Blokování starší verze ověřování pomocí podmíněného přístupu Microsoft Entra
Aby uživatelé měli snadný přístup k vašim cloudovým aplikacím, Microsoft Entra ID podporuje širokou škálu ověřovacích protokolů, včetně starší verze ověřování. Starší verze ověřování ale nepodporuje věci, jako je vícefaktorové ověřování (MFA). Vícefaktorové ověřování je běžným požadavkem na zlepšení stavu zabezpečení v organizacích.
Na základě analýzy Microsoftu více než 97 % útoků na obsah přihlašovacích údajů používají starší ověřování a více než 99 % útoků password spray používají starší ověřovací protokoly. Tyto útoky by se zastavily se zakázaným nebo blokovaným základním ověřováním.
Poznámka:
Od 1. října 2022 začneme trvale zakázat základní ověřování pro Exchange Online ve všech tenantech Microsoftu 365 bez ohledu na použití s výjimkou ověřování SMTP. Další informace najdete v článku Vyřazení základního ověřování v Exchangi Online.
Alex Weinert, ředitel zabezpečení identit v Microsoftu, v blogovém příspěvku z 12. března 2020 o nových nástrojích, které blokují starší ověřování ve vaší organizaci , zdůrazňuje, proč by organizace měly blokovat starší ověřování a jaké další nástroje Microsoft poskytuje k dosažení tohoto úkolu:
Tento článek vysvětluje, jak nakonfigurovat zásady podmíněného přístupu, které blokují starší ověřování pro všechny úlohy ve vašem tenantovi.
Při zavádění starší verze ochrany před blokováním ověřování doporučujeme použít fázovaný přístup, a ne zakázat ho pro všechny uživatele najednou. Zákazníci můžou začít zakazovat základní ověřování na základě jednotlivých protokolů tím, že použijí zásady ověřování Exchange Online a pak (volitelně) zablokují starší ověřování prostřednictvím zásad podmíněného přístupu, až budou připravené.
Zákazníci bez licencí, které zahrnují podmíněný přístup, můžou používat výchozí nastavení zabezpečení k blokování starší verze ověřování.
Požadavky
Tento článek předpokládá, že znáte základní koncepty podmíněného přístupu Microsoft Entra.
Poznámka:
Zásady podmíněného přístupu se vynucují po dokončení prvního ověření. Podmíněný přístup není určen jako první linie obrany organizace pro scénáře, jako jsou útoky doS (DoS), ale může k určení přístupu používat signály z těchto událostí.
Popis scénáře
Microsoft Entra ID podporuje nejčastěji používané ověřovací a autorizační protokoly, včetně starší verze ověřování. Starší verze ověřování nemůže uživatele vyzvat k zadání druhéhofaktorového ověřování nebo jiných požadavků na ověřování potřebných k přímému splnění zásad podmíněného přístupu. Tento model ověřování zahrnuje základní ověřování, což je široce používaná standardní metoda pro shromažďování informací o uživatelském jménu a heslech. Mezi příklady aplikací, které běžně nebo používají starší ověřování, patří:
- systém Microsoft Office 2013 nebo starší.
- Aplikace používající poštovní protokoly, jako jsou POP, IMAP a SMTP AUTH.
Další informace o podpoře moderního ověřování v Office najdete v tématu Jak funguje moderní ověřování pro klientské aplikace Office.
Jednofaktorové ověřování (například uživatelské jméno a heslo) v těchto dnech nestačí. Hesla jsou špatná, protože se snadno hádají a my (lidé) jsou špatní při výběru dobrých hesel. Hesla jsou také zranitelná vůči různým útokům, jako je phishing a password spray. Jednou z nejjednodušších věcí, které můžete udělat k ochraně před hrozbami hesel, je implementace vícefaktorového ověřování (MFA). S vícefaktorovým ověřováním i v případě, že útočník získá heslo uživatele, samotné heslo nestačí k úspěšnému ověření a přístupu k datům.
Jak můžete aplikacím zabránit v přístupu k prostředkům tenanta pomocí starší verze ověřování? Doporučujeme je zablokovat jenom pomocí zásad podmíněného přístupu. V případě potřeby povolíte používání aplikací založených na starší verzi ověřování jenom určitým uživatelům a konkrétním síťovým umístěním.
Implementace
Tato část vysvětluje, jak nakonfigurovat zásady podmíněného přístupu pro blokování starší verze ověřování.
