关于在M365中关闭Basic Authentication的影响

最近遇到几个客户都对微软宣布关闭M365中的Basic Authentication比较关注，这个问题其实在官方宣布的时间线和影响范围都非常容易confused，我把一些信息整理后在这里分享给大家。

首先，关闭Basic Auth的主要影响在Exchange Online，在这里也主要针对Exchange Online做说明。

Modern vs. Basic Authentication:

目前在M365的Tenant中，是同时支持Modern Auth和Basic Auth两种身份验证协议的，由于Basic Auth不够安全、不支持MFA和第三方的身份验证协议等，微软计划关闭Basic Authentication。

关闭Basic Auth的时间点：

微软Exchagne Team在2019年9月20日宣布将在2020年10月13日在Exchange Online中关闭Basic Authentication。

在2020年4月3日，Exchagne Team又宣布因为疫情影响，关闭Basic Auth的计划将会推迟到2021年下半年。但是仍会将在2020年10月13后新创建的Tenant和没有Usage Reprot的Tenant中继续关闭Basic Auth.

M365默认安全性：

在2019年10月22后新创建的Tenant中，会默认开启一个新的Feather叫做Security Defaults默认安全性，如果开启了默认安全性，其中有一项就是会关闭Basic Authentication：

如果默认安全性在租户中被开启，即使没到到2020年10月13日，Basic Authentication也会立即无法使用。

关闭Basic Authentication对EXO的影响：

如果当前客户端使用了Basic Auth使用EXO服务，最直观的表现就是会不断弹出用户名和密码的窗口：

使用Basic Auth身份验证的POP和IMAP将无法使用，也就是当前绝大多数POP和IMAP都无法正常使用；
SMTP：如果第三方应用依赖了EXO的SMTP服务（例如打印机、OA系统等），或者POP和IMAP客户端，邮件会发送失败；
不支持Modern Auth的ActiveSync客户端；
Bacis Auth的Remote Powershell：https://docs.microsoft.com/en-us/powershell/exchange/connect-to-exchange-online-powershell?view=exchange-ps
Office 2013及以前的Office版本。

解决方案：

POP和IMAP：微软已经在Global M365中宣布对POP和IMAP支持Oauth身份验证协议：https://docs.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth
SMTP：Basic Auth或继续支持SMTP，可以在EXO中针对组织或单个用户继续开启基于Basic Auth的SMTP。https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/authenticated-client-smtp-submission
ActiveSync：强烈建议使用Outlook Mobile APP；
Remote Powershell：使用支持Modern Auth的EXO Powershell v2：https://docs.microsoft.com/en-us/powershell/exchange/exchange-online-powershell-v2?view=exchange-ps
Office 2013及以前版本：升级到Office ProPlus或者Office 2016以后版本。对于Office 2013可以通过添加注册表的方式支持Modern Authentication。https://docs.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/enable-modern-authentication?view=o365-worldwide

另外，对于21v，还没有关闭Basic Authentication的具体时间点，但会follow国际版，会有一定的时间延迟。