从 2024 年秋季开始,您和您的用户必须将 OAuth 与第三方应用搭配使用才能访问 Gmail、Google 日历和 Google 通讯录。OAuth 是一种更安全的访问方法。您将不会再使用密码(应用专用密码除外)进行访问。Google 将关闭对安全性较低的应用的访问权限,即那些可通过用户名和密码(基本身份验证)访问 Google 账号的非 Google 应用。使用基本身份验证会使账号更容易受到黑客攻击。
借助本文,您的组织、用户和应用开发者可以从安全性较低的应用和服务改用 OAuth。
改用 OAuth 的时间表
2024 年夏季:
- 如果您(或您的用户)首次尝试连接到安全性较低的应用,将无法连接。此限制包括仍在使用基本身份验证(例如 CalDAV、CardDAV、IMAP、SMTP 和 POP)访问 Gmail、Google 日历和通讯录的第三方应用。如果不是第一次尝试连接,您可以继续使用相关应用,直到其停用为止。
- 在 Google 管理控制台中,您将无法访问安全性较低的应用的启用和停用设置。
- 用户将无法在其 Gmail 设置中启用或停用 IMAP。
2024 年秋季:
- 系统会停用所有 Google 账号对安全性较低的应用的访问权限。
- CalDAV、CardDAV、IMAP、SMTP 和 POP 将不再使用旧密码(基本身份验证)。
Google 同步 - 在向 OAuth 过渡的过程中,Google 同步也将被弃用,因为它不使用 OAuth 进行身份验证:
- 2024 年夏季 - 新用户将无法使用 Google 同步连接到其 Google 账号。
- 2024 年秋季 - 现有 Google 同步用户将无法使用 Google 同步连接到其 Google 账号。
您需要做什么
如需继续通过 Google 账号使用特定的应用,您组织中的用户必须改用 OAuth 这种更为安全的访问类型。OAuth 可让应用使用数字密钥(而不是要求用户输入用户名和密码)来访问账号。
我们建议您向用户分享本文中的说明,以便帮助他们进行必要的更改。如果贵组织使用自定义工具,请让该工具的开发者将其更新为使用 OAuth。本页下文也提供了面向开发者的说明。
如果您的应用不支持 OAuth,那么您需要让贵组织改用提供 OAuth 的应用,或联系供应商并请求其添加 OAuth 作为一种连接受管理的 Google 账号的方式。有关详情,请参阅控制对安全性较低的应用的访问权限。
移动设备配置
如果贵组织使用移动设备管理功能来设置 IMAP、CalDAV、CardDAV、POP 或 Microsoft Exchange ActiveSync(Google 同步)配置文件,那么这些服务将按照以下时间表逐步被弃用:
- 2024 年夏季 - 首次连接的客户将无法通过移动设备管理功能推送基于密码的 IMAP、CalDAV、CardDAV、POP 和 Exchange ActiveSync(Google 同步)账号。如果您使用 Google 端点管理功能,则无法为 CalDAV 和 CardDAV 启用自行指定推送配置。
- 2024 年秋季 - 现有用户将无法通过移动设备管理功能推送基于密码的 IMAP、CalDAV、CardDAV 和 POP 账号。您需要使用移动设备管理提供方推送用户账号,这样系统会使用 OAuth 将您的用户账号重新添加到 iOS 设备。如果您使用 Google 端点管理功能,则自行指定推送配置 (CalDAV) 和自行指定推送配置 (CardDAV) 将不再起作用。如需详细了解这些设置,请参阅账号配置。
- 2024 年秋季 - 现有用户将无法通过移动设备管理功能推送基于密码的 Exchange ActiveSync(Google 同步)账号。您需要使用移动设备管理提供方推送用户账号,这样系统会使用 OAuth 将您的用户账号重新添加到 iOS 设备。有关详情,请参阅为 iOS 设备应用设置。
注意:自动推送配置(使用 OAuth)将继续有效。
其他安全性较低的应用
对于任何其他安全性较低的应用,请让您所用应用的开发者开始支持 OAuth。
扫描仪和其他设备
对于使用 SMTP 或安全性较低的应用来发送电子邮件的扫描仪或其他设备,请使用以下方法之一:
- 将设备配置为使用 OAuth。
- 使用另一种方式通过设备扫描或发送电子邮件。
- 配置要用于此设备的应用专用密码。
提示:如果您要更换设备,请选择一款可以使用 OAuth 发送电子邮件的新设备。
向您的用户分享以下信息
对于仅使用用户名和密码访问受管理的 Google 账号的应用的用户,请让他们按照这些说明改用更安全的方法,以便他们可以继续访问其电子邮件、日历和联系人。
如果用户没有采取以下任何行动,那么当安全性较低的应用的访问权限被终止后,用户就会收到错误消息,提示其用户名和密码组合不正确。
电子邮件
- 使用独立版 Microsoft Outlook 2016 或更低版本的用户 - 改用 Microsoft Office 365(网页版 Outlook)或者 Outlook for Windows 或 Outlook for Mac,它们都支持 OAuth 访问权限。或者,您可以为贵组织设置 Google Workspace Sync for Microsoft Outlook (GWSMO)。有关详情,请参阅“做好准备,安装 GWSMO”。
- Mozilla Thunderbird 或其他电子邮件客户端的用户 - 移除 Google 账号,重新添加,然后将其配置为搭配使用 IMAP 和 OAuth。
- iOS 或 MacOS 上的邮件应用或 Outlook for Mac 的用户 - 如果您仅使用密码来登录:
- 移除您的 Google 账号,然后重新添加。
- 点击使用 Google 账号登录以自动使用 OAuth。
日历
- 如果您的应用使用基于密码的 CalDAV 来授予对日历的访问权限,请改用支持 OAuth 的方法。我们建议您将 Google 日历应用(适用于 Android、Web 和 iOS)作为与 Google 账号搭配使用的安全应用。有关详情,请参阅访问日历。
- 如果您的 Google 账号已与 iOS 或 MacOS 中的日历应用关联,并且仅使用密码来登录:
- 从设备中移除您的账号,然后重新添加。
- 点击使用 Google 账号登录以自动使用 OAuth。
有关详情,请参阅将 Google 日历活动添加到 Apple 日历。
通讯录
- 如果您的 Google 账号通过 CardDAV 将联系人同步到 iOS 或 MacOS,并且仅使用密码来登录:
- 移除并重新添加您的账号。
- 点击使用 Google 账号登录以自动使用 OAuth。
有关详情,请参阅将 Google 通讯录与您的移动设备或计算机同步。
- 如果您的 Google Workspace 账号通过 CardDAV 将联系人同步到任何其他平台或应用,并且仅使用密码来登录,请改用支持 OAuth 的方法。
向应用开发者分享以下信息
为了保持与 Google 账号的兼容性,请更新您的应用以使用 OAuth 2.0 作为连接方法。要开始使用,请参阅:
停用 Google 同步
Google 同步不支持 OAuth,这会降低您组织数据的安全性。如要转换用户并停用 Google 同步,请按照为组织停用 Google 同步中的说明操作。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。