Verouderde verificatie blokkeren met Azure AD met voorwaardelijke toegang

Om uw gebruikers eenvoudig toegang te geven tot uw cloud-apps, biedt Azure Active Directory (Azure AD) ondersteuning voor een groot aantal verificatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie biedt echter geen ondersteuning voor zaken als meervoudige verificatie (MFA). MFA is een algemene vereiste om de beveiligingspostuur in organisaties te verbeteren.

Notitie

Vanaf 1 oktober 2022 wordt basisverificatie voor Exchange Online in alle Microsoft 365-tenants permanent uitgeschakeld, ongeacht het gebruik, met uitzondering van SMTP-verificatie. Hier vindt u meer informatie

Alex Weinert, directeur identiteitsbeveiliging bij Microsoft, in zijn blogpost van 12 maart 2020 Nieuwe hulpprogramma's om verouderde verificatie in uw organisatie te blokkeren , benadrukt waarom organisaties verouderde verificatie moeten blokkeren en welke andere hulpprogramma's Microsoft biedt om deze taak uit te voeren:

Als MFA effectief is, moet u ook verouderde verificatie blokkeren. Dit komt doordat verouderde verificatieprotocollen zoals POP, SMTP, IMAP en MAPI MFA niet kunnen afdwingen, waardoor ze voorkeursinvoerpunten hebben voor aanvallers die uw organisatie aanvallen...

... De getallen voor verouderde verificatie van een analyse van Azure Active Directory-verkeer (Azure AD) zijn stark:

  • Meer dan 99 procent van de aanvallen met wachtwoordspray gebruiken verouderde verificatieprotocollen
  • Meer dan 97 procent van de aanvallen met referenties gebruiken verouderde verificatie
  • Azure AD accounts in organisaties die verouderde verificatie hebben uitgeschakeld, worden 67 procent minder inbreuk gemaakt dan accounts waarvoor verouderde verificatie is ingeschakeld

Als u verouderde verificatie wilt blokkeren om de beveiliging van uw tenant te verbeteren, kunt u dit doel bereiken met voorwaardelijke toegang. In dit artikel wordt uitgelegd hoe u beleidsregels voor voorwaardelijke toegang kunt configureren waarmee verouderde verificatie voor alle workloads in uw tenant wordt geblokkeerd.

Tijdens het implementeren van verouderde verificatieblokkeringsbeveiliging raden we een gefaseerde benadering aan, in plaats van deze uit te schakelen voor alle gebruikers tegelijk. Klanten kunnen ervoor kiezen om eerst basisverificatie per protocol uit te schakelen door Exchange Online verificatiebeleid toe te passen en vervolgens (optioneel) verouderde verificatie via beleid voor voorwaardelijke toegang te blokkeren wanneer ze klaar zijn.

Klanten zonder licenties met voorwaardelijke toegang kunnen gebruikmaken van standaardinstellingen voor beveiliging om verouderde verificatie te blokkeren.

Vereisten

In dit artikel wordt ervan uitgegaan dat u bekend bent met de basisconcepten van Azure AD voorwaardelijke toegang.

Notitie

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.

Scenariobeschrijving

Azure AD ondersteunt de meest gebruikte verificatie- en autorisatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie kan gebruikers niet vragen om tweede factor verificatie of andere verificatievereisten die nodig zijn om rechtstreeks te voldoen aan het beleid voor voorwaardelijke toegang. Dit verificatiepatroon omvat basisverificatie, een veelgebruikte industriestandaardmethode voor het verzamelen van gebruikersnaam- en wachtwoordgegevens. Voorbeelden van toepassingen die vaak of alleen verouderde verificatie gebruiken, zijn:

  • Microsoft Office 2013 of ouder.
  • Apps die e-mailprotocollen gebruiken, zoals POP, IMAP en SMTP-verificatie.

Zie Hoe moderne verificatie werkt voor Office-client-apps voor meer informatie over ondersteuning voor moderne verificatie in Office.

Verificatie met één factor (bijvoorbeeld gebruikersnaam en wachtwoord) is tegenwoordig niet voldoende. Wachtwoorden zijn slecht omdat ze gemakkelijk te raden zijn en we (mensen) zijn slecht bij het kiezen van goede wachtwoorden. Wachtwoorden zijn ook kwetsbaar voor verschillende aanvallen, zoals phishing en wachtwoordspray. Een van de eenvoudigste dingen die u kunt doen om te beschermen tegen wachtwoordbedreigingen is het implementeren van meervoudige verificatie (MFA). Met MFA, zelfs als een aanvaller het wachtwoord van een gebruiker in bezit krijgt, is het wachtwoord alleen niet voldoende om de gegevens te verifiëren en te openen.

Hoe kunt u voorkomen dat apps die verouderde verificatie gebruiken toegang krijgen tot de resources van uw tenant? U wordt aangeraden ze alleen te blokkeren met een beleid voor voorwaardelijke toegang. Indien nodig staat u alleen bepaalde gebruikers en specifieke netwerklocaties toe om apps te gebruiken die zijn gebaseerd op verouderde verificatie.

