Verouderde verificatie blokkeren met voorwaardelijke toegang van Microsoft Entra
Om uw gebruikers eenvoudig toegang te geven tot uw cloud-apps, ondersteunt Microsoft Entra ID een groot aantal verificatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie biedt echter geen ondersteuning voor zaken zoals meervoudige verificatie (MFA). MFA is een algemene vereiste voor het verbeteren van de beveiligingspostuur in organisaties.
Op basis van de analyse van Microsoft gebruiken meer dan 97 procent van de aanvallen voor het opspullen van referenties verouderde verificatie en meer dan 99 procent van de wachtwoordsprayaanvallen maken gebruik van verouderde verificatieprotocollen. Deze aanvallen zouden stoppen met basisverificatie uitgeschakeld of geblokkeerd.
Notitie
Vanaf 1 oktober 2022 wordt basisverificatie voor Exchange Online in alle Microsoft 365-tenants permanent uitgeschakeld, ongeacht het gebruik, met uitzondering van SMTP-verificatie. Zie het artikel Afschaffing van basisverificatie in Exchange Online voor meer informatie
Alex Weinert, directeur identiteitsbeveiliging bij Microsoft benadrukt in zijn blogpost New tools to block legacy authentication in your organization van 12 maart 2020 waarom organisaties verouderde verificatie moeten blokkeren en welke andere hulpprogramma's Microsoft biedt om deze taak uit te voeren:
In dit artikel wordt uitgelegd hoe u beleidsregels voor voorwaardelijke toegang configureert waarmee verouderde verificatie voor alle workloads in uw tenant wordt geblokkeerd.
Tijdens het uitvoeren van het blokkeren van verouderde verificatie, wordt aanbevolen dit gefaseerd te doen en niet in één keer voor alle gebruikers tegelijk. Klanten kunnen beginnen met het uitschakelen van basisverificatie per protocol, door Exchange Online-verificatiebeleid toe te passen en vervolgens (optioneel) verouderde verificatie via beleid voor voorwaardelijke toegang te blokkeren wanneer ze klaar zijn.
Klanten zonder licenties met voorwaardelijke toegang kunnen gebruikmaken van standaardinstellingen voor beveiliging om verouderde verificatie te blokkeren.
Vereisten
In dit artikel wordt ervan uitgegaan dat u bekend bent met de basisconcepten van voorwaardelijke toegang van Microsoft Entra.
Notitie
Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.
Beschrijving van scenario
Microsoft Entra ID ondersteunt de meest gebruikte verificatie- en autorisatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie kan gebruikers niet vragen om tweedeledige verificatie of andere verificatievereisten die nodig zijn om rechtstreeks aan het beleid voor voorwaardelijke toegang te voldoen. Dit verificatiepatroon omvat basisverificatie, een veelgebruikte standaardmethode voor het verzamelen van gebruikersnaam- en wachtwoordgegevens. Voorbeelden van toepassingen die vaak of alleen verouderde verificatie gebruiken, zijn:
- Microsoft Office 2013 of ouder.
- Apps die e-mailprotocollen gebruiken als POP, IMAP en SMTP AUTH.
Zie Hoe moderne verificatie werkt voor Office-client-apps voor meer informatie over ondersteuning voor moderne verificatie in Office.
Enkelvoudige verificatie (bijvoorbeeld gebruikersnaam en wachtwoord) is tegenwoordig niet meer voldoende. Wachtwoorden zijn slecht omdat ze gemakkelijk te raden zijn en we meestal geen goed wachtwoord kunnen kiezen. Wachtwoorden zijn ook kwetsbaar voor verschillende aanvallen, zoals phishing en wachtwoordspray. Een van de eenvoudigste dingen die u kunt doen om te beschermen tegen wachtwoordbedreigingen is de implementatie van meervoudige verificatie (MFA). Zelfs als een aanvaller het wachtwoord van een gebruiker in bezit krijgt, is met MFA het wachtwoord alleen niet voldoende om de gegevens te verifiëren en te openen.
Hoe kunt u voorkomen dat apps die verouderde verificatie gebruiken toegang krijgen tot de resources van uw tenant? U wordt aangeraden verouderde verificatie alleen te blokkeren met een beleid voor voorwaardelijke toegang. Indien nodig staat u alleen bepaalde gebruikers en specifieke netwerklocaties toe om apps te gebruiken die zijn gebaseerd op verouderde verificatie.
Implementatie
In deze sectie wordt uitgelegd hoe u beleid voor voorwaardelijke toegang configureert om verouderde verificatie te blokkeren.
