SHD / MC Checker

MC499030 | (Updated) Reminder: Basic Authentication deprecation in Office Apps



MC499030 | (Updated) Reminder: Basic Authentication deprecation in Office Apps

Classification planForChange
Last Updated 2/9/2023 8:45:07 PM
Start Time 1/19/2023 12:38:22 AM
End Time 6/30/2023 7:00:00 AM
Message Content

Updated February 9, 2023: We have updated the timing for this change below. Thank you for your patience.

This is a reminder that Microsoft 365 Apps are disabling server sign-in prompts using Basic authentication in Office Apps (originally communicated in MC454810, November ’22). We are making this change because basic authentication is a legacy authentication method that sends a username and password with each request. As a result, an attacker can access these credentials and use them to access resources. Continued use of Basic Authentication is a big security concern, so we have decided to deprecate it from all tenants.

We will retire this feature in Office Apps version 2301+. Instead, we recommend moving to a more secure authentication method, preferably Modern Authentication, and enabling multi-factor authentication based on OAuth2.0 token-based auth.

This retirement will not affect Exchange Online and Exchange on-premises. Customers using basic authentication to connect to Exchange on-premises/Exchange Online can continue to use basic authentication without any changes to Exchange.

There is a separate effort to retire Outlook connecting to Exchange Online using Basic Authentication. Please see Exchange Online – September 2022 Update.

Windows files share access is not affected. The underlying authentication layer for file share is NTLM, and there is not change to NTLM. More information is here – Microsoft SMB Protocol Authentication – Win32 apps | Microsoft Learn.

Access to files stored on SharePoint on-premises server that are using basic authentication will be blocked. However, files stored on SharePoint Online, OneDrive for Business are not affected. Customers who currently store files on web servers that use Basic authentication can move those files to SharePoint Online, OneDrive for Business, SharePoint Server on-premises or a more secure authentication protocol as a solution.

[When this will happen:]

We will be rolling this change beginning late March (previously early February).

[How this will affect your organization:]

You are receiving this message because your organization may be using basic authentication to access resources.

Once Basic authentication is disabled in your tenant, users with the Office Version 2301 or higher on their devices will not be able to access resources from servers using Basic authentication.

After the upgrade, end-users will get a warning message first, and encourage users to move away from basic authentication. Warning message will appear till April 2023.

User warning prompt

We will move to blocking stage in May 2023. From May 2023, if a user tries to open a file stored on a server still using Basic Authentication, Office Client App will block the sign-in prompt and present this pop-up message to the user.

User blocked prompt

Note: Exchange Online team is working on deprecating Basic Authentication separately, Outlook will continue to support Basic Authentication with Exchange Online till that work is complete. Access to all other resources using Basic Authentication will be blocked in Outlook Version 2301 and higher. Deprecation of Basic authentication in Exchange Online

This is a sample Basic Authentication login window:

User login prompt

[What you need to do to prepare:]

You should move the servers using Basic authentication to another authentication method.

Please click Additional Information to learn more.

機械翻訳

2023年2月9日更新:この変更のタイミングを以下に更新しました。お待ちいただきありがとうございます。

これは、Microsoft 365 アプリが Office Apps の基本認証を使用してサーバー サインイン プロンプトを無効にしていることを思い出させるものです (当初は MC454810、11 月 ’22 で伝えられました)。基本認証は、要求ごとにユーザー名とパスワードを送信する従来の認証方法であるため、この変更を行います。その結果、攻撃者はこれらの資格情報にアクセスし、それらを使用してリソースにアクセスできます。基本認証の継続的な使用はセキュリティ上の大きな懸念事項であるため、すべてのテナントから非推奨にすることを決定しました。

この機能は、Office アプリ バージョン 2301+ で廃止されます。代わりに、より安全な認証方法 (できれば先進認証) に移行し、OAuth2.0 トークンベースの認証に基づく多要素認証を有効にすることをお勧めします。

この廃止は、Exchange Online およびオンプレミスの Exchange には影響しません。基本認証を使用してオンプレミスの Exchange または Exchange Online に接続するお客様は、Exchange を変更することなく、基本認証を引き続き使用できます。

基本認証を使用して Exchange Online に接続する Outlook を廃止するための別の作業があります。「 Exchange Online – 2022 年 9 月の更新プログラム」を参照してください。

Windows ファイル共有アクセスは影響を受けません。ファイル共有の基になる認証レイヤーは NTLM であり、NTLM に変更はありません。詳細については、こちらを参照してください – マイクロソフト SMB プロトコル認証 – Win32 アプリ |マイクロソフトは学ぶ

基本認証を使用している SharePoint オンプレミス サーバーに保存されているファイルへのアクセスはブロックされます。ただし、SharePoint Online、OneDrive for Business に保存されているファイルは影響を受けません。現在、基本認証を使用する Web サーバーにファイルを格納しているお客様は、ソリューションとして、それらのファイルを SharePoint Online、OneDrive for Business、オンプレミスの SharePoint Server、またはより安全な認証プロトコルに移動できます。

[これが起こるとき:]

この変更は 3 月下旬 (以前は 2 月上旬) からロールアップされます。

[これが組織に与える影響:]

このメッセージが表示されるのは、組織が基本認証を使用してリソースにアクセスしている可能性があるためです。

テナントで基本認証が無効になると、デバイスに Office バージョン 2301 以降がインストールされているユーザーは、基本認証を使用してサーバーからリソースにアクセスできなくなります。

アップグレード後、エンド ユーザーには最初に警告メッセージが表示され、基本認証から離れるように促されます。警告メッセージは2023年4月まで表示されます。

User warning prompt

2023年5月にブロッキング段階に移行します。2023 年 5 月以降、ユーザーが基本認証を使用しているサーバーに保存されているファイルを開こうとすると、Office クライアント アプリはサインイン プロンプトをブロックし、このポップアップ メッセージをユーザーに表示します。

User blocked prompt

手記: Exchange Online チームは基本認証の非推奨化に個別に取り組んでおり、Outlook はその作業が完了するまで Exchange Online で基本認証を引き続きサポートします。基本認証を使用する他のすべてのリソースへのアクセスは、Outlook バージョン 2301 以降ではブロックされます。Exchange Online での基本認証の非推奨

次に、基本認証ログイン・ウィンドウの例を示します。

User login prompt

[準備するために必要なこと:]

基本認証を使用するサーバーを別の認証方法に移動する必要があります。

詳細については、[追加情報]をクリックしてください。