Verouderde verificatie blokkeren met Azure AD met voorwaardelijke toegang

Om uw gebruikers eenvoudig toegang te geven tot uw cloud-apps, biedt Azure Active Directory (Azure AD) ondersteuning voor een groot aantal verificatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie biedt echter geen ondersteuning voor zaken als meervoudige verificatie (MFA). MFA is een algemene vereiste voor het verbeteren van de beveiligingspostuur in organisaties.

Notitie

Vanaf 1 oktober 2022 wordt basisverificatie voor Exchange Online in alle Microsoft 365-tenants permanent uitgeschakeld, ongeacht het gebruik, met uitzondering van SMTP-verificatie. Zie het artikel Afschaffing van basisverificatie in Exchange Online

Alex Weinert, directeur identiteitsbeveiliging bij Microsoft benadrukt in zijn blogpost New tools to block legacy authentication in your organization van 12 maart 2020 waarom organisaties verouderde verificatie moeten blokkeren en welke andere hulpprogramma's Microsoft biedt om deze taak uit te voeren:

MFA is alleen effectief als u verouderde verificatie blokkeert. Dit komt doordat de verouderde verificatieprotocollen zoals POP, SMTP, IMAP en MAPI geen MFA kunnen afdwingen, waardoor ze geliefde invoerpunten zijn voor aanvallers die uw organisatie aanvallen.

... De cijfers over verouderde verificatie van een analyse van Azure Active Directory-verkeer (Azure AD) liegen er niet om:

  • Meer dan 99 procent van de aanvallen met wachtwoordspray gebruiken verouderde verificatieprotocollen
  • Meer dan 97 procent van de aanvallen met credential stuffing gebruiken verouderde verificatie
  • Er wordt 67 procent minder inbreuk gemaakt op Azure AD-accounts in organisaties waarvoor verouderde verificatie is uitgeschakeld dan op accounts waarvoor verouderde verificatie is ingeschakeld

Als u klaar bent om verouderde verificatie te blokkeren om de beveiliging van uw tenant te verbeteren, kunt u dit doel bereiken met voorwaardelijke toegang. In dit artikel wordt uitgelegd hoe u beleidsregels voor voorwaardelijke toegang configureert waarmee verouderde verificatie voor alle workloads in uw tenant wordt geblokkeerd.

Tijdens het uitvoeren van het blokkeren van verouderde verificatie, wordt aanbevolen dit gefaseerd te doen en niet in één keer voor alle gebruikers tegelijk. Klanten kunnen ervoor kiezen om eerst basisverificatie per protocol uit te schakelen door het Exchange Online-verificatiebeleid toe te passen en vervolgens (optioneel) ook verouderde verificatie via beleid voor voorwaardelijke toegang te blokkeren.

Klanten zonder licenties met voorwaardelijke toegang kunnen gebruikmaken van standaardinstellingen voor beveiliging om verouderde verificatie te blokkeren.

Vereisten

In dit artikel wordt ervan uitgegaan dat u bekend bent met de basisconcepten van voorwaardelijke toegang bij Azure AD.

Notitie

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.

Scenariobeschrijving

Azure AD ondersteunt de meest gebruikte verificatie- en autorisatieprotocollen, waaronder verouderde verificatie. Verouderde verificatie kan gebruikers niet vragen om verificatie met twee factoren of andere verificatievereisten die nodig zijn om rechtstreeks te voldoen aan het beleid voor voorwaardelijke toegang. Dit verificatiepatroon omvat basisverificatie, een veelgebruikte standaardmethode voor het verzamelen van gebruikersnaam- en wachtwoordgegevens. Voorbeelden van toepassingen die vaak of alleen verouderde verificatie gebruiken, zijn:

  • Microsoft Office 2013 of ouder.
  • Apps die e-mailprotocollen gebruiken als POP, IMAP en SMTP AUTH.

Zie Hoe moderne verificatie werkt voor Office-client-apps voor meer informatie over ondersteuning voor moderne verificatie in Office.

