IBM Support

【重要:10月1日まで】Exchange Online基本認証の廃止について - Exchange Active Sync

Release Notes


Abstract

Microsoft社はレガシー・プロトコルである以下の対象について、Exchange Onlineにおける基本認証の廃止をアナウンスしています。(10月1日予定)
- Exchange Active Sync (EAS)
- Post Office Protocol (POP)
- Internet Message Access Protocol (IMAP)
- Remote PowerShell (RPS)
現時点で Exchange Online において基本認証をご利用のお客様は、先進(モダン)認証への移行が必須となります。
当文書では現状確認の方法、必要となる対応について説明します。

Content

基本認証と先進認証の違い

基本認証は、サービスへのアクセス要求が行われるたびに要求元のアプリケーションから送信されるユーザー名とパスワードを使用します。たとえば、サービスにはExchange Online、Salesforce、Boxなどがあります。ユーザー名、パスワードは通常、要求元のデバイス(ブラウザーなど)に保存されるため、攻撃者による認証情報のキャプチャや再使用を容易にしてしまっています。

先進認証は、ADAL (Active Directory Authentication Library) および OAuth 2.0 プロトコルに基づく認証方式です。モダン認証とも呼ばれる、フェデレーションID管理を表す用語です。先進認証では、これまでサービスに直接送信されていたユーザー名とパスワードの代わりに、IBM Verification、Microsoft Azure AD、Okta、PingなどのIDプロバイダー(IDP)によって生成されるトークンベースの要求を行います。
IDPは、要求元のユーザーあるいはデバイスを介して、トークンをサービスに送信します。トークンはデバイスに保存されます。
多要素認証(MFA)、パスワード入力なしのログイン、シングルサインオン(SSO)は、すべて先進認証によって実現されています。
 

影響

冒頭のレガシープロトコル使用する新規、あるいは既存のクライアントアプリケーションにおいて基本認証を使用していた場合、Exchange Oniline(Office 365 メールボックスや、関連のエンドポイント)への接続ができなくなります。
すでに先進認証を使用しているクライアントアプリケーションは影響を受けません。

対応期限

2022年10月1日。
Microsoft社は、すべてのテナントにおいて基本認証を廃止します。
 

基本認証を使用しているかどうかは、どのように確認すればよいですか?

セキュリティ・ポリシー上で先進認証が有効化されているかどうかを MaaS360管理ポータルで確認するのが最も早い方法です。
また、メールアカウント認証時に表示される画面でも基本認証を使用しているかの判断が可能です。
基本認証を使用している場合、そのままパスワード入力を求められるのに対し、先進認証を使用している場合、IdPの外部ログイン画面にリダイレクトされます。
下記スクリーンショットを参照ください。

デバイス画面例:

基本認証を使用している場合 先進認証を使用している場合
iOS Basic Auth Prompt iOS native mail modern auth prompt
 

基本認証のポリシー設定の例:

Android MDM ActiveSync ポリシーで、認証モード基本 になっている。
Android MDMポリシー >> Android Enterprise 設定 > ActiveSync > ActiveSync > 認証モード)

Android basic

iOS MDM ポリシーの ActiveSync 項目で、OAuth 認証を有効にするいいえ (チェック無し)になっている。
(設定箇所:iOS MDMポリシー >> デバイス設定 > AciveSync > OAuth 認証を有効にする)
enable oauth authentication set to No

WorkPlace ペルソナ・ポリシーのセキュア・メール設定で SSO の有効化 にチェックが入っていない。
(WorkPlaceペルソナポリシー >> E メール > 設定 > セキュア・メールの構成 > SSO の有効化)

persona basic

    必要な対応


    以下の場合には先進認証を使用するための対応が必要となります。

    1. Eメール設定の配布を行っている場合(OSネイティブのメーラーを使用/セキュア・メールを使用)
    2. モバイル向け Microsoft Outlook アプリを使用している場合
    3. Cloud Extender(以下CE)の Exchange ActiveSyncモジュールを使用している場合
    4. CEの Eメール通知モジュールを使用している場合

     
     

     1.Eメール設定の配布を行っている場合

    注: メール認証を基本認証から先進認証に変更した場合、各ユーザーはメールアカウントに対し再認証を行う必要があります。


    1-a. MaaS360 MDMポリシーを使用した OSネイティブのメーラー向け Eメール設定配布を行っている場合


    Android デバイスを、旧来のデバイス管理者(DA)モードでデバイス登録している場合

    ActiveSync ポリシーは Android Enterprise を使用していないデバイスでは機能しません。
    Android Enterprise への移行を行うか、WorkPlaceペルソナ・ポリシーを通じ、セキュア・メールを使用する必要があります。
     

