Отключение обычной проверки подлинности в Exchange OnlineDisable Basic authentication in Exchange Online

Примечание

Если в организации включены Параметры безопасности по умолчанию , обычная проверка подлинности уже отключена в Exchange Online.If you've enabled security defaults in your organization, Basic authentication is already disabled in Exchange Online. Дополнительные сведения см. в статье Что такое параметры безопасности по умолчанию?.For more information, see What are security defaults?. Ознакомьтесь с обычной проверкой подлинности и Exchange Online для получения последних объявлений, касающихся обычной проверки подлинности.Please see Basic Authentication and Exchange Online for the latest announcements concerning Basic authentication.

Обычная проверка подлинности в Exchange Online использует имя пользователя и пароль для запросов клиентского доступа.Basic authentication in Exchange Online uses a username and a password for client access requests. Блокировка обычной проверки подлинности помогает защитить организацию Exchange Online от атак с помощью грубого или распылителя паролей.Blocking Basic authentication can help protect your Exchange Online organization from brute force or password spray attacks. При отключении обычной проверки подлинности для пользователей в Exchange Online их почтовые клиенты и приложения должны поддерживать современные проверки подлинности.When you disable Basic authentication for users in Exchange Online, their email clients and apps must support modern authentication. Это следующие клиенты:Those clients are:

Если в вашей организации нет устаревших почтовых клиентов, можно использовать политики проверки подлинности в Exchange Online, чтобы отключить основные запросы проверки подлинности, что позволяет всем запросам клиентского доступа использовать современные проверки подлинности.If your organization has no legacy email clients, you can use authentication policies in Exchange Online to disable Basic authentication requests, which forces all client access requests to use modern authentication. Более подробную информацию о современной проверке подлинности можно узнать в статье использование современной проверки подлинности в клиентах Office.For more information about modern authentication, see Using modern authentication with Office clients.

В этом разделе описывается использование и блокировка обычной проверки подлинности в Exchange Online, а также соответствующие процедуры для политик проверки подлинности.This topic explains how Basic authentication is used and blocked in Exchange Online, and the corresponding procedures for authentication policies.

Как обычная проверка подлинности работает в Exchange OnlineHow Basic authentication works in Exchange Online

Обычная проверка подлинности также называется проверкой подлинности прокси-сервера , так как клиент электронной почты передает имя пользователя и пароль в Exchange Online, а Exchange Online пересылает или передает учетные данные доверенному поставщику удостоверений (IDP) от имени почтового клиента или приложения.Basic authentication is also known as proxy authentication because the email client transmits the username and password to Exchange Online, and Exchange Online forwards or proxies the credentials to an authoritative identity provider (IdP) on behalf of the email client or app. IdP зависит от модели проверки подлинности вашей организации:The IdP depends your organization's authentication model:

  • Облачная проверка подлинности: IDP — Azure Active Directory.Cloud authentication: The IdP is Azure Active Directory.

  • Федеративная проверка подлинности: IDP это локальное решение, например службы федерации Active Directory (AD FS).Federated authentication: The IdP is an on-premises solution like Active Directory Federation Services (AD FS).

Эти модели проверки подлинности описаны в следующих разделах.These authentication models are described in the following sections. Для получения дополнительных сведений ознакомьтесь со статьей выбор правильного метода проверки подлинности для вашего решения гибридного удостоверения Azure Active Directory.For more information, see Choose the right authentication method for your Azure Active Directory hybrid identity solution.

Проверка подлинности в облакеCloud authentication

Действия, описанные в Cloud Authentication, описаны на следующей схеме:The steps in cloud authentication are described in the following diagram:

Основные действия для проверки подлинности на основе облака и блокировка обычной проверки подлинности.

  1. Почтовый клиент отправляет имя пользователя и пароль в Exchange Online.The email client sends the username and password to Exchange Online.

    Примечание. Если обычная проверка подлинности заблокирована, на этом этапе она блокируется.Note: When Basic authentication is blocked, it's blocked at this step.

  2. Exchange Online отправляет имя пользователя и пароль в Azure Active Directory.Exchange Online sends the username and password to Azure Active Directory.

  3. Azure Active Directory возвращает билет пользователя для Exchange Online, и пользователь прошел проверку подлинности.Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

Федеративная проверка подлинностиFederated authentication

Действия, описанные в Федеративной проверке подлинности, описаны на следующей схеме:The steps in federated authentication are described in the following diagram:

Основные действия для федеративной проверки подлинности и место блокирования обычной проверки подлинности

  1. Почтовый клиент отправляет имя пользователя и пароль в Exchange Online.The email client sends the username and password to Exchange Online.

    Примечание. Если обычная проверка подлинности заблокирована, на этом этапе она блокируется.Note: When Basic authentication is blocked, it's blocked at this step.

  2. Exchange Online отправляет имя пользователя и пароль в локальную IdP.Exchange Online sends the username and password to the on-premises IdP.

