Exchange Online の基本認証廃止日が決定!廃止日までに実施しておきたいこと
Exchange Online の基本認証が 2022年10月1日 に廃止されることが決定しました。
以下が2021年9月23日に公開された最新情報です。
Basic Authentication and Exchange Online – September 2021 Update
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210
Exchange Online の基本認証廃止までに全体管理者として実施しておいたほうがよいと思うことを私見ですが記載します。
・基本認証と先進認証の両方を有効化する
・利用者様へ注意喚起する
・試験的な無効化の対象から除外されるよう対応する
1つずつ説明していきます。
目次
基本認証と先進認証の両方を有効化する
2017年8月以前にExchange Onlineなど導入したテナントは、基本認証のみ有効化されていて、先進認証は無効化されています。
2017年8月以降にExchange Onlineなど導入したテナントは、基本認証、先進認証の両方が有効化されています。
詳細は、以下の記事も参考にしてください。
2022年10月1日までに基本認証と先進認証の両方を有効化しておけば、基本認証が廃止になっても先進認証は有効化されているのでソフトランディングできるというわけです。
ただ、利用者様にはいつまでも基本認証しか機能のないアプリケーションを利用していてはダメですよという案内は必要になるかと思います。
先進認証を有効化して基本認証、先進認証の両方が有効であることを確認する
前提として基本認証は有効化されているが先進認証は無効化されているテナントが対象です。
先進認証を有効化する方法は2種類ありますが変更後の状態を細かく確認できるGUIで操作する方法を紹介します。
Microsoft365管理センター > 設定 > 組織設定 > Modern authentication をクリックします。
現在の Modern authentication 設定が表示されます。
先進認証の状態が表示されるだけで、そのままでは基本認証がどのような状態かは表示されません。
「Outlook 2013 for Windows 以降の先進認証をオンにする(推奨)」へチェックを入れると基本認証の状態(赤枠内)も表示されます。
画面下部の保存をクリックします。
「変更が保存されました。」が表示されます。
右上の×印で画面を閉じて、再度、Modern authentication をクリックします。
基本認証と先進認証の両方が有効になっていることが確認できます。
※先進認証有効化にチェックは付いていますが、反映に時間がかかる場合もありますので24時間経過してから動作確認したほうがよいでしょう。
利用者様へ注意喚起する
とても古いアプリケーションを愛用している方の中には、基本認証のみしか対応してないものもあるかもしれません。2022年10月1日までにバージョンアップや変更などお願いしましょう。また、スマホなどで多く利用されている Exchange Active Sync も最初の接続方法によっては、テナント側が先進認証へ移行してもスマホ側は基本認証のままの場合もありますので再接続していただくなど所作が必要になってきます。
このあたりも含め、2022年10月1日に Exchange Online まわりで何か起こるかもしれないという心の準備を案内しておきましょう。
試験的な無効化の対象から除外されるよう対応する
最新の公開情報には、2022年10月1日 に廃止という重要なキーワードの他に見過ごしてはいけない箇所があります。
■原文
■機械翻訳
画像は機械翻訳したものですが「2022年の初めから、テナントを選択的に選択し、SMTP AUTHを除くすべての影響を受けるプロトコルの基本認証を12~48時間無効にします。」とあります。
これは、何も対策せずに2022年を迎えるとMicrosoft側のタイミングで短期的(12~48時間)に基本認証が無効化されるという意味です。
短期的(12~48時間)とはいえ、勝手に無効化されると困りますね・・・
— 2021/10/7 追記 —
「2022年を迎えるとMicrosoft側のタイミングで短期的(12~48時間)に基本認証が無効化される」について、無効化の30日前くらいにメッセージセンターへ通知が来るようです。そのため、通知が来てから「勝手に無効化されないための手順」(※本記事の下部参照)を実施しても十分に間に合うことが分かりましたので追記いたします。
—————————
もう少し読み進めるとMicrosoft側もちゃんと回避策を用意してくれていました。
事前に無効化してほしくないプロトコルをMicrosoft365管理センターから登録しておけば、2022年10月1日までの間に勝手に基本認証を無効化されることはないようです。
■原文
■機械翻訳
勝手に無効化されないための手順
本手順は、検証テナントで実施しています。
記事の中のリンクをクリックしてMicrosoft365管理センターを開いてもよいのですが、後ほど繰り返し作業でヘルプ画面を開きますのでその方法で紹介させていただきます。
はじめにMicrosoft365の全体管理者でサインインして「サポートが必要ですか?」をクリックします。
何かお困りでしょうか? のテキストボックスに「Diag: Enable Basic Auth in EXO」を入力し、Enterを押します。
Microsoft365管理センターのセルフヘルプ診断が起動するので「テストを実行」をクリックします。
「診断テストを実行しています…」画面は、1分ほど待ちます。
「オプトアウトするプロトコル」がプルダウンより選択可能となります。
オプトアウトするプロトコルを選択します。
※ここで選択して設定の更新したプロトコルは、2022年10月1日まで勝手に基本認証が無効化されることはありません。(Microsoft曰く・・・)
※プロトコルごとに実施が必要ですのでご注意ください。7つすべて実施したい場合は、テキストボックスに入力するところから7回繰り返す必要があります。
チェックを入れて、設定の更新をクリックします。
※現時点では、どのプロトコルを選択して実行したかを後から確認する方法がないようです。
繰り返し作業しているとどのプロトコルまで完了したかわからなくなります。
画面キャプチャを取得するなど作業履歴を残すことをおすすめします。
また、同じプロトコルに対して2回実行(例えば「SMTP」を2回実行)しても問題ないようですので
実行したか不安な場合は2回実行しておけば安心かと思います。
設定の更新をクリックすると再度、「診断テストを実行しています」となります。少し待ちます。
少し待つと「選択したプロトコルの基本認証は無効になりません。」という画面に遷移します。
これで1つのプロトコルの処理が完了しました。
引き続き、残りのプロトコルも同じ設定を実行するには、テキストボックスに「Diag: Enable Basic Auth in EXO」を入力し、Enterを押します。
「テストを実行」画面に戻りますのでここから同じ手順を繰り返し、他のプロトコルをオプトアウトしていきましょう。
※注意!
検証テナントで繰り返し実行している時に「テストを実行」を押した後、「テストで問題は見つかりませんでした。」となり、残りのプロトコルをオプトアウトすることができなくなりました。
私の場合は、ヘルプ画面を閉じて開き直し、テキスト欄に「Diag: Enable Basic Auth in EXO」を入力するところから、やり直すと復旧しました。場合によってはブラウザのキャッシュクリアなども必要になってくるかもしれません。
まとめ
2022年まであと3カ月ですので全体管理者様は、計画を立てて進めていきましょう。
