Memblokir autentikasi lama ke Azure AD dengan Akses Bersyarat

Untuk memberi pengguna akses mudah ke aplikasi cloud Anda, Azure Active Directory (Azure AD) mendukung berbagai protokol autentikasi termasuk autentikasi lama. Namun, autentikasi lama tidak mendukung hal seperti autentikasi multifaktor (MFA). MFA adalah persyaratan umum untuk meningkatkan postur keamanan dalam organisasi.

Catatan

Berlaku mulai 1 Oktober 2022, kami akan mulai menonaktifkan Autentikasi Dasar secara permanen untuk Exchange Online di semua penyewa Microsoft 365, terlepas dari penggunaannya, kecuali untuk Autentikasi SMTP. Untuk informasi selengkapnya, lihat artikel Penghentian autentikasi Dasar di Exchange Online

Alex Weinert, Direktur Keamanan Identitas di Microsoft, dalam postingan blog tanggal 12 Maret 2020 yang berjudul Alat baru untuk memblokir autentikasi lama di organisasi Anda menekankan alasan organisasi harus memblokir autentikasi lama dan alat-alat lain yang disediakan Microsoft untuk melakukannya:

Agar MFA berfungsi optimal, Anda juga perlu memblokir autentikasi lama. Ini karena protokol autentikasi lama seperti POP, SMTP, IMAP, dan MAPI tidak dapat memberlakukan MFA, yang menjadikannya titik masuk bagi musuh untuk menyerang organisasi Anda...

...Angka-angka pada autentikasi lama dari analisis lalu lintas Azure Active Directory (Azure AD) sangat mengkhawatirkan:

  • Lebih dari 99 persen serangan pembobolan kata sandi menggunakan protokol autentikasi lama
  • Lebih dari 97 persen serangan penjejalan kredensial menggunakan autentikasi lama
  • Akun Azure AD di organisasi yang telah menonaktifkan autentikasi lama mengalami penyusupan 67 persen lebih sedikit dibandingkan organisasi yang mengaktifkan organisasi lama

Jika Anda siap memblokir autentikasi lama untuk meningkatkan perlindungan penyewa, Anda dapat melakukannya dengan Akses Bersyarat. Artikel ini menjelaskan cara mengonfigurasi kebijakan Akses Bersyarat yang memblokir autentikasi lama untuk semua beban kerja dalam penyewa Anda.

Saat meluncurkan perlindungan pemblokiran autentikasi lama, sebaiknya gunakan pendekatan bertahap, bukan menonaktifkannya untuk semua pengguna sekaligus. Pelanggan dapat memilih untuk terlebih dahulu mulai menonaktifkan autentikasi dasar pada basis per-protokol, dengan menerapkan kebijakan autentikasi Exchange Online, kemudian (secara opsional) juga memblokir autentikasi warisan melalui kebijakan Akses Bersyarat jika sudah siap.

Pelanggan tanpa lisensi yang menyertakan Akses Bersyarat dapat menggunakan aturan default keamanan untuk memblokir autentikasi lama.

Prasyarat

Artikel ini mengasumsikan bahwa Anda sudah mengetahui konsep-konsep dasar Akses Bersyarat Azure AD.

Catatan

Kebijakan Akses Bersyarat diberlakukan setelah autentikasi faktor pertama selesai. Akses Bersyarat tidak dimaksudkan sebagai garis pertahanan pertama organisasi untuk skenario seperti serangan penolakan layanan (DoS), tetapi dapat menggunakan sinyal dari peristiwa ini untuk menentukan akses.

Deskripsi skenario

Azure AD mendukung beberapa protokol autentikasi dan otorisasi yang paling banyak digunakan, termasuk autentikasi lama. Autentikasi lama tidak dapat meminta pengguna untuk autentikasi faktor kedua atau persyaratan autentikasi lainnya yang diperlukan untuk memenuhi kebijakan akses bersyarat, secara langsung. Pola autentikasi ini meliputi autentikasi dasar, metode standar industri yang banyak digunakan untuk mengumpulkan informasi nama pengguna dan kata sandi. Contoh aplikasi yang umum atau hanya menggunakan autentikasi lama meliputi:

  • Microsoft Office 2013 atau versi sebelumnya.
  • Aplikasi yang menggunakan protokol email seperti POP, IMAP, dan SMTP AUTH.

Untuk informasi selengkapnya tentang dukungan autentikasi modern, lihat Cara kerja autentikasi modern untuk aplikasi klien Office.

Autentikasi faktor tunggal (misalnya, nama pengguna dan kata sandi) tidak cukup aman akhir-akhir ini. Kata sandi kurang aman karena mudah ditebak dan kita (manusia) tidak pandai memilih kata sandi yang kuat. Kata sandi juga rentan terhadap berbagai serangan, seperti phishing dan pembobolan kata sandi. Salah satu hal termudah yang dapat dilakukan untuk melindungi dari ancaman kata sandi adalah menerapkan autentikasi multifaktor (MFA). Dengan MFA, meskipun penyerang memiliki kata sandi pengguna, kata sandi saja tidak cukup untuk berhasil mengautentikasi dan mengakses data.

