2022/10/1 から Exchange Online の基本認証が廃止されますが、すべてのテナントが一斉にではないようで、テナントを無作為に選び、順次、基本認証の無効化がおこなわれています。
なお、オプトアウト申請をおこなっていない場合は、メッセージセンターで、[MC439941] にて対象テナントに基本認証廃止の 7 日前に通知されますので、
[MC439941] が届いていたら、通知後、7 日後に廃止されます。
[MC441751]など他のMCから始まる番号である情報もあります。
基本認証が無効化される通知
MC441751
Exchange Online での基本認証 - 7 日間の通知
メッセージの概要
今日から約 7 日後に、Exchange Online テナントの基本認証が無効になります。
これが組織 に与える影響
昨年は ブログ記事で 、今年初めには複数のメッセージ センター投稿で連絡を取ったように、MAPI、RPC、オフライン アドレス帳、Exchange Web サービス、POP、IMAP、Exchange ActiveSync、および Remote PowerShell のプロトコルについて、世界中のマルチテナント サービスで基本認証を無効にしています。
今日、テナントを選択し、約 7 日以内に、2022 年 9 月 30 日までにオプトアウトされていないプロトコルの基本認証を無効にします。
影響を受けるプロトコルで基本認証をまだ使用しているクライアントまたはアプリケーションは、Exchange Online に接続できません。
10 月 1 日から、テナントを無作為に選び、MAPI、RPC、オフライン アドレス帳 (OAB)、Exchange Web サービス (EWS)、POP、IMAP、Exchange ActiveSync (EAS)、およびリモート PowerShell の基本認証アクセスを無効化する予定です。この 7 日前にメッセージ センターにメッセージを投稿し、変更当日には各テナントにサービス正常性ダッシュボードの通知を投稿します。
なお、基本認証が無効化された場合でも、再有効化が可能であり、オプトアウトを実行する手順と同様に [ヘルプとサポート] にて [Diag: Enable Basic Auth in EXO] と入力し、セルフサービス診断を起動し実行することで可能です。
以下に再有効化の手順をご案内します。
再有効化の手順
1. 全体管理者アカウントにて Microsoft 365 管理センターへアクセスします。
2. 画面右下部 [ヘルプとサポート] もしくは [サポートが必要ですか] をクリックします。
3. [何かお困りでしょうか] 画面下部の入力欄へ "Diag: Enable Basic Auth in EXO" を指定し、Enter を実行します。
4. [診断の実行] 画面内 [テストを実行] をクリックします。
5. 表示された結果よりプルダウンメニューから、対象とするプロトコルを選択し、チェックボックス のチェックを入れた後、[update] を実施します。
※ プロトコル毎に順に実行をいただく必要があるため、複数プロトコルを対象に再有効化する場合は同一作業を対象のプロトコル数に応じて複数回実施ください。
6. 以下の[選択したプロトコルの基本認証が再び有効化されました] の画面が表示された時点で、対象プロトコルの再有効化が完了となります。
※1 時間以内で反映します。
なお、再有効化した場合は、2022/12/31までそのプロトコルの基本認証を無効化することができません。
期間内に基本認証を無効化したい場合は、Microsoft 365 管理センターの [設定] - [組織設定] - [サービス] - [先進認証] から 基本認証無効の設定を行うことができます。
- 管理者にてMicrosoft365 管理センターにサインインします。
- [設定] > [組織設定]の順にクリックし、[サービス]タブ > [先進認証] を順にクリックします。
- [基本認証プロトコルへのアクセスを許可する]項目配下の、ブロックしたいプロトコルのチェックを外します。
上記の設定だと組織全体に適用されることや Exchange Web サービス(EWS)のみ無効化するということができません。
その場合は、以下の認証ポリシーを利用することで特定のユーザーのみ基本認証を無効化やEWSのみ無効化することができます。
以下に手順をご紹介したいと思います。
Windows PowerShell コマンドレットによる認証ポリシーの設定
ユーザーごとに認証ポリシーを設定する場合は、Windows PowerShell コマンドレットによる方法になります。
今回は、EWSのみ基本認証を無効化する手順を例としてご紹介します。
1. 事前準備
事前準備として以下の URL を参照し Windows PowerShell を Exchange Online に接続します。
2. 認証ポリシーを作成する
基本認証を制御するポリシーを作成します
[構文]
New-AuthenticationPolicy -Name "ポリシー名"
[実行例]
New-AuthenticationPolicy -Name BasicEWSBlock
※ 上記の実行例では "BasicEWSBlock" という認証ポリシーを作成します。
上記にてポリシーを作成した場合、全プロトコルが False (無効) で作成される動作を確認してます。
3. 認証ポリシーの内容を構成する
基本認証の EWS の無効化を設定します。(他のプロトコルはすべて有効化しています)
[構文]
Set-AuthenticationPolicy -Identity "ポリシー名" -AllowBasicAuthWebServices:$False -AllowBasicAuthActiveSync:$True -AllowBasicAuthAutodiscover:$True -AllowBasicAuthImap:$True -AllowBasicAuthMapi:$True -AllowBasicAuthOfflineAddressBook:$True -AllowBasicAuthOutlookService:$True -AllowBasicAuthPop:$True -AllowBasicAuthReportingWebServices:$True -AllowBasicAuthRpc:$True -AllowBasicAuthSmtp:$True -AllowBasicAuthPowershell:$True
[実行例]
Set-AuthenticationPolicy -Identity BasicEWSBlock -AllowBasicAuthWebServices:$False -AllowBasicAuthActiveSync:$True -AllowBasicAuthAutodiscover:$True -AllowBasicAuthImap:$True -AllowBasicAuthMapi:$True -AllowBasicAuthOfflineAddressBook:$True -AllowBasicAuthOutlookService:$True -AllowBasicAuthPop:$True -AllowBasicAuthReportingWebServices:$True -AllowBasicAuthRpc:$True -AllowBasicAuthSmtp:$True -AllowBasicAuthPowershell:$True
4. 認証ポリシーをユーザーに割り当てる
作成したポリシーを対象ユーザ―に適用します。
[構文]
Set-User -Identity <対象のユーザーメールアドレス> -AuthenticationPolicy "ポリシー名"
[実行例]
Set-User -Identity user01@contoso.com -AuthenticationPolicy BasicEWSBlock
※ 設定の反映には最大で 24 時間程度かかる場合があります。
5. 認証ポリシーの構成内容を確認する
[構文]
Get-AuthenticationPolicy -Identity "ポリシー名"
[実行例]
Get-AuthenticationPolicy -Identity BasicEWSBlock
※ AllowBasicAuthRest は True にすることができませんので、False となります。
6. 特定のアカウントへの認証ポリシーの適用状況を確認する
[構文]
Get-User -Identity <対象のユーザーメールアドレス> | Select AuthenticationPolicy
[実行例]
Get-User -Identity user01@contoso.com | Select AuthenticationPolicy
[実行結果例]
AuthenticationPolicy
--------------------
BasicEWSBlock
もし、ユーザーに割り当てた認証ポリシーを解除する場合は、以下のコマンドレットで可能です。
[構文]
Set-User -Identity <対象のユーザーメールアドレス> -AuthenticationPolicy $null
[実行例]
Set-User -Identity user01@contoso.com -AuthenticationPolicy $null
再度、6. のコマンドレットを実行し、AuthenticationPolicy が空白であれば有効化されています。