背景图片来源／Badhon Ebrahim on Unsplash

微软强化Microsoft 365（M365）租户的安全控管，将从7月起预设封锁用户以旧版身分验证机制来存取文件。

微软本周透过M365管理员中心讯息公布（注：只有管理员身分可以存取），M365预设封锁以旧验证协定如RPS（Relying Party Suite）及FPRPC（FrontPage Remote Procedure Call）登入SharePoint、OneDrive和Office文件，微软将从7月起逐步部署，预定8月完成。微软说，这次更新是因应微软安全未来倡议（Secure Future Initiative，SFI）及其预设安全（Secure by Default）原则，目的在所有企业打造更稳固的基础安全态势。

微软所指的旧式验证协定是指比OAuth 2.0或SAML更古早的用户验证技术，对M365而言，受影响的协定有RPS和FPRPC二种。RPS多半为旧式浏览器或用户端App存取云端资源之用，而FRPRC则是以前用于远端网页开发和操作Office文件的方法。

大部份系统都已不再使用上述协定，少部份基于和旧式应用和自动化工具相容的需求而留存至今。这些协定通常欠缺多因素验证，容易遭受暴力破解和钓鱼攻击。微软说，最新封锁能使还在用这些协定的应用透过浏览器存取SharePoint、OneDrive或Office文件，可减少攻击表面。

从7月中开始，预设封锁上述2个协定的措施将部署到所有M365租户。受影响的服务共有Microsoft Entra（之前名为Azure Active Directory）、Microsoft 365 app、SharePoint Online和OneDrive for Business。这项变更为自动部署，不需用户任何动作。

至于对用户的影响，由于现代浏览器已经内建新式验证，因此Office用户或现代浏览器应该不受影响，但仰赖旧式协定的应用程序或工作流程将无法连结，包括旧式Office外挂或自订工具，其次是使用RPS或FPRPC的自动化脚本程序、文件同步或报表。如果企业使用非常旧的系统，可能得靠支援团队开发暂时作法，或是儘速更新。

微软并增加新的第三方App存取M365管理政策。之前用户可以自行授权第三方App存取Microsoft云端文件，但未来用户无法自行授权，所有第三方App存取都需经管理员明显的审核同意。新政策可防止过多企业资料外洩，像是第三方OAuth应用存取云端文件及资料。新政策也透过Entra文件，指引IT细部设定决定同意和存取控制。

微软说，M365封锁旧协定是「安全未来倡议」（Secure Future Initiative，SFI）的一部份。微软宣布的其他措施包括今年初宣布M365、Office 2024关闭ActiveX控制，7月起Teams封锁在会议中萤幕撷图、以及扩大Outlook附件的封锁文件类型名单，包括.library-ms及.search-ms等。