微軟將在2022年10月關閉Exchange Online基礎驗證

隨著COVID-19疫情漸緩，IT大廠一些原本延後的計畫也恢復實施。微軟近日宣布將於2022年10月1日關閉Exchange基礎驗證（Basic Authentication）協定。

使用基礎驗證（Basic Authentication，簡稱Basic Auth）時，App會在每次呼叫時傳送用戶名稱及密碼，雖然很容易設定，但也容易讓駭客竊取用戶帳密，因此微軟希望推動以OAuth 2.0為基礎的身分驗證及授權。去年2月微軟宣布於同年10月停用這項標準，後來因為爆發COVID-19全球大流行，微軟於4月宣布延後停止支援Exchange Online Basic Auth到2021年下半，Exchange Online租戶已經啟用的可持續使用，但是未使用的則不得啟用。此外去年秋天起，Exchange Web Services (EWS)、Exchange ActiveSync (EAS)、POP、IMAP、Remote PowerShell、MAPI、RPC、SMTP AUTH和OAB等服務也不再支援Basic Auth。

在最新宣布下，微軟將重新推動分階段捨棄Basic Auth的工作。首先，從2022年初，微軟會挑選Exchange Online特定租戶中對所有協定關閉Basic Auth 12到48小時。之後會再重新啟動Basic Auth。在這測試期間使用新式驗證（Modern Auth）的用戶端或App則不受影響。

從2022年10月1日，微軟將永久關閉所有Exchange環境對Basic Auth的支援。唯一例外的是SMTP Auth之後還可以重新啟動，但為了安全起見，微軟仍奉勸用戶最好還是不要再用。

微軟指出，Basic Auth是過時產業標準，與之相關的威脅從去年初以來大量增加，微軟呼籲企業用戶應在該公司終止使用前，升級到更安全的新式標準。