Protokoly zasílání zpráv, které podporují starší ověřování
Starší verze ověřování podporují následující protokoly zasílání zpráv:
- Ověřený protokol SMTP – používá se k odesílání ověřených e-mailových zpráv.
- Automatická konfigurace – Používá se klienty Outlooku a EAS k vyhledání a připojení k poštovním schránkám v Exchangi Online.
- protokol Exchange ActiveSync (EAS) – slouží k připojení k poštovním schránkám v Exchangi Online.
- Exchange Online PowerShell – Slouží k připojení k Exchangi Online pomocí vzdáleného PowerShellu. Pokud zablokujete základní ověřování pro Exchange Online PowerShell, musíte k připojení použít modul PowerShellu Pro Exchange Online. Pokyny najdete v tématu Připojení k Prostředí PowerShell Pro Exchange Online pomocí vícefaktorového ověřování.
- Exchange Web Services (EWS) – programovací rozhraní, které používá Outlook, Outlook pro Mac a jiné aplikace než Microsoft.
- IMAP4 – Používá se e-mailovými klienty IMAP.
- MAPI přes HTTP (MAPI/HTTP) – primární přístupový protokol poštovní schránky používaný aplikací Outlook 2010 SP2 a novější.
- Offline adresář (OAB) – kopie kolekcí seznamů adres stažených a používaných aplikací Outlook.
- Outlook Anywhere (RPC přes HTTP) – starší verze přístupového protokolu poštovní schránky podporovaného všemi aktuálními verzemi Outlooku.
- POP3 – Používá se e-mailovými klienty POP.
- Služba Reporting Web Services – používá se k načtení dat sestavy v Exchangi Online.
- Univerzální Outlook – Používá se v aplikaci Pošta a Kalendář pro Windows 10.
- Ostatní klienti – Jiné protokoly identifikované jako využití starší verze ověřování.
Další informace o těchto ověřovacích protokolech a službách najdete v podrobnostech o aktivitě protokolu přihlašování.
Identifikace starší verze použití ověřování
Než budete moct ve svém adresáři zablokovat starší ověřování, musíte nejprve zjistit, jestli mají vaši uživatelé klientské aplikace, které používají starší ověřování.
Indikátory protokolu přihlašování
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
- Přejděte do protokolů přihlášení k monitorování identit>a stavu>.
- Pokud se sloupec Klientská aplikace nezobrazuje, přidejte kliknutím na klientskou aplikaci Sloupce>.
- Vyberte Přidat filtry>Klientské aplikace>, zvolte všechny starší ověřovací protokoly a vyberte Použít.
- Tyto kroky proveďte také na kartě Přihlášení uživatele (neinteraktivní).
Filtrování ukazuje pokusy o přihlášení provedené staršími ověřovacími protokoly. Kliknutím na jednotlivé pokusy o přihlášení zobrazíte další podrobnosti. Pole Klientská aplikace na kartě Základní informace označuje, který starší ověřovací protokol byl použit.
Tyto protokoly označují, kde uživatelé používají klienty, kteří stále používají v závislosti na starší verzi ověřování. Pro uživatele, kteří se v těchto protokolech nezobrazují a jsou potvrzeni, že nepoužívají starší ověřování, implementujte zásady podmíněného přístupu jenom pro tyto uživatele.
Kromě toho vám pomůže určit prioritu starší verze ověřování v rámci tenanta pomocí přihlašovacích přihlášení pomocí starší verze ověřovacího sešitu.
Indikátory z klienta
Pokud chcete zjistit, jestli klient používá starší nebo moderní ověřování na základě dialogového okna zobrazeného při přihlášení, přečtěte si článek Vyřazení základního ověřování v Exchangi Online.
Důležitá poznámka
Klienti, kteří podporují starší i moderní ověřování, můžou vyžadovat aktualizaci konfigurace, aby přešli ze starší verze na moderní ověřování. Pokud se v protokolech přihlašování zobrazí moderní mobilní, desktopový klient nebo prohlížeč , používá se moderní ověřování. Pokud má konkrétní název klienta nebo protokolu, například protokol Exchange ActiveSync, používá starší ověřování. Typy klientů v podmíněných přístupech, protokolech přihlašování a starší verzi ověřovacího sešitu rozlišují mezi moderními a staršími klienty ověřování za vás.