    ・Android Enterprise を使用しデバイス登録している場合

    1. MaaS360管理ポータルから [セキュリティ] > [ポリシー] に進む。
    2. Android MDM ポリシーを開き、[Android Enterprise 設定] > [ActiveSync] に進む。
    3. [認証モード] 設定を [モダン] に設定する。
      Android ADAL MSAL
    4. ポリシーを保存しパブリッシュする。
       
    ・iOS デバイスの場合
    注:iOS15 以下の監視対象デバイスを使用している場合は、必ず下記のポリシー制限も許可してください。
    iOS MDMポリシー >> 監視対象設定 > 制限およびネットワーク > 制限 > アカウントの変更を許可
    iOS16 以降 のデバイスの場合、この対応は必要ありません。
    1. MaaS360管理ポータルから [セキュリティ] > [ポリシー] に進む。
    2. iOS MDM ポリシーを開き、 [デバイス設定] > [ActiveSync] に進む。
    3. [OAuth 認証を有効にする] にチェックを入れ、[Oauth サインイン URL] は 空欄にする。iOS policy enable OAuth Authentication
    4. ポリシーを保存しパブリッシュする。
     
    1-b. WorkPlace ペルソナ・ポリシーを通じて MaaS360セキュア・メールが構成されている場合
    1. MaaS360管理ポータルから [セキュリティ] > [ポリシー] に進む。
    2. WorkPlace ペルソナ・ポリシーを開き、 [E メール] > [設定] に進む。 > 設定 > セキュア・メールの構成 > SSO の有効化
    3. [メール・サーバー]に Office 365 を選択し、[SSO の有効化] にチェックを入れる。[アプリ・クライアント ID] セクションが表示される。
    4. [アプリ・クライアントID] に アプリケーション (クライアント) ID情報を入力します。
      アプリケーション (クライアント) ID は、下記の文書を参照し入手してください。
      ---> MaaS360 アプリケーションを Azure AD テナントで登録
      Workplace persona SSO enable
    2.モバイル向け Microsoft Outlook アプリを使用している場合


    Microsoft Outlookアプリに対し、アプリ構成を使用した モバイル向け Outlookアプリの構成・設定が必要となります。


    注: 下記いずれも既存のアプリ構成がある場合。ない場合はアプリ構成画面で[構成の追加]ワークフローを使用し追加を行います。
     

    Android の場合

    1. MaaS360管理ポータルから[アプリ] > [アプリ構成]に進む。
    2.  Microsoft Outlook 向けのアプリ構成右端にあるドットをクリックし、[表示]を選択。
    3. 右下の[編集]をクリックし、[設定] > [account type](アカウント・タイプ)を見つける。
    4. [account type] に ModernAuth と入力し、アプリ構成をパブリッシュする。Modern Auth android appconfig

     
    iOS の場合

    1. MaaS360管理ポータルから[アプリ] > [アプリ構成]に進む。
    2.  Microsoft Outlook 向けのアプリ構成右端にあるドットをクリックし、[表示]を選択。
    3. 右下の[編集]をクリックし、[設定] > [Account Type](アカウント・タイプ)を見つける。
    4. [Account Type] のドロップダウンリストで Office 365 or Hybrid (Modern Authentication) を選択し、アプリ構成をパブリッシュする。iOS appconfig modern auth
     

    3.Exchange ActiveSyncモジュールを使用している場合

    注: 対応には CE の Exchange ActiveSync モジュールのバージョン 2.106.650 が必要となります。
    このモジュールを入手するにはMaaS360サポートにご連絡ください。

    CE の Exchange ActiveSync モジュールで先進認証を使用するには下記ページの記載に従い Exchange Online PowerShell V2 モジュール(EXO V2モジュール)の導入を行う必要があります。
    --->(英文)MaaS360 with Watson for Cloud Extender Office 365 Admin Account support for Exchange Online.
     

    4.Eメール通知モジュールを使用している場合

    CE の Eメール通知モジュールで先進認証を使用するには、下記ページの記載に従い対応を行う必要があります。

    ---> MaaS360環境での先進認証セットアップについて (Eメール通知モジュール)

    注:当文書は、MaaS360開発部門公開の技術文書、ブログ記事を翻訳した参考文書です。
    翻訳元の文書は、関連文書のリンクよりご参照ください。

        [{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSYSXX","label":"IBM MaaS360"},"ARM Category":[{"code":"a8m0z00000006zaAAA","label":"APPS"},{"code":"a8m0z000000070YAAQ","label":"COMPLIANCE"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

        Document Information

        Modified date:
        04 November 2022

        UID

        ibm16616507

        Page Feedback