Implementatie

In deze sectie wordt uitgelegd hoe u beleid voor voorwaardelijke toegang configureert om verouderde verificatie te blokkeren.

Berichtenprotocollen die ondersteuning bieden voor verouderde verificatie

De volgende berichtenprotocollen ondersteunen verouderde verificatie:

  • Geverifieerd SMTP- wordt gebruikt voor het verzenden van geverifieerde e-mailberichten.
  • Automatisch opsporen: wordt gebruikt door Outlook- en EAS-clients om postvakken in Exchange Online te zoeken en er verbinding mee te maken.
  • Exchange ActiveSync (EAS): wordt gebruikt om verbinding te maken met postvakken in Exchange Online.
  • Exchange Online PowerShell: wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell. Als u basisverificatie voor Exchange Online PowerShell blokkeert, moet u de Exchange Online PowerShell-module gebruiken om verbinding te maken. Zie Verbinding maken met Exchange Online PowerShell met behulp van meervoudige verificatie voor instructies.
  • Exchange Web Services (EWS): een programmeerinterface die wordt gebruikt door Outlook, Outlook voor Mac en apps van derden.
  • IMAP4 - Wordt gebruikt door IMAP-e-mailclients.
  • MAPI via HTTP (MAPI/HTTP) - Primair protocol voor postvaktoegang dat wordt gebruikt door Outlook 2010 SP2 en hoger.
  • Offlineadresboek (OAB): een kopie van adreslijstverzamelingen die door Outlook worden gedownload en gebruikt.
  • Outlook Anywhere (RPC via HTTP): verouderd toegangsprotocol voor postvakken dat wordt ondersteund door alle huidige Versies van Outlook.
  • POP3 - Gebruikt door POP-e-mailclients.
  • Reporting Web Services: wordt gebruikt om rapportgegevens op te halen in Exchange Online.
  • Universal Outlook- wordt gebruikt door de app Mail en Agenda voor Windows 10.
  • Andere clients: andere protocollen die zijn geïdentificeerd als het gebruik van verouderde verificatie.

Zie aanmeldingsactiviteitenrapporten in de Azure Active Directory-portal voor meer informatie over deze verificatieprotocollen en -services.

Verouderd verificatiegebruik identificeren

Voordat u verouderde verificatie in uw directory kunt blokkeren, moet u eerst begrijpen of uw gebruikers clients hebben die gebruikmaken van verouderde verificatie. Hieronder vindt u nuttige informatie om te identificeren en te classificeren waar clients verouderde verificatie gebruiken.

Indicatoren uit Azure AD

  1. Navigeer naar deaanmeldingslogboeken>van Azure PortalAzure Active Directory>.
  2. Voeg de kolom Client-app toe als deze niet wordt weergegeven door opde client-appkolommen> te klikken.
  3. Filters> toevoegen Client-app> selecteer alle verouderde verificatieprotocollen. Selecteer buiten het filterdialoogvenster om uw selecties toe te passen en sluit het dialoogvenster.
  4. Als u het voorbeeld van de nieuwe aanmeldingsactiviteitenrapporten hebt geactiveerd, herhaalt u de bovenstaande stappen ook op het tabblad Gebruikersaanmeldingen (niet-interactief).

Filteren toont alleen aanmeldingspogingen die zijn uitgevoerd door verouderde verificatieprotocollen. Als u op elke afzonderlijke aanmeldingspoging klikt, ziet u meer informatie. Het veld Client-app op het tabblad Basisinformatie geeft aan welk verouderd verificatieprotocol is gebruikt.

Deze logboeken geven aan waar gebruikers clients gebruiken die nog steeds afhankelijk zijn van verouderde verificatie. Implementeer alleen een beleid voor voorwaardelijke toegang voor deze gebruikers voor gebruikers die niet in deze logboeken worden weergegeven en worden bevestigd dat ze geen verouderde verificatie gebruiken.

Daarnaast kunt u verouderde verificatie binnen uw tenant beter classificeren met behulp van de aanmeldingen met behulp van een verouderde verificatiewerkmap.

Indicatoren van client

Als u wilt bepalen of een client verouderde of moderne verificatie gebruikt op basis van het dialoogvenster dat wordt weergegeven bij het aanmelden, raadpleegt u het artikel Afschaffing van basisverificatie in Exchange Online.

Belangrijke overwegingen

Veel clients die voorheen alleen verouderde verificatie ondersteunden, ondersteunen nu moderne verificatie. Voor clients die zowel verouderde als moderne verificatie ondersteunen, is configuratie-update mogelijk vereist om van verouderde naar moderne verificatie over te stappen. Als u moderne mobiele, desktopclient of browser voor een client in de logboeken van Azure AD ziet, wordt moderne verificatie gebruikt. Als deze een specifieke client- of protocolnaam heeft, zoals Exchange ActiveSync, wordt verouderde verificatie gebruikt. De clienttypen in voorwaardelijke toegang, Azure AD aanmeldingslogboeken en de verouderde verificatiewerkmap maken onderscheid tussen moderne en verouderde verificatieclients voor u.

