基本驗證與現代驗證的比較，以及如何在 Office 365 中啟用

根據一份 Verizon 報告,大多數資料外洩事件都是因憑證遭竊所致,特別是在email伺服器上。 社會工程學、憑證釣魚及暴力破解攻擊,是惡意行為者用來竊取憑證的常見手段。

為提升 Office 登入的安全性並協助防止資料外洩,微軟推出了現代化驗證方法。此方法要求使用者在連線至線上 Office 365 資源時,必須進行額外的驗證與授權。

鑑於其顯著優勢,自 2017 年起建立的所有 Office 365 租戶均已預設啟用現代化驗證。 這是 Office 365 應用程式和服務中唯一可用的登入方式。然而,在混合式(本地端與雲端)Office 部署環境中,您需要手動為舊版 Office 客戶端啟用現代驗證,並在可行情況下停用基本驗證。

本文將簡要概述混合式 Office 部署中的基本驗證與現代驗證方法,並提供在 Office 365 中啟用現代驗證的步驟。

Microsoft 365 資料備份

使用 NAKIVO 解決方案備份 Exchange Online、Teams、OneDrive 和 SharePoint Online 中的 Microsoft 365 資料,確保工作流程不中斷且零停機時間。

探索解決方案

現代驗證與基本驗證

直到基本驗證被廢棄為止 預計於 2022 年底, Microsoft 將為 Exchange 和 Skype for Business 的混合部署提供兩種驗證方式:基本驗證和現代驗證。請注意,若要透過客戶端連線至 SharePoint Online,僅可使用現代驗證和 Microsoft Online Sign-in Assistant。

這兩種驗證方法在安全性方面存在顯著差異。儘管基本驗證將於今年稍晚被淘汰,但了解這兩種選項之間的差異仍至關重要。

什麼是基本驗證？

基本驗證是指僅使用使用者名稱和密碼來連線至 Office 365 應用程式的過程。當您在 email 客戶端輸入使用者名稱和密碼時,這些資訊會傳送至 Exchange Online 進行驗證,確認無誤後才會將您連線至雲端服務。

這是一種過時的方法,已無法提供足夠的保護來抵禦憑證威脅。 基本驗證的主要弱點之一在於,應用程式會將使用者憑證儲存於裝置上,這為試圖竊取密碼的駭客創造了更多機會。此外,微軟的許多身分識別與存取管理特點,例如"條件存取"和多因素驗證 (MFA),在這種 Office 365 舊式驗證機制下均無法使用。

什麼是現代驗證？

現代驗證是結合了多種驗證與授權方法,用於存取 Microsoft Office 雲端資源。現代驗證是基於 Active Directory 驗證函式庫 (ADAL) 和 OAuth 2.0 所建構的。

• Active Directory Authentication Library 這是一套供應用程式透過安全性憑證存取受保護資源的驗證工具。透過 ADAL,使用者還能享有單一登入 (SSO) 功能,無縫存取其可用的 Office 365 資源。
• OAuth 2.0 這是一種授權協定,允許使用者透過客戶端應用程式使用存取憑證來存取資源。此架構採用存取授權機制,因此使用者憑證不會與資源伺服器共享。

現代驗證框架為透過客戶端應用程式登入 Microsoft 365 資源的使用者增添了一層額外的安全防護。此外,此框架還支援啟用多重驗證 (MFA) 以及使用 條件式存取 政策。

如何在 Office 365 中啟用現代驗證

對於 2017 年 8 月之前建立的 Microsoft 租戶,啟用 Office 365 現代驗證的方法有以下幾種:

使用 Microsoft 365 管理中心

若要透過管理中心在 Office 365 中啟用現代驗證:

1. 登入至 Microsoft 365 管理中心.
2. 在左側導覽窗格中,展開 Settings 然後點擊 Org settings.
3. 在……之下 Services, 選擇 Modern authentication.
4. 請選擇 Turn on modern authentication for Outlook 2013 for Windows and later (recommended) 核取方塊。
5. 點擊 Save.

