Bloccare l'autenticazione legacy con l'accesso condizionale di Microsoft Entra

Per consentire agli utenti di accedere facilmente alle app cloud, Microsoft Entra ID supporta una vasta gamma di protocolli di autenticazione, inclusa l'autenticazione legacy. Tuttavia, l'autenticazione legacy non supporta elementi come l'autenticazione a più fattori (MFA). L'autenticazione a più fattori è un requisito comune per migliorare il comportamento di sicurezza nelle organizzazioni.

In base all'analisi di Microsoft, oltre il 97% degli attacchi di stuffing delle credenziali usa l'autenticazione legacy e oltre il 99% degli attacchi password spray usa protocolli di autenticazione legacy. Questi attacchi cesserebbero con l'autenticazione di base disabilitata o bloccata.

Nota

A partire dal 1° ottobre 2022, inizieremo a disabilitare in modo permanente l'autenticazione di base per Exchange Online in tutti i tenant di Microsoft 365 indipendentemente dall'utilizzo, ad eccezione dell'autenticazione SMTP. Per altre informazioni, vedere l'articolo Deprecazione dell'autenticazione di base in Exchange Online

Alex Weinert, Director of Identity Security di Microsoft, nel post di blog del 12 marzo 2020 Nuovi strumenti per bloccare l'autenticazione legacy in un'organizzazione evidenzia i motivi per cui le organizzazioni dovrebbero bloccare l'autenticazione legacy nonché gli strumenti aggiuntivi offerti da Microsoft a tale scopo:

Questo articolo illustra come configurare i criteri di accesso condizionale che bloccano l'autenticazione legacy per tutti i carichi di lavoro nel tenant.

Durante l'implementazione della protezione di blocco dell'autenticazione legacy, è consigliabile un approccio in più fasi anziché una disabilitazione per tutti gli utenti contemporaneamente. I clienti potrebbero iniziare a disabilitare l'autenticazione di base in base al protocollo, applicando i criteri di autenticazione di Exchange Online, quindi (facoltativamente) bloccando anche l'autenticazione legacy tramite criteri di accesso condizionale quando sono pronti.

I clienti senza licenze che includono l'accesso condizionale possono usare le impostazioni predefinite per la sicurezza per bloccare l'autenticazione legacy.

Prerequisiti

Questo articolo presuppone che l'utente abbia familiarità con i concetti di base dell'accesso condizionale di Microsoft Entra.

Nota

I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.

Descrizione dello scenario

Microsoft Entra ID supporta diversi dei protocolli di autenticazione e autorizzazione più ampiamente usati. L'autenticazione legacy non può richiedere agli utenti la seconda autenticazione a fattori o altri requisiti di autenticazione necessari per soddisfare direttamente i criteri di accesso condizionale. Questo modello di autenticazione include l'autenticazione di base, un metodo standard di settore ampiamente usato per raccogliere informazioni sul nome utente e sulla password. Esempi di applicazioni che usano solitamente o solamente l'autenticazione legacy sono:

• Microsoft Office 2013 o precedente.
• App che usano protocolli di posta elettronica quali POP, IMAP e SMTP AUTH.

Per altre informazioni sull'autenticazione moderna in Office, vedere Funzionamento dell'autenticazione moderna per le app client di Office.

Al giorno d’oggi, l'autenticazione a fattore singolo (ad esempio, nome utente e password) non è più sufficiente. Le password non sono sicure perché sono facili da indovinare e le persone non sanno scegliere password efficaci. Le password sono anche vulnerabili a numerosi attacchi, ad esempio il phishing e lo spray password. Una delle operazioni più semplici da effettuare per proteggersi dalle minacce relative alle password è implementare l'autenticazione a più fattori. Con la MFA, anche se un utente malintenzionato entra in possesso di una password utente, la sola password non è sufficiente per l’autenticazione e l’accesso ai dati.

Come si può impedire alle app che usano l'autenticazione legacy di accedere alle risorse dei tenant? È consigliabile bloccarle con criteri di accesso condizionale. Se necessario, è possibile autorizzare solo determinati utenti e percorsi di rete specifici per l’uso delle app basate sull’autenticazione legacy.

Implementazione

Questa sezione illustra come configurare criteri di accesso condizionale per bloccare l'autenticazione legacy.

