for Microsoft 365
根據微軟於 2020 年四月公佈的資訊,使用「基本驗證」來存取您的 Exchange Online 將在2021年的後半年終止。
如果您欲查尋關於此公告的公開官方資訊,可以透過以下的連結來找到「Exchange Online 即將淘汰基本驗證」的相關資訊。
Exchange Online deprecating Basic Authentication (Published 2019/09/20)
Improving Security - Together (Published 2019/09/20)
Basic Auth and Exchange Online – February 2020 Update
Basic Authentication and Exchange Online – April 2020 Update
因應微軟的此政策,我們已經在我們的 Help Center 稍早發佈了一篇相關文章,請參考以下連結。
(※公告)Exchange Online 即將結束對「基本驗證」支援於 HENNGE One 的影響
根據「基本驗證」的淘汰,每一種應用程式和服務都有需要做的設定和改變。我們在以下的文章中,記錄了對使用者影響最小的對應方法。
1. 前言
「基本驗證」的結束支援對 HENNGE One 的服務並不會有直接的影響。在 2021後半 結束支援之後,您依然可以正常的和 Microsoft 365 同步使用您的 HENNGE One 服務。
但是因著 Microsoft 365 中 Exchange Online 基本驗證的淘汰,我們希望我們的客戶能夠花時間閱讀完以下的內容來暸解這個變化可能對使用者所造成的影響。
因著您公司所使用的不同的應用程式和服務,在「基本驗證」結束支援之後,您有可能需要在 HENNGE Access Control 中的編輯原則群組中的存取原則來因應。
2. 先決條件
請先閱讀以下的先決條件再繼續閱讀以下的主要文章。
- 此篇文章是因應微軟 2020/02/25, 2020/04/03 公佈的「基本驗證」淘汰的政策,所撰寫的。微軟有可能會在沒有事前通知的情況下再公佈 Microsoft 365 或是 Exchange Online 的新資訊。
- 根據微軟的官方資訊,受到「基本驗證」淘汰所影響的服務為下:Exchange ActiveSync(EAS)、Exchange Web Service(EWS)、POP/IMAP、Remote PowerShell、Outlook Client Application for Windows PC。SMTP 暫時不會受到這次更新的影響。(微軟有可能在 2021年後半之後再更新 SMTP 的部份)
- 這次的更新是微軟官方的政策,如果您對這次「基本驗證」淘汰的細結部份有相關的問題,或是不關於 HENNGE One 服務的問題,我們建議您連繫微軟服務。
3. 不受到影響的服務和應用程式
經由 HENNGE Access Control 登入畫面進入 Microsoft 365/Exchange Online 並不會影響以下的服務:
- 以瀏覽器使用的 Outlook on the Web(OWA)
- 以 HENNGE Secure Browser 使用的 Outlook on the Web(OWA)
- Outlook Client App on iOS/Android
- iOS 11.3 或以上內建的 Email 應用程式(點選「登入」新增的 Email 帳號)
Account Setting Flow of Applications:Services that will not be Affected.pdf
除此之外,Windows PC 上使用的 Outlook 2016 以上的版本如果使用的是「先進驗證」,並不會受到此次變更的影響。
另外,微軟特別提到 SMTP 不受到影響的聲明。
- SMTP Email 送信(在下一次的更新可能會有所改變)
4. 預先在 Microsoft 365 環境上做的檢查
4.1. 檢查「先進驗證」是否已經開啟
因應「基本驗證」的結束支援,您 Microsoft 365 中 Exchange Online 的「先進驗證」勢必要啟用。
首先,請先參考以下的文章來確認您 Exchange Online 中的「先進驗證」目前是否已被開啟。
如果您的 Microsoft 365 環境是於 2017 年之前所建立的,您的 Exchange Online 中的「先進驗證」預設應該是關閉的。
上篇連結文章的後半部份有敘述如果打開您的 Exchange Online 中的「先進驗證」,請在執行時留意。
參考
您可以簡單的從 Outlook 2016 版以上的登入畫面來得知您 Exchange Online 中的「先進驗證」的功能是否有打開。請在 Outlook 2016 上建立一個帳號,並登入到您 Microsoft 365 中的其中一個帳號裡。
登入一個帳號:
- 如果您看到的不是 HENNGE Access Control Login Screen,那您的「先進驗證」並沒有被開啟。