Enkelvoudige verificatie (bijvoorbeeld gebruikersnaam en wachtwoord) is tegenwoordig niet meer voldoende. Wachtwoorden zijn slecht omdat ze gemakkelijk te raden zijn en we meestal geen goed wachtwoord kunnen kiezen. Wachtwoorden zijn ook kwetsbaar voor verschillende aanvallen, zoals phishing en wachtwoordspray. Een van de eenvoudigste dingen die u kunt doen om te beschermen tegen wachtwoordbedreigingen is de implementatie van meervoudige verificatie (MFA). Zelfs als een aanvaller het wachtwoord van een gebruiker in bezit krijgt, is met MFA het wachtwoord alleen niet voldoende om de gegevens te verifiëren en te openen.

Hoe kunt u voorkomen dat apps die verouderde verificatie gebruiken toegang krijgen tot de resources van uw tenant? U wordt aangeraden verouderde verificatie alleen te blokkeren met een beleid voor voorwaardelijke toegang. Indien nodig staat u alleen bepaalde gebruikers en specifieke netwerklocaties toe om apps te gebruiken die zijn gebaseerd op verouderde verificatie.

Implementatie

In deze sectie wordt uitgelegd hoe u beleid voor voorwaardelijke toegang configureert om verouderde verificatie te blokkeren.

Berichtenprotocollen die ondersteuning bieden voor verouderde verificatie

De volgende berichtenprotocollen ondersteunen verouderde verificatie:

  • Authenticated SMTP: wordt gebruikt voor het verzenden van geverifieerde e-mailberichten.
  • Autodiscover: wordt gebruikt door Outlook- en EAS-clients om postvakken in Exchange Online te zoeken en er verbinding mee te maken.
  • Exchange ActiveSync (EAS): wordt gebruikt om verbinding te maken met postvakken in Exchange Online.
  • Exchange Online PowerShell: wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell. Als u basisverificatie voor Exchange Online PowerShell blokkeert, moet u de Exchange Online PowerShell-module gebruiken om verbinding te maken. Zie Verbinding maken met Exchange Online PowerShell met behulp van meervoudige verificatie voor instructies.
  • Exchange Web Services (EWS): een programmeerinterface die wordt gebruikt door Outlook, Outlook voor Mac en apps van derden.
  • IMAP4: wordt gebruikt door IMAP-e-mailclients.
  • MAPI over HTTP (MAPI/HTTP): primair protocol voor toegang tot postvakken dat wordt gebruikt door Outlook 2010 SP2 en hoger.
  • Offline Address Book (OAB): een kopie van adreslijstverzamelingen die door Outlook worden gedownload en gebruikt.
  • Outlook Anywhere (RPC via HTTP): verouderd protocol voor toegang tot postvakken dat wordt ondersteund door alle huidige versies van Outlook.
  • POP3: wordt gebruikt door POP-e-mailclients.
  • Reporting Web Services: wordt gebruikt om rapportgegevens op te halen in Exchange Online.
  • Universal Outlook: wordt gebruikt door de app Mail en Agenda voor Windows 10.
  • Andere clients: andere protocollen waarvoor is vastgesteld dat gebruik wordt gemaakt van verouderde verificatie.

Zie Aanmeldingsactiviteitenrapporten in de Azure Active Directory-portal voor meer informatie over deze verificatieprotocollen en -services.

Het gebruik van verouderde verificatie identificeren

Voordat u verouderde verificatie in uw directory kunt blokkeren, moet u eerst begrijpen of uw gebruikers clients hebben die gebruikmaken van verouderde verificatie. Hieronder vindt u nuttige informatie om te identificeren en te classificeren waar clients verouderde verificatie gebruiken.

Indicatoren uit Azure AD

  1. Ga naar Azure Portal>Azure Active Directory>Aanmeldingslogboeken.
  2. Voeg de kolom Client-app toe als deze niet wordt weergegeven door te klikken op Kolommen>Client-app.
  3. Selecteer Filters> toevoegenClient-app> kies alle verouderde verificatieprotocollen en selecteer Toepassen.
  4. Als u het voorbeeld van de nieuwe aanmeldingsactiviteitenrapporten hebt geactiveerd, herhaalt u de bovenstaande stappen ook op het tabblad Gebruikersaanmeldingen (niet-interactief).

Filteren toont alleen aanmeldingspogingen die zijn uitgevoerd door verouderde verificatieprotocollen. Als u op elke afzonderlijke aanmeldingspoging klikt, ziet u meer informatie. Het veld Client-app op het tabblad Basisinformatie geeft aan welk verouderd verificatieprotocol is gebruikt.

