Updated April 4, 2023: We have updated the rollout timeline below. Thank you for your patience. 

We are announcing eDiscovery PowerShell cmdlet’s official support for certificate-based authentication (CBA).  

This message is associated with Microsoft 365 Roadmap ID 106112.

[When this will happen:]

Rollout will begin in early April (previously late February) and is expected to be complete by late April (previously late March).

[How this will affect your organization:]

Many organizations rely on unattended scripts built using the security and compliance PowerShell cmdlet to automate eDiscovery workflow. In the past, any unattended script relied on basic authentication techniques where it required the user to store the username and password in a local file or in a secret vault accessed at run-time. This method is no longer recommended as it poses the risk of stolen credentials. See Deprecation of Basic authentication in Exchange Online.

eDiscovery cmdlets will support CBA or app-only authentication as described in this article by end of February 2023. It supports unattended script and automation scenarios by using Azure AD apps and self-signed certificates. Certificate-based authentication provides admins the ability to run scripts without the need to create service-accounts or store credentials locally.

We encourage all eDiscovery users who rely on basic authentication with their unattended script to migrate the script authentication to use CBA as soon as possible. Please note that Service Principal will be needed to run eDiscovery cmdlets. Refer to this article for the steps.

Note: 

• This change will affect the authentication method of your organization’s eDiscovery unattended script. 
• After basic authentication is changed to CBA your script should be more secure against potential attackers who may be interested in stealing your locally stored credentials. 

[What you need to do to prepare:]

Assess if the changes will change your organization’s eDiscovery automation workflow. If so, you may wish to update internal documentation and script authentication and provide training to all eDiscovery users in your organization.

Get started with eDiscovery in the Microsoft Purview compliance portal: 

• Microsoft Purview compliance portal for WW and GCC cloud environments 
• Microsoft Purview compliance portal for GCC-High cloud environments 
• Microsoft Purview compliance portal for DoD cloud environments 

Learn more: App-only authentication in Exchange Online PowerShell and Security & Compliance PowerShell

2023 年 4 月 4 日更新: 以下のロールアウトのタイムラインを更新しました。お待ちいただきありがとうございます。 

電子情報開示 PowerShell コマンドレットの証明書ベースの認証 (CBA) の正式なサポートを発表します。  

このメッセージは、Microsoft 365 ロードマップ ID 106112に関連付けられています。

[これが起こるとき:]

ロールアウトは 4 月上旬 (以前は 2 月下旬) に開始され、4 月下旬 (以前は 3 月下旬) までに完了する予定です。

[これが組織に与える影響:]

多くの組織は、電子情報開示ワークフローを自動化するために 、セキュリティとコンプライアンスの PowerShell コマンドレット を使用して構築された無人スクリプトに依存しています。以前は、無人スクリプトは、ユーザーがユーザー名とパスワードをローカルファイルまたは実行時にアクセスされるシークレットボールトに保存する必要がある基本認証技術に依存していました。この方法は、資格情報が盗まれるリスクがあるため、推奨されなくなりました。「 Exchange Online での基本認証の非推奨」を参照してください。

電子情報開示コマンドレットは、2023 年 2 月末までに、 この記事 で説明されているように CBA またはアプリ専用認証をサポートします。Azure AD アプリと自己署名証明書を使用して、無人スクリプトと自動化のシナリオをサポートします。証明書ベースの認証により、管理者はサービス アカウントを作成したり、資格情報をローカルに保存したりすることなく、スクリプトを実行できます。

無人スクリプトを使用した基本認証に依存しているすべての電子情報開示ユーザーは、できるだけ早く CBA を使用するようにスクリプト認証を移行することをお勧めします。電子情報開示コマンドレットを実行するには、サービス プリンシパルが必要になることに注意してください。手順については、 この記事 を参照してください。

手記： 

• この変更は、組織の電子情報開示無人スクリプトの認証方法に影響します。 
• 基本認証がCBAに変更されると、スクリプトは、ローカルに保存されている資格情報を盗むことに関心がある可能性のある潜在的な攻撃者に対してより安全になります。 

[準備するために必要なこと:]

変更によって組織の電子情報開示自動化ワークフローが変更されるかどうかを評価します。その場合は、内部ドキュメントとスクリプト認証を更新し、組織内のすべての電子情報開示ユーザーにトレーニングを提供することをお勧めします。

Microsoft Purview コンプライアンス ポータルで電子情報開示の使用を開始する: 

• WW および GCC クラウド環境 向けのマイクロソフト Purview コンプライアンス ポータル
• GCC-High クラウド環境 向けのマイクロソフト Purview コンプライアンス ポータル
• 国防総省クラウド環境 向けのマイクロソフトPurviewコンプライアンスポータル

詳細情報: Exchange Online PowerShell でのアプリ専用認証と Security & Compliance PowerShell