  3. Exchange Online получает маркер SAML (Security Assertion Markup Language) из локальной IdP.Exchange Online receives a Security Assertion Markup Language (SAML) token from the on-premises IdP.

  4. Exchange Online отправляет маркер SAML в Azure Active Directory.Exchange Online sends the SAML token to Azure Active Directory.

  5. Azure Active Directory возвращает билет пользователя для Exchange Online, и пользователь прошел проверку подлинности.Azure Active Directory returns a user ticket to Exchange Online and the user is authenticated.

Блокировка обычной проверки подлинности в Exchange OnlineHow Basic authentication is blocked in Exchange Online

Вы блокируете обычную проверку подлинности в Exchange Online, создавая и назначив политики проверки подлинности отдельным пользователям.You block Basic authentication in Exchange Online by creating and assigning authentication policies to individual users. Политики определяют протоколы клиентов, для которых обычная проверка подлинности блокируется, и назначение политики одному или нескольким пользователям блокирует их основные запросы проверки подлинности для заданных протоколов.The policies define the client protocols where Basic authentication is blocked, and assigning the policy to one or more users blocks their Basic authentication requests for the specified protocols.

Когда она блокируется, обычная проверка подлинности в Exchange Online блокируется на первом этапе предварительной проверки подлинности (шаг 1 на предыдущих схемах) до того, как запрос достигнет Azure Active Directory или локальной IdP.When it's blocked, Basic authentication in Exchange Online is blocked at the first pre-authentication step (Step 1 in the previous diagrams) before the request reaches Azure Active Directory or the on-premises IdP. Преимущество этого подхода заключается в том, что атаки методом грубого или распыления паролей не достигают IdP (что может вызвать блокировку учетных записей из-за неудачных попыток входа).The benefit of this approach is brute force or password spray attacks won't reach the IdP (which might trigger account lock-outs due to incorrect login attempts).

Так как политики проверки подлинности работают на уровне пользователя, Exchange Online может блокировать только обычные запросы проверки подлинности для пользователей, существующих в облачной организации.Because authentication policies operate at the user level, Exchange Online can only block Basic authentication requests for users that exist in the cloud organization. Если для федеративной проверки подлинности пользователь отсутствует в Exchange Online, имя пользователя и пароль направляются в локальную IdP.For federated authentication, if a user doesn't exist in Exchange Online, the username and password are forwarded to the on-premises IdP. Например, рассмотрим следующий сценарий:For example, consider the following scenario:

  1. Организация имеет федеративный домен contoso.com и использует локальные службы федерации Active Directory для проверки подлинности.An organization has the federated domain contoso.com and uses on-premises AD FS for authentication.

  2. Пользователь ian@contoso.com существует в локальной организации, но не в Office 365 или Microsoft 365 (в Azure Active Directory нет учетной записи пользователя, и в глобальном списке адресов Exchange Online отсутствует объект Recipient).The user ian@contoso.com exists in the on-premises organization, but not in Office 365 or Microsoft 365 (there's no user account in Azure Active Directory and no recipient object in the Exchange Online global address list).

  3. Клиент электронной почты отправляет запрос на вход в Exchange Online с помощью имени пользователя ian@contoso.com.An email client sends a login request to Exchange Online with the username ian@contoso.com. Политика проверки подлинности не может быть применена к пользователю, а запрос проверки подлинности для ian@contoso.com отправляется локальному AD FS.An authentication policy can't be applied to the user, and the authentication request for ian@contoso.com is sent to the on-premises AD FS.

  4. Локальные службы федерации Active Directory могут либо принять, либо отклонить запрос проверки подлинности для ian@contoso.com.The on-premises AD FS can either accept or reject the authentication request for ian@contoso.com. Если запрос принят, маркер SAML возвращается в Exchange Online.If the request is accepted, a SAML token is returned to Exchange Online. Если значение значения свойств ImmutableId токена SAML соответствует пользователю в Azure Active Directory, Azure AD выдает билет пользователя на Exchange Online (значение значения свойств ImmutableId задается во время установки Azure Active Directory Connect).As long as the SAML token's ImmutableId value matches a user in Azure Active Directory, Azure AD will issue a user ticket to Exchange Online (the ImmutableId value is set during Azure Active Directory Connect setup).

В этом сценарии, если contoso.com использует локальный сервер AD FS для проверки подлинности, локальный сервер AD FS по-прежнему будет получать запросы на проверку подлинности для несуществующих имен пользователей в Exchange Online при атаке с помощью пароля.In this scenario, if contoso.com uses on-premises AD FS server for authentication, the on-premises AD FS server will still receive authentication requests for non-existent usernames from Exchange Online during a password spray attack.

В гибридном развертывании Exchange проверка подлинности локальных почтовых ящиков будет выполняться локальными серверами Exchange, а политики проверки подлинности не будут применяться.In an Exchange hybrid deployment, authentication for your on-premises mailboxes will be handled by your on-premises Exchange servers, and authentication policies won't apply. Для почтовых ящиков, перемещенных в Exchange Online, служба автообнаружения перенаправит их в Exchange Online, а затем в некоторых из предыдущих сценариев будут применяться некоторые из этих сценариев.For mailboxes moved to Exchange Online, the Autodiscover service will redirect them to Exchange Online, and then some of the previous scenarios will apply.

