从安全性较低的应用改用 OAuth

从 2025 年 3 月 14 日开始，您和您的用户必须将 OAuth 与第三方应用搭配使用才能访问 Gmail、Google 日历和 Google 通讯录。OAuth 是一种更安全的访问方法。您将无法再使用密码（应用专用密码除外）进行访问。Google 将停用安全性较低的应用的访问权限。这类应用是指仅凭用户名和密码（基本身份验证）即可访问 Google 账号的非 Google 应用。仅凭基本身份验证进行访问会使账号更容易受到黑客攻击。

本文旨在帮助您的组织、用户和应用开发者从安全性较低的应用和服务改用 OAuth。

过渡时间表

2024 年夏季

• 如果您（或您的用户）首次尝试连接到安全性较低的应用，将无法连接。此限制适用于仍使用 CalDAV、CardDAV、IMAP、SMTP 和 POP 等基本身份验证方法来访问 Gmail、Google 日历和通讯录的第三方应用。如果不是第一次尝试连接，您可以继续使用相关应用，直到其停用为止。
• 在 Google 管理控制台中，您将无法访问安全性较低的应用的启用和停用设置。
• 用户将无法在 Gmail 设置中启用或停用 IMAP。

2025 年 3 月 14 日

• 系统将为所有 Google 账号停用对安全性较低的应用的访问权限。
• CalDAV、CardDAV、IMAP、SMTP 和 POP 搭配旧密码（基本身份验证）的方式将不再受支持。

Google 同步 - 在向 OAuth 转换的过程中，Google 同步也将被弃用，因为该服务不使用 OAuth 进行身份验证：

• 2024 年夏季 - 新用户将无法使用 Google 同步关联到其 Google 账号。
• 2025 年 3 月 14 日 - 现有 Google 同步用户将无法使用 Google 同步关联到其 Google 账号。

如需了解确切日期，请访问 Google Workspace 最新动态博客。

您需要做什么

若要继续通过 Google 账号使用特定应用，您组织中的用户必须改用 OAuth 这种更为安全的访问机制。OAuth 可让应用使用数字密钥（而不是要求用户输入用户名和密码）来访问账号。

我们建议您与用户分享本文中的说明，以便他们能够顺利做出必要的更改。如果您的组织使用的是定制的工具，您可以请工具的开发者更新此类工具，使其改用 OAuth。本页下文还提供了面向开发者的操作说明。

如果您的应用不支持 OAuth，那么您需要让您的组织改用支持 OAuth 的应用，或联系供应商并请其将 OAuth 添加为一种关联受管理的 Google 账号的方式。如需了解详情，请参阅控制对安全性较低的应用的访问权限。

移动设备配置

如果贵组织使用移动设备管理功能来设置 IMAP、CalDAV、CardDAV、POP 或 Microsoft Exchange ActiveSync（Google 同步）配置文件，那么这些服务将按照以下时间表逐步被弃用：

1. 2024 年夏季 - 首次连接的客户将无法通过移动设备管理功能推送基于密码的 IMAP、CalDAV、CardDAV、POP 和 Exchange ActiveSync（Google 同步）账号。如果您使用 Google 端点管理功能，则无法为 CalDAV 和 CardDAV 启用自行指定推送配置。
2. 2024 年秋季 - 现有用户将无法通过移动设备管理功能推送基于密码的 IMAP、CalDAV、CardDAV 和 POP 账号。您需要通过移动设备管理服务提供方推送用户账号，这样系统会使用 OAuth 将您的用户账号重新添加到 iOS 设备。如果您使用 Google 端点管理功能，则自行指定推送配置 (CalDAV) 和自行指定推送配置 (CardDAV) 将不再起作用。如需详细了解这些设置，请参阅账号配置。
3. 2024 年秋季 - 现有用户将无法通过移动设备管理功能推送基于密码的 Exchange ActiveSync（Google 同步）账号。您需要通过移动设备管理服务提供方推送用户账号，这样系统会使用 OAuth 将您的用户账号重新添加到 iOS 设备。如需了解详情，请参阅为 iOS 设备应用设置。

注意：采用 OAuth 的自动推送配置将继续有效。

其他安全性较低的应用

如果您使用其他安全性较低的应用，请让应用的开发者开始支持 OAuth。

扫描设备及其他设备

对于使用 SMTP 或安全性较低的应用来发送电子邮件的扫描设备或其他设备，请使用以下方法之一：

• 将设备配置为使用 OAuth。
• 使用其他方式从设备扫描或发送电子邮件。
• 配置应用专用密码以供设备使用。

提示：如果您要更换设备，请选择一款可以使用 OAuth 发送电子邮件的新设备。

与用户分享以下信息

如果用户使用的应用仅通过用户名和密码访问他们的受管理的 Google 账号，请让他们按照这些说明改用更安全的方法，以便他们可以继续访问其电子邮件、日历和通讯录。

如果用户没有采取以下任何行动，那么当安全性较低的应用的访问权限被终止后，用户就会收到错误消息，提示其用户名和密码组合不正确。

电子邮件

• 使用独立版 Microsoft Outlook 2016 或更低版本的用户 - 改用 Microsoft Office 365（网页版 Outlook）或者 Outlook for Windows 或 Outlook for Mac，它们都支持 OAuth 访问权限。或者，您也可以为组织设置 Google Workspace Sync for Microsoft Outlook (GWSMO)。有关详情，请参阅“做好准备，安装 GWSMO”。
• Mozilla Thunderbird 或其他电子邮件客户端的用户 - 移除 Google 账号，重新添加，然后将其配置为搭配使用 IMAP 和 OAuth。
• iOS 或 MacOS 上的邮件应用或 Outlook for Mac 的用户 - 如果您仅使用密码来登录：
  1. 移除您的 Google 账号，然后重新添加。
  2. 点击使用 Google 账号登录以自动使用 OAuth。

日历

• 如果您的应用使用仅凭密码登录的 CalDAV 来授予对日历的访问权限，请改用支持 OAuth 的方法。我们建议您将 Google 日历应用（适用于 Android、Web 和 iOS）作为与 Google 账号搭配使用的安全应用。如需了解详情，请参阅访问日历。
• 如果您的 Google 账号已与 iOS 或 MacOS 中的日历应用关联，并且仅使用密码来登录：
  1. 从设备中移除您的账号，然后重新添加。
  2. 点击使用 Google 账号登录以自动使用 OAuth。

如需了解详情，请参阅将 Google 日历活动添加到 Apple 日历。

通讯录

• 如果您的 Google 账号通过 CardDAV 将联系人同步到 iOS 或 MacOS 设备，并且仅使用密码来登录，请执行以下操作：

  1. 移除您的账号，然后重新添加。
  2. 点击使用 Google 账号登录以自动使用 OAuth。

  如需了解详情，请参阅将 Google 通讯录与您的移动设备或计算机同步。

• 如果您的 Google Workspace 账号通过 CardDAV 将联系人同步到任何其他平台或应用，并且仅使用密码来登录，请改用支持 OAuth 的方法。

与应用开发者分享以下信息

为确保您的应用继续与 Google 账号兼容，请对其进行更新，使用 OAuth 2.0 作为关联方式。如需开始使用，请访问：

• 使用 OAuth 2.0 访问 Google API
• 适用于移动应用和桌面应用的 OAuth 2.0。

停用 Google 同步

Google 同步不支持 OAuth，这会降低贵组织数据的安全性。如需帮助用户完成转换并停用 Google 同步，请按照为贵组织停用 Google 同步并改用其他解决方案一文中的说明操作。

Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。