Deze logboeken geven aan waar gebruikers clients gebruiken die nog steeds afhankelijk zijn van verouderde verificatie. Implementeer alleen een beleid voor voorwaardelijke toegang voor gebruikers die niet in deze logboeken worden weergegeven en voor wie is bevestigd dat ze geen verouderde verificatie gebruiken.

Daarnaast kunt u verouderde verificatie binnen uw tenant beter classificeren met behulp van de Aanmeldingen met behulp van een verouderde verificatiewerkmap.

Indicatoren van client

Als u wilt bepalen of een client verouderde of moderne verificatie gebruikt op basis van het dialoogvenster dat wordt weergegeven bij het aanmelden, raadpleegt u het artikel Afschaffing van basisverificatie in Exchange Online.

Belangrijke overwegingen

Veel clients die voorheen alleen verouderde verificatie ondersteunden, ondersteunen nu moderne verificatie. Voor clients die zowel verouderde als moderne verificatie ondersteunen, is mogelijk een update van de configuratie vereist om over te stappen op moderne verificatie. Als u modern mobiel, desktopclient of browser voor een client in de logboeken van Azure AD ziet, wordt gebruikgemaakt van moderne verificatie. Als deze een specifieke client- of protocolnaam heeft, zoals Exchange ActiveSync, wordt verouderde verificatie gebruikt. De clienttypen in voorwaardelijke toegang, Azure AD-aanmeldingslogboeken en de verouderde verificatiewerkmap maken onderscheid tussen moderne en verouderde verificatieclients voor u.

  • Clients die moderne verificatie ondersteunen, maar niet zijn geconfigureerd voor het gebruik van moderne verificatie, moeten worden bijgewerkt of opnieuw worden geconfigureerd om gebruik te kunnen maken van moderne verificatie.
  • Alle clients die geen moderne verificatie ondersteunen, moeten worden vervangen.

Belangrijk

Exchange Active Sync met verificatie op basis van certificaten (CBA)

Wanneer u Exchange Active Sync (EAS) implementeert met CBA, configureert u clients voor moderne verificatie. Clients die geen gebruikmaken van moderne verificatie voor EAS met CBA, worden niet geblokkeerd met afschaffing van basisverificatie in Exchange Online. Deze clients worden echter geblokkeerd door beleid voor voorwaardelijke toegang dat is geconfigureerd om verouderde verificatie te blokkeren.

Zie voor meer informatie over het implementeren van ondersteuning voor CBA met Azure AD en moderne verificatie: Azure AD-verificatie op basis van certificaten configureren (Preview). CBA kan ook op een federatieve server worden gebruikt met moderne verificatie.

Als u Microsoft Intune gebruikt, kunt u mogelijk het verificatietype wijzigen met behulp van het e-mailprofiel dat u naar uw apparaten pusht of implementeert. Zie E-mailinstellingen toevoegen voor iOS- en iPadOS-apparaten in Microsoft Intune als u iOS-apparaten (iPhones en iPads) gebruikt.

Verouderde verificatie blokkeren

Er zijn twee manieren om beleid voor voorwaardelijke toegang te gebruiken om verouderde verificatie te blokkeren.

Verouderde verificatie direct blokkeren

De eenvoudigste manier om verouderde verificatie in uw hele organisatie te blokkeren, is door een beleid voor voorwaardelijke toegang te configureren dat specifiek van toepassing is op verouderde verificatieclients en de toegang blokkeert. Wanneer u gebruikers en toepassingen toewijst aan het beleid, moet u ervoor zorgen dat u gebruikers en serviceaccounts uitsluit die zich nog steeds moeten aanmelden met verouderde verificatie. Wanneer u de cloud-apps kiest waarin dit beleid moet worden toegepast, selecteert u Alle cloud-apps, bepaalde apps zoals Office 365 (aanbevolen) of minimaal Office 365 Exchange Online. Organisaties kunnen het beleid gebruiken dat beschikbaar is in sjablonen voor voorwaardelijke toegang of het algemene beleid Voorwaardelijke toegang: Verouderde verificatie blokkeren