Microsoft365の最新認証または基本認証の有効化

Microsoftは現在、Office 365（Microsoft 365）に対して次の種類の認証をサポートしています。

• 基本認証 –このタイプの認証は、すべてのWindowsユーザーによく知られています。基本認証は、資格情報（ユーザー名とパスワード）の入力を求め、パスワードをWindows資格情報マネージャーに保存するように求める単純なWindowsセキュリティウィンドウを介して実行されます。この認証タイプはMFA（多要素認証）をサポートしておらず、ブルートフォース攻撃に対して堅牢ではありません。アプリケーションは、認証にユーザー名とパスワードを保存して明示的に使用します。
• 最新の認証 ADAL（Active Directory認証ライブラリ）およびOAuth2.0プロトコルに基づいています。アプリはユーザーの資格情報を保存または使用せず、認証は期間限定のトークンに基づいています。 Modern Authは、MFAを含む追加の認証要素をサポートします。最新の認証を実行するときにユーザー名とパスワードを入力するためのウィンドウは次のようになります。 Microsoft 365サービスに接続するとき、またはAzureに接続するとき（PowerShell接続を含む）に表示されます。

AzureADでの基本認証サインインログイン

最新の認証を有効にして基本認証を無効にする前に、Microsoft365ユーザーとアプリが使用している認証プロトコルを確認してください。

1. Azureポータルを開きます;
2. Azure Active Directoryに移動します ->サインインログ;
3. 日付範囲を選択します過去1か月;
4. フィールドごとにフィルターを追加するクライアントアプリ;
5. すべてのレガシー認証クライアントを選択します このフィルター用。

これにより、まだ基本認証を使用しているユーザーとアプリケーションを見つけることができます。見つかったアプリケーションをModernAuthプロトコルに移行する必要があります。私の場合、ほとんどのイベントはスマートフォンのネイティブメールクライアントに関連付けられていたため、MSOutlookアプリに移行する必要があります。

Microsoftは、使用されていないテナントの基本認証を自動的に無効にします。

Microsoft365テナントの最新の認証を有効にする方法

Microsoft365管理センターから最新の認証を有効にできます。

1. M365管理ポータルhttps://admin.microsoft.comを開きます;
2. [設定]->[組織設定]->最新の認証に移動します
3. オプションを有効にするOutlook2013forWindows以降の最新の認証をオンにする;
4. 変更を保存します。

前述したように、新しいOffice 365 / Azureテナントの場合、基本認証はすべてのアプリでデフォルトで無効になっています。この場合、このセクションに警告が表示されます：

組織でセキュリティのデフォルトが有効になっているため、「Exchange Online」への最新の認証が必要であり、基本認証接続がブロックされています。ここで設定を変更する前に、Azureポータルでセキュリティのデフォルトをオフにする必要があります。

Azureポータルからテナントの基本認証サポートを有効にできます（AzureActiveDirectory->プロパティ->セキュリティのデフォルトの管理->セキュリティのデフォルトを有効にする =いいえ）。

基本認証プロトコルへのアクセスを許可するの下にあるいくつかのオプションに注意してください 。基本認証を有効にできるさまざまなアプリケーションは次のとおりです。

• Outlookクライアント
• Exchange ActiveSync（EAS）
• 自動検出
• IMAP4
• POP3
• 認証されたSMTP（telnetからのSMTP認証の例）
• Exchange Online PowerShell —（最新のEXOv2 PowerShellモジュールでは基本認証はサポートされていません）

絶対に必要のないすべてのアプリとプロトコルの基本認証を無効にします。

Office 365テナントで認証ポリシーを構成している場合は、基本認証の使用が許可されている現在の設定とプロトコルを表示できます。次のPowerShellコマンドを使用します：

Get-AuthenticationPolicy

この場合、ポリシーは1つだけで、BasicAuthはすべてのアプリで無効になっています。

 AllowBasicAuthActiveSync：FalseAllowBasicAuthAutodiscover：FalseAllowBasicAuthImap：FalseAllowBasicAuthMapi：FalseAllowBasicAuthOfflineAddressBook：FalseAllowBasicAuthOutlookService：FalseAllowBasicAuthPop：FalseAllowBasicAuthReportingWebServices：FalseAllowBasicAuthRest：FalseAllowBasicAuthRpc：FalseAllowBasicAuthSmtp：FalseAllowBasicAuthWebServices：FalseAllowBasic 

 セキュリティ上の理由から、特定のプロトコルに対して異なる基本認証権限を持つ個別のポリシーを作成し、レガシーアプリケーションを使用するユーザーに割り当てることができます。この例では、ユーザーが基本認証を使用してリモートPowerShellセッションを介してExchangeOnlineに接続できるようにします。
 

 Set-AuthenticationPolicy -Identity "BasicAuth_Allow_PoSh" -AllowBasicAuthPowershell:$true

Set-User -Identity k.muller -AuthenticationPolicy "BasicAuth_Allow_PoSh" 
 

 また、デフォルトのポリシーはレガシー認証プロトコルをブロックします：
 

 New-AuthenticationPolicy -Name "BasicAuth_Block"

Set-OrganizationConfig -DefaultAuthenticationPolicy BasicAuth_Block 
 

 また、別の OAuth2ClientProfileEnabledがあることに注意してください 組織設定のオプション。テナントに対してModernAuthを有効にするかどうかを決定します。
 

 Get-OrganizationConfig | ft OAuth* 
 

 OAuth2ClientProfileEnabled = Falseの場合 、これは、最新の認証が無効になっていることを意味します。 
 

  
 
Outlook365/2019/2016/2013/2010の最新の認証
 

 さまざまなOutlookバージョンでの最新の認証のサポートの詳細に注意してください：
 
 
 Outlook2010以前 –モダン認証をサポートしていません。テナント設定で基本認証が無効になっている場合、これらのバージョンのOutlookはMicrosoft365のExchangeOnlineメールボックスに接続できません。
 
  Outlook 2013  – OAuthをサポートするには、キーHKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Office \ 15.0 \ Common \ Identity（EnableADAL = 1 およびVersion = 1; 
 
  Outlook 365、2019、2016  –最新の認証はデフォルトでサポートされています。常にModernAuthを最初に使用するには、AlwaysUseMSOAuthForAutoDiscover = 1 regキーHKEY_CURRENT_USER\Software \ Microsoft \ Exchangeの下（このオプションが有効になっていない場合、Outlookは接続するためのパスワードの入力を継続的に要求する場合があります）。
 
 

 Outlookクライアントが最新の認証を使用してOffice365メールボックスに接続していることを確認できます。 Ctrlを押したままにします トレイのOutlookアイコンをクリックします。 ベアラー*を確認してください Authnで指定されます Outlook接続ステータスのフィールド。これは、Outlookが最新の認証を使用していることを意味します。