Процедуры политики проверки подлинности в Exchange OnlineAuthentication policy procedures in Exchange Online

Вы управляете всеми аспектами политик проверки подлинности в Exchange Online PowerShell.You manage all aspects of authentication policies in Exchange Online PowerShell. В приведенной ниже таблице перечислены протоколы и службы Exchange Online, для которых можно заблокировать обычную проверку подлинности.The protocols and services in Exchange Online that you can block Basic authentication for are described in the following table.

Протокол или службаProtocol or service ОписаниеDescription Имя параметраParameter name
Exchange Active Sync (EAS)Exchange Active Sync (EAS) Используется некоторыми почтовыми клиентами на мобильных устройствах.Used by some email clients on mobile devices. алловбасикаусактивесинкAllowBasicAuthActiveSync
АвтообнаружениеAutodiscover Используется клиентами Outlook и EAS для поиска почтовых ящиков и подключения к ним в Exchange OnlineUsed by Outlook and EAS clients to find and connect to mailboxes in Exchange Online алловбасикаусаутодисковерAllowBasicAuthAutodiscover
IMAP4IMAP4 Используется почтовыми клиентами IMAP.Used by IMAP email clients. алловбасикаусимапAllowBasicAuthImap
Протокол MAPI over HTTP (MAPI/HTTP)MAPI over HTTP (MAPI/HTTP) Используется Outlook 2010 и более поздних версий.Used by Outlook 2010 and later. алловбасикаусмапиAllowBasicAuthMapi
автономная адресная книга (OAB);Offline Address Book (OAB) Копия коллекций списков адресов, которые загружаются и используются в Outlook.A copy of address list collections that are downloaded and used by Outlook. алловбасикаусоффлинеаддрессбукAllowBasicAuthOfflineAddressBook
Служба OutlookOutlook Service Используется приложением "почта" и "Календарь" для Windows 10.Used by the Mail and Calendar app for Windows 10. алловбасикаусаутлуксервицеAllowBasicAuthOutlookService
СлужбаPOP3 Используется почтовыми клиентами POP.Used by POP email clients. алловбасикауспопAllowBasicAuthPop
Веб-службы отчетовReporting Web Services Используется для получения данных отчета в Exchange Online.Used to retrieve report data in Exchange Online. алловбасикаусрепортингвебсервицесAllowBasicAuthReportingWebServices
Мобильный Outlook (RPC через HTTP)Outlook Anywhere (RPC over HTTP) Используется Outlook 2016 и более ранних версий.Used by Outlook 2016 and earlier. алловбасикаусрпкAllowBasicAuthRpc
Протокол SMTP с проверкой подлинностиAuthenticated SMTP Используется клиентом POP и IMAP для отправки сообщений электронной почты.Used by POP and IMAP client's to send email messages. алловбасикауссмтпAllowBasicAuthSmtp
Веб-службы Exchange (EWS)Exchange Web Services (EWS) Программный интерфейс, используемый Outlook, Outlook для Mac и сторонние приложения.A programming interface that's used by Outlook, Outlook for Mac, and third-party apps. алловбасикаусвебсервицесAllowBasicAuthWebServices
PowerShellPowerShell Используется для подключения к Exchange Online с помощью удаленного сеанса PowerShell.Used to connect to Exchange Online with remote PowerShell. Если вы блокируете обычную проверку подлинности для Exchange Online PowerShell, вам потребуется использовать модуль Exchange Online v2 для подключения.If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online V2 module to connect. Инструкции см. в статье Подключение к Exchange Online PowerShell.For instructions, see Connect to Exchange Online PowerShell. алловбасикаусповершеллAllowBasicAuthPowerShell

Как правило, при блокировании обычной проверки подлинности для пользователя рекомендуется блокировать обычную проверку подлинности для всех протоколов.Typically, when you block Basic authentication for a user, we recommend that you block Basic authentication for all protocols. Тем не менее, вы можете использовать параметры *алловбасикаус * * (параметры) в командлетах New-Аусентикатионполици и Set-аусентикатионполици , чтобы выборочно разрешить или заблокировать обычную проверку подлинности для определенных протоколов.However, you can use the AllowBasicAuth* parameters (switches) on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets to selectively allow or block Basic authentication for specific protocols.