- 如果您看到的是 HENNGE Access Control Login Screen,那您的「先進驗證」已經被開啟。
但是上述的方法不一定完全準確,我們強烈建議使用 PowerShell 來檢查您的「先進驗證」是否已打開。
4.2. 如果「先進驗證」尚未開啟
因應 「基本驗證」的結束支援,開啟「先進驗證」將會是必要的。
如果「先進驗證」仍未啟用,使用「基本驗證」登入的應用程式和服務將會受到影響。
*上述並不包含「不受影響的應用程式和服務」
請注意,如果打開了「先進驗證」的話,使用 Windows 電腦上使用 Outlook 2016 以上的使用者因著「基本驗證」到「進階驗證」的轉換,可能會需要經由 HENNGE Access Control 的登入頁面重新登入他們的 Outlook。
在打開「先進驗證」的同時,請先暸解「基本驗證」和「進階驗證」在登入 Session 上的長度差異。
「基本驗證」會在背景不定期的重新驗證使用者。基本上,每幾個小時,系統就會重新在背景再次登入使用者。
「進階驗證」則是當使用者成功的登入之後,取得一個長時間有效的 Token。
此 Token 的有效期限預設為 90 天,但是如果使用者有定期再使用該服務或應用程式的情況下,該 Token 就會被延長有效期限。所以該 Token 如果有在定期使用的話是沒有有效期限的。
Azure Active Directory 中可設定的權杖存留期 (預覽)
※如果您對 Session 和 Token 的規格和長度有疑問的話,我們建議您連繫微軟的客服。
因為登入畫面的改變,我們建議您在把「先進驗證」打開之前預先通知您的使用者 Session 時效的改變、登入畫面的轉變等再執行把「先進驗證」打開的任務。
請在打開「先進驗證」之前做好影響的評估。
*如果您對「先進驗證」的開啟有任何問題,我們建議您可以連絡微軟的客服。
4.3. 如果「先進驗證」已被開啟
如果您的 Exchange Online 的「先進驗證」已經開啟,請繼續閱讀以下的「5. 對應用程式和服務的改變」來評估對您的應用程式和服務的影響。
5. 對應用程式和服務的改變
以上的內容為「為您的 Exchange Online 打開先進驗證的先決條件」的後續設定。
但是在「3.不受到影響的服務和應用程式」中提到的應用程式和服務是不會受到「先進驗證」開啟的影響。
5.1. Windows 電腦上的 Outlook
Outlook 2016 或以上
Outlook 2016 或是以上的版本仍可以正常使用。
請在登入您的帳號的時後確認您登入會看到 HENNGE Access Control 的登入畫面。
Outlook 2013
在「基本驗證」的淘汰之前(2021年後半)請確認您在每一台使用 Outlook 用戶端的 Windows 電腦上完成以下的步驟。
為 Windows 裝置上的 Office 2013 啟用新式驗證
在執行完以上的步驟之後,該電腦在使用 Outlook 登入 Exchange Online 的時候會看到 HENNGE Access Control 的登入頁面。
*如果您對以上的步驟有任何疑問,我們建議您連絡微軟的客服。
Outlook 2010 或之前
在「基本驗證」的淘汰之後(2021年後半),Outlook 2010或是之前的電腦將不能再使用。
我們建議您轉移到 Outlook 2016 或是更新。
5.2. Exchange Active Sync
iOS 11.3 或是以上的內建 Email 應用程式所使用的 Exchange ActiveSync
請在您的 iPhone/iPad 上建立一個新的 Email 設定檔並點擊「登入」的按鈕。
如果您之前是以「手動」的方式又立的 Email 設定檔的話,請再次設定一次,並以「登入」的按鈕來重新建立一個新的設定檔。
雖然以上述方式仍然可以以「先進驗證」模式來登入您的 Exchange Online,但是我們建議您使用微軟官方的 Outlook Application for iOS 來登入您的 Exchange Online。
iOS 11.3 或是之前的內建 Email 應用程式使用的 Exchange ActiveSync
如果您使用的 iOS 裝置的話,那在「基本驗證」,那麼在 2021年後半 之後該裝置將無法再登入 Exchange Online 。
請更新您 iOS 的版本,並以上述的「登入」的方式來建立您的 Email 設定檔。
雖然以上述方式仍然可以以「先進驗證」模式來登入您的 Exchange Online,但是我們建議您使用微軟官方的 Outlook Application for iOS 來登入您的 Exchange Online。
Android 的內建 Email 應用程式使用的 Exchange ActiveSync
如果您使用的是 Android 的裝置的話,那在「基本驗證」在 2021年後半 淘汰之後,您的裝置就無法再登入 Exchange Online 了。
我們建議您下載微軟官方的 Outlook Application for Android 來登入您的 Exchange Online。
5.3. POP/IMAP
使用「基本驗證」的 POP/IMAP 將在 2021年後半 之後「基本驗證」的淘汰之後不能再登入 Exchange Online。
