Microsoft ยกเลิก Basic Authentication บน Exchange Online แล้ว: สิ่งที่ผู้ใช้งาน Microsoft 365 ต้องรู้
Microsoft 365 ได้ประกาศ ยกเลิกการใช้งาน Basic Authentication สำหรับ Exchange Online อย่างเป็นทางการ โดยเริ่มทยอยปิดระบบตั้งแต่วันที่ 1 ตุลาคม 2022 เป็นต้นมา การเปลี่ยนแปลงนี้มีผลกับโปรโตคอลเช่น POP, IMAP, Exchange Web Services (EWS) และ Outlook แบบเก่า ซึ่งแต่เดิมใช้วิธีการเชื่อมต่อแบบ Username + Password โดยตรง โดย Microsoft ดำเนินการปิดใช้งานแบบทยอยตามแต่ละ Tenant เพื่อให้ทุกองค์กรมีเวลาปรับตัวและยกระดับความปลอดภัยของระบบอีเมลบน Microsoft 365
ตอนนี้ Microsoft ได้เดินหน้าบังคับใช้งาน Modern Authentication (OAuth 2.0) อย่างเต็มรูปแบบตั้งแต่ปี 2023 และจะค่อย ๆ ลดการรองรับ Basic Authentication ลงอย่างต่อเนื่อง ทั้งนี้สำหรับ SMTP AUTH ยังมี Timeline เพิ่มเติมว่าการรองรับ Basic Authentication จะสิ้นสุดอย่างสมบูรณ์ในช่วง ปี 2026 – 2027
Modern Authentication (OAuth 2.0) คืออะไร? ต่างจาก Basic Authentication อย่างไร?
Modern Authentication คือมาตรฐานการยืนยันตัวตนแบบใหม่ที่ใช้เทคโนโลยี OAuth 2.0 โดยทำงานผ่านหน้า Sign-in ของ Microsoft แบบ Web-based และใช้ Access Token แทนการส่งรหัสผ่านทุกครั้ง รองรับ Multi-Factor Authentication (MFA) เช่น OTP หรือ Microsoft Authenticator และสามารถกำหนด Conditional Access Policy ได้
ลักษณะการทำงาน:
- ระบบจะเปิดหน้า Sign-in แบบ Web-based
- รองรับ Multi-Factor Authentication (MFA) เช่น OTP หรือ Microsoft Authenticator
- ใช้ Access Token แทนการส่งรหัสผ่านทุกครั้ง
- รองรับ Conditional Access Policy
ข้อดีคือ ปลอดภัยกว่า ลดความเสี่ยงจากการขโมยรหัสผ่าน และรองรับมาตรฐานความปลอดภัยองค์กรสมัยใหม่
ภาพจะแสดงหน้าเว็บ Sign-in ของ Microsoft มีขั้นตอนยืนยันตัวตนเพิ่มเติม เช่น OTP หรือกดอนุมัติในแอป Authenticator หลังจากเข้าสู่ระบบ ระบบจะใช้ Token แทนการส่งรหัสผ่าน ทำให้ปลอดภัยกว่า
ในขณะที่ Basic Authentication ใช้เพียง Username และ Password ในการเชื่อมต่อ ไม่มี MFA บังคับ และมีความเสี่ยงต่อการโจมตีแบบ Brute Force หรือ Password Spray
Basic Authentication (แบบเดิม)
- กรอก Username และ Password ลงในโปรแกรมโดยตรง
- ไม่มี MFA บังคับ
- ส่งรหัสผ่านไปยังเซิร์ฟเวอร์ทุกครั้งที่เชื่อมต่อ
- เสี่ยงต่อการถูกโจมตี
Basic = ใช้รหัสผ่านอย่างเดียว
Modern = ใช้ Token + MFA ปลอดภัยกว่า
ภาพจะแสดงหน้าตั้งค่าที่ให้กรอก Username และ Password ตรง ๆ ภายในโปรแกรม ไม่มีหน้าเว็บ Microsoft บางครั้งมี Pop-up ให้กรอกรหัสผ่านซ้ำเมื่อเชื่อมต่อไม่สำเร็จ และไม่มีขั้นตอน MFA
สรุปคือ Microsoft 365 เปลี่ยนมาใช้ Modern Authentication (OAuth 2.0) เป็นมาตรฐานหลัก และยกเลิก Basic Authentication เพื่อเพิ่มความปลอดภัยของระบบอีเมลในระยะยาว หากระบบหรือโปรแกรมใดยังใช้ Basic Authentication อยู่ จะไม่สามารถเชื่อมต่อกับ Exchange Online ได้อีกต่อไป
ดังนั้นต้องปรับวิธีการเชื่อมต่อใหม่ให้รองรับ Modern Authentication (OAuth 2.0)
แนะนำแนวทางการแก้ไข
- ตรวจสอบและอัปเดตโปรแกรมที่ใช้งาน
เริ่มจากตรวจสอบเวอร์ชัน Outlook ควรเป็น Outlook 2016 ขึ้นไป และอัปเดตเป็นเวอร์ชั่นล่าสุด เพื่อให้รองรับ Modern Authentication อย่างสมบูรณ์ หากเป็นเวอร์ชันเก่ามาก อาจไม่สามารถเข้าสู่ระบบแบบ OAuth ได้ - ยกเลิกการตั้งค่าแบบ POP หรือ Manual เดิม
ให้ลบ Account เดิมที่เคยตั้งค่าแบบ POP หรือกรอกค่าด้วยตนเองออกจากเครื่อง เพื่อป้องกันการพยายามเชื่อมต่อด้วย Basic Authentication ซ้ำอีก - เพิ่มบัญชีใหม่ผ่านระบบ Auto Setup เท่านั้น
ให้ใช้เมนู Add Account แบบปกติ โดยไม่เลือกตั้งค่าเอง ระบบจะพาไปยังหน้า Login ของ Microsoft โดยอัตโนมัติ จากนั้นเข้าสู่ระบบด้วยบัญชีองค์กร และยืนยันตัวตนตามขั้นตอน เช่น ใส่รหัส OTP หากองค์กรเปิดใช้งาน MFA
เมื่อเข้าสู่ระบบสำเร็จ Outlook จะตั้งค่าเป็น Exchange Mode (MAPI) และใช้ Modern Authentication โดยอัตโนมัติ ซึ่งเป็นวิธีที่เสถียรและปลอดภัยที่สุดในปัจจุบัน
reference
https://www.bleepingcomputer.com/news/security/microsoft-365-business-adds-granular-controls-to-company-assets/
https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/deprecation-of-basic-authentication-exchange-online
https://techcommunity.microsoft.com/blog/exchange/exchange-online-to-retire-basic-auth-for-client-submission-smtp-auth/4114750