Protocolli di messaggistica che supportano l'autenticazione legacy

I protocolli di messaggistica seguenti supportano l'autenticazione legacy:

• SMTP autenticato: usato per inviare messaggi e-mail autenticati.
• Individuazione automatica: usata dai client Outlook e EAS per trovare le cassette postali in Exchange Online e connettervisi.
• Exchange ActiveSync (EAS): consente di connettersi alle cassette postali in Exchange Online.
• Exchange Online PowerShell: usato per connettersi a Exchange Online con PowerShell remoto. Se si blocca l'autenticazione di base per Exchange Online PowerShell, è necessario usare il modulo Exchange Online PowerShell per connettersi. Per istruzioni, vedere Connettersi a Exchange Online PowerShell con l'autenticazione a più fattori.
• Exchange Web Services (EWS): interfaccia di programmazione usata da Outlook, Outlook per Mac e app non Microsoft.
• IMAP4: usato dai client di posta elettronica IMAP.
• MAPI su HTTP (MAPI/HTTP): protocollo di accesso alle cassette postali primario usato da Outlook 2010 SP2 e versioni successive.
• Rubrica offline: copia delle raccolte di elenchi di indirizzi scaricate e usate da Outlook.
• Outlook via Internet (RPC su HTTP): protocollo di accesso alle cassette postali legacy supportato da tutte le versioni correnti di Outlook.
• POP3: usato dai client di posta elettronica POP.
• Servizi Web per la creazione di report: funzionalità usata per recuperare i dati dei report in Exchange Online.
• Outlook universale: usato dall'app di posta elettronica e di calendario per Windows 10.
• Altri client: altri protocolli identificati come protocolli che utilizzano l'autenticazione legacy.

Per altre informazioni su questi protocolli e servizi di autenticazione, vedere Dettagli delle attività dei log di accesso.

Identificare l'uso dell'autenticazione legacy

Prima di poter bloccare l'autenticazione legacy nella directory, è necessario anzitutto capire se gli utenti usano app client che sfruttano l'autenticazione legacy.

Indicatori dei log di accesso

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
2. Passare a Identità>Monitoraggio e integrità>Log di accesso.
3. Aggiungere la colonna App client se non viene visualizzata facendo clic su Colonne>App client.
4. Selezionare Aggiungi filtri>App client> scegliere tutti i protocolli di autenticazione legacy e selezionare Applica.
5. Eseguire anche questi passaggi nella scheda Accessi utente (non interattivo).

Il filtro mostra i tentativi di accesso eseguiti dai protocolli di autenticazione legacy. Facendo clic su ogni singolo tentativo di accesso vengono visualizzati altri dettagli. Nel campo App client nella scheda Info di base sarà indicato il protocollo di autenticazione legacy che è stato usato.

Questi log indicano dove gli utenti usano client che dipendono ancora dall'autenticazione legacy. Per gli utenti che non sono riportati in questi log e per i quali è confermato che non usano l'autenticazione legacy, implementare criteri di accesso condizionale specifici.

Inoltre, per valutare l'autenticazione legacy all'interno del tenant, usare Accessi tramite la cartella di lavoro di autenticazione legacy.

Indicatori dal client

Per determinare se un client usa l'autenticazione legacy o moderna in base alla finestra di dialogo presentata all'accesso, vedere l'articolo Deprecazione dell'autenticazione di base in Exchange Online.

Considerazioni importanti

I client che supportano l'autenticazione legacy e moderna potrebbero richiedere un aggiornamento della configurazione per passare dall'autenticazione legacy all'autenticazione moderna. Se viene visualizzato dispositivo mobile moderno, client desktop o browser per un client nei log di accesso, è in uso l'autenticazione moderna. Se ha un nome client o protocollo specifico, ad esempio Exchange ActiveSync, usa l'autenticazione legacy. I tipi di client in Accesso condizionale, log di accesso e cartella di lavoro di autenticazione legacy distinguono tra client di autenticazione moderni e legacy.

• I client che supportano l'autenticazione moderna ma non sono configurati per il suo uso devono essere aggiornati o riconfigurati per l'uso dell'autenticazione moderna.
• Tutti i client che non supportano l'autenticazione moderna devono essere sostituiti.

