2022年10月1日に廃止されることが、決まりました。
なお、テナントで使用されているプロトコルの基本認証を廃止する場合は、12 カ月前までに通知されます。
2022/9/30 までにオプトアウトを実行した場合、2022/12/31 まではオプトアウトを実行したプロトコルについて基本認証での利用が可能となりました。2023/1/1 以降から先進認証のみ利用可能です。
ただし、現在テナントにおいて使用されていないプロトコルの基本認証については、引き続き数か月以内に廃止する予定です。
こちらは廃止 30 日前までに通知されます。
※ いずれもプロトコルの使用記録に基づいて実施されます。
基本認証の廃止により、最終的に以下のプロトコルにおいて基本認証による接続ができなくなります。
- Exchange Web Services (EWS)
- Exchange Online for Exchange Active Sync (EAS)
- Internet Message Access Protocol (IMAP4)
- Post Office Protocol (POP3)
- Remote PowerShell (RPS)
- Messaging Application Programming Interface (MAPI)
- Remote Procedure Call (RPC)
- Offline Address Book (OAB)
基本認証と先進認証についても少しふれておきたいと思います。
基本認証と先進認証
M365には大きく分けて二種類の認証方式が存在し、先進認証と基本認証と呼ばれており、主にMS365にアクセスするクライアントによって使い分けられます。
先進認証
Edge/Chrome/Safariなどのウェブブラウザから、M365にアクセスする場合や、先進認証対応のMS365アプリからアクセスする場合に利用される認証方法です。多要素認証が可能です。
基本認証(レガシー認証)
POP/IMAP/SMTP Authを利用するメールクライアントからMS365にアクセスする場合に利用されます。多要素認証は利用できません。
先進認証の動作について
先進認証は、Azure AD に更新トークンが発行され、既定で 90 日間有効です。
Outlook クライアントなどの Office アプリから先進認証を使用して90 日以内に継続してアクセスすることで、更新トークンの有効期限が延長され、永続的に再認証が求めらないようになります。
該当のユーザーにて 90 日以上接続を行わなかった場合には、更新トークンが無効となりますので接続時に再認証が求められます。
◇ 再認証が必要となるケース
・90 日以上、アプリを起動していない場合
・認証したユーザーのパスワードを変更した場合
・AAD 側で対象ユーザーに発行した更新トークンを操作により失効させる。
[先進認証] の未対応の場合の影響について
テナントの [先進認証] を有効にしていない場合は、Exchange ActiveSync (EAS)、IMAP、POP、およびリモート PowerShell に影響があります。
[基本認証] 廃止により、接続ができなくなった場合は、[先進認証] を有効にすることで、接続が可能となります。
なお、Exchange Online の設定として、[基本認証] と [先進認証] の双方を有効化することが可能です。
Microsoft365管理センターにて設定の変更および確認が可能ですので、ご紹介したいと思います。
手順
※切り替え画面がない場合、次項へ進んでください。
- [すべてを表示] をクリックします。
- [設定] をクリックします。
- [設定] 配下にある [組織設定] をクリックします。
- [サービス] タブにて、 [Modern authentication] をクリックします。
- [Outlook 2013 for Windows 以降の先進認証をオンにする (推奨)] にチェックが入っているかを確認します。
※ チェックが入っている場合、先進認証が有効となっております。
PowerShellのコマンドレットで実行する場合は以下の方法となります。
※[Outlook 2013 for Windows 以降の先進認証をオンにする (推奨)]の項目と連動しています。
先進認証の状態を確認する
Get-OrganizationConfig | fl OAuth2ClientProfileEnabled
<実行結果例>
OAuth2ClientProfileEnabled : True
※ Exchange Online 側の先進認証が有効である場合には True、無効である場合には False が返されます。
先進認証を有効にする場合
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
※無効にする場合は、Falseで実行します。
テナントの設定で [基本認証] と [先進認証] の双方が有効化されている場合、[先進認証] が有効となっている [Outlook クライアント] では [先進認証] を優先する動作となります。
なお、Outlook クライアントでは Outlook 2013 以降で先進認証に対応しております。
Outlook 2016 以降のバージョンでは既定で [先進認証] が有効となっておりますが、Outlook 2013 はレジストリ設定により [先進認証] を有効化する必要があります。