Для почтовых клиентов и приложений, не поддерживающих современные проверки подлинности, необходимо разрешить обычную проверку подлинности для нужных протоколов и служб.For email clients and apps that don't support modern authentication, you need to allow Basic authentication for the protocols and services that they require. Эти протоколы и службы описаны в таблице ниже.These protocols and services are described in the following table:

КлиентClient Протоколы и службыProtocols and services
Старые клиенты EWSOlder EWS clients • Автообнаружение• Autodiscover
• EWS• EWS
Старые клиенты ActiveSyncOlder ActiveSync clients • Автообнаружение• Autodiscover
• ActiveSync• ActiveSync
Клиенты POPPOP clients • POP3• POP3
• SMTP с проверкой подлинности• Authenticated SMTP
Клиенты IMAPIMAP clients • IMAP4• IMAP4
• SMTP с проверкой подлинности• Authenticated SMTP
Outlook 2010Outlook 2010 • Автообнаружение• Autodiscover
• Протокол MAPI over HTTP• MAPI over HTTP
• Автономная адресная книга• Offline Address Book
• Мобильный Outlook (RPC через HTTP)• Outlook Anywhere (RPC over HTTP)
• Веб-службы Exchange (EWS)• Exchange Web Services (EWS)

Примечание

При блокировании обычной проверки подлинности пароли приложений будут блокироваться в Exchange Online.Blocking Basic authentication will block app passwords in Exchange Online. Дополнительные сведения о паролях приложений можно найти в статье Создание пароля приложения.For more information about app passwords, see Create an app password.

Что нужно знать перед началом работыWhat do you need to know before you begin?

Создание и применение политик проверки подлинностиCreate and apply authentication policies

Инструкции по созданию и применению политик проверки подлинности для блокирования обычной проверки подлинности в Exchange Online:The steps to create and apply authentication policies to block Basic authentication in Exchange Online are:

  1. Создайте политику проверки подлинности.Create the authentication policy.

  2. Назначьте политику проверки подлинности пользователям.Assign the authentication policy to users.

  3. Подождите 24 часа, чтобы политика применялась к пользователям, или принудительно примените политику.Wait 24 hours for the policy to be applied to users, or force the policy to be immediately applied.

Эти действия описаны в следующих разделах.These steps are described in the following sections.

Шаг 1: Создание политики проверки подлинностиStep 1: Create the authentication policy

Чтобы создать политику, которая блокирует обычную проверку подлинности для всех доступных клиентских протоколов в Exchange Online (рекомендуемая конфигурация), используйте следующий синтаксис:To create a policy that blocks Basic authentication for all available client protocols in Exchange Online (the recommended configuration), use the following syntax:

New-AuthenticationPolicy -Name "<Descriptive Name>"

В этом примере создается политика проверки подлинности с именем Block Basic auth.This example creates an authentication policy named Block Basic Auth.

New-AuthenticationPolicy -Name "Block Basic Auth"

Подробные сведения о синтаксисе и параметрах можно найти в статье New – аусентикатионполици.For detailed syntax and parameter information, see New-AuthenticationPolicy.

Примечания:Notes:

  • После создания политики изменить ее имя невозможно (параметр Name недоступен для командлета Set-аусентикатионполици ).You can't change the name of the policy after you create it (the Name parameter isn't available on the Set-AuthenticationPolicy cmdlet).

  • Чтобы включить обычную проверку подлинности для определенных протоколов в политике, ознакомьтесь с разделом изменение политик проверки подлинности далее в этом разделе.To enable Basic authentication for specific protocols in the policy, see the Modify authentication policies section later in this topic. В командлетах New – аусентикатионполици и Set аусентикатионполици доступны те же параметры протокола, а для обоих командлетов — одинаковый способ включения обычной проверки подлинности для определенных протоколов.The same protocol settings are available on the New-AuthenticationPolicy and Set-AuthenticationPolicy cmdlets, and the steps to enable Basic authentication for specific protocols are the same for both cmdlets.

Шаг 2: назначение политики проверки подлинности пользователямStep 2: Assign the authentication policy to users

В этом разделе описаны методы, которые можно использовать для назначения политик проверки подлинности пользователям.The methods that you can use to assign authentication policies to users are described in this section:

  • Учетные записи отдельных пользователей: используйте следующий синтаксис:Individual user accounts: Use the following syntax:

    Set-User -Identity <UserIdentity> -AuthenticationPolicy <PolicyIdentity>
    

    В этом примере для учетной записи пользователя laura@contoso.com назначается политика "Обычная проверка подлинности с именем Block".This example assigns the policy named Block Basic Auth to the user account laura@contoso.com.

    Set-User -Identity laura@contoso.com -AuthenticationPolicy "Block Basic Auth"
    
  • Фильтрация учетных записей пользователей по атрибутам: Этот метод требует, чтобы учетные записи пользователей совместно использовали уникальный фильтруемый атрибут (например, Title или Department), который можно использовать для идентификации пользователей.Filter user accounts by attributes: This method requires that the user accounts all share a unique filterable attribute (for example, Title or Department) that you can use to identify the users. Синтаксис использует следующие команды (два для определения учетных записей пользователей, а другой — для применения политики к этим пользователям):The syntax uses the following commands (two to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
    $<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
    $<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    

    В этом примере для всех учетных записей пользователей, атрибут Title которых содержит значение "Sales Sales", будет назначена обычная проверка подлинности с именем Block Basic.This example assigns the policy named Block Basic Auth to all user accounts whose Title attribute contains the value "Sales Associate".