使用 Exchange Online PowerShell

請依照以下步驟,使用 Exchange Online PowerShell 啟用現代驗證:

1. 連線至 Exchange Online PowerShell.
2. 請針對 Outlook 2013 或更新版本的用戶執行以下指令:
   Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
3. 請使用以下指令確認變更是否成功,並確認已啟用現代化驗證:
   Get-OrganizationConfig | Format-Table Name,OAuth* -Auto

請注意,這並不會阻止您使用基本驗證方法。不過,您可以在 Outlook 2013 或更新版本中執行以下命令,強制使用 O365 傳統驗證:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false

停用 Office 365 基本驗證

在 Office 365 中啟用現代驗證後,您現在可以停用基本驗證協定。不過,您需要確認沒有任何使用者仍在使用此功能。請依照以下步驟檢查是否有使用者正在使用基本驗證:

1. 請開啟您的 Microsoft Azure 帳戶。
2. 前往 Azure Active Directory.

3. 選擇 Sign-in logs 在左側導覽窗格中。
4. 變更 Date range 至 Last 7 days 或更多。
5. 點擊 Add filters.
6. 選擇 Client app 然後點擊 Apply.

7. 點擊新建立的篩選器 Client app.
8. 請勾選以下所有方框 Legacy Authentication Clients
9. 點擊 Apply.

此清單包含所有登入事件及其對應的使用者和應用程式。在停用基本驗證之前,您可以將所有這些應用程式遷移至現代驗證協定,以免遺失這些資料。

若要停用 O365 傳統驗證:

1. 前往 Microsoft 365 管理中心.
2. 在左側導覽窗格中,展開 Settings 然後點擊 Org settings.
3. 選擇 Modern authentication 在……之下 Services.
4. 取消選取以下所有核取方塊 Allow access to basic authentication protocols.
5. 點擊 Save.

Outlook 現代驗證

雖然最新版本的 Outlook 預設即支援現代驗證,但若要在舊版客戶端啟用此功能,則需手動進行設定。不同版本的 Outlook 在啟用現代驗證方面有不同的需求:

• Outlook 2010 or earlier: 目前不支援現代化驗證,您需要升級 Outlook 才能使用此功能性。
• Outlook 2013: 現代驗證功能雖然可用,但預設並未啟用;一旦啟用後,您應強制 Outlook 使用此功能。
• Outlook 2016 or later + Outlook 365: 現代驗證功能已啟用,並預設為啟用狀態。

下表總結了各版本的系統需求:

Outlook 2013 中的現代驗證

如前所述,Outlook 2013 支援現代驗證,但預設使用基本驗證。您可以手動啟用現代驗證。

為此,您需要在 Windows 登錄檔中新增以下鍵值:

設定完這些登錄鍵後,微軟建議您再新增一個登錄鍵,以強制 Outlook 2013 使用現代驗證,避免其回退至基本驗證。您應使用的登錄鍵為:

Outlook 2016 或更新版本中的現代驗證

雖然 Outlook 2016 預設已啟用現代驗證,但建議您使用以下登錄檔鍵強制啟用現代驗證:

Skype for Business 現代驗證

由於 2017 年 8 月 1 日之前建立的所有 Microsoft 租戶預設皆已停用現代驗證,因此您需要手動啟用此功能。與 Outlook 相同,您可透過以下登錄檔金鑰在 Skype for Business 中啟用現代驗證:

結論

由於單純的憑證組合已無法確保所需的安全防護,微軟正逐步淘汰 O365 的舊版驗證機制。 所幸,仍有其他安全措施可供採用,建議在 Office 365 中啟用現代驗證。啟用後,您即可啟用多因素驗證 (MFA)、設定權限,並限制使用者對特定應用程式的存取權限。

話雖如此,採用第三方全面的備份解決方案,能為 Office 365 環境提供最佳的保護。像這樣的完整資料保護解決方案 NAKIVO Backup & Replication 包含您所需的所有工具,可協助您保護組織內的 Microsoft 365 資料。

試試看 NAKIVO Backup & Replication

立即申請免費試用,全面體驗本解決方案的所有資料保護特點。15 天免費試用。無功能或容量限制。無需提供信用卡資訊。

免費試用