Microsoft 365 SMTP OAuth 設定

淘汰 Microsoft 365 中的基本驗證

作為 Microsoft 持續強化安全性的措施之一，Exchange Online (隸屬於 Microsoft 365) 中的「基本驗證」將於 2026 年 3 月全面淘汰並停用 (請參閱 Microsoft 的官方公告)。

對 Tenable Identity Exposure 的影響

Tenable Identity Exposure 包含傳送電子郵件報告和警示的功能。如果您目前使用基本驗證連線至 Microsoft 365 for SMTP，基本驗證停用後，您將不會再收到來自 Tenable Identity Exposure 的電子郵件報告或警示。

為防止任何中斷情形，Tenable Identity Exposure 支援 OAuth，即 Microsoft 365 現今採用的驗證通訊協定，安全無虞。Tenable Identity Exposure 強烈建議您為此變更做好準備，以便繼續順利存取電子郵件通知。

使用下列程序設定 Microsoft 365 的 SMTP OAuth 驗證，以啟用 Tenable Identity Exposure 中的安全電子郵件傳送功能。

先決條件

• Microsoft 365 管理員存取權

• 具有管理員權限的 PowerShell

• 作用中 Microsoft 365 租用戶

• 已安裝 PowerShell 模組 ExchangeOnlineManagement [請參閱步驟 6]

• 已安裝 PowerShell 模組 ExchangePowerShell [請參閱步驟 6]

OAuth 設定

1. 在 Entra ID 中建立應用程式註冊

   1. 登入 Azure 入口網站。

   2. 依序前往「Microsoft Entra ID」>「應用程式註冊」。

   3. 按一下「+ 新註冊」。

   4. 輸入應用程式的名稱。

   5. 選取適當的支援帳戶類型「僅限此組織目錄中的帳戶」。

   6. 按一下「註冊」。

      

      

   7. 複製租用戶 ID 並留存以供日後參照。

      

   8. 按一下「本機目錄中的受管理應用程式」下方的連結，以存取與此新應用程式註冊對應的 Entreprise 應用程式：

      

   9. 複製應用程式 ID (AppID) 和物件 ID (ObjectID)，後續步驟會用到。

2. 設定 Exchange Online API 權限

   1. 在新建立的「應用程式註冊」中，從左側功能表選取「API 權限」。

   2. 按一下「+ 新增權限」。

      

   3. 選取 Office 365 Exchange Online API。

      

   4. 選擇「應用程式權限」。

      

   5. 向下捲動並選取 SMTP.SendAsApp。

      

   6. 按一下「新增權限」。

   7. 按一下「為 [貴組織] 授予管理員同意」。

      

3. 建立用戶端密碼

   1. 在「應用程式註冊」中，前往左側功能表的「憑證與密碼」。

      

   2. 按一下「用戶端密碼」下方的「+ 新用戶端密碼」。

   3. 輸入密碼說明。

      

   4. 根據您的安全性原則，選取到期期間。

      重要事項：請務必在用戶端密碼到期前進行輪替，方法是建立新用戶端密碼並在 Tenable Identity Exposure 中進行設定。若未及時更新憑證，金鑰到期後將無法在 Tenable Identity Exposure 中傳送電子郵件。

   5. 按一下「新增」。

      

      重要事項：複製並妥善留存產生的密碼值，因為系統將不再顯示，而您在接下來的步驟中將需要用到，且之後無其他方法擷取該值。

4. 準備使用者信箱

   1. 前往 Microsoft 365 管理中心。

   2. 導覽至「使用者」>「作用中使用者」。

      

   3. 選取現有使用者或是建立將用於 SMTP 傳送的新共用信箱。

      

   4. 確保信箱已指派適當的 Office 365 授權。

      

      

5. 啟用信箱的經驗證 SMTP

   1. 前往 Microsoft 365 管理中心。

   2. 導覽至「使用者」>「作用中使用者」。

      

   3. 選取要設定的使用者信箱。

   4. 按一下「郵件」>「管理電子郵件應用程式」。

      

   5. 取消勾選所有選項，然後只勾選「已驗證的 SMTP」。

   6. 按一下「儲存」。

6. 安裝必要 PowerShell 模組

   • 開啟 PowerShell 並執行下列命令：

     複製

     Install-Module -Name ExchangeOnlineManagement
     Import-Module ExchangeOnlineManagement
     Install-Module -Name ExchangePowershell
     Import-Module -Name ExchangePowershell
     # Connect to Exchange Online (replace <Tenant ID> with your actual Tenant ID)
     Connect-ExchangeOnline -Organization <Tenant ID>

7. 在 Exchange 中註冊服務主體

   • 在 PowerShell 工作階段 (仍連線至 Exchange Online) 中，調整一開始取得的值，然後執行：

     複製

     # Register the service principal
     New-ServicePrincipal -AppId "<AppID>" -ObjectId "<ObjectID>"

8. 新增信箱權限

   • 在同一個 PowerShell 工作階段中，授予應用程式的服務主體存取所需信箱的權限：

     複製

     Add-MailboxPermission -Identity "<[email protected]>" -User "<APPID>" -AccessRights FullAccess

     注意：以欲使用信箱的實際電子郵件地址取代「<[email protected]>」，然後以服務主體的應用程式 ID 取代 <APPID>。

     

9. 收集 OAuth 設定資訊

   若要讓 Tenable Identity Exposure 使用 OAuth SMTP 驗證，請提供先前收集的下列資訊：

   • 租用戶 ID：您的 Microsoft 365 租用戶 ID

   • 用戶端 ID：應用程式註冊的應用程式 (用戶端) ID

   • 用戶端密碼值：您先前建立並儲存的密碼值

   • 寄件者電子郵件：您所設定信箱的電子郵件地址