    $SalesUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (Title -like '*Sales Associate*')"
    $Sales = $SalesUsers.MicrosoftOnlineServicesID
    $Sales | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    
  • Используйте список определенных учетных записей пользователей: для этого метода требуется текстовый файл для определения учетных записей пользователей.Use a list of specific user accounts: This method requires a text file to identify the user accounts. Значения, которые не содержат пробелов (например, лучше всего подходит Рабочая или учебная учетная запись Office 365 или Microsoft 365).Values that don't contain spaces (for example, the Office 365 or Microsoft 365 work or school account) work best. Текстовый файл должен содержать одну учетную запись пользователя в каждой строке, как показано ниже.The text file must contain one user account on each line like this:

    akol@contoso.comakol@contoso.com
    tjohnston@contoso.comtjohnston@contoso.com
    kakers@contoso.comkakers@contoso.com

    Синтаксис использует следующие две команды (один для определения учетных записей пользователей, а другой для применения политики к этим пользователям):The syntax uses the following two commands (one to identify the user accounts, and the other to apply the policy to those users):

    $<VariableName> = Get-Content "<text file>"
    $<VariableName> | foreach {Set-User -Identity $_ -AuthenticationPolicy <PolicyIdentity>}
    

    В этом примере для учетных записей пользователей, указанных в файле "д Documents\BlockBasicAuth.txt", назначается политика обычная проверка подлинности с именем Block Basic.This example assigns the policy named Block Basic Auth to the user accounts specified in the file C:\My Documents\BlockBasicAuth.txt.

    $BBA = Get-Content "C:\My Documents\BlockBasicAuth.txt"
    $BBA | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}
    
  • Фильтрация локальных учетных записей пользователей Active Directory, которые синхронизируются с Exchange Online: Дополнительные сведения см. в разделе Фильтрация локальных учетных записей пользователей Active Directory, синхронизируемых в разделе Exchange Online этой статьи.Filter on-premises Active Directory user accounts that are synchronized to Exchange Online: For details, see the Filter on-premises Active Directory user accounts that are synchronized to Exchange Online section in this topic.

Примечание

Чтобы удалить назначение политики для пользователей, используйте значение $null параметра аусентикатионполици командлета Set – User .To remove the policy assignment from users, use the value $null for the AuthenticationPolicy parameter on the Set-User cmdlet.

Шаг 3: (необязательно). немедленное применение политики проверки подлинности к пользователямStep 3: (Optional) Immediately apply the authentication policy to users

По умолчанию при создании или изменении назначения политики проверки подлинности для пользователей или при обновлении политики изменения вступают в силу в течение 24 часов.By default, when you create or change the authentication policy assignment on users or update the policy, the changes take effect within 24 hours. Если вы хотите, чтобы политика вступила в силу в течение 30 минут, используйте следующий синтаксис:If you want the policy to take effect within 30 minutes, use the following syntax:

Set-User -Identity <UserIdentity> -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

В этом примере сразу же применяется политика проверки подлинности для пользователя laura@contoso.com.This example immediately applies the authentication policy to the user laura@contoso.com.

Set-User -Identity laura@contoso.com -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

В этом примере сразу же применяется политика проверки подлинности для нескольких пользователей, которые были ранее идентифицированы фильтруемыми атрибутами или текстовым файлом.This example immediately applies the authentication policy to multiple users that were previously identified by filterable attributes or a text file. Этот пример работает, если вы по-прежнему находитесь в том же сеансе PowerShell и вы не изменили переменные, которые использовались для определения пользователей (для некоторых других целей вы не использовали одно и то же имя переменной).This example works if you're still in the same PowerShell session and you haven't changed the variables you used to identify the users (you didn't use the same variable name afterwards for some other purpose). Пример:For example:

$Sales | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

илиor

$BBA | foreach {Set-User -Identity $_ -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)}

Просмотр политик проверки подлинностиView authentication policies

Чтобы просмотреть сводный список имен всех существующих политик проверки подлинности, выполните следующую команду:To view a summary list of the names of all existing authentication policies, run the following command:

Get-AuthenticationPolicy | Format-Table Name -Auto

Чтобы просмотреть подробные сведения об определенной политике проверки подлинности, используйте следующий синтаксис:To view detailed information about a specific authentication policy, use this syntax:

Get-AuthenticationPolicy -Identity <PolicyIdentity>

В этом примере возвращаются подробные сведения о политике с именем Block Basic auth.This example returns detailed information about the policy named Block Basic Auth.

Get-AuthenticationPolicy -Identity "Block Basic Auth"

Подробные сведения о синтаксисе и параметрах можно найти в статье Get – аусентикатионполици.For detailed syntax and parameter information, see Get-AuthenticationPolicy.

Изменение политик проверки подлинностиModify authentication policies

По умолчанию при создании новой политики проверки подлинности без указания каких-либо протоколов обычная проверка подлинности блокируется для всех клиентских протоколов в Exchange Online.By default, when you create a new authentication policy without specifying any protocols, Basic authentication is blocked for all client protocols in Exchange Online. Другими словами, значение параметра *алловбасикаус * * по умолчанию (переключатели) предназначено False для всех протоколов.In other words, the default value of the AllowBasicAuth* parameters (switches) is False for all protocols.

