDBF-4CFA-8041-3D73B4318010}:59
X-RequestType: Bind
X-DiagInfo: DM5PR2101MB0886
X-BEServer: DM5PR2101MB0886
X-Powered-By: ASP.NET
X-FEServer: MA1PR0101CA0031
WWW-Authenticate: Basic Realm="",Basic Realm=""
Date: Wed, 31 Jan 2018 05:15:08 GMT
Content-Length: 0