如果是支援「先進驗證」登入 POP/IMAP 的應用程式或是服務仍然沒有問題。
*Microsoft 365 正在準備中。
微軟官方建議使用者使用 Outlook 用戶端或是以瀏覽器為主的 Outlook on the Web (OWA) 來登入您的 Exchange Online。
5.4. Remote PowerShell
使用「基本驗證」登入的 Remote PowerShell,將在 2021年後半 後的「基本驗證」淘汰之後無法再繼續使用。
支援「先進驗證」登入模式的 Remote PowerShell 仍然可以正常使用。
*您可以透過登入的畫面來知道您的 Remote PowerShell 使用的是「基本驗證」還是「先進驗證」登入的。如果有顯示 HENNGE Access Control 的登入畫面的話,使用的是「進階驗證」,如果沒有該晝面的話,使用的是「基本驗證」來做登入的。
如果欲透過「先進驗證」模式來登入您的 Remote PowerShell 的話,請依照以下步驟。
使用多重要素驗證連線至 Exchange Online PowerShell
5.5. Exchange Web Service
使用「基本驗證」登入 Exchange Web Service 的應用程式或是服務,將在 2021年後半 後的「基本驗證」淘汰之後無法再繼續使用。
如果欲知道該應用程式或是服務是否支援「先進驗證」模式的登入,請連繫提供該應用程式或是服務的公司或廠商。
6. 對 HENNGE Access Control 下的存取原則進行修改
請在閱讀以下的部份之前,確認您已閱讀「4.預先在 Microsoft 365 環境上做的檢查」及「5.對應用程式和服務的改變」再繼續。
HENNGE Access Control 大部份的使用客戶的使用案例都是以公開的 IP (Global IP) 位置來限制使用者的登入。
如果您欲在「基本驗證」的停止支援之後由「基本驗證」轉換到「先進驗證」的話而且您是以公開 IP 位置來限制外部的使用者做登入的話,那您在「基本驗證」結束之後仍可以像以前一樣以 IP 來限制使用者。
*請確認您已經把公開 IP 位置加到您的存取原則裡面。
如果您使用的是 Windows Outlook、Outlook for iOS/Android 或是 iOS 11.3 以上內建的 Email 應用程式ActiveSync 的話,我們建議您考慮導入「HENNGE Device Certificate」。
導入「HENNGE Device Certificate」功能的步驟敘述為下,請參考。
6.1. 前置設定
如果您對「HENNGE Device Certificate」導入有疑問的話歡迎連絡我們的窗口:tw-support@hennge.com。
6.2. 如何確認您的「HENNGE Device Certificate」功能已經打開
再完成「6.1.前置設定」後,您並購買了「HENNGE Device Certificate」模組之後,「Device Certificate」的選項應該會出現在您的 HENNGE Access Control 管理員介面。
How to check if HENNGE Device Certificate is Enabled.pdf
6.3. 變更原則群組
請在 HENNGE Access Control 的管理員畫面中找到欲修改的原則群組,並點擊編輯來變更該群組。在「允許存取條件」中增加「or」,並再加上「device_cert:any」。
How to Modify the HENNGE Access Control Access Policy .pdf
6.4. 如何使用「HENNGE Device Certificate」?
如果您欲查尋如何使用「HENNGE Device Certificate」的話,可以參考我們在 Help Center 中的其它文章。
HENNGE Device Certificate 使用者手冊
7. 結尾
上述的大多情境都是一般的情況。
如果貴公司使用的規則或原則群組更進階的話,我們建議您連繫我們的 Support。
如果您是對「基本驗證」的淘汰造成對 Exchange Online 或是 Microsoft 365 的部份有疑問的話,我們建議您連絡微軟的連絡窗口。
如果您是對「基本驗證」的淘汰造成對特定的應用程式或是服務的影響或是使用狀況有疑問的話,我們建議您連繫該應用程式或是服務的提供廠商。
如果對 HENNGE Access Control 的存取原則有問題的話,我們建議您參考看看「HENNGE Device Certificate」的功能,並考慮一併使用。
最後,有客戶可能會對自己貴公司內部的使用情況有疑問。我們很能暸解您的情況,但是請容許我們不能完全掌握所有客戶的使用情形。所以如果您連繫了我們的客服,我們建議您加上更明確的問題、詳細狀況,來更快的獲得答案。
謝謝您的幫助和時間。
※此文章是根據 微軟 Microsoft 365 支援中心的(MC191153、MC204828)所撰寫。
※此文章會拫據 微軟 Microsoft 365 支援中心 隨時釋出的新訊息而進行更新。