- Klienti, kteří podporují moderní ověřování, ale nemají nakonfigurované použití moderního ověřování, by se měli aktualizovat nebo překonfigurovat tak, aby používali moderní ověřování.
- Všichni klienti, kteří nepodporují moderní ověřování, by se měli nahradit.
Důležité
Exchange Active Sync s ověřováním na základě certifikátů (CBA)
Při implementaci Exchange Active Sync (EAS) s CBA nakonfigurujte klienty tak, aby používali moderní ověřování. Klienti, kteří nepoužívají moderní ověřování pro EAS s CBA , nejsou zablokovaní vyřazení základního ověřování v Exchangi Online. Tito klienti jsou však blokovaní zásadami podmíněného přístupu nakonfigurovanými tak, aby blokovaly starší ověřování.
Další informace o implementaci podpory jazyka CBA s MICROSOFT Entra ID a moderním ověřováním naleznete v tématu: Konfigurace ověřování založeného na certifikátu Microsoft Entra (Preview). Jako další možnost lze CBA provádět na federačním serveru s moderním ověřováním.
Pokud používáte Microsoft Intune, možná budete moct změnit typ ověřování pomocí e-mailového profilu, který nasdílíte nebo nasadíte do zařízení. Pokud používáte zařízení s iOSem (iPhony a iPady), měli byste se podívat na nastavení přidání e-mailu pro zařízení s iOSem a iPadOS v Microsoft Intune.
Blokování starší verze ověřování
Existují dva způsoby použití zásad podmíněného přístupu k blokování starší verze ověřování.
Přímé blokování starších verzí ověřování
Nejjednodušší způsob, jak blokovat starší ověřování v celé organizaci, je konfigurace zásad podmíněného přístupu, která se vztahuje konkrétně na starší klienty ověřování a blokuje přístup. Při přiřazování uživatelů a aplikací k zásadám nezapomeňte vyloučit uživatele a účty služeb, které se stále potřebují přihlašovat pomocí starší verze ověřování. Při výběru cloudových aplikací, ve kterých se má tato zásada použít, vyberte Všechny prostředky, cílové aplikace, jako je Office 365 (doporučeno) nebo minimálně Office 365 Exchange Online. Organizace můžou použít zásadu dostupnou v šablonách podmíněného přístupu nebo v rámci běžných zásad podmíněného přístupu: Blokovat starší ověřování jako referenci.
Nepřímé blokování starších verzí ověřování
Pokud vaše organizace není připravená úplně blokovat starší ověřování, měli byste zajistit, aby přihlášení pomocí starší verze ověřování nevyužíla zásady, které vyžadují udělení ovládacích prvků, jako je vícefaktorové ověřování. Během ověřování starší verze ověřování klienti nepodporují odesílání vícefaktorového ověřování, dodržování předpisů zařízením nebo připojení informací o stavu do Microsoft Entra ID. Proto použijte zásady s udělením ovládacích prvků pro všechny klientské aplikace, aby se zablokovaly starší přihlašovací údaje založené na ověřování, které nemůžou vyhovovat ovládacím prvkům udělení. S obecnou dostupností podmínky klientských aplikací v srpnu 2020 se nově vytvořené zásady podmíněného přístupu vztahují ve výchozím nastavení na všechny klientské aplikace.
Co byste měli vědět
Může trvat až 24 hodin, než se zásady podmíněného přístupu projeví.
Blokování přístupu pomocí jiných klientů blokuje Exchange Online PowerShell a Dynamics 365 pomocí základního ověřování.
Konfigurace zásad pro ostatní klienty blokuje celou organizaci od určitých klientů, jako je SPConnect. K tomuto blokování dochází, protože starší klienti se ověřují neočekávanými způsoby. Tento problém se nevztahuje na hlavní aplikace Office licace, jako jsou starší klienti Office.
Můžete vybrat všechny dostupné ovládací prvky udělení pro podmínku Ostatní klienti , ale prostředí koncového uživatele je vždy stejné – blokovaný přístup.
Další kroky
- Určení efektu pomocí režimu pouze sestavy podmíněného přístupu
- Další informace o podpoře moderního ověřování najdete v tématu Jak funguje moderní ověřování pro klientské aplikace Office.
- Jak nastavit multifunkční zařízení nebo aplikaci pro odesílání e-mailů pomocí Microsoftu 365
- Povolení moderního ověřování v Exchangi Online
- Jak konfigurovat místní Exchange Server, aby používal hybridní moderní ověřování