基本認証の非推奨化により、Exchange Online スクリプトの動作が停止する

基本認証の非推奨化により、Exchange Online スクリプトの動作が停止する

迫り来る10月の締め切り

5月16日、マイクロソフトは 先進認証を使用するためのパブリック フォルダーの移行に使用されるスクリプトの更新.マイクロソフトがPowerShellを含む7つの電子メール接続プロトコルの基本認証の最終ターンオフを開始するまでわずか136日しかかからず、Microsoftでさえ基本認証PowerShellの移行に備えるために仕事をしなければならないという証拠です。

Exchange Online Remote PowerShell は基本認証でまだ使用されています

これは、PowerShell を使用して Exchange Online と対話する多くのユーザーが、基本認証でリモート PowerShell (RPS) をまだ使用しているという悲しい事実に私をもたらします。この状況が存在する理由には、次のようなものがあります。

  • マイクロソフトが 10 月 1 日から残りのテナントで PowerShell の基本認証を無効にするという認識の欠如。Microsoft がテナントから基本認証を削除すると、基本認証を使用して接続しようとするスクリプトは失敗します。
  • テナント内で実行されているスクリプトの可視性の欠如。スクリプトは、管理者の知らないうちに作成および実装された可能性があり、作業を文書化していない以前の管理者によって作成された可能性があります。
  • 時間とセレンディピティの欠如。たとえば、ユーザーが PowerShell プロファイルにさまざまなサービスに接続するためのコマンドが含まれていることはよくあります。プロファイルが 1 年以上前のものである場合は、古い接続が使用されている可能性があります。

さらに、ブログ、記事、および書籍で “PowerShell を使用して Exchange Online に接続する方法" を検索すると、推奨される方法は 新しい PSSession Microsoft Exchange に接続するためのコマンドレット。この分野のベストプラクティスをチェックしている人は誰でも、これが最良の方法であるという印象を持って検索から離れれば許すことができます。唯一の問題は、人々が10年間行ってきたように、基本認証を使用してリモートPowerShellセッションを作成することです。

Exchange オンライン管理モジュール

マイクロソフトは、2019年にExchange Online Managementモジュールを導入しました。当時、大きな見出しは、クラウド環境で問題が発生する可能性が最も高いセットを置き換えるように設計された 9 つの REST ベースのコマンドレットの作成でした。新しいコマンドレットは、 Get-ExoMailbox そして Get-ExoMailboxStatistics ネットワークの問題に対してより速く、より寛容であり、Ignite 2019カンファレンスでコマンドレットについて話すことができてうれしかったです。

新しいモジュールは、先進認証もサポートしていました。バージョン 2.0.3 以降、モジュールは 証明書ベースの認証.RPS コマンドレットは WinRM に依存しています。マイクロソフトは、RPS コマンドレットをアップグレードして WinRM 依存関係を削除しています。実質的な進歩が達成されました モジュールのプレビュー バージョン RPS コマンドレットの中で最も頻繁に使用されるコマンドレットは、WinRM に依存しなくなりました。

残りの RPS コマンドレットのアップグレードを完了するための作業が進行中であり、アップグレードされた RPS コマンドレットを含むプレビュー モジュールをまもなく一般公開する予定です。残りの RPS コマンドレットをアップグレードする作業は、Microsoft が Exchange Online 接続の基本認証をオフにしても WinRM 接続を非推奨にしないため、10 月までに完了する必要はありません。

モジュールのプレビュー バージョンを使用する場合は、 UseRPSSession パラメータを使用して、すべての RPS コマンドレットをロードします。そうしないと、Exchange はアップグレードされた RPS コマンドレットのみを読み込みます。

アクション プラン: 基本認証 PowerShell を回避する

行動の必要性は本物です。テナントが Exchange Online スクリプトをチェックして、先進認証を使用して Exchange Online に接続していることを確認しない場合、スクリプトが機能しなくなる 10 月 1 日以降に問題が発生します。なぜなら、 コネクトエクスチェンジオンライン コマンドレットは、実行時に古い RPS コマンドレットを読み込み、スクリプトをアップグレードする作業は簡単です。つまり、更新する必要があるすべてのスクリプトを見つけることができる場合です。

Connect-ExchangeOnline を使用して先進認証で接続する

基本認証 PowerShell の苦境
図 1: Connect-ExchangeOnline を使用して先進認証で接続する

スクリプトが正しく接続されていることを確認しながら、 セキュリティとコンプライアンスのエンドポイント これを行うには、 Connect-IPPSSession コマンドレット。

先に進んで、古いコマンドレットを次のように変換することができます メールボックスの取得 目へeirは同等のものをアップグレードしてパフォーマンスと安定性を向上させましたが、この作業は今すぐ行う必要はありません(コーディングとテストの面ではかなり多くの労力がかかります)。当面の優先事項は、スクリプトが 10 月以降も接続して機能し続けるようにすることです。

Azure AD も覚えておいてください

PowerShell 開発者は、さらに近い日付に焦点を合わせる必要があります。マイクロソフトは、2022 年 8 月 26 日に Microsoft 365 用の新しいライセンス管理プラットフォームを導入する予定です。これは、ライセンス管理に Azure AD モジュールと Microsoft Online Services (MSOL) モジュールのコマンドレットを使用するスクリプトが機能しなくなるまで、わずか 100 日後です。これは、2022年後半または2023年初頭にモジュールの完全な減価償却に向けた道のりの第一歩です。

Exchange Online スクリプトが先進認証で動作することを検証するための時間は限られています。スクリプトの更新に必要な手順を踏まなかったり、重要なスクリプトが機能しなくなったことを人々が発見したときに電話をかけたりしない人にはなりたくありません。


Exchange Online と Office 365 の残りの部分を、 Office 365 for IT プロフェッショナル 電子ブック。Microsoft の経験を活かして、何が重要で、テナントを保護する最善の方法を理解してください。

未分類

Posted by admin