  • Чтобы включить обычную проверку подлинности для определенного отключенного протокола, укажите параметр без значения.To enable Basic authentication for a specific protocol that's disabled, specify the switch without a value.

  • Чтобы отключить обычную проверку подлинности для конкретного включенного протокола, можно использовать только значение :$false .To disable Basic authentication for a specific protocol that's enabled, you can only use the value :$false.

Командлет Get – аусентикатионполици можно использовать для просмотра текущего состояния параметров * * алловбасикаус* в политике.You can use the Get-AuthenticationPolicy cmdlet to see the current status of the AllowBasicAuth* switches in the policy.

В этом примере включается обычная проверка подлинности для протокола POP3 и отключается обычная проверка подлинности для протокола IMAP4 в существующей политике проверки подлинности с именем Block Basic auth.This example enables basic authentication for the POP3 protocol and disables basic authentication for the IMAP4 protocol in the existing authentication policy named Block Basic Auth.

Set-AuthenticationPolicy -Identity "Block Basic Auth" -AllowBasicAuthPop -AllowBasicAuthImap:$false

Подробные сведения о синтаксисе и параметрах можно найти в статье Set – аусентикатионполици.For detailed syntax and parameter information, see Set-AuthenticationPolicy.

Настройка политики проверки подлинности по умолчаниюConfigure the default authentication policy

Политика проверки подлинности по умолчанию назначается всем пользователям, которым еще не назначена определенная политика.The default authentication policy is assigned to all users who don't already have a specific policy assigned to them. Обратите внимание, что политики проверки подлинности, назначенные пользователям, имеют приоритет над политикой по умолчанию.Note that the authentication policies assigned to users take precedence over the default policy. Чтобы настроить политику проверки подлинности по умолчанию для Организации, используйте следующий синтаксис:To configure the default authentication policy for the organization, use this syntax:

Set-OrganizationConfig -DefaultAuthenticationPolicy <PolicyIdentity>

В этом примере настраивается политика проверки подлинности с именем Block Basic auth в качестве политики по умолчанию.This example configures the authentication policy named Block Basic Auth as the default policy.

Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Basic Auth"

Примечание

Чтобы удалить обозначение политики проверки подлинности по умолчанию, используйте значение $null параметра дефаултаусентикатионполици .To remove the default authentication policy designation, use the value $null for the DefaultAuthenticationPolicy parameter.

Удаление политик проверки подлинностиRemove authentication policies

Чтобы удалить существующую политику проверки подлинности, используйте следующий синтаксис:To remove an existing authentication policy, use this syntax:

Remove-AuthenticationPolicy -Identity <PolicyIdentity>

В этом примере удаляется политика с именем "политика тестовой проверки подлинности".This example removes the policy named Test Auth Policy.

Remove-AuthenticationPolicy -Identity "Test Auth Policy"

Подробные сведения о синтаксисе и параметрах можно найти в статье Remove – аусентикатионполици.For detailed syntax and parameter information, see Remove-AuthenticationPolicy.

Как убедиться, что вы успешно отключили обычную проверку подлинности в Exchange Online?How do you know that you've successfully disabled Basic authentication in Exchange Online?

Чтобы убедиться, что политика проверки подлинности была применена к пользователям:To confirm that the authentication policy was applied to users:

  1. Выполните следующую команду, чтобы найти значение различающегося имени (DN) для политики проверки подлинности:Run the following command to find the distinguished name (DN) value of the authentication policy:

    Get-AuthenticationPolicy | Format-List Name,DistinguishedName
    
  2. Используйте значение DN политики проверки подлинности в следующей команде:Use the DN value of the authentication policy in the following command:

    Get-User -Filter "AuthenticationPolicy -eq '<AuthPolicyDN>'"
    

    Пример:For example:

    Get-User -Filter "AuthenticationPolicy -eq 'CN=Block Basic Auth,CN=Auth Policies,CN=Configuration,CN=contoso.onmicrosoft.com,CN=ConfigurationUnits,DC=NAMPR11B009,DC=PROD,DC=OUTLOOK,DC=COM'"
    

Если политика проверки подлинности блокирует запросы на обычную проверку подлинности от определенного пользователя для конкретного протокола в Exchange Online, то отклик имеет значение 401 Unauthorized .When an authentication policy blocks Basic authentication requests from a specific user for a specific protocol in Exchange Online, the response is 401 Unauthorized. В клиенте не возвращаются дополнительные сведения, чтобы предотвратить утечку дополнительных сведений о заблокированных пользователях.No additional information is returned to the client to avoid leaking any additional information about the blocked user. Пример ответа выглядит следующим образом:An example of the response looks like this:

