Exchange Online の基本認証廃止と先進認証有効化について
内容は、2021年6月時点のものです。
Microsoft社から基本認証廃止、先進認証有効化の案内が公開されてかなり年月が経過しました。
現在もCOVID19の影響で廃止が延長されています。
直近では2021年後半を目途に廃止される予定でしたがそれも現時点(2021年6月)では確定されていません。
表題にも記載していますが基本認証廃止は、現時点では Exchange Online で利用する基本認証が廃止されるという意味となります。
Microsoft365全体において基本認証が廃止されるという意味ではありません。
Title : Basic Authentication and Exchange Online February 2021 Update
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-february-2021-update/ba-p/2111904
最初は、基本認証廃止、先進認証有効化と言われても具体的に何が利用できなくなるのだろうという認識でした。
調べていくうちに「基本認証」、「レガシ認証」、「先進認証」、「モダン認証」、「多要素認証」、「OAuth」などなど・・・
知識が無いものにとって余計に惑わすワードが次々と出てきました。
本記事はそれらを私なりにまとめ、基本認証廃止、先進認証有効化に対してどのように対応すればよいかを記載しましたので理解しにくいという方の一助となれば幸いです。
—————————————————————————————————————————
★2021年10月2日 追記★
2022年10月1日にExchange Online の基本認証廃止が決定しました。それにともない新しい情報も公開されています。関連する内容ですので以下に新しい記事を追加しました。参考にいただければ幸いです。
—————————————————————————————————————————
目次
- 1 基本認証廃止、先進認証有効化の対象テナントについて
- 2 基本認証、先進認証、多要素認証、OAuthについて
- 3 基本認証廃止の影響範囲(プロトコルや認証方法など)
- 4 Exchange Web Services (EWS)について
- 5 Exchange Active Sync (EAS)について
- 6 Internet Message Access Protocol (IMAP4)、Post Office Protocol (POP3)
- 7 Remote PowerShell (RPS)
- 8 実はすでに先進認証で認証されているサービスも存在する
- 9 先進認証を有効化する方法
- 10 テナント管理者が実施すること
- 11 基本認証、先進認証環境下のメール関連サービスの動作検証結果
- 12 検証テナントを作成し、試してみる
- 13 まとめ
基本認証廃止、先進認証有効化の対象テナントについて
まず対象となるのは、2017年8月以前にテナントを作成した組織となります。
以下は先進認証が有効化されているか確認するコマンドレットです。
Exchange Online へ PowerShell で接続、コマンドレット実行後、「True」が出力されると先進認証は有効化されています。「False」が出力されると先進認証は無効化されています。
コマンドレット:Get-OrganizationConfig | Format-Table Name,Oauth* -Auto
検証、調査している中で分かったことですが厳密に言うと2017年8月以降に導入されたテナントは、先進認証、基本認証の両方が有効化されているようです。そのため、利用側のアプリ機能によってどちらでも接続できる状態のようです。
そこでMicrosoftは、2017年8月以降導入テナントにおいてExchange Onlineで基本認証を利用していない場合、30日前に全体管理者へ連絡し、30日経過後、基本認証を無効化していく計画があるようです。
この変更の影響は、現時点では法人向けM365に限定され、コンシューマーサービスユーザーには影響ないようです。
基本認証、先進認証、多要素認証、OAuthについて
基本認証は、レガシ認証と同意です。
先進認証は、モダン認証と同意です。
基本認証廃止とは、Microsoft365の Exchange Online で基本認証を無効化するという意味です。
廃止されると基本認証を利用するプロトコルなどは認証できなくなります。
そのため管理者様は、基本認証が廃止される前に先進認証を有効にする必要があります。
現時点では勝手に先進認証は有効になりません。
多要素認証は、基本認証や先進認証とは異なり、基本認証廃止に必須ではありません。
多要素認証は、二段階の認証で例えばブラウザで認証後、携帯電話でもう一度認証するなどの方法です。
セキュリティ的に強化されるのでMicrosoftとしてはおすすめしていますが必須ではないのでこれ以上の説明は控えさせていただきます。必須ではないとわかりましたので当方テナントではいったん見送りとなりました。
