Exchange Online の基本認証廃止と先進認証有効化について

2021/10/02
 
この記事を書いている人 - WRITER -
ブログ運営者のtkjzblogです。 仕事柄新しいシステムに触れることが多いです。 Windows、Linux(RHEL)がメインです。その他、VMwareやOffice365など仮想環境やクラウド環境も少しですが触れることがあります。 いろいろ忘れがちのため、このサイトへ情報を書き溜めていきたいと思います。 どうぞ、よろしくお願い致します。

内容は、2021年6月時点のものです。
Microsoft社から基本認証廃止、先進認証有効化の案内が公開されてかなり年月が経過しました。
現在もCOVID19の影響で廃止が延長されています。
直近では2021年後半を目途に廃止される予定でしたがそれも現時点(2021年6月)では確定されていません。
表題にも記載していますが基本認証廃止は、現時点では Exchange Online で利用する基本認証が廃止されるという意味となります。
Microsoft365全体において基本認証が廃止されるという意味ではありません。

Title : Basic Authentication and Exchange Online February 2021 Update

https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-february-2021-update/ba-p/2111904

最初は、基本認証廃止、先進認証有効化と言われても具体的に何が利用できなくなるのだろうという認識でした。
調べていくうちに「基本認証」、「レガシ認証」、「先進認証」、「モダン認証」、「多要素認証」、「OAuth」などなど・・・
知識が無いものにとって余計に惑わすワードが次々と出てきました。
本記事はそれらを私なりにまとめ、基本認証廃止、先進認証有効化に対してどのように対応すればよいかを記載しましたので理解しにくいという方の一助となれば幸いです。

—————————————————————————————————————————

★2021年10月2日 追記★

2022年10月1日にExchange Online の基本認証廃止が決定しました。それにともない新しい情報も公開されています。関連する内容ですので以下に新しい記事を追加しました。参考にいただければ幸いです。

—————————————————————————————————————————

基本認証廃止、先進認証有効化の対象テナントについて

まず対象となるのは、2017年8月以前にテナントを作成した組織となります。
以下は先進認証が有効化されているか確認するコマンドレットです。
Exchange Online へ PowerShell で接続、コマンドレット実行後、「True」が出力されると先進認証は有効化されています。「False」が出力されると先進認証は無効化されています。

コマンドレット:Get-OrganizationConfig | Format-Table Name,Oauth* -Auto

検証、調査している中で分かったことですが厳密に言うと2017年8月以降に導入されたテナントは、先進認証、基本認証の両方が有効化されているようです。そのため、利用側のアプリ機能によってどちらでも接続できる状態のようです。
そこでMicrosoftは、2017年8月以降導入テナントにおいてExchange Onlineで基本認証を利用していない場合、30日前に全体管理者へ連絡し、30日経過後、基本認証を無効化していく計画があるようです。
この変更の影響は、現時点では法人向けM365に限定され、コンシューマーサービスユーザーには影響ないようです。

基本認証、先進認証、多要素認証、OAuthについて

基本認証は、レガシ認証と同意です。
先進認証は、モダン認証と同意です。
基本認証廃止とは、Microsoft365の Exchange Online で基本認証を無効化するという意味です。
廃止されると基本認証を利用するプロトコルなどは認証できなくなります。
そのため管理者様は、基本認証が廃止される前に先進認証を有効にする必要があります。
現時点では勝手に先進認証は有効になりません。

多要素認証は、基本認証や先進認証とは異なり、基本認証廃止に必須ではありません。
多要素認証は、二段階の認証で例えばブラウザで認証後、携帯電話でもう一度認証するなどの方法です。
セキュリティ的に強化されるのでMicrosoftとしてはおすすめしていますが必須ではないのでこれ以上の説明は控えさせていただきます。必須ではないとわかりましたので当方テナントではいったん見送りとなりました。

OAuthは、認証ではなく認可という仕組みらしいです。
私は「OAuth」についてうまく説明できないのですがテナントで基本認証廃止後、先進認証を有効にすれば、対応しているメーラー(最新のThunderbirdなど)を利用して接続することが可能です。
そういう意味では基本認証廃止と関係があります。

基本認証廃止の影響範囲(プロトコルや認証方法など)

次のプロトコルにおいて基本認証による接続ができなくなります。
主に Exchange Online で利用されているので基本認証廃止は、 ExchangeOnline で基本認証が廃止されると同意となります。