Bagaimana cara mencegah aplikasi yang menggunakan autentikasi lama agar tidak mengakses sumber daya penyewa? Anda cukup memblokir aplikasi tersebut dengan kebijakan Akses Bersyarat. Jika perlu, Anda hanya mengizinkan pengguna tertentu dan lokasi jaringan tertentu untuk menggunakan aplikasi yang didasarkan pada autentikasi lama.

Implementasi

Bagian ini menjelaskan cara mengonfigurasi kebijakan Akses Bersyarat untuk memblokir autentikasi lama.

Protokol olahpesan yang mendukung autentikasi lama

Protokol olahpesan berikut mendukung autentikasi lama:

  • SMTP yang diautentikasi - Digunakan untuk mengirim pesan email yang diautentikasi.
  • Autodiscover - Digunakan oleh klien Outlook dan EAS untuk menemukan dan menyambungkan ke kotak pesan di Exchange Online.
  • Exchange ActiveSync (EAS) - Digunakan untuk menyambungkan ke kotak surat di Exchange Online.
  • Exchange Online PowerShell - Digunakan untuk menyambungkan ke Exchange Online dengan PowerShell jarak jauh. Jika Anda memblokir autentikasi Dasar untuk Exchange Online PowerShell, Anda perlu menggunakan Modul Exchange Online PowerShell untuk menyambungkan. Untuk petunjuknya, lihat Menyambungkan ke Exchange Online PowerShell menggunakan autentikasi multifaktor.
  • Exchange Web Services (EWS) - Sebuah antarmuka pemrograman yang digunakan oleh Outlook, Outlook untuk Mac, dan aplikasi pihak ketiga.
  • IMAP4 - Digunakan oleh klien email IMAP.
  • MAPI melalui HTTP (MAPI/HTTP) - Protokol akses kotak surat primer yang digunakan oleh Outlook 2010 SP2 dan yang lebih baru.
  • Offline Address Book (OAB) - Salinan kumpulan daftar alamat yang diunduh dan digunakan oleh Outlook.
  • Outlook Anywhere (RPC melalui HTTP) - Protokol akses kotak surat lama yang didukung oleh semua versi Outlook saat ini.
  • POP3 - Digunakan oleh klien email POP.
  • Layanan Web Pelaporan - Digunakan untuk mengambil data laporan di Exchange Online.
  • Universal Outlook - Digunakan oleh aplikasi Email dan Kalender untuk Windows 10.
  • Klien lain - Protokol lain yang diketahui menggunakan autentikasi lama.

Untuk informasi selengkapnya tentang protokol dan layanan autentikasi ini, lihat Laporan aktivitas masuk di portal Azure Active Directory.

Mengidentifikasi penggunaan autentikasi lama

Sebelum dapat memblokir autentikasi lama di direktori, Anda harus terlebih dahulu memahami apakah pengguna Anda memiliki klien yang menggunakan autentikasi lama. Di bawah ini, Anda akan menemukan informasi yang berguna untuk mengidentifikasi dan melakukan triase di mana klien menggunakan autentikasi lama.

Indikator dari Azure AD

  1. Navigasikan ke portal Azure>Azure Active Directory>Log masuk.
  2. Tambahkan kolom Aplikasi Klien jika tidak ditampilkan dengan mengklikAplikasi KlienKolom>.
  3. Pilih Tambahkan filter>Aplikasi> Klien pilih semua protokol autentikasi warisan dan pilih Terapkan.
  4. Jika telah mengaktifkan pratinjau laporan aktivitas kredensial masuk baru, ulangi juga langkah-langkah di atas pada tab kredensial masuk pengguna (non-interaktif).

Pemfilteran hanya akan menampilkan upaya masuk yang dibuat oleh protokol autentikasi lama. Mengklik setiap upaya masuk akan menunjukkan detail selengkapnya. Bidang Aplikasi Klien pada tab Info Dasar akan menunjukkan protokol autentikasi lama mana yang digunakan.

Log ini akan menunjukkan tempat pengguna menggunakan klien yang masih bergantung pada autentikasi lama. Untuk pengguna yang tidak muncul dalam log ini dan dikonfirmasi tidak menggunakan autentikasi warisan, terapkan kebijakan Akses Bersyarat hanya untuk pengguna ini.

Selain itu, untuk membantu melakukan triase autentikasi lama di dalam penyewa Anda, gunakan Buku kerja masuk menggunakan autentikasi lama.

Indikator dari klien

Untuk menentukan apakah klien menggunakan autentikasi lama atau modern berdasarkan kotak dialog yang disajikan saat masuk, lihat artikel Penghentian Autentikasi dasar di Exchange Online.

