最近由於微軟開始要求所有合作夥伴都要通過帳號密碼的基本安全性需求,結果我在做完一切設定之後,我在 Windows 10 的 Outlook 桌面應用程式就無法登入了。雖然 Outlook 2013 之後都有支援 MFA 多因子認證,但我研究一段時間後才發現,原來還要透過 Exchange Online PowerShell 對 Office 365 的組織進行設定,才能真正透過 MFA 登入使用 Outlook 桌面應用程式。但設定過程一堆地雷,花了我幾個小時才搞定,卡關的朋友請繼續看下去。
強制執行多重要素驗證
因為 Office 365 的背後,通通是使用 Azure AD 作為帳號的身分識別管理,這部分只要透過設定 Azure AD 安全性預設值 就可以強制管理者一定要使用多重因素驗證。
請注意:這裡的 MFA (Multi-Factor Authentication) 在網路上有很多種不同的中文翻譯,所以你可能會看到像是「多因子認證」、「多重要素驗證」或「多因素驗證」都有,以下文章我會通通以 MFA 來表示,以免造成閱讀或理解上的困難。
啟用步驟如下:
-
登入 Azure 入口網站的 Azure Active Directory 頁面
請務必用 Global Admins (全域管理員) 身分登入。
-
點擊左側的 屬性 (Properties),然後捲動到頁面最下方,先將管理者自己加入管理者群組,然後設定 管理安全性預設值 (Manage Security defaults):
-
接著設定 啟用安全性預設值 (Enable Security defaults) 為 是 (Yes)
啟用之後,整體組織的安全性會大幅提升,但是也會有以下注意事項:
簡言之,所有 Office 365 用戶,在未來 14 天以內,都需要啟用 MFA 驗證,否則將會無法登入。但如果你是系統管理員,則必須立刻設定 MFA 認證!
啟用每位使用者的 MFA 功能
請用 Office 365 管理者登入以下網址,即可設定每位使用者是否可以使用 MFA 多重要素驗證:
相關連結
設定 應用程式密碼 / 啟用 新式驗證 (Modern authentication) 選項
當啟用 MFA 之後,要讓桌面應用程式通過 MFA 驗證的方法只有兩種:
-
使用應用程式密碼 (App password)
基本上,不支援 MFA 驗證的舊式應用程式,都要透過建立應用程式密碼才能登入成功。
建立應用程式密碼的步驟如下:
- 進入 Microsoft 帳戶 | Security 頁面
- 點擊 更多安全性選項 進入,並找到 應用程式密碼 區塊的 建立新的應用程式密碼
其實直接進入 建立新的應用程式密碼 網頁就會立刻得到一組密碼,重新整理就會得到新的一組。
官方文件 管理適用於雙步驟驗證的應用程式密碼 所說的 app passwords 頁籤我完全找不到,真的浪費生命很多,唉!
-
使用新式驗證 (Modern authentication)
對於支援新式驗證的應用程式 (例如: Outlook 2013 之後的版本),則不用特別設定就可以登入。
由於我才剛把自己的帳號設定好 MFA 驗證,第一時間發現的問題就是 Outlook 桌面應用程式完全無法登入了!
官方文件雖然有提供 為組織啟用多重要素驗證 的說明,但是在我公司的 Office 365 管理中心就完全找不到 新式驗證 (Modern authentication) 的選項。最後被迫要使用 PowerShell 來進行設定,但是以往所知道的登入方式,在啟用 MFA 之後,就無法再用以前的方式透過 PowerShell 登入,你必須參考 使用多重要素驗證連線至 Exchange Online PowerShell 文件的步驟,才能開啟 PowerShell 連接 Exchange Online 服務。
但是使用多重要素驗證連線至 Exchange Online PowerShell必須用 Internet Explorer (IE!!) 進入 Exchange 系統管理中心,點擊左側的「混合」(Hybrid),點擊第二個【設定】按鈕,並透過 ClickOnce 自動安裝一個軟體,然後他就會自動開啟 PowerShell 視窗:
接著才可以參考 使用 MFA 連線至 Exchange Online PowerShell 文件說明來連線:
Connect-EXOPSSession -UserPrincipalName chris@contoso.com
要用 IE 才能執行 ClickOnce 啊啊啊啊啊~~~~~
登入之後,才能用以下命令啟用新式驗證:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
參見: 針對 Outlook 2013 或更新版本的用戶端連線,在 Exchange Online 中啟用或停用新式驗證
幫助使用者設定 MFA 多重要素驗證
基本上,要啟用 MFA 驗證還蠻直覺的,當你登入時就會問你要不要設定 MFA 驗證。
如果已經登入,可以透過這個連結設定 MFA 多重要素驗證: https://aka.ms/MFASetup
- 你可以在這裡設定多種驗證方式,我大多都是設定手機驗證,但你也可以設定簡訊驗證,記得輸入手機號碼。
這部分請參考 設定 Office 365 的雙步驟驗證 ( Set up 2-step verification for Office 365 ) 進行設定即可。
結語
Office 365 每隔一兩年就會改一次介面,文件通常不會即時更新,所以會有很多管理選項找不到,或是錯誤的描述。如果是談觀念,通常改變不大,但是操作方式、網址一直改變,對管理者來說真的非常困擾!
如果不急,下次遇到設定困難,是可以直接建立一個服務要求,微軟至少客服人員的態度都不錯,有任何問題都會幫你解決。
常用連結
相關連結