Berichtenprotocollen die ondersteuning bieden voor verouderde verificatie
De volgende berichtenprotocollen ondersteunen verouderde verificatie:
- Authenticated SMTP: wordt gebruikt voor het verzenden van geverifieerde e-mailberichten.
- Autodiscover: wordt gebruikt door Outlook- en EAS-clients om postvakken in Exchange Online te zoeken en er verbinding mee te maken.
- Exchange ActiveSync (EAS): wordt gebruikt om verbinding te maken met postvakken in Exchange Online.
- Exchange Online PowerShell: wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell. Als u basisverificatie voor Exchange Online PowerShell blokkeert, moet u de Exchange Online PowerShell-module gebruiken om verbinding te maken. Zie Verbinding maken met Exchange Online PowerShell met behulp van meervoudige verificatie voor instructies.
- Exchange Web Services (EWS): een programmeerinterface die wordt gebruikt door Outlook-, Outlook voor Mac- en niet-Microsoft-apps.
- IMAP4: wordt gebruikt door IMAP-e-mailclients.
- MAPI over HTTP (MAPI/HTTP): primair protocol voor toegang tot postvakken dat wordt gebruikt door Outlook 2010 SP2 en hoger.
- Offline Address Book (OAB): een kopie van adreslijstverzamelingen die door Outlook worden gedownload en gebruikt.
- Outlook Anywhere (RPC via HTTP): verouderd protocol voor toegang tot postvakken dat wordt ondersteund door alle huidige versies van Outlook.
- POP3: wordt gebruikt door POP-e-mailclients.
- Reporting Web Services: wordt gebruikt om rapportgegevens op te halen in Exchange Online.
- Universal Outlook: wordt gebruikt door de app Mail en Agenda voor Windows 10.
- Andere clients: andere protocollen waarvoor is vastgesteld dat gebruik wordt gemaakt van verouderde verificatie.
Zie Details van aanmeldingslogboekactiviteiten voor meer informatie over deze verificatieprotocollen en -services.
Het gebruik van verouderde verificatie identificeren
Voordat u verouderde verificatie in uw directory kunt blokkeren, moet u eerst weten of uw gebruikers client-apps hebben die gebruikmaken van verouderde verificatie.
Aanmeldingslogboekindicatoren
- Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
- Blader naar aanmeldingslogboeken voor identiteitsbewaking>en -status>.
- Voeg de kolom Client-app toe als deze niet wordt weergegeven door te klikken op de client-app Kolommen>.
- Selecteer Filters toevoegen>client-app> kies alle verouderde verificatieprotocollen en selecteer Toepassen.
- Voer deze stappen ook uit op het tabblad Gebruikersaanmelding (niet-interactief).
Filteren toont aanmeldingspogingen die zijn uitgevoerd door verouderde verificatieprotocollen. Als u op elke afzonderlijke aanmeldingspoging klikt, ziet u meer informatie. Het veld Client-app op het tabblad Basisinformatie geeft aan welk verouderd verificatieprotocol is gebruikt.
Deze logboeken geven aan waar gebruikers clients gebruiken die nog steeds afhankelijk zijn van verouderde verificatie. Implementeer alleen een beleid voor voorwaardelijke toegang voor gebruikers die niet in deze logboeken worden weergegeven en voor wie is bevestigd dat ze geen verouderde verificatie gebruiken.
Daarnaast kunt u verouderde verificatie binnen uw tenant beter classificeren met behulp van de Aanmeldingen met behulp van een verouderde verificatiewerkmap.
Indicatoren van client
Als u wilt bepalen of een client verouderde of moderne verificatie gebruikt op basis van het dialoogvenster dat wordt weergegeven bij het aanmelden, raadpleegt u het artikel Afschaffing van basisverificatie in Exchange Online.
Belangrijke aandachtspunten
Clients die zowel verouderde als moderne verificatie ondersteunen, vereisen mogelijk een configuratie-update om over te stappen van verouderde naar moderne verificatie. Als u moderne mobiele, desktopclient of browser voor een client in de aanmeldingslogboeken ziet, wordt moderne verificatie gebruikt. Als deze een specifieke client- of protocolnaam heeft, zoals Exchange ActiveSync, wordt verouderde verificatie gebruikt. De clienttypen in voorwaardelijke toegang, aanmeldingslogboeken en de verouderde verificatiewerkmap maken onderscheid tussen moderne en verouderde verificatieclients voor u.
- Clients die moderne verificatie ondersteunen, maar niet zijn geconfigureerd voor het gebruik van moderne verificatie, moeten worden bijgewerkt of opnieuw worden geconfigureerd om gebruik te kunnen maken van moderne verificatie.
