Bloccare l'autenticazione legacy con l'accesso condizionale Microsoft Entra

  • Articolo

Per consentire agli utenti di accedere facilmente alle app cloud, Microsoft Entra ID supporta un'ampia gamma di protocolli di autenticazione, tra cui l'autenticazione legacy. Tuttavia, l'autenticazione legacy non supporta elementi come l'autenticazione a più fattori (MFA). L'autenticazione a più fattori è un requisito comune per migliorare il comportamento di sicurezza nelle organizzazioni.

In base all'analisi di Microsoft oltre il 97% degli attacchi di stuffing delle credenziali usa l'autenticazione legacy e oltre il 99% degli attacchi password spray usa protocolli di autenticazione legacy. Questi attacchi si arresterebbero con l'autenticazione di base disabilitata o bloccata.

Nota

A partire dal 1° ottobre 2022, inizieremo a disabilitare in modo permanente l'autenticazione di base per Exchange Online in tutti i tenant di Microsoft 365 indipendentemente dall'utilizzo, ad eccezione dell'autenticazione SMTP. Per altre informazioni, vedere l'articolo Deprecazione dell'autenticazione di base in Exchange Online

Alex Weinert, Direttore della sicurezza delle identità di Microsoft, nel post di blog del 12 marzo 2020 Nuovi strumenti per bloccare l'autenticazione legacy nell'organizzazione sottolineano perché le organizzazioni devono bloccare l'autenticazione legacy e quali altri strumenti microsoft offre per eseguire questa attività:

Questo articolo illustra come configurare i criteri di accesso condizionale che bloccano l'autenticazione legacy per tutti i carichi di lavoro all'interno del tenant.

Durante l'implementazione della protezione di blocco dell'autenticazione legacy, è consigliabile un approccio in più fasi anziché disabilitarlo per tutti gli utenti contemporaneamente. I clienti possono scegliere di iniziare prima a disabilitare l'autenticazione di base in base al protocollo, applicando i criteri di autenticazione di Exchange Online, quindi (facoltativamente) bloccando anche l'autenticazione legacy tramite i criteri di accesso condizionale quando sono pronti.

I clienti senza licenze che includono l'accesso condizionale possono usare le impostazioni predefinite per la sicurezza per bloccare l'autenticazione legacy.

Prerequisiti

Questo articolo presuppone che si abbia familiarità con i concetti di base dell'accesso condizionale di Microsoft Entra.

Nota

I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.

Descrizione dello scenario

Microsoft Entra ID supporta i protocolli di autenticazione e autorizzazione più usati, inclusa l'autenticazione legacy. L'autenticazione legacy non può richiedere agli utenti la seconda autenticazione a fattori o altri requisiti di autenticazione necessari per soddisfare direttamente i criteri di accesso condizionale. Questo modello di autenticazione include l'autenticazione di base, un metodo standard di settore ampiamente usato per raccogliere informazioni sul nome utente e sulla password. Esempi di applicazioni che in genere o usano solo l'autenticazione legacy sono:

  • Microsoft Office 2013 o versione precedente.
  • App che usano protocolli di posta elettronica come POP, IMAP e SMTP AUTH.

Per altre informazioni sul supporto dell'autenticazione moderna in Office, vedere Funzionamento dell'autenticazione moderna per le app client di Office.

L'autenticazione a fattore singolo (ad esempio, nome utente e password) non è sufficiente in questi giorni. Le password sono cattive perché sono facili da indovinare e noi (umani) sono cattivi a scegliere password buone. Le password sono inoltre vulnerabili a vari attacchi, ad esempio phishing e spraying delle password. Una delle operazioni più semplici che è possibile eseguire per proteggere le minacce alle password consiste nell'implementare l'autenticazione a più fattori (MFA). Con l'autenticazione a più fattori, anche se un utente malintenzionato è in possesso della password di un utente, la password da sola non è sufficiente per autenticare e accedere correttamente ai dati.

Come si può impedire alle app che usano l'autenticazione legacy di accedere alle risorse dei tenant? È consigliabile bloccarle con criteri di accesso condizionale. Se necessario, è possibile autorizzare solo determinati utenti e percorsi di rete specifici per l’uso delle app basate sull’autenticazione legacy.