 ・Exchange Web Services (EWS)
 ・Exchange Online for Exchange Active Sync (EAS)
 ・Internet Message Access Protocol (IMAP4)
 ・Post Office Protocol (POP3)
 ・Remote PowerShell (RPS)

テナント内で上記プロトコルや認証方法が利用されているかどうかは、AzureActiveDirectoryのサインインログから確認することが可能です。

方法:条件付きアクセスを使用して Azure AD へのレガシ認証をブロックする

https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/block-legacy-authentication

■AzureActiveDirectoryのサインインログのサンプル

クライアントアプリでレガシ認証(基本認証)の13か所にチェックを入れフィルタした結果が以下の画像になります。

Exchange Web Services (EWS)​について

EWSは、Outlook、Outlook for Mac、およびサードパーティ製アプリケーションによって使用されるプログラミング インターフェイスです。
サードパーティ製アプリケーションも利用するのでどのようなところで利用されているかと言われるとアプリケーション開発元に確認するしか方法がありません。

ただ、先進認証に対応しているOutlook、Outlook for Mac、およびサードパーティ製アプリケーションであれば、先進認証の有効化によって基本認証から先進認証に切り替わるのである程度最新の状態であれば問題ないと思われます。
かなり昔から利用しているサードパーティ製アプリケーションがExchange Onlineと連携している場合は注意が必要かもしれません。
アプリケーション開発元へ確認しましょう。

Exchange Active Sync (EAS)​について

これもEWS同様、いろいろなところで利用されていますがモバイルデバイス(iPhone、Androidなど)のメーラーなどが参考になります。サードパーティ製アプリケーションでも利用されています。

■iPhoneでのEAS接続する際の最初の画面です

ここからが重要なのですが、
特定バージョン以降のモバイルデバイスは先進認証に対応しているため、EASで接続すると先進認証で接続されます。ただ、特定バージョンより前にEASで接続しているユーザーは、基本認証による接続となり、この接続は、最新バージョンへアップデートしても基本認証のままで一度、切断/接続を行わないとEASによる接続は先進認証へ変更されません。

ここで気になった方がいるかもしれませんがテナントの先進認証を有効化してないのにEASで先進認証の接続ができるの?ということです。
答えはできました。
ただし、私自身もMicrosoft365の仕組みを理解し切れてないところがありますのでうまく説明できません。
ブラウザで利用するOutlook on the web も先進認証となり、先進認証が有効化されてないのに先進認証で接続していてちょっと不思議な感じです・・・

Internet Message Access Protocol (IMAP4)、Post Office Protocol (POP3)

これは皆さまご存じの方も多いと思います。
ThunderbirdなどのメーラーでExchange Onlineへ接続する際に利用しているものです。
考え方としては、IMAP4やPOP3がExchange Onlineで廃止されるのではなく、基本認証を利用したIMAP4やPOP3が廃止されるので先進認証を利用したIMAP4やPOP3であればExchange Onlienへ接続することは可能です。
最新のThunderbirdは、先進認証に対応していますのでExchange Onlineへ接続することが可能なようです。

■参考

ThunderBird(OAuth)設定変更方法

http://www.wakayama-u.ac.jp/aic/service/mail/thudenrbirdoauth.html

Remote PowerShell (RPS)

PowerShellを利用してExchange Onlineへ接続する方法です。
接続する際にバージョンの古いモジュールを利用している場合は、基本認証廃止とともに接続できなくなります。
以下は検証で基本認証をオフ、先進認証をオンにし、古いモジュールで接続した時のエラー画面です。
「New-PSSession」というコマンドレットが先進認証では利用できないためアクセスが拒否されています。

■参考:「New-PSSession」が先進認証で拒否された場合

Exchange Online PowerShell V2 モジュールをインストールすれば問題なく接続することが可能です。そもそも接続する際に利用するコマンドレットが異なります。
リリースノートにも特に明記されていない限り、V2 モジュールの現在のリリースには、以前のリリースのすべての機能が含まれていますとありますので最新バージョンをインストールすれば問題ないと思います。

Exchange Online PowerShell V2 モジュールのバージョン情報

https://docs.microsoft.com/ja-jp/powershell/exchange/exchange-online-powershell-v2?view=exchange-ps