HTTP/1.1 401 Unauthorized
Server: Microsoft-IIS/10.0
request-id: 413ee498-f337-4b0d-8ad5-50d900eb1f72
X-CalculatedBETarget: DM5PR2101MB0886.namprd21.prod.outlook.com
X-BackEndHttpStatus: 401
Set-Cookie: MapiRouting=#################################################; path=/mapi/; secure; HttpOnly
X-ServerApplication: Exchange/15.20.0485.000
X-RequestId: {3146D993-9082-4D57-99ED-9E7D5EA4FA56}:8
X-ClientInfo: {B0DD130A-CDBF-4CFA-8041-3D73B4318010}:59
X-RequestType: Bind
X-DiagInfo: DM5PR2101MB0886
X-BEServer: DM5PR2101MB0886
X-Powered-By: ASP.NET
X-FEServer: MA1PR0101CA0031
WWW-Authenticate: Basic Realm="",Basic Realm=""
Date: Wed, 31 Jan 2018 05:15:08 GMT
Content-Length: 0

Управление обычной проверкой подлинности в центре администрирования Microsoft 365Manage Basic authentication in the Microsoft 365 Admin Center

В центре администрирования Microsoft 365 в разделе Параметры > Организациис > современной проверкой подлинности вы можете назначить протоколы в клиенте, которые больше не требуют включения обычной проверки подлинности.In the Microsoft 365 Admin Center, under Settings > Org Settings > Modern Authentication you can designate the protocols in your tenant that no longer require Basic Authentication to be enabled. Эти параметры используют политики проверки подлинности в фоновом режиме.Behind the scenes, these options utilize Authentication Policies. Если ранее были созданы политики проверки подлинности, то при изменении любого из этих вариантов автоматически создается первая новая политика проверки подлинности.If Authentication Policies were created in the past, modifying any of these selections will automatically create the first new Authentication Policy. Эта политика видна только с помощью PowerShell.This policy is visible only through PowerShell. Для опытных пользователей, которые могут использовать политики проверки подлинности, изменения, внесенные в центр администрирования Microsoft 365, будут изменять существующую политику по умолчанию.For advanced customers that may already be utilizing Authentication Policies, changes within the Microsoft 365 Admin Center will modify their existing default policy. Просмотрите журналы входа Azure AD , чтобы получить хорошее представление о том, какие протоколы используются клиентами перед внесением изменений.Look through Azure AD Sign-in logs to get a good idea of which protocols clients are using before making any changes.

Фильтрация локальных учетных записей пользователей Active Directory, которые синхронизируются с Exchange OnlineFilter on-premises Active Directory user accounts that are synchronized to Exchange Online

Этот метод использует один определенный атрибут в качестве фильтра для локальных участников группы Active Directory, которые будут синхронизированы с Exchange Online.This method uses one specific attribute as a filter for on-premises Active Directory group members that will be synchronized with Exchange Online. Этот метод позволяет отключить устаревшие протоколы для определенных групп, не затрагивая всю организацию.This method allows you to disable legacy protocols for specific groups without affecting the entire organization.

В этом примере мы будем использовать атрибут Department , так как это распространенные атрибуты, определяющие пользователей в зависимости от их отдела и роли.Throughout this example, we'll use the Department attribute, because it's a common attributes that identifies users based on their department and role. Чтобы просмотреть все расширенные свойства пользователя Active Directory, перейдите в Active Directory: Get – ADUser Default и расширенные свойства.To see all Active Directory user extended properties, go to Active Directory: Get-ADUser Default and Extended Properties.

Шаг 1: Поиск пользователей Active Directory и Настройка атрибутов пользователя Active DirectoryStep 1: Find the Active Directory users and set the Active Directory user attributes

Получение членов группы Active DirectoryGet the members of an Active Directory group

Для выполнения этих действий требуется модуль Active Directory для Windows PowerShell.These steps require the Active Directory module for Windows PowerShell. Чтобы установить этот модуль на компьютер, необходимо скачать и установить средства удаленного администрирования сервера (RSAT).To install this module on your PC, you need to download and install the Remote Server Administration Tools (RSAT).

Выполните следующую команду в Active Directory PowerShell, чтобы возвратить все группы в Active Directory:Run the following command in Active Directory PowerShell to return all groups in Active Directory:

Get-ADGroup -Filter * | select -Property Name

После получения списка групп можно запросить пользователей, которые принадлежат к этим группам, и создать список на основе их атрибутов.After you get the list of groups, you can query which users belong to those groups and create a list based on any of their attributes. Рекомендуется использовать атрибут objectGuid , так как значение уникально для каждого пользователя.We recommend using the objectGuid attribute because the value is unique for each user.

Get-ADGroupMember -Identity "<GroupName>" | select -Property objectGuid

В этом примере показано возвращение значения атрибута objectGuid для членов группы с именем "разработчики".This example returns the objectGuid attribute value for the members of the group named Developers.