Implementazione

Questa sezione illustra come configurare criteri di accesso condizionale per bloccare l'autenticazione legacy.

Protocolli di messaggistica che supportano l'autenticazione legacy

I protocolli di messaggistica seguenti supportano l'autenticazione legacy:

  • SMTP autenticato: usato per inviare messaggi di posta elettronica autenticati.
  • Individuazione automatica: usata dai client Outlook e EAS per trovare le cassette postali in Exchange Online e connettervisi.
  • Exchange ActiveSync (EAS): consente di connettersi alle cassette postali in Exchange Online.
  • Exchange Online PowerShell: usato per connettersi a Exchange Online con PowerShell remoto. Se si blocca l'autenticazione di base per Exchange Online PowerShell, è necessario usare il modulo Exchange Online PowerShell per connettersi. Per istruzioni, vedere Connessione a PowerShell di Exchange Online usando l'autenticazione a più fattori.
  • Servizi Web Exchange: interfaccia di programmazione usata da Outlook, Outlook per Mac e app di terze parti.
  • IMAP4: usato dai client di posta elettronica IMAP.
  • MAPI su HTTP (MAPI/HTTP): protocollo di accesso alle cassette postali primario usato da Outlook 2010 SP2 e versioni successive.
  • Rubrica offline: copia delle raccolte di elenchi di indirizzi scaricate e usate da Outlook.
  • Outlook Via Internet (RPC su HTTP): protocollo di accesso alle cassette postali legacy supportato da tutte le versioni correnti di Outlook.
  • POP3: usato dai client di posta elettronica POP.
  • Servizi Web per la creazione di report: funzionalità usata per recuperare i dati dei report in Exchange Online.
  • Outlook universale: usato dall'app Posta e Calendario per Windows 10.
  • Altri client: altri protocolli identificati come protocolli che utilizzano l'autenticazione legacy.

Per altre informazioni su questi protocolli e servizi di autenticazione, vedere Dettagli dell'attività del log di accesso.

Identificare l'uso dell'autenticazione legacy

Prima di poter bloccare l'autenticazione legacy nella directory, è necessario comprendere se gli utenti dispongono di app client che usano l'autenticazione legacy.

Indicatori di log di accesso

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Identity Monitoring & health Sign-in logs (Log di accesso per l'integrità>e monitoraggio delle identità).>
  3. Aggiungere la colonna App client se non viene visualizzata facendo clic su Colonne>App client.
  4. Selezionare Aggiungi filtri>App> client scegliere tutti i protocolli di autenticazione legacy e selezionare Applica.
  5. Se è stata attivata la nuova anteprima dei report delle attività di accesso, ripetere i passaggi precedenti anche nella scheda Accessi utente (non interattivo).

Il filtro mostra i tentativi di accesso eseguiti dai protocolli di autenticazione legacy. Facendo clic su ogni singolo tentativo di accesso vengono visualizzati altri dettagli. Il campo App client nella scheda Informazioni di base indica quale protocollo di autenticazione legacy è stato usato.

Questi log indicano dove gli utenti usano i client che usano ancora a seconda dell'autenticazione legacy. Per gli utenti che non vengono visualizzati in questi log e che non usano l'autenticazione legacy, implementare un criterio di accesso condizionale solo per questi utenti.

Inoltre, per valutare l'autenticazione legacy all'interno del tenant, usare gli accessi usando la cartella di lavoro di autenticazione legacy.

Indicatori dal client

Per determinare se un client usa l'autenticazione legacy o moderna in base alla finestra di dialogo presentata all'accesso, vedere l'articolo Deprecazione dell'autenticazione di base in Exchange Online.

Considerazioni importanti

Molti client che in precedenza supportano solo l'autenticazione legacy ora supportano l'autenticazione moderna. I client che supportano l'autenticazione legacy e moderna possono richiedere l'aggiornamento della configurazione per passare dall'autenticazione legacy all'autenticazione moderna. Se viene visualizzato un client moderno per dispositivi mobili, desktop o browser nei log di accesso, viene usata l'autenticazione moderna. Se ha un nome client o protocollo specifico, ad esempio Exchange ActiveSync, usa l'autenticazione legacy. I tipi di client in Accesso condizionale, log di accesso e cartella di lavoro di autenticazione legacy distinguono tra client di autenticazione moderni e legacy.

