如何检查 Exchange Online“基本验证”结束支援对于 HENNGE One 的影响

for Microsoft 365

根据微软于 2020 年四月公布的资讯,使用“基本验证”来存取您的 Exchange Online 将在2021年的后半年终止。
如果您欲查寻关于此公告的公开官方资讯,可以透过以下的连结来找到“Exchange Online 即将淘汰基本验证”的相关资讯。

Exchange Online deprecating Basic Authentication (Published 2019/09/20)

Improving Security - Together (Published 2019/09/20)

Basic Auth and Exchange Online – February 2020 Update

Basic Authentication and Exchange Online – April 2020 Update

因应微软的此政策,我们已经在我们的 Help Center 稍早发布了一篇相关文章,请参考以下连结。

(※公告)Exchange Online 即将结束对“基本验证”支援于 HENNGE One 的影响

根据“基本验证”的淘汰,每一种应用程式和服务都有需要做的设定和改变。我们在以下的文章中,记录了对用户影响最小的对应方法。

1. 前言

“基本验证”的结束支援对 HENNGE One 的服务并不会有直接的影响。在 2021后半 结束支援之后,您依然可以正常的和 Microsoft 365 同步使用您的 HENNGE One 服务。

但是因著 Microsoft 365 中 Exchange Online 基本验证的淘汰,我们希望我们的客户能够花时间阅读完以下的内容来暸解这个变化可能对用户所造成的影响。

因著您公司所使用的不同的应用程式和服务,在“基本验证”结束支援之后,您有可能需要在 HENNGE Access Control 中的编辑原则群组中的存取原则来因应。

2. 先决条件

请先阅读以下的先决条件再继续阅读以下的主要文章。

  1. 此篇文章是因应微软 2020/02/252020/04/03 公布的“基本验证”淘汰的政策,所撰写的。微软有可能会在没有事前通知的情况下再公布 Microsoft 365 或是 Exchange Online 的新资讯。
  2. 根据微软的官方资讯,受到“基本验证”淘汰所影响的服务为下:Exchange ActiveSync(EAS)、Exchange Web Service(EWS)、POP/IMAP、Remote PowerShell、Outlook Client Application for Windows PC。SMTP 暂时不会受到这次更新的影响。(微软有可能在 2021年后半之后再更新 SMTP 的部份)
  3. 这次的更新是微软官方的政策,如果您对这次“基本验证”淘汰的细结部份有相关的问题,或是不关于 HENNGE One 服务的问题,我们建议您连系微软服务。

3. 不受到影响的服务和应用程式

经由 HENNGE Access Control 登入画面进入 Microsoft 365/Exchange Online 并不会影响以下的服务:

  • 以浏览器使用的 Outlook on the Web(OWA)
  • 以 HENNGE Secure Browser 使用的 Outlook on the Web(OWA)
  • Outlook Client App on iOS/Android
  • iOS 11.3 或以上内建的 Email 应用程式(点选“登入”新增的 Email 帐号)

Account Setting Flow of Applications:Services that will not be Affected.pdf

除此之外,Windows PC 上使用的 Outlook 2016 以上的版本如果使用的是“先进验证”,并不会受到此次变更的影响。

另外,微软特别提到 SMTP 不受到影响的声明。

  • SMTP Email 送信(在下一次的更新可能会有所改变)

4. 预先在 Microsoft 365 环境上做的检查

4.1. 检查“先进验证”是否已经开启

因应“基本验证”的结束支援,您 Microsoft 365 中 Exchange Online 的“先进验证”势必要启用。
首先,请先参考以下的文章来确认您 Exchange Online 中的“先进验证”目前是否已被开启。

检查 Exchange Online 的先进验证登入状态

如果您的 Microsoft 365 环境是于 2017 年之前所建立的,您的 Exchange Online 中的“先进验证”预设应该是关闭的。
上篇连结文章的后半部份有叙述如果打开您的 Exchange Online 中的“先进验证”,请在执行时留意。

 

参考
您可以简单的从 Outlook 2016 版以上的登入画面来得知您 Exchange Online 中的“先进验证”的功能是否有打开。请在 Outlook 2016 上建立一个帐号,并登入到您 Microsoft 365 中的其中一个帐号里。
登入一个帐号:

  • 如果您看到的不是 HENNGE Access Control Login Screen,那您的“先进验证”并没有被开启。
  • 如果您看到的 HENNGE Access Control Login Screen,那您的“先进验证”已经被开启。

但是上述的方法不一定完全准确,我们强烈建议使用 PowerShell 来检查您的“先进验证”是否已打开。

 