※現在は基本認証が廃止されていませんので、Outlook2013の場合でもレジストリの設定で先進認証を有効化していなくても、基本認証での利用が可能です。
先進認証を有効にした場合でも、TeamsやOneDriveなどOutlookクライアント以外には影響はありません。
Outlookクライアントでの先進認証の確認する方法
Outlookでは、右下のタスクトレイ上のアイコンを「Ctrl+右クリック」すると表示される「接続状態」から認証方式を確認することが可能です。
先進認証を有効にすると対応しているOutlookクライアントは認証キャッシュ更新のタイミングで自動で先進認証に切り替わります。
[認証]欄が “クリア” なら基本認証、”ベアラー”なら先進認証で接続していると判断ができます。
なお、基本認証を使用するのは Outlook for Windows のみであり、Outlook for Mac はもともと先進認証のみなので、認証方法を確認する方法はありません。
基本認証の利用状況を確認する方法
現在利用しているMS365テナントで基本認証が利用されているかは、以下の方法で確認が可能です。
1) [Azure portal]->[Azure Active Directory]->[サインイン]
2) [フィルターの追加]->[クライアント アプリ]
※列が表示されていない場合は、[列]>[Client App](クライアント アプリ) をクリックしてその列を追加する。
3) すべての基本認証プロトコルを選択する。
認証済み SMTP
自動検出
Exchange ActiveSync (EAS)
Exchange Online PowerShell
Exchange Web サービス (EWS)
IMAP4
MAPI over HTTP (MAPI/HTTP)
オフライン アドレス帳 (OAB)
Outlook Anywhere (RPC over HTTP)
Outlook サービス
レポート Web サービス
その他のクライアント
上記の設定を実施すれば、基本認証の利用状況が確認出来ます。
Powershellで先進認証で接続されているか確認する方法については、以下の記事でご紹介しておりますのでご参照いただけますと幸いです。
基本認証から先進認証に切り替える方法については、以下の記事をご参照ください。
また、基本認証をブロックする場合は、以下の手順にて可能です。
Microsoft 365管理センター [Modern authentication] 設定
- 管理者アカウントにて Microsoft 365 管理センター (https://admin.microsoft.com/Adminportal) にアクセスします。
- [すべてを表示] をクリックします。
- [設定] をクリックします。
- [設定] 配下にある [組織設定] をクリックします。
- [サービス] タブにて、 [Modern authentication] をクリックします。
- [基本認証プロトコルへのアクセスを許可する] の各項目を無効化します。
また、Powershellにて、基本認証をブロックする場合は以下の手順にて可能です。
以下のサイトをもとにExchangeOnlineに接続してから実行してください。
基本認証をブロックする手順
1.既定のポリシーを作成します。
Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Policy"
2.すべてのプロトコルの基本認証をブロックします
Set-AuthenticationPolicy -Identity "Block Policy" -AllowBasicAuthActiveSync:$False -AllowBasicAuthAutodiscover:$False -AllowBasicAuthImap:$False -AllowBasicAuthMapi:$False -AllowBasicAuthOfflineAddressBook:$False -AllowBasicAuthOutlookService:$False -AllowBasicAuthPop:$False -AllowBasicAuthReportingWebServices:$False -AllowBasicAuthRest:$False -AllowBasicAuthRpc:$False -AllowBasicAuthSmtp:$False -AllowBasicAuthWebServices:$False -AllowBasicAuthPowershell:$FalsengWebServices $False -AllowBasicAuthRpc $False -AllowBasicAuthSmtp $False -AllowBasicAuthWebServices $False -AllowBasicAuthPowershell $False
設定を確認する場合は、以下のコマンドレットで確認します。
Get-AuthenticationPolicy | fl
また、ブロックを解除する場合は、以下のコマンドレットでポリシーを削除します。
Remove-AuthenticationPolicy -Identity "Block Policy"
あわせて、以下の記事もご参照いただけますと幸いです。