約3年前よりアナウンスされていたExchange OnlineのBasic認証を2022年10月1日より廃止します。
Basic Authentication Deprecation in Exchange Online – September 2022 Update
Microsoft The Exchange Team , Published Sep 01 2022 08:00 AM
なお、10月1日から、ランダムにテナントを選び、MAPI、RPC、オフラインアドレス帳(OAB)、Exchange Web Services(EWS)、POP、IMAP、Exchange ActiveSync(EAS)、およびリモートPowerShellのBasic認証アクセスを無効化する予定です。7日前にメッセージセンターにメッセージを投稿し、変更当日に各テナントにサービスヘルスダッシュボードの通知を掲載します。SMTP AUTHの無効化、設定変更は行いません。
Basic認証を解除している場合、テナントやユーザーへの影響はありません。もし分からない場合は、2021年10月から毎月送られている利用状況報告書をメッセージセンターで確認できます。
一度限りの再有効化
準備ができていないユーザーにプランが用意されました。10月1日以降にBasic認証をオフにする際、すべてのユーザーはセルフサービス診断を利用して、必要なプロトコルのBasic認証のみ1回だけ再有効化することができます。このプロセスの詳細は以下の通りです。
この診断が実行されると、それらのプロトコルについてBasic認証が再度有効になります。選択されたプロトコルは、2022年12月末までBasic認証が有効なままとなります。2023年の最初の週には、これらのプロトコルは永久にBasic認証が無効になり、Basic認証を使用することはできなくなります。
混乱を避けるために
すでに時間が必要なことが分かっていて、Basic認証の無効化による混乱を避けたい場合は、事前に診断を実行しBasic認証を無効化しないようにすることができます。オプトアウトされていないプロトコルについては、Basic認証が無効化されますが、後にそれらのプロトコルも必要となった場合には、以下の手順で(年末まで)再有効化することができます。
診断オプション
セルフサービス診断を呼び出すには、このボタンをクリックするだけで、直接 Basic Auth セルフヘルプ診断に行くことができます(テナントのグローバル管理者であれば、Microsoft 365 の管理センターで診断が表示されます)。
または、Microsoft 365 管理センターを開き、画面右下の緑色の「ヘルプとサポート」ボタンをクリックすることもできます。
このボタンをクリックすると、セルフヘルプシステムに入ります。ここで、「Diag: EXOでBasic認証を有効にする」
Government Community Cloud(GCC)のテナントは、ここで紹介するセルフサービス診断を利用することができません。テナントに送信されたメッセージセンターの投稿に含まれる手順に従って、オプトアウトすることができます。10月1日の期限後にプロトコルを再有効化する必要がある場合は、サポートチケットを作成してください。
オプトアウトについて
2022年9月の1ヶ月間、診断ではオプトアウトのオプションのみが提供されます。9月中にオプトアウト・リクエストを送信することで、10月中にBasic認証を無効化することを希望しない旨が表示されます。 2023年1月には、オプトアウトの状態にかかわらず、すべてのテナントに対してBasic認証を永久に無効にする予定です。
診断には以下のダイアログが表示され、複数のプロトコルに対して再実行することができます。なお、オプトアウトしてもプロトコルはリストから削除されませんが、(エラーが出ない限り)リクエストは受信している模様です。
Basic認証の再有効化
10月1日以降、診断では、無効化されたプロトコルに対してのみBasic認証を再有効化することができるようになります。
9月中にオプトアウトしなかった場合、Basic認証を無効にした場合、これを使用して再度有効にすることができます。
診断を実行し、Basic認証を再度有効化するように依頼してから1時間以内(通常はもっと早い)に、Basic認証が再び機能するようになります。
2023年1月1日以降、セルフサービス診断は利用できなくなり、その後すぐにすべてのプロトコルでBasic認証が無効になります。
タイムラインとアクションのまとめ
以下のフローチャートで、変更点と必要なアクションを確認できます。
自分でBasic認証をブロックする
もし、Basic認証が不要になった場合は、自分でブロックすることができます。認証ポリシーを用いて、Exchange Online の接続ポイントでベーシック認証接続をブロックします。
Microsoft 365の管理センターで、「設定」、「組織の設定」、「モダン認証」に移動し、不要になったBasic認証のチェックを外します。(これらのチェックボックスは、2023年1月以降に削除される予定です)。
Reporting Web Service Endpoint
メッセージ追跡ログなどにアクセスするために、このサービスが12月31日までBasic認証を有効にし続けます。ガイダンスを確認して下さい。
EOP/SCC PowerShell
Basic認証は、2022年12月31日まで有効です。証明書ベースの認証に移行するには、こちらの手順に従ってください。
Exchange Online PowerShell
Exchange Online PowerShell のBasic認証は、上記のオプトアウトと再有効化のガイダンスとスケジュールに従って行われます。2023 年 1 月以降、MFA を使用しない Exchange v1 モジュールは最新の認証をサポートしないため、永久に機能しなくなることに注 意してください。詳しくは、Understanding the Different Versions of Exchange Online PowerShell Modules and Basic Authを確認ください。
その他のBasic認証関連の更新
Microsoft 365 に新しい機能を追加し、Basic 認証によってもたらされるリスクを回避できるようにします。この新機能は、Office アプリケーションのデフォルトの動作を変更し、Basic 認証を使用したサインインをブロックするものです。この変更により、ユーザーがBasic認証のみを使用するサーバー上でOfficeファイルを開こうとした場合、Basic認証のサインインプロンプトが表示されなくなります。代わりに、安全でない可能性のあるサインイン方法を使用しているため、ファイルがブロックされた旨のメッセージが表示されます。
詳しくはこちら:Microsoft 365 Apps では、Basic認証のサインインがデフォルトでブロックされます。