- Alle clients die geen moderne verificatie ondersteunen, moeten worden vervangen.
Belangrijk
Exchange Active Sync met verificatie op basis van certificaten (CBA)
Wanneer u Exchange Active Sync (EAS) implementeert met CBA, configureert u clients voor moderne verificatie. Clients die geen gebruikmaken van moderne verificatie voor EAS met CBA, worden niet geblokkeerd met afschaffing van basisverificatie in Exchange Online. Deze clients worden echter geblokkeerd door beleid voor voorwaardelijke toegang dat is geconfigureerd om verouderde verificatie te blokkeren.
Zie voor meer informatie over het implementeren van ondersteuning voor CBA met Microsoft Entra ID en moderne verificatie: Verificatie op basis van Microsoft Entra-certificaten (preview) configureren. CBA kan ook op een federatieve server worden gebruikt met moderne verificatie.
Als u Microsoft Intune gebruikt, kunt u mogelijk het verificatietype wijzigen met behulp van het e-mailprofiel dat u naar uw apparaten pusht of implementeert. Zie E-mailinstellingen toevoegen voor iOS- en iPadOS-apparaten in Microsoft Intune als u iOS-apparaten (iPhones en iPads) gebruikt.
Verouderde verificatie blokkeren
Er zijn twee manieren om beleid voor voorwaardelijke toegang te gebruiken om verouderde verificatie te blokkeren.
Verouderde verificatie direct blokkeren
De eenvoudigste manier om verouderde verificatie in uw hele organisatie te blokkeren, is door een beleid voor voorwaardelijke toegang te configureren dat specifiek van toepassing is op verouderde verificatieclients en de toegang blokkeert. Wanneer u gebruikers en toepassingen toewijst aan het beleid, moet u ervoor zorgen dat u gebruikers en serviceaccounts uitsluit die zich nog steeds moeten aanmelden met verouderde verificatie. Wanneer u de cloud-apps kiest waarin dit beleid moet worden toegepast, selecteert u Alle resources, doel-apps zoals Office 365 (aanbevolen) of minimaal Office 365 Exchange Online. Organisaties kunnen het beleid gebruiken dat beschikbaar is in sjablonen voor voorwaardelijke toegang of het algemene beleid voor voorwaardelijke toegang: verouderde verificatie blokkeren als referentie.
Verouderde verificatie indirect blokkeren
Als uw organisatie niet klaar is om verouderde verificatie volledig te blokkeren, moet u ervoor zorgen dat aanmeldingen met verouderde verificatie geen beleidsregels omzeilen waarvoor besturingselementen voor meervoudige verificatie zijn vereist. Tijdens verificatie bieden verouderde verificatieclients geen ondersteuning voor het verzenden van MFA, apparaatcompatibiliteit of het toevoegen van statusgegevens aan Microsoft Entra-id. Pas daarom beleidsregels toe met besturingselementen voor toekenning voor alle clienttoepassingen, zodat aanmeldingen op basis van verouderde verificatie die niet kunnen voldoen aan de besturingselementen voor toekenning, worden geblokkeerd. Met de algemene beschikbaarheid van de voorwaarde voor client-apps in augustus 2020 zijn nieuw gemaakte beleidsregels voor voorwaardelijke toegang standaard van toepassing op alle client-apps.
Wat u moet weten
Het kan tot 24 uur duren voordat het beleid voor voorwaardelijke toegang van kracht wordt.
Het blokkeren van toegang via andere clients blokkeert ook Exchange Online PowerShell en Dynamics 365 met behulp van basisverificatie.
Als u een beleid configureert voor andere clients, blokkeert u de hele organisatie van bepaalde clients, zoals SPConnect. Deze blokkering treedt op omdat oudere clients op onverwachte manieren worden geverifieerd. Het probleem is niet van toepassing op belangrijke Office-toepassingen, zoals oudere Office-clients.
U kunt alle beschikbare toekenningsbesturingselementen selecteren voor de voorwaarde Andere clients; de eindgebruikerservaring is echter altijd hetzelfde: geblokkeerde toegang.
Volgende stappen
- Effect bepalen met de modus Alleen-rapport voor voorwaardelijke toegang
- Zie Hoe moderne verificatie werkt voor Office-client-apps voor meer informatie over ondersteuning voor moderne verificatie
- Een multifunctioneel apparaat of een toepassing instellen voor verzenden van e-mail met Microsoft 365
- Moderne verificatie inschakelen in Exchange Online
- Procedure voor het configureren van Exchange Server on-premises voor gebruik van Hybride moderne verificatie