■参考: Exchange Online PowerShell V2 モジュール で接続した場合

実はすでに先進認証で認証されているサービスも存在する

ややこしい表現ですが基本認証が有効な状態でも一部のサービスは先進認証が利用されています。
一例では、Outlook on the web がそれにあたります。AzureActiveDirectoryのサインインログを確認すると先進認証で処理されていることが分かります。
私もうまく表現できませんが基本認証が有効な場合、プロトコルや認証方式によっては、基本認証を優先的に利用するような仕組みがあるのだと思われます。

先進認証を有効化する方法

方法1、2のどちらかで先進認証を有効化することが可能です。ただ私見ですが、方法2は、基本認証の状態が分かりにくいため、方法1のGUIで操作する方法のほうがよいと思います。

・方法1
Microsoft365管理センター > 設定 > 組織設定 > Modern Authentication > Outlook 2013 for Windows 以降の先進認証をオンにする をチェックします。基本認証プロトコルへのアクセスを許可するの7か所はすべてチェックをはずして保存します。★ 7か所 にチェックが入っていると先進認証と基本認証の両方がオンの状態となります

・方法2
PowerShellでExchange Onlineへ接続し、以下を実行して先進認証をオンします。
Set-OrganizationConfig -OAuth2ClientProfileEnabled $True

テナント管理者が実施すること

・Exchange Web Services (EWS)
どのようなシチュエーションで利用されているか完全に把握できないので基本認証から先進認証へ切り替わるとサービスによっては利用不可になると注意喚起する。

・Exchange Online for Exchange Active Sync (EAS)​
どのようなシチュエーションで利用されているか完全に把握できないので基本認証から先進認証へ切り替わるとサービスによっては利用不可になると注意喚起する。
モバイルデバイスで利用している方は、再接続が必要となる場合があるのでiPhoneやAndroidくらいは一例として手順を事前に公開する。

・Internet Message Access Protocol (IMAP4)​、Post Office Protocol (POP3)
メーラーによっては特定バージョン以降で先進認証に対応しているため一例として手順を事前に公開する。

・Remote PowerShell (RPS)
PowerShellを利用してExchange Onlineへ接続する方だけですので一般利用者はほぼ該当しないと思います。
基本認証がまだ有効な状態でもV2モジュールへ変更すれば先進認証で接続できますので前もって変更が可能です。

基本認証、先進認証環境下のメール関連サービスの動作検証結果

★個人による検証結果ですので参考程度としてください。また、アプリケーションのバージョンが古いものは、想定とは異なる結果となる場合があります。

検証テナントを作成し、試してみる

検証テナントの作成方法を以下に記載しています。私も作成し、基本認証、先進認証を試すことができました。参考にしていただければ幸いです。

Microsoft365の検証テナントを作成する(無料)

https://tkjzblog.com/2021/07/24/microsoft365の検証テナントを作成する(無料)/

まとめ

私自身が管理しているテナントでもまだ先進認証を有効化してないので上記どおりに動作するかは不確定なところはあります。
ただ、同じような管理者様は多数いらっしゃると思われますので参考にいただけると幸いです。

また、管理者様は以下の情報も合わせてご確認ください。記事を作成した時点でもうあまり時間はないのですが、それないに影響はありますので。

この記事を書いている人 - WRITER -
ブログ運営者のtkjzblogです。 仕事柄新しいシステムに触れることが多いです。 Windows、Linux(RHEL)がメインです。その他、VMwareやOffice365など仮想環境やクラウド環境も少しですが触れることがあります。 いろいろ忘れがちのため、このサイトへ情報を書き溜めていきたいと思います。 どうぞ、よろしくお願い致します。

Comment

  1. 中村 より:

    サイト拝見いたしました。非常に詳細に纏まっていて、参考になりました。

    また、その後M365の本番テナントで先進認証を有効にされて、ユーザ様への影響や、発生したトラブルなどがなかったかなど、ご共有いただけますと幸いでございます。

    • tkjzblog より:

      コメントいただきありがとうございます。
      当方テナントでは事前アナウンスがうまく伝達できていなかったため、特にメーラー利用の方からの問い合わせが多数ありました。特にThunderbirdやGmailからExchange Onlineへ接続している方が多く、Gmailに関しては先進認証の場合、Exchange Onlineへ接続できなくなるためお叱りの声も多数ありました。
      後は、当方テナントでは関係なかったですがオンプレミスなどで独自の認証システムを構築されている場合は、その認証システムが先進認証に対応しているかを確認しておいたほうがよいと思います。
      以上、ご参考になれば幸いです。

- Comments -

メールアドレスが公開されることはありません。

Copyright© しっぱいはせいこうのもと , 2021 All Rights Reserved.