基本身份验证与现代身份验证的比较及在Office 365中如何启用它

根据Verizon的报告，大多数数据泄露是由于受损的凭证造成的，特别是在电子邮件服务器上。社会工程学、凭证钓鱼和暴力攻击是恶意行为者用来窃取凭证的一些方法。

为了提高Office登录的安全性并防止数据泄露，微软引入了现代身份验证方法。该方法在连接到在线Office 365资源时需要额外的用户身份验证和授权。

由于其显著的好处，自2017年以来创建的所有Office 365租户默认启用了现代身份验证。这是Office 365应用程序和服务唯一可用的登录方法。然而，在混合式本地 – 云Office部署中，您需要为较旧的Office客户端版本手动启用现代身份验证，并在可能的情况下禁用基本身份验证。

本博客提供了混合Office部署的基本和现代身份验证方法的简要概述，并提供了在Office 365中启用现代身份验证的步骤。

现代身份验证 vs. 基本身份验证

直到2022年底停用基本身份验证为止，Microsoft将为Exchange和Skype for Business的混合部署提供两种身份验证方式：基本身份验证和现代身份验证。请注意，连接到SharePoint Online时，只能使用现代身份验证和Microsoft Online Sign-in Assistant。

这两种身份验证方法在保护能力方面存在广泛差异。即使基本身份验证将在今年晚些时候被弃用，了解这两个选项之间的差异仍然很重要。

什么是基本身份验证？

基本身份验证是仅使用用户名和密码连接到Office 365应用程序的过程。当您在电子邮件客户端中输入用户名和密码时，这些信息将传输到Exchange Online进行验证和认证，然后将您连接到云服务。

这是一种过时的方法，不再能提供足够的保护来抵御凭据威胁。基本身份验证的主要漏洞之一是应用程序在设备上存储用户凭据，这为试图窃取密码的黑客提供了更多机会。此外，Microsoft的许多身份验证和访问管理功能，如条件访问和多重身份验证（MFA），在此Office 365传统身份验证中不可用。

什么是现代身份验证？

现代身份验证是一种结合不同身份验证和授权方法以访问Microsoft Office云资源的方式。现代身份验证基于Active Directory身份验证库（ADAL）和OAuth 2.0。

• Active Directory身份验证库是一种用于应用程序通过安全令牌访问受保护资源的身份验证工具。借助ADAL，用户还可以获得单一登录（SSO），以便无缝访问他们可用的Office 365资源。
• OAuth 2.0是一种授权协议，允许用户使用访问令牌通过客户端应用程序访问资源。该框架涉及访问委派，因此用户凭据不会与资源服务器共享。

现代身份验证框架为从客户端应用程序登录其Microsoft 365资源的用户添加了额外的安全层。此外，该框架允许激活多因素身份验证（MFA）和使用条件访问策略。

如何在Office 365中启用现代身份验证

对于在2017年8月之前创建的Microsoft租户，有不同的方法可以启用Office 365中的现代身份验证：

使用Microsoft 365管理中心

通过管理中心启用Office 365中的现代身份验证：

1. 登录到Microsoft 365管理中心。在左侧导航窗格中，展开设置，然后单击组织设置。
2. 在左侧导航窗格中，展开设置，然后点击组织设置。
3. 在服务下，选择现代身份验证。
4. 选中为Windows的Outlook 2013及更高版本启用现代身份验证（推荐）复选框。
5. 点击保存。

使用Exchange Online PowerShell

按照以下步骤使用Exchange Online PowerShell启用现代身份验证：

1. 连接到Exchange Online PowerShell。
2. 为Outlook 2013或更高版本的客户端运行以下命令：
   Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
3. 使用以下命令验证更改是否成功以及是否启用了现代身份验证：
   Get-OrganizationConfig | Format-Table Name,OAuth* -Auto

需要注意的是，这并不阻止您使用基本身份验证方法。但是，您可以通过运行以下命令强制在Outlook 2013或更高版本中使用O365传统身份验证：
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false

禁用Office 365基本身份验证

在Office 365中启用现代身份验证后，现在可以禁用基本身份验证协议。但是，您需要确保没有用户从中受益。按照以下步骤检查是否有人正在使用基本身份验证：

1. 打开您的Microsoft Azure账户。
2. 访问Azure Active Directory。

3. 在左侧导航窗格中选择登录日志。
4. 将日期范围更改为最近7天或更长时间。
5. 点击添加筛选器。
6. 选择客户端应用，然后点击应用。

7. 点击新创建的筛选器客户端应用。
8. 在旧式验证客户端下勾选所有框。
9. 点击应用。

此列表包括所有登录事件及其相应的用户和应用程序。在禁用基本身份验证之前，您可以将所有这些应用程序迁移到现代身份验证协议，这样您就不会丢失它们。

要禁用O365旧式身份验证：

1. 访问Microsoft 365管理中心。
2. 在左侧导航窗格中，展开设置并点击组织设置。
3. 在服务下选择现代身份验证。
4. 在允许访问基本身份验证协议下取消选中所有复选框。
5. 点击保存。

Outlook现代身份验证。

尽管最新的Outlook版本默认支持现代身份验证，但在旧版客户端中添加它需要手动配置。不同版本的Outlook在启用现代身份验证方面有不同的要求：

• Outlook 2010或更早版本：不支持现代身份验证，您需要升级Outlook才能享受这项功能。
• Outlook 2013：现代身份验证可用，但默认未开启，一旦启用，您应强制Outlook使用它。
• Outlook 2016或更高版本+Outlook 365：现代身份验证可用，默认已启用。

下表总结了每个版本的要求：

Outlook版本	现代认证	EnableADAL注册表项	强制现代认证
Outlook 2010	不支持	不可用	不可用
Outlook 2013	支持	需要	需要
Outlook 2016	支持	不需要	不需要
Outlook 2019	支持	不需要	不需要
Outlook 365	支持	不需要	不需要

Outlook 2013中的现代身份验证

如前所述，Outlook 2013支持现代身份验证，但默认使用基本身份验证。您可以手动开启现代身份验证。

为此，您需要在Windows注册表中添加以下键：

注册表项	类型	值
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL	REG_DWORD	1
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version	REG_DWORD	1

设置这些键后，微软建议您再添加一个注册表键，以强制Outlook 2013使用现代身份验证，这样它就不会恢复到基本身份验证。您应该使用的键是：

注册表项	类型	值
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover	REG_DWORD	1

Outlook 2016或更高版本的现代身份验证

虽然Outlook 2016中默认启用现代身份验证，但建议您使用以下注册表键强制使用现代身份验证：

注册表项	类型	值
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover	REG_DWORD	1

Skype for Business现代身份验证

由于2017年8月1日之前创建的所有Microsoft租户默认关闭现代身份验证，因此您需要手动开启。与Outlook类似，您可以使用以下注册表键在Skype for Business中启用现代身份验证：

注册表键	类型	值
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync	REG_DWORD	1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync	REG_DWORD	1

结论

Microsoft正在淘汰O365传统身份验证，因为简单的凭据不再能够保证所需的安全保护。幸运的是，还有其他安全措施可用，并建议在Office 365中启用现代身份验证。一旦启用，您可以激活多重身份验证（MFA），定义权限并限制用户对特定应用程序的访问。

话虽如此，拥有第三方全面的备份解决方案可以确保Office 365环境得到最佳保护。像NAKIVO Backup & Replication这样的完整数据保护解决方案包括您在组织中保护Microsoft 365数据所需的所有工具。