Microsoft는 다음 달에 Exchange Online에 대한 기본 인증을 비활성화할 예정입니다… 그러나 완전히는 아닙니다.

약 3년 전 Microsoft는 Exchange Online에서 기본 인증을 제거 하고 최신 인증(OAuth 2.0)으로 전환 한다고 발표했습니다 . 그 이후로 회사는 고객에게 가능한 한 빨리 이동하도록 요청하는 알림을 정기적으로 게시했습니다. 실제로 Google에서도 캘린더 Interop을 사용하여 Google 캘린더와 Exchange Online 간의 회의를 동기화하는 고객에게 최신 인증으로 업그레이드해야 한다는 권장 사항을 게시했습니다.

Microsoft는 오늘 또 다른 뉴스레터를 발표 하여 고객에게 10월 1일부터 몇 가지 변경 사항을 포함하여 기본 인증을 비활성화할 것이라고 경고했습니다.

그러나 진부화 과정은 점진적이기 때문에 흥미 롭습니다. 10월 1일부터 Microsoft는 테넌트를 무작위로 선택한 다음 MAPI, RPC, OAB(오프라인 주소록), EWS(Exchange 웹 서비스), POP, IMAP, EAS(Exchange ActiveSync) 및 원격 powershell에 대한 기본 인증 액세스를 비활성화하기 시작합니다. SMTP AUTH에 대해 프로토콜이 비활성화되지 않는다는 점에 유의하는 것이 중요합니다.

영향을 받는 세입자에게는 변경 7일 전에 통지되며 변경 당일에도 통지됩니다. Microsoft는 수많은 경고에도 불구하고 기본 인증 사용량이 여전히 0%가 아니라는 점에 주목했습니다. 회사는 다음과 같이 말합니다.

불행히도 많은 세입자가 아직 이러한 변경 사항에 대한 준비가 되어 있지 않다는 것을 알고 있습니다. 수많은 블로그 게시물, 메시지 센터 게시물, 서비스 중단 및 트윗, 비디오, 회의 프레젠테이션 등의 범위에도 불구하고 일부 고객은 여전히 ​​다가오는 변경 사항을 인식하지 못합니다. 또한 가동 중지 시간을 피하기 위해 필요한 작업을 수행하지 않은 데드라인을 인지한 많은 고객이 있습니다.

이러한 노력의 목표는 항상 기본 인증을 사용하는 공격의 증가로부터 데이터와 계정을 보호하는 것이었습니다.

그러나 이메일은 많은 고객에게 미션 크리티컬한 서비스이며 많은 고객에 대해 기본 인증을 비활성화하면 잠재적으로 매우 중요한 의미를 가질 수 있음을 이해합니다.

그러나 한 가지 함정이 있습니다. 이 구성 변경에 대해 아직 준비가 되지 않은 클라이언트는 프로토콜당 한 번 기본 인증을 다시 활성화할 수 있습니다. 이는 셀프 서비스 도구를 사용하여 수행할 수 있으며 다시 활성화된 기본 인증 프로토콜은 2022년 12월 말까지 계속 작동합니다. Microsoft는 내년 첫 주부터 기본 인증을 영구적으로 비활성화합니다.

어떤 면에서 이것은 적어도 10월에 “하드” 진부화보다 “부드러운” 진부화에 가깝습니다. 그러나 12월은 Microsoft가 이번에 약속한 대로 유지한다고 가정할 때 Exchange Online의 대부분의 프로토콜에 대해 기본 인증이 중단되는 날이 될 것입니다.

Microsoft는 또한 다음과 같이 표시했습니다.

고객이 기본 인증과 관련된 위험을 피할 수 있도록 Microsoft 365에 새로운 기능을 추가하고 있습니다. 이 새로운 기능은 기본 인증을 사용하여 로그인 요청을 차단하도록 Office 응용 프로그램의 기본 동작을 변경합니다. 이 변경으로 사용자가 기본 인증만 사용하는 서버에서 Office 파일을 열려고 하면 기본 인증으로 로그인하라는 메시지가 표시되지 않습니다. 대신 보안되지 않을 수 있는 로그인 방법을 사용하기 때문에 파일이 잠겨 있다는 메시지가 표시됩니다.

기본 인증 사용에 집착하는 IT 관리자는 여기에서 Microsoft 가이드를 확인해야 합니다 .