Memblokir autentikasi lama dengan Akses Bersyarat

Microsoft menyarankan agar organisasi memblokir permintaan autentikasi menggunakan protokol warisan yang tidak mendukung autentikasi multifaktor. Berdasarkan analisis Microsoft lebih dari 97 persen serangan pengisian kredensial menggunakan autentikasi lama dan lebih dari 99 persen serangan semprotan kata sandi menggunakan protokol autentikasi lama. Serangan ini akan berhenti dengan autentikasi dasar dinonaktifkan atau diblokir.

Pelanggan tanpa lisensi yang menyertakan Akses Bersyarat dapat menggunakan aturan default keamanan untuk memblokir autentikasi lama.

Pengecualian pengguna

Kebijakan Akses Bersyar adalah alat yang canggih. Sebaiknya kecualikan akun berikut dari kebijakan Anda:

• Akses darurat atau akun break-glass untuk mencegah penguncian karena kesalahan konfigurasi kebijakan. Dalam skenario yang tidak mungkin di mana semua administrator dikunci, akun administratif akses darurat Anda dapat digunakan untuk masuk dan memulihkan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun layanan dan Prinsipal Layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun noninteraktif yang tidak terkait dengan pengguna tertentu. Mereka biasanya digunakan oleh layanan backend untuk memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem untuk tujuan administratif. Panggilan yang dilakukan oleh perwakilan layanan tidak diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
  • Jika organisasi Anda menggunakan akun ini dalam skrip atau kode, ganti dengan identitas terkelola.

Penyebaran templat

Organisasi dapat menyebarkan kebijakan ini dengan mengikuti langkah-langkah yang diuraikan di bawah ini atau dengan menggunakan templat Akses Bersyar.

Membuat kebijakan Akses Bersyarat

Langkah-langkah berikut membantu membuat kebijakan Akses Kondisional untuk memblokir permintaan otentikasi lama. Kebijakan ini dimasukkan ke mode Hanya laporan untuk memulai sehingga administrator dapat menentukan dampaknya terhadap pengguna yang ada. Ketika administrator merasa nyaman bahwa kebijakan berlaku sesuai yang diinginkan, mereka dapat beralih ke Aktif atau tahap penerapan dengan menambahkan grup tertentu dan mengecualikan yang lain.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pengelola Akses Bersyarat.
2. Jelajahi Entra ID>Akses Bersyarat>Kebijakan.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Di Sertakan, pilih Semua pengguna.
   2. Di Kecualikan, pilih Pengguna dan grup dan pilih akun mana yang harus mempertahankan kemampuan untuk menggunakan autentikasi lama. Microsoft menyarankan Anda mengecualikan setidaknya satu akun untuk mencegah diri Anda terkunci karena kesalahan konfigurasi.
6. Di bawah Sumber daya target>Sumber daya (sebelumnya aplikasi cloud)>Sertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
7. Di Kondisi>Aplikasi klien, atur Konfigurasikan ke Ya.
   1. Centang hanya kotak Klien Exchange ActiveSync dan Klien lain.
   2. Pilih Selesai.
8. Di Kontrol akses>Berikan izin, pilih Blokir akses.
   1. Pilih Pilih.
9. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
10. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah mengonfirmasi pengaturan Anda menggunakan dampak kebijakan atau mode khusus laporan, pindahkan tombol Aktifkan kebijakan dari Hanya Laporan ke Aktif.

Catatan

Kebijakan Akses Bersyarat diberlakukan setelah autentikasi faktor pertama selesai. Akses Bersyarat tidak dimaksudkan sebagai garis pertahanan pertama organisasi untuk skenario seperti serangan penolakan layanan (DoS), tetapi dapat menggunakan sinyal dari peristiwa ini untuk menentukan akses.

Mengidentifikasi penggunaan autentikasi lama

Untuk memahami apakah pengguna Anda memiliki aplikasi klien yang menggunakan autentikasi lama, administrator dapat memeriksa indikator dalam log masuk dengan langkah-langkah berikut:

1. Masuk ke Pusat Admin Microsoft Entra sebagai setidaknya Pembaca Laporan.
2. Telusuri ke Entra IDPemantauan & kesehatanlog Masuk.
3. Tambahkan kolom Aplikasi Klien jika tidak ditampilkan dengan mengklik Kolom>Aplikasi Klien.
4. Pilih Tambahkan filter>Aplikasi Klien>, pilih semua protokol autentikasi lama, dan pilih Terapkan.
5. Lakukan juga langkah-langkah ini pada tab Masuk pengguna (non-interaktif).

Penyaringan menunjukkan upaya percobaan masuk yang dilakukan oleh protokol autentikasi lama. Mengklik pada masing-masing upaya masuk menunjukkan detail lebih lanjut. Bidang Aplikasi Klien di bawah tab Info Dasar menunjukkan protokol autentikasi warisan mana yang digunakan. Log ini menunjukkan pengguna yang menggunakan klien yang bergantung pada autentikasi warisan.

Selain itu, untuk membantu mengelola autentikasi lama dalam tenant Anda, gunakan Buku Kerja Masuk Menggunakan Autentikasi Lama.

Konten terkait

• Penghentian Otentikasi dasar di Exchange Online
• Cara mengatur perangkat atau aplikasi multifungsi untuk mengirim email menggunakan Microsoft 365
• Cara kerja autentikasi modern untuk aplikasi klien Office
• Menyambungkan ke Exchange Online PowerShell