4.2. 如果“先进验证”尚未开启

因应 “基本验证”的结束支援,开启“先进验证”将会是必要的
如果“先进验证”仍未启用,使用“基本验证”登入的应用程式和服务将会受到影响。
*上述并不包含“不受影响的应用程式和服务”

请注意,如果打开了“先进验证”的话,使用 Windows 电脑上使用 Outlook 2016 以上的用户因著“基本验证”到“进阶验证”的转换,可能会需要经由 HENNGE Access Control 的登入页面重新登入他们的 Outlook。

在打开“先进验证”的同时,请先暸解“基本验证”和“进阶验证”在登入 Session 上的长度差异。
“基本验证”会在背景不定期的重新验证用户。基本上,每几个小时,系统就会重新在背景再次登入用户。
“进阶验证”则是当用户成功的登入之后,取得一个长时间有效的 Token。
此 Token 的有效期限预设为 90 天,但是如果用户有定期再使用该服务或应用程式的情况下,该 Token 就会被延长有效期限。所以该 Token 如果有在定期使用的话是没有有效期限的。

Azure Active Directory 中可设定的权杖存留期 (预览)

※如果您对 Session 和 Token 的规格和长度有疑问的话,我们建议您连系微软的客服。

因为登入画面的改变,我们建议您在把“先进验证”打开之前预先通知您的用户 Session 时效的改变、登入画面的转变等再执行把“先进验证”打开的任务

请在打开“先进验证”之前做好影响的评估。

启用 Exchange Online 中的新式验证

*如果您对“先进验证”的开启有任何问题,我们建议您可以连络微软的客服。

 4.3. 如果“先进验证”已被开启

如果您的 Exchange Online 的“先进验证”已经开启,请继续阅读以下的“5. 对应用程式和服务的改变”来评估对您的应用程式和服务的影响。

5. 对应用程式和服务的改变

以上的内容为“为您的 Exchange Online 打开先进验证的先决条件”的后续设定。

但是在“3.不受到影响的服务和应用程式”中提到的应用程式和服务是不会受到“先进验证”开启的影响。

5.1. Windows 电脑上的 Outlook

Outlook 2016 或以上

Outlook 2016 或是以上的版本仍可以正常使用。
请在登入您的帐号的时后确认您登入会看到 HENNGE Access Control 的登入画面。

Outlook 2013

在“基本验证”的淘汰之前(2021年后半)请确认您在每一台使用 Outlook 用户端的 Windows 电脑上完成以下的步骤。

为 Windows 装置上的 Office 2013 启用新式验证   

在执行完以上的步骤之后,该电脑在使用 Outlook 登入 Exchange Online 的时候会看到 HENNGE Access Control 的登入页面。

*如果您对以上的步骤有任何疑问,我们建议您连络微软的客服。

Outlook 2010 或之前

在“基本验证”的淘汰之后(2021年后半),Outlook 2010或是之前的电脑将不能再使用。

我们建议您转移到 Outlook 2016 或是更新。

5.2. Exchange Active Sync

iOS 11.3 或是以上的内建 Email 应用程式所使用的 Exchange ActiveSync

请在您的 iPhone/iPad 上建立一个新的 Email 设定档并点击“登入”的按钮。

如果您之前是以“手动”的方式又立的 Email 设定档的话,请再次设定一次,并以“登入”的按钮来重新建立一个新的设定档。

虽然以上述方式仍然可以以“先进验证”模式来登入您的 Exchange Online,但是我们建议您使用微软官方的 Outlook Application for iOS 来登入您的 Exchange Online。

iOS 11.3 或是之前的内建 Email 应用程式使用的 Exchange ActiveSync

如果您使用的 iOS 装置的话,那在“基本验证”,那么在 2021年后半 之后该装置将无法再登入 Exchange Online 。

请更新您 iOS 的版本,并以上述的“登入”的方式来建立您的 Email 设定档。

虽然以上述方式仍然可以以“先进验证”模式来登入您的 Exchange Online,但是我们建议您使用微软官方的 Outlook Application for iOS 来登入您的 Exchange Online。

