M365 7月預設封鎖使用舊版身分驗證機制存取檔案

微軟強化Microsoft 365（M365）租戶的安全控管，將從7月起預設封鎖用戶以舊版身分驗證機制來存取檔案。

微軟本周透過M365管理員中心訊息公布（註：只有管理員身分可以存取），M365預設封鎖以舊驗證協定如RPS（Relying Party Suite）及FPRPC（FrontPage Remote Procedure Call）登入SharePoint、OneDrive和Office檔案，微軟將從7月起逐步部署，預定8月完成。微軟說，這次更新是因應微軟安全未來倡議（Secure Future Initiative，SFI）及其預設安全（Secure by Default）原則，目的是在所有企業打造更穩固的基礎安全態勢。

微軟所指的舊式驗證協定是指比OAuth 2.0或SAML更古早的用戶驗證技術，對M365而言，受影響的協定有RPS和FPRPC二種。RPS多半為舊式瀏覽器或用戶端App存取雲端資源之用，而FRPRC則是以前用於遠端網頁開發和操作Office檔案的方法。

大部份系統都已不再使用上述協定，少部份基於和舊式應用和自動化工具相容的需求而留存至今。這些協定通常欠缺多因素驗證，容易遭受暴力破解和釣魚攻擊。微軟說，最新封鎖能使還在用這些協定的應用透過瀏覽器存取SharePoint、OneDrive或Office檔案，可減少攻擊表面。

從7月中開始，預設封鎖上述2個協定的措施將部署到所有M365租戶。受影響的服務共有Microsoft Entra（之前名為Azure Active Directory）、Microsoft 365 app、SharePoint Online和OneDrive for Business。這項變更為自動部署，不需用戶任何動作。

至於對用戶的影響，由於現代瀏覽器已經內建新式驗證，因此Office用戶或現代瀏覽器應該不受影響，但仰賴舊式協定的應用程式或工作流程將無法連結，包括舊式Office外掛或自訂工具，其次是使用RPS或FPRPC的自動化腳本程式、檔案同步或報表。如果企業使用非常舊的系統，可能得靠支援團隊開發暫時作法，或是儘速更新。

微軟並增加新的第三方App存取M365管理政策。之前用戶可以自行授權第三方App存取Microsoft雲端檔案，但未來用戶無法自行授權，所有第三方App存取都需經管理員明顯的審核同意。新政策可防止過多企業資料外洩，像是第三方OAuth應用存取雲端檔案及資料。新政策也透過Entra文件，指引IT細部設定決定同意和存取控制。

微軟說，M365封鎖舊協定是「安全未來倡議」（Secure Future Initiative，SFI）的一部份。微軟宣布的其他措施包括今年初宣布M365、Office 2024關閉ActiveX控制，7月起Teams封鎖在會議中螢幕擷圖、以及擴大Outlook附件的封鎖檔案類型名單，包括.library-ms及.search-ms等。