Importante

Exchange Active Sync con l'autenticazione basata su certificati (CBA)

Quando si implementa Exchange Active Sync (EAS) con CBA, configurare i client per l'uso dell'autenticazione moderna. I client che non usano l'autenticazione moderna per EAS con CBA non vengono bloccati con Deprecazione dell'autenticazione di base in Exchange Online. Tuttavia, questi client vengono bloccati dai criteri di accesso condizionale configurati per bloccare l'autenticazione legacy.

Per altre informazioni sull'implementazione del supporto per CBA con Microsoft Entra ID e autenticazione moderna, vedere: Come configurare l'autenticazione basata su certificati Microsoft Entra (anteprima). Come altra opzione, l'autenticazione CBA eseguita in un server federativo può essere usata con l'autenticazione moderna.

Se si usa Microsoft Intune, potrebbe essere possibile modificare il tipo di autenticazione usando il profilo e-mail di cui si esegue il push o la distribuzione nei dispositivi. Se si usano dispositivi iOS (iPhone e iPad), è consigliabile esaminare Aggiungere impostazioni di posta elettronica per i dispositivi iOS e iPadOS in Microsoft Intune.

Bloccare l'autenticazione legacy

È possibile usare i criteri di accesso condizionale in due modi per bloccare l'autenticazione legacy.

• Blocco diretto dell'autenticazione legacy
• Blocco indiretto dell'autenticazione legacy

Blocco diretto dell'autenticazione legacy

Il modo più semplice per bloccare l'autenticazione legacy nell'intera organizzazione consiste nel configurare criteri di accesso condizionale che si applichino in modo specifico ai client di autenticazione legacy e blocchino l'accesso. Quando si assegnano utenti e applicazioni ai criteri, assicurarsi di escludere gli utenti e gli account di servizio che devono comunque accedere usando l'autenticazione legacy. Quando si scelgono le app cloud in cui applicare questo criterio, selezionare Tutte le app cloud, app di destinazione come Office 365 (scelta consigliata) o almeno Office 365 Exchange Online. Le organizzazioni possono usare i criteri disponibili in Modelli di accesso condizionale o i criteri comuni Accesso condizionale: Blocca l'autenticazione legacy come riferimento.

Blocco indiretto dell'autenticazione legacy

Se l'organizzazione non è pronta per bloccare completamente l'autenticazione legacy, è necessario assicurarsi che gli accessi che usano l'autenticazione legacy non ignorino i criteri che richiedono controlli di concessione come l'autenticazione a più fattori. Durante l'autenticazione, i client di autenticazione legacy non supportano l'invio di informazioni sullo stato di autenticazione a più fattori, conformità dei dispositivi o join a Microsoft Entra ID. Pertanto, applicare criteri con controlli di concessione a tutte le applicazioni client in modo che gli accessi basati sull'autenticazione legacy che non possono soddisfare i controlli di concessione vengano bloccati. Con la disponibilità generale della condizione delle app client nell'agosto 2020, i criteri di accesso condizionale appena creati si applicano a tutte le app client per impostazione predefinita.

Informazioni utili

Perché il criterio di accesso condizionale abbia effetto, possono essere necessarie fino a 24 ore.

Bloccando l'accesso con Altri client vengono bloccati anche Exchange Online PowerShell e Dynamics 365 con autenticazione di base.

La configurazione di un criterio per Altri client blocca l'intera organizzazione per determinati client come SPConnect. Questo blocco si verifica perché l'autenticazione di client meno recenti avviene in modo imprevisto. Questo problema non si applica alle principali applicazioni di Office, come i client di Office meno recenti.

È possibile selezionare tutti i controlli di concessione disponibili per la condizione Altri client, ma l'esperienza dell'utente finale sarà sempre la stessa: l'accesso è bloccato.

Passaggi successivi

• Determinare l'effetto dell'uso della modalità di accesso condizionale solo report
• Per altre informazioni sull'autenticazione moderna, vedere Funzionamento dell'autenticazione moderna per le app client di Office
• Come configurare un dispositivo multifunzione o un'applicazione per l'invio di messaggi di posta elettronica tramite Microsoft 365
• Abilitare l'autenticazione moderna in Exchange Online
• Come configurare Exchange Server locale per utilizzare l'Autenticazione moderna ibrida