Pertimbangan penting

Banyak klien yang sebelumnya hanya mendukung autentikasi lama kini mendukung autentikasi modern. Klien yang mendukung autentikasi lama dan modern mungkin memerlukan pembaruan konfigurasi untuk berpindah dari autentikasi lama ke modern. Jika Anda melihat modern mobile, desktop client atau browser untuk klien dalam log Azure AD, klien tersebut menggunakan autentikasi modern. Jika memiliki nama klien atau protokol tertentu, seperti Exchange ActiveSync, klien tersebut menggunakan autentikasi lama. Jenis klien dalam Akses Bersyarat, log Masuk Azure AD, dan buku kerja autentikasi lama membedakan antara klien autentikasi modern dan lama untuk Anda.

  • Klien yang mendukung autentikasi modern tetapi tidak dikonfigurasi untuk menggunakan autentikasi modern harus diperbarui atau dikonfigurasi ulang untuk menggunakan autentikasi modern.
  • Semua klien yang tidak mendukung autentikasi modern harus diganti.

Penting

Exchange Active Sync dengan Autentikasi berbasis sertifikat (CBA)

Saat menerapkan Exchange Active Sync (EAS) dengan CBA, konfigurasikan klien untuk menggunakan autentikasi modern. Klien yang tidak menggunakan autentikasi modern untuk EAS dengan CBA tidak diblokir dengan Penghentian Autentikasi dasar di Exchange Online. Namun, klien ini diblokir oleh kebijakan Akses Bersyarkat yang dikonfigurasi untuk memblokir autentikasi lama.

Untuk informasi selengkapnya tentang menerapkan dukungan untuk CBA dengan Azure AD dan autentikasi modern, Lihat: Cara mengonfigurasi autentikasi berbasis sertifikat Azure AD (Pratinjau). Sebagai opsi lain, CBA yang dilakukan di server federasi dapat digunakan dengan autentikasi modern.

Jika Anda menggunakan Microsoft Intune, Anda mungkin dapat mengubah jenis autentikasi menggunakan profil email yang Anda dorong atau sebarkan ke perangkat Anda. Jika Anda menggunakan perangkat iOS (iPhone dan iPad), sebaiknya periksa Pengaturan tambahkan email untuk perangkat iOS dan iPadOS di Microsoft Intune.

Memblokir autentikasi lama

Ada dua cara menggunakan kebijakan Akses Bersyarat untuk memblokir autentikasi lama.

Memblokir autentikasi lama secara langsung

Cara termudah untuk memblokir autentikasi lama di seluruh organisasi Anda adalah dengan mengonfigurasi kebijakan Akses Bersyarat yang berlaku khusus untuk klien autentikasi lama dan memblokir akses. Saat menetapkan pengguna dan aplikasi ke kebijakan, pastikan untuk mengecualikan pengguna dan akun layanan yang masih perlu masuk menggunakan autentikasi lama. Saat memilih aplikasi cloud tempat kebijakan ini diterapkan, pilih Semua aplikasi cloud, aplikasi target seperti Office 365 (direkomendasikan) atau minimal, Office 365 Exchange Online. Organisasi dapat menggunakan kebijakan yang tersedia dalam templat Akses Bersyar atau kebijakan umum Akses Bersyar : Memblokir autentikasi warisan sebagai referensi.

Memblokir autentikasi lama secara tidak langsung

Jika organisasi Anda belum siap memblokir autentikasi lama di seluruh organisasi, Anda harus memastikan bahwa aktivitas masuk yang menggunakan autentikasi lama tidak mengabaikan kebijakan yang mewajibkan pemberian kontrol seperti mewajibkan autentikasi multifaktor atau perangkat gabungan Azure AD hibrid/yang patuh. Selama autentikasi, klien autentikasi warisan tidak mendukung pengiriman MFA, kepatuhan perangkat, atau informasi status gabung ke Azure AD. Oleh karena itu, terapkan kebijakan dengan izin kontrol ke semua aplikasi klien sehingga kredensial masuk berbasis autentikasi warisan yang tidak dapat memenuhi izin kontrol diblokir. Dengan tersedianya aplikasi klien bersyarat secara umum pada bulan Agustus 2020, kebijakan Akses Bersyarat yang baru dibuat berlaku untuk semua aplikasi klien secara default.

Yang harus Anda ketahui

Diperlukan waktu hingga 24 jam sebelum kebijakan Akses Bersyarat diberlakukan.

Memblokir akses menggunakan Klien lain juga akan memblokir Exchange Online PowerShell dan Dynamics 365 menggunakan autentikasi dasar.

Mengonfigurasi kebijakan untuk Klien lain akan memblokir seluruh organisasi dari klien tertentu seperti SPConnect. Pemblokiran ini terjadi karena klien yang lebih lama mengautentikasi dengan cara yang tidak terduga. Masalah ini tidak berlaku untuk aplikasi Office utama seperti klien Office yang lebih lama.

Anda dapat memilih semua izin kontrol yang tersedia untuk ketentuan Klien lain; tetapi, pengalaman pengguna akhir selalu sama, yaitu akses yang diblokir.

Langkah berikutnya