  • Clients die moderne verificatie ondersteunen, maar die niet zijn geconfigureerd voor het gebruik van moderne verificatie, moeten worden bijgewerkt of opnieuw worden geconfigureerd om moderne verificatie te gebruiken.
  • Alle clients die geen moderne verificatie ondersteunen, moeten worden vervangen.

Belangrijk

Exchange Active Sync met verificatie op basis van certificaten (CBA)

Wanneer u Exchange Active Sync (EAS) implementeert met CBA, configureert u clients voor moderne verificatie. Clients die geen moderne verificatie gebruiken voor EAS met CBA, worden niet geblokkeerd met afschaffing van basisverificatie in Exchange Online. Deze clients worden echter geblokkeerd door beleid voor voorwaardelijke toegang dat is geconfigureerd om verouderde verificatie te blokkeren.

Zie voor meer informatie over het implementeren van ondersteuning voor CBA met Azure AD en moderne verificatie: Azure AD verificatie op basis van certificaten configureren (preview). Als een andere optie kan CBA op een federatieserver worden gebruikt met moderne verificatie.

Als u Microsoft Intune gebruikt, kunt u mogelijk het verificatietype wijzigen met behulp van het e-mailprofiel dat u naar uw apparaten pusht of implementeert. Als u iOS-apparaten (iPhones en iPads) gebruikt, moet u de e-mailinstellingen voor iOS- en iPadOS-apparaten in Microsoft Intune bekijken.

Verouderde verificatie blokkeren

Er zijn twee manieren om beleid voor voorwaardelijke toegang te gebruiken om verouderde verificatie te blokkeren.

Verouderde verificatie rechtstreeks blokkeren

De eenvoudigste manier om verouderde verificatie in uw hele organisatie te blokkeren, is door een beleid voor voorwaardelijke toegang te configureren dat specifiek van toepassing is op verouderde verificatieclients en de toegang blokkeert. Wanneer u gebruikers en toepassingen toewijst aan het beleid, moet u ervoor zorgen dat u gebruikers en serviceaccounts uitsluit die zich nog steeds moeten aanmelden met verouderde verificatie. Wanneer u de cloud-apps kiest waarin dit beleid moet worden toegepast, selecteert u Alle cloud-apps, gerichte apps zoals Office 365 (aanbevolen) of minimaal Office 365 Exchange Online. Configureer de voorwaarde voor client-apps door Exchange ActiveSync clients en andere clients te selecteren. Als u de toegang voor deze client-apps wilt blokkeren, configureert u de besturingselementen voor toegang tot Blokkeren.

Voorwaarde voor client-apps geconfigureerd om verouderde verificatie te blokkeren

Indirecte blokkering van verouderde verificatie

Als uw organisatie niet gereed is om verouderde verificatie in de hele organisatie te blokkeren, moet u ervoor zorgen dat aanmeldingen met behulp van verouderde verificatie geen beleidsregels overslaan waarvoor besturingselementen moeten worden verleend, zoals het vereisen van meervoudige verificatie of compatibele/hybride Azure AD gekoppelde apparaten. Tijdens verificatie bieden verouderde verificatieclients geen ondersteuning voor het verzenden van MFA, apparaatcompatibiliteit of het toevoegen van statusgegevens aan Azure AD. Pas daarom beleidsregels met toekenningsbesturingselementen toe op alle clienttoepassingen, zodat verouderde aanmeldingen op basis van verificatie die niet kunnen voldoen aan de toekenningsbesturingselementen, worden geblokkeerd. Met de algemene beschikbaarheid van de voorwaarde voor client-apps in augustus 2020 zijn nieuw gemaakte beleidsregels voor voorwaardelijke toegang standaard van toepassing op alle client-apps.

Standaardconfiguratie voor client-apps

Wat u moet weten

Het kan tot 24 uur duren voordat het beleid voor voorwaardelijke toegang van kracht wordt.

Het blokkeren van toegang via andere clients blokkeert ook Exchange Online PowerShell en Dynamics 365 met behulp van basisverificatie.

Het configureren van een beleid voor andere clients blokkeert de hele organisatie van bepaalde clients, zoals SPConnect. Dit blok treedt op omdat oudere clients op onverwachte manieren worden geverifieerd. Het probleem is niet van toepassing op belangrijke Office-toepassingen, zoals de oudere Office-clients.

U kunt alle beschikbare toekenningsbesturingselementen voor de voorwaarde Andere clients selecteren; De eindgebruikerservaring is echter altijd hetzelfde: geblokkeerde toegang.

Volgende stappen