先日ExchangeOnlineの基本認証(Basic)が非推奨となり、2020年10月13日には廃止されることが発表されました。
※2020/4/6 追記 基本認証の廃止はCOVID-19の影響を鑑みて2021年後半へ延期するとの発表がありました。
Office365管理者は基本認証が 廃止されるまでに先進認証(ADAL)を有効にし、基本認証を利用するクライアントを先進認証を使うクライアントにリプレースする必要があります。
ExchangeOnlineの先進認証の有効化及び基本認証の廃止に伴う対応について記載します。
先進認証の設定の確認と変更
Office365テナントにおいて、ExchangeOnlineの先進認証が有効になっているかどうかはPowerShellでExchangeOnlineへ接続し、以下のコマンドで確認します。
Get-OrganizationConfig | Select Oauth2ClientProfileEnabled
OAuth2ClientProfileEnabled
--------------------------
False
設定がFalseであれば先進認証が無効、Trueであれば有効です。
2017年8月以降にOffice365をセットアップした組織は既にTrueになっているかと思います。
有効にするためには以下のコマンドを実行します。
Set-OrganizationConfig -Oauth2ClientProfileEnabled $true
Outlookクライアントでの先進認証の確認
Outlookではタスクトレイ上のアイコンを「Ctrl+右クリック」すると表示される「接続状態」から認証方式を確認することが可能です。
Exchange側で先進認証を有効にすると対応しているOutlookクライアントは認証キャッシュ更新のタイミングで自動で先進認証に切り替わります。
「認証」欄が “クリア” なら基本認証、”ベアラー”なら先進認証で接続しているということになります。
基本認証の廃止による影響
先進認証を使えるアプリケーションは以下の通りです。
- Outlook2016, Outlook2019, Office ProPlusのOutlook (for Mac含む)
- レジストリを変更したOutlook2013 (手順)
- Outlook for iOS / Android
- iOS 11.3.1以降の標準メールアプリ
基本認証の廃止対象となるプロトコルは以下の通りです。
- POP
- IMAP
- ExchangeActiveSync (EAS)
- Remote PowerShell
つまり、POP/IMAPプロトコルを利用する大半のメーラーやAndroid、Macの標準メーラーなどは2020年10月13日以降利用できなくなります。
期限までにこれらのアプリが先進認証に対応する可能性もありますが、現時点においては利用できなくなると想定して移行を呼び掛けることが必要になります。
なお、SMTPについては今回基本認証廃止の対象からは外されています。複合機でプリントをスキャンしてPDFでメール送付、などといった箇所については今回は心配しないでも問題ありません。
廃止対象プロトコル利用者への対策
メールの送受信についてとりうる対策としては基本的には先進認証に対応したOutlookに移行してもらうことになります。
使い慣れたメーラーを捨ててOutlookに移行することは大きな反発が予想されるため、早くからの呼びかけと繰り返しの説明をする必要があるでしょう。
また、これを機にOutlook on the Webの周知を進め、ローカルのメーラー以外の選択肢を提示してあげることも可能です。
ちょうど先日Outlook.comがPWAに対応したというニュースもあり、Outlook on the Webも対応してくれれば使いやすくなるのではないかと期待しています。
2019/12/10追記
Outlook.comだけでなくOutlook on the WebもPWA対応するとの発表がありました。PWA対応の展開は2019/12 ~ 2020/01でロールアウトするとのことです。
Google ChromeまたはChromium EdgeでOutlook on the Webを開いてる際にオプションからインストールすることで使えるようになります。
手順
まとめ
最新のOutlook以外のメーラーはOffice365では全部使えなくなるものと腹を括って今のうちから先進認証の有効化と移行の呼びかけをしないと大きな混乱を招くため、管理者は早めに対応しましょう。
おまけ
「Outlookなんてヤダ、このメーラーをどうにかして使わせろ」という人は絶対現れるので適当にIMAPサーバ用意してそこ宛に自動転送すればいいかなと思ったけどデータガバナンスとかセキュリティ考えると絶対やりたくないのであえて発言はしません