Android 的内建 Email 应用程式使用的 Exchange ActiveSync

如果您使用的是 Android 的装置的话,那在“基本验证”在 2021年后半 淘汰之后,您的装置就无法再登入 Exchange Online 了。

我们建议您下载微软官方的 Outlook Application for Android 来登入您的 Exchange Online。

5.3. POP/IMAP

使用“基本验证”的 POP/IMAP 将在 2021年后半 之后“基本验证”的淘汰之后不能再登入 Exchange Online。

如果是支援“先进验证”登入 POP/IMAP 的应用程式或是服务仍然没有问题。
*Microsoft 365 正在准备中。

微软官方建议用户使用 Outlook 用户端或是以浏览器为主的 Outlook on the Web (OWA) 来登入您的 Exchange Online。

5.4. Remote PowerShell

使用“基本验证”登入的 Remote PowerShell,将在 2021年后半 后的“基本验证”淘汰之后无法再继续使用。

支援“先进验证”登入模式的 Remote PowerShell 仍然可以正常使用。
*您可以透过登入的画面来知道您的 Remote PowerShell 使用的是“基本验证”还是“先进验证”登入的。如果有显示 HENNGE Access Control 的登入画面的话,使用的是“进阶验证”,如果没有该昼面的话,使用的是“基本验证”来做登入的。

如果欲透过“先进验证”模式来登入您的 Remote PowerShell 的话,请依照以下步骤。

使用多重要素验证连线至 Exchange Online PowerShell

5.5. Exchange Web Service

使用“基本验证”登入 Exchange Web Service 的应用程式或是服务,将在 2021年后半 后的“基本验证”淘汰之后无法再继续使用。

如果欲知道该应用程式或是服务是否支援“先进验证”模式的登入,请连系提供该应用程式或是服务的公司或厂商。

6. 对 HENNGE Access Control 下的存取原则进行修改

请在阅读以下的部份之前,确认您已阅读“4.预先在 Microsoft 365 环境上做的检查”及“5.对应用程式和服务的改变”再继续。

HENNGE Access Control 大部份的使用客户的使用案例都是以公开的 IP (Global IP) 位置来限制用户的登入
如果您欲在“基本验证”的停止支援之后由“基本验证”转换到“先进验证”的话而且您是以公开 IP 位置来限制外部的用户做登入的话,那您在“基本验证”结束之后仍可以像以前一样以 IP 来限制用户
*请确认您已经把公开 IP 位置加到您的存取原则里面。

如果您使用的是 Windows Outlook、Outlook for iOS/Android 或是 iOS 11.3 以上内建的 Email 应用程式ActiveSync 的话,我们建议您考虑导入“HENNGE Device Certificate”。

导入“HENNGE Device Certificate”功能的步骤叙述为下,请参考。

6.1. 前置设定

如果您对“HENNGE Device Certificate”导入有疑问的话欢迎连络我们的窗口:tw-support@hennge.com

6.2. 如何确认您的“HENNGE Device Certificate”功能已经打开

再完成“6.1.前置设定”后,您并购买了“HENNGE Device Certificate”模组之后,“Device Certificate”的选项应该会出现在您的 HENNGE Access Control 管理员介面。

How to check if HENNGE Device Certificate is Enabled.pdf

6.3. 变更原则群组

请在 HENNGE Access Control 的管理员画面中找到欲修改的原则群组,并点击编辑来变更该群组。在“允许存取条件”中增加“or”,并再加上“device_cert:any”。

How to Modify the HENNGE Access Control Access Policy .pdf

6.4. 如何使用“HENNGE Device Certificate”?

如果您欲查寻如何使用“HENNGE Device Certificate”的话,可以参考我们在 Help Center 中的其它文章。

如何注册装置并派发凭证给用户?

HENNGE Device Certificate 用户手册

7. 结尾

上述的大多情境都是一般的情况。
如果贵公司使用的规则或原则群组更进阶的话,我们建议您连系我们的 Support。

如果您是对“基本验证”的淘汰造成对 Exchange Online 或是 Microsoft 365 的部份有疑问的话,我们建议您连络微软的连络窗口。

如果您是对“基本验证”的淘汰造成对特定的应用程式或是服务的影响或是使用状况有疑问的话,我们建议您连系该应用程式或是服务的提供厂商。

如果对 HENNGE Access Control 的存取原则有问题的话,我们建议您参考看看“HENNGE Device Certificate”的功能,并考虑一并使用。

最后,有客户可能会对自己贵公司内部的使用情况有疑问。我们很能暸解您的情况,但是请容许我们不能完全掌握所有客户的使用情形。所以如果您连系了我们的客服,我们建议您加上更明确的问题、详细状况,来更快的获得答案。

谢谢您的帮助和时间。

※此文章是根据 微软 Microsoft 365 支援中心的(MC191153、MC204828)所撰写。
※此文章会拫据 微软 Microsoft 365 支援中心 随时释出的新讯息而进行更新。

          
这篇文章对您有帮助吗?