OAuthは、認証ではなく認可という仕組みらしいです。
私は「OAuth」についてうまく説明できないのですがテナントで基本認証廃止後、先進認証を有効にすれば、対応しているメーラー(最新のThunderbirdなど)を利用して接続することが可能です。
そういう意味では基本認証廃止と関係があります。
基本認証廃止の影響範囲(プロトコルや認証方法など)
次のプロトコルにおいて基本認証による接続ができなくなります。
主に Exchange Online で利用されているので基本認証廃止は、 ExchangeOnline で基本認証が廃止されると同意となります。
・Exchange Web Services (EWS)
・Exchange Online for Exchange Active Sync (EAS)
・Internet Message Access Protocol (IMAP4)
・Post Office Protocol (POP3)
・Remote PowerShell (RPS)
テナント内で上記プロトコルや認証方法が利用されているかどうかは、AzureActiveDirectoryのサインインログから確認することが可能です。
方法:条件付きアクセスを使用して Azure AD へのレガシ認証をブロックする
https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/block-legacy-authentication
■AzureActiveDirectoryのサインインログのサンプル
クライアントアプリでレガシ認証(基本認証)の13か所にチェックを入れフィルタした結果が以下の画像になります。
Exchange Web Services (EWS)について
EWSは、Outlook、Outlook for Mac、およびサードパーティ製アプリケーションによって使用されるプログラミング インターフェイスです。
サードパーティ製アプリケーションも利用するのでどのようなところで利用されているかと言われるとアプリケーション開発元に確認するしか方法がありません。
ただ、先進認証に対応しているOutlook、Outlook for Mac、およびサードパーティ製アプリケーションであれば、先進認証の有効化によって基本認証から先進認証に切り替わるのである程度最新の状態であれば問題ないと思われます。
かなり昔から利用しているサードパーティ製アプリケーションがExchange Onlineと連携している場合は注意が必要かもしれません。
アプリケーション開発元へ確認しましょう。
Exchange Active Sync (EAS)について
これもEWS同様、いろいろなところで利用されていますがモバイルデバイス(iPhone、Androidなど)のメーラーなどが参考になります。サードパーティ製アプリケーションでも利用されています。
■iPhoneでのEAS接続する際の最初の画面です
ここからが重要なのですが、
特定バージョン以降のモバイルデバイスは先進認証に対応しているため、EASで接続すると先進認証で接続されます。ただ、特定バージョンより前にEASで接続しているユーザーは、基本認証による接続となり、この接続は、最新バージョンへアップデートしても基本認証のままで一度、切断/接続を行わないとEASによる接続は先進認証へ変更されません。
ここで気になった方がいるかもしれませんがテナントの先進認証を有効化してないのにEASで先進認証の接続ができるの?ということです。
答えはできました。
ただし、私自身もMicrosoft365の仕組みを理解し切れてないところがありますのでうまく説明できません。
ブラウザで利用するOutlook on the web も先進認証となり、先進認証が有効化されてないのに先進認証で接続していてちょっと不思議な感じです・・・
Internet Message Access Protocol (IMAP4)、Post Office Protocol (POP3)
これは皆さまご存じの方も多いと思います。
ThunderbirdなどのメーラーでExchange Onlineへ接続する際に利用しているものです。
考え方としては、IMAP4やPOP3がExchange Onlineで廃止されるのではなく、基本認証を利用したIMAP4やPOP3が廃止されるので先進認証を利用したIMAP4やPOP3であればExchange Onlienへ接続することは可能です。
最新のThunderbirdは、先進認証に対応していますのでExchange Onlineへ接続することが可能なようです。
■参考
ThunderBird(OAuth)設定変更方法
http://www.wakayama-u.ac.jp/aic/service/mail/thudenrbirdoauth.html
Remote PowerShell (RPS)
PowerShellを利用してExchange Onlineへ接続する方法です。
接続する際にバージョンの古いモジュールを利用している場合は、基本認証廃止とともに接続できなくなります。
以下は検証で基本認証をオフ、先進認証をオンにし、古いモジュールで接続した時のエラー画面です。
「New-PSSession」というコマンドレットが先進認証では利用できないためアクセスが拒否されています。
■参考:「New-PSSession」が先進認証で拒否された場合
Exchange Online PowerShell V2 モジュールをインストールすれば問題なく接続することが可能です。そもそも接続する際に利用するコマンドレットが異なります。
リリースノートにも特に明記されていない限り、V2 モジュールの現在のリリースには、以前のリリースのすべての機能が含まれていますとありますので最新バージョンをインストールすれば問題ないと思います。
Exchange Online PowerShell V2 モジュールのバージョン情報
https://docs.microsoft.com/ja-jp/powershell/exchange/exchange-online-powershell-v2?view=exchange-ps
■参考: Exchange Online PowerShell V2 モジュール で接続した場合
実はすでに先進認証で認証されているサービスも存在する
ややこしい表現ですが基本認証が有効な状態でも一部のサービスは先進認証が利用されています。
一例では、Outlook on the web がそれにあたります。AzureActiveDirectoryのサインインログを確認すると先進認証で処理されていることが分かります。
私もうまく表現できませんが基本認証が有効な場合、プロトコルや認証方式によっては、基本認証を優先的に利用するような仕組みがあるのだと思われます。
先進認証を有効化する方法
方法1、2のどちらかで先進認証を有効化することが可能です。ただ私見ですが、方法2は、基本認証の状態が分かりにくいため、方法1のGUIで操作する方法のほうがよいと思います。
・方法1
Microsoft365管理センター > 設定 > 組織設定 > Modern Authentication > Outlook 2013 for Windows 以降の先進認証をオンにする をチェックします。基本認証プロトコルへのアクセスを許可するの7か所はすべてチェックをはずして保存します。★ 7か所 にチェックが入っていると先進認証と基本認証の両方がオンの状態となります
・方法2
PowerShellでExchange Onlineへ接続し、以下を実行して先進認証をオンします。
Set-OrganizationConfig -OAuth2ClientProfileEnabled $True
テナント管理者が実施すること
・Exchange Web Services (EWS)
どのようなシチュエーションで利用されているか完全に把握できないので基本認証から先進認証へ切り替わるとサービスによっては利用不可になると注意喚起する。
・Exchange Online for Exchange Active Sync (EAS)
どのようなシチュエーションで利用されているか完全に把握できないので基本認証から先進認証へ切り替わるとサービスによっては利用不可になると注意喚起する。
モバイルデバイスで利用している方は、再接続が必要となる場合があるのでiPhoneやAndroidくらいは一例として手順を事前に公開する。
・Internet Message Access Protocol (IMAP4)、Post Office Protocol (POP3)
メーラーによっては特定バージョン以降で先進認証に対応しているため一例として手順を事前に公開する。
・Remote PowerShell (RPS)
PowerShellを利用してExchange Onlineへ接続する方だけですので一般利用者はほぼ該当しないと思います。
基本認証がまだ有効な状態でもV2モジュールへ変更すれば先進認証で接続できますので前もって変更が可能です。
基本認証、先進認証環境下のメール関連サービスの動作検証結果
★個人による検証結果ですので参考程度としてください。また、アプリケーションのバージョンが古いものは、想定とは異なる結果となる場合があります。
検証テナントを作成し、試してみる
検証テナントの作成方法を以下に記載しています。私も作成し、基本認証、先進認証を試すことができました。参考にしていただければ幸いです。
Microsoft365の検証テナントを作成する(無料)
https://tkjzblog.com/2021/07/24/microsoft365の検証テナントを作成する(無料)/
まとめ
私自身が管理しているテナントでもまだ先進認証を有効化してないので上記どおりに動作するかは不確定なところはあります。
ただ、同じような管理者様は多数いらっしゃると思われますので参考にいただけると幸いです。
また、管理者様は以下の情報も合わせてご確認ください。記事を作成した時点でもうあまり時間はないのですが、それないに影響はありますので。
