注意事項
本文資訊與訊息中心MC454810、MC499030及MC649046文章相關,這些文章均發表於Microsoft 365 系統管理中心。
像 Word 和 Excel 這類應用程式允許使用者使用 Basic 認證,透過每次請求發送使用者名稱和密碼來連接網頁伺服器上的資源。 這些憑證通常儲存在伺服器上,使攻擊者更容易捕捉並重複使用對其他端點或服務使用。
基本認證已成為過時的產業標準,且不支援更強大的安全功能,例如多重身份驗證。 它帶來的威脅只會增加,且有更好且更有效的使用者驗證替代方案。 例如,現代認證支援多重認證、智慧卡及憑證式認證。
因此,為了提升 Microsoft 365 Apps 的安全性,我們將改變其預設行為,以阻擋 Basic 認證的登入提示。
有了這項變更,如果使用者嘗試在僅使用 Basic 認證的伺服器上開啟檔案,他們不會看到任何 Basic 認證登入提示。 他們看到的訊息是該檔案被封鎖,因為使用了可能不安全的登入方式。 該訊息包含一個連結,引導使用者前往一篇包含基本認證安全風險資訊的文章。
注意事項
- Windows 上託管的檔案分享不會受到此變更影響,因為使用的認證方式是 NTLM。
- SharePoint Online、OneDrive 以及本地 SharePoint Server (設定為現代認證) 不受此變更影響。
- 本地配置為基本認證的 SharePoint 伺服器會受到此變更的影響。
受此變更影響的 Microsoft 365 Apps 版本
此變更僅影響以下 Windows 裝置的應用程式:
- Access
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
注意事項
- 此變更不影響使用 Basic 認證連接本地 Exchange Server 的 Outlook。
- 這項變更不會影響 Outlook 使用 Basic 認證連接 Exchange Online。 另外,也有一項努力是要在 Exchange Online 中棄用 Basic 認證。 欲了解更多資訊,請參閱 Exchange Online 中的基本認證棄用。
作為推廣的一部分,使用者若嘗試使用 Basic 認證存取檔案,初期會收到警告訊息。 過了警告期後,使用者將被封鎖無法開啟檔案,並會看到訊息告知來源使用可能不安全的登入方式。
下表顯示每個更新通道中實作警告與阻擋變更的版本。 斜體字資訊可能會有所變動。
| 更新通道 | 警告版本 | 阻擋版本 |
|---|---|---|
| 目前通道 (預覽) | 版本 2303 |
版本 2311 (2023年11月) |
| 目前通道 | 版本 2304 |
版本 2311 2023年12月 (日) |
| 每月企業頻道 | 版本 2304 |
版本 2311 (2024年1月9日) |
| 半年企業通道 (預覽) | 版本 2308 |
版本 2402 (2024年3月12日) |
| 半年企業通道 |
版本 2308 (2024年1月9日) |
版本 2402 (2024年7月9日) |
重要事項
Semi-Annual Enterprise Channel (預覽) 將自 2025 年 7 月起被淘汰。 為保持安全與支援,組織應立即將裝置遷移至目前頻道或每月企業頻道,以便持續獲得新功能的早期存取權。
注意事項
- 此變更也將影響零售版的 Office 2021、Office 2019 及 Office 2016。 他們和Current Channel的時段相同。
- 此變更不會影響 Office 的批量授權版本,例如 Office LTSC 專業增強版 2021 或 Office 標準版 2019。
Microsoft 365 Apps 如何決定是否顯示 Basic 認證提示
以程圖顯示 Microsoft 365 Apps 如何判斷伺服器使用 Basic 認證時是否開啟檔案。
以下步驟說明流程圖中的資訊。
使用者嘗試開啟儲存在網頁伺服器上的檔案。
如果伺服器使用基本認證代理驗證,Microsoft 365 Apps 會評估「允許網路代理的基本驗證提示」的狀態。
- 若政策設定為啟用,使用者會被要求輸入使用者名稱和密碼以開啟檔案。
- 否則使用者不會看到登入提示,檔案也會被封鎖。 使用者看到的訊息是該檔案被封鎖,因為使用了可能不安全的登入方式。
如果伺服器沒有使用基本認證,檔案就會被打開。 如果伺服器使用 Basic 認證,Microsoft 365 Apps 會檢查是否有政策允許 Basic 認證提示。
如果伺服器直接使用 Basic 認證進行認證,Microsoft 365 Apps 會評估「允許指定主機向 Office 應用程式政策顯示基本認證提示」的狀態。
- 若政策設定為啟用且指定伺服器,系統會提示使用者輸入使用者名稱與密碼以開啟檔案。
- 否則使用者不會看到登入提示,檔案也會被封鎖。 使用者看到的訊息是該檔案被封鎖,因為使用了可能不安全的登入方式。
使用政策來管理基本認證提示
如果你需要為特定主機或網路代理提供基本驗證提示,你可以設定以下政策:
重要事項
- 我們不建議對某些主機或網路代理允許 Basic 認證提示,因為使用 Basic 認證並不安全。
- 但如果你需要暫時提供這些提示,並且在伺服器轉換到更安全的認證方式時,可以使用這些政策。
這些政策可在群組原則管理主控台的使用者設定\政策\管理範本\Microsoft Office 2016\安全設定中找到。
注意事項
- 要使用這些政策,請從Microsoft下載中心下載至少 5359.1000 版本的 群組原則 管理範本檔案 (ADMX/ADML) for Microsoft 365 Apps。 該版本於 2022 年 8 月 11 日發行。
- 你也可以透過使用雲端政策來實作這些政策。 欲了解更多資訊,請參閱 Microsoft 365 雲端政策服務概述。
允許指定的主機向 Office 應用程式顯示基本驗證提示
此政策允許您指定哪些主機可以向 Word 和 Excel 等應用程式顯示基本驗證登入提示。
下表顯示了您依保單各州所獲得的保障等級。
| 圖示 | 保護層級 | 政策狀態 | 描述 |
|---|---|---|---|
|
受保護 | 啟用 (未指定主機) |
使用者被禁止開啟使用基本認證的網頁伺服器上的檔案。 |
|
部分受保護 | 啟用 (指定的主機) |
基本的認證提示僅允許來自指定的主機。
如果你指定多個主機,請用分號分隔它們。 |
|
|
受保護 | 已停用 | 使用者被禁止開啟使用基本認證的網頁伺服器上的檔案。 |
|
|
受保護 [推薦] |
未設定 | 使用者被禁止開啟使用基本認證的網頁伺服器上的檔案。 |
允許網路代理發送基本驗證提示
此政策控制網路代理是否允許顯示 Basic 認證提示。
下表顯示了您依保單各州所獲得的保障等級。
| 圖示 | 保護層級 | 政策狀態 | 描述 |
|---|---|---|---|
|
|
受保護 | 已停用 | 網路代理不會顯示基本認證提示。 |
|
沒有受到保護 | Enabled | 網路代理顯示基本驗證提示。 |
|
|
受保護 [推薦] | 未設定 | 網路代理不會顯示基本認證提示。 |