Get-ADGroupMember -Identity "Developers" | select -Property objectGuid

Установка атрибута фильтруемого пользователяSet the filterable user attribute

Определив группу Active Directory, содержащую пользователей, необходимо задать значение атрибута, которое будет синхронизироваться с Exchange Online, чтобы отфильтровать пользователей (и, в конечном счете, отключить обычную проверку подлинности для них).After you identify the Active Directory group that contains the users, you need to set the attribute value that will be synchronized with Exchange Online to filter users (and ultimately disable Basic authentication for them).

Используйте следующий синтаксис в Active Directory PowerShell, чтобы настроить значение атрибута для членов группы, указанной на предыдущем шаге.Use the following syntax in Active Directory PowerShell to configure the attribute value for the members of the group that you identified in the previous step. Первая команда определяет членов группы на основании значения атрибута objectGuid .The first command identifies the group members based on their objectGuid attribute value. Вторая команда назначает значение атрибута Department членам группы.The second command assigns the Department attribute value to the group members.

$variable1 = Get-ADGroupMember -Identity "<GroupName>" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="<DepartmentName>"}}

В этом примере для атрибута Department задается значение "Разработчик" для пользователей, принадлежащих группе "разработчики".This example sets the Department attribute to the value "Developer" for users that belong to the group named "Developers".

$variable1 = Get-ADGroupMember -Identity "Developers" | select -ExpandProperty "objectGUID"; Foreach ($user in $variable1) {Set-ADUser -Identity $user.ToString() -Add@{Department="Developer"}}

Используйте следующий синтаксис в Active Directory PowerShell, чтобы проверить, применен ли атрибут к учетным записям пользователей (сейчас или ранее):Use the following syntax in Active Directory PowerShell to verify the attribute was applied to the user accounts (now or in the past):

Get-ADUser -Filter "Department -eq '<DepartmentName>'" -Properties Department

В этом примере возвращаются все учетные записи пользователей со значением "Разработчик" для атрибута Department .This example returns all user accounts with the value "Developer" for the Department attribute.

Get-ADUser -Filter "Department -eq 'Developer'" -Properties Department

Шаг 2: отключение устаревшей проверки подлинности в Exchange OnlineStep 2: Disable legacy authentication in Exchange Online

Примечание

Значения атрибутов локальных пользователей синхронизируются с Exchange Online только для пользователей, имеющих действительную лицензию Exchange Online.The attribute values for on-premises users are synchronized to Exchange Online only for users that have a valid Exchange Online license. Дополнительную информацию можно узнать в статье Добавление пользователей по отдельности или в пакетномрежиме.For more information, see Add users individually or in bulk.

В синтаксисе Exchange Online PowerShell используются следующие команды (два для определения учетных записей пользователей, а другой — для применения политики к этим пользователям):The Exchange Online PowerShell syntax uses the following commands (two to identify the user accounts, and the other to apply the policy to those users):

$<VariableName1> = Get-User -ResultSize unlimited -Filter <Filter>
$<VariableName2> = $<VariableName1>.MicrosoftOnlineServicesID
$<VariableName2> | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}

В этом примере для всех синхронизированных учетных записей пользователей, атрибут Department которых содержит значение "Разработчик", назначается политика "Обычная проверка подлинности с именем Block Block".This example assigns the policy named Block Basic Auth to all synchronized user accounts whose Department attribute contains the value "Developer".

$developerUsers = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (department -like '*developer*')"
$developers = $developerUsers.MicrosoftOnlineServicesID
$developers | foreach {Set-User -Identity $_ -AuthenticationPolicy "Block Basic Auth"}

При подключении к Exchange Online PowerShell в сеансе PowerShell с Active Directory можно использовать следующий синтаксис, чтобы применить политику ко всем участникам группы Active Directory.If you connect to Exchange Online PowerShell in an Active Directory PowerShell session, you can use the following syntax to apply the policy to all members of an Active Directory group.

В этом примере создается новая политика проверки подлинности с именем Marketing Policy, которая отключает обычную проверку подлинности для членов группы Active Directory с именем Marketing Department for ActiveSync, POP3, прошедших проверку подлинности SMTP и клиентов IMAP4.This example creates a new authentication policy named Marketing Policy that disables Basic authentication for members of the Active Directory group named Marketing Department for ActiveSync, POP3, authenticated SMTP, and IMAP4 clients.

Примечание

Известное ограничение в Active Directory PowerShell не позволяет командлету Get – адграупмембер возвращать больше 5000 результатов.A known limitation in Active Directory PowerShell prevents the Get-AdGroupMember cmdlet from returning more than 5000 results. Таким образом, приведенный ниже пример работает только для групп Active Directory, содержащих менее 5000 членов.Therefore, the following example only works for Active Directory groups that have less than 5000 members.

New-AuthenticationPolicy -Name "Marketing Policy" -AllowBasicAuthActiveSync $false -AllowBasicAuthPop $false -AllowBasicAuthSmtp $false -AllowBasicAuthImap $false
$users = Get-ADGroupMember "Marketing Department"
foreach ($user in $users) {Set-User -Identity $user.SamAccountName -AuthenticationPolicy "Marketing Policy"}