  • I client che supportano l'autenticazione moderna ma non sono configurati per l'uso dell'autenticazione moderna devono essere aggiornati o riconfigurati per l'uso dell'autenticazione moderna.
  • Tutti i client che non supportano l'autenticazione moderna devono essere sostituiti.

Importante

Exchange Active Sync con l'autenticazione basata su certificati (CBA)

Quando si implementa Exchange Active Sync (EAS) con CBA, configurare i client per l'uso dell'autenticazione moderna. I client che non usano l'autenticazione moderna per EAS con CBA non vengono bloccati con La deprecazione dell'autenticazione di base in Exchange Online. Tuttavia, questi client vengono bloccati dai criteri di accesso condizionale configurati per bloccare l'autenticazione legacy.

Per altre informazioni sull'implementazione del supporto per CBA con l'ID Microsoft Entra e l'autenticazione moderna, vedere: Come configurare l'autenticazione basata su certificati Di Microsoft Entra (anteprima). Come altra opzione, l'autenticazione CBA eseguita in un server federativo può essere usata con l'autenticazione moderna.

Se si usa Microsoft Intune, potrebbe essere possibile modificare il tipo di autenticazione usando il profilo di posta elettronica di cui si esegue il push o la distribuzione nei dispositivi. Se si usano dispositivi iOS (i Telefono e iPad), vedere Aggiungere impostazioni di posta elettronica per i dispositivi iOS e iPadOS in Microsoft Intune.

Bloccare l'autenticazione legacy

Esistono due modi per usare i criteri di accesso condizionale per bloccare l'autenticazione legacy.

Blocco diretto dell'autenticazione legacy

Il modo più semplice per bloccare l'autenticazione legacy nell'intera organizzazione consiste nel configurare criteri di accesso condizionale che si applicano in modo specifico ai client di autenticazione legacy e bloccano l'accesso. Quando si assegnano utenti e applicazioni ai criteri, assicurarsi di escludere gli utenti e gli account di servizio che devono comunque accedere usando l'autenticazione legacy. Quando si scelgono le app cloud in cui applicare questo criterio, selezionare Tutte le app cloud, app di destinazione come Office 365 (scelta consigliata) o almeno Office 365 Exchange Online. Le organizzazioni possono usare i criteri disponibili nei modelli di accesso condizionale o nell'accesso condizionale dei criteri comuni: Bloccare l'autenticazione legacy come riferimento.

Blocco indiretto dell'autenticazione legacy

Se l'organizzazione non è pronta per bloccare completamente l'autenticazione legacy, è necessario assicurarsi che gli accessi che usano l'autenticazione legacy non ignorino i criteri che richiedono controlli di concessione come l'autenticazione a più fattori. Durante l'autenticazione, i client di autenticazione legacy non supportano l'invio di informazioni sullo stato di autenticazione a più fattori, conformità dei dispositivi o join a Microsoft Entra ID. Pertanto, applicare criteri con controlli di concessione a tutte le applicazioni client in modo che gli accessi basati sull'autenticazione legacy che non possono soddisfare i controlli di concessione vengano bloccati. Con la disponibilità generale della condizione delle app client nell'agosto 2020, i criteri di accesso condizionale appena creati si applicano a tutte le app client per impostazione predefinita.

Informazioni utili

L'applicazione dei criteri di accesso condizionale può richiedere fino a 24 ore.

Bloccando l'accesso con Altri client vengono bloccati anche Exchange Online PowerShell e Dynamics 365 con autenticazione di base.

La configurazione di un criterio per Altri client blocca l'intera organizzazione per determinati client come SPConnect. Questo blocco si verifica perché l'autenticazione di client meno recenti avviene in modo imprevisto. Questo problema non si applica alle principali applicazioni di Office, come i client di Office meno recenti.

È possibile selezionare tutti i controlli di concessione disponibili per la condizione Altri client, ma l'esperienza dell'utente finale sarà sempre la stessa: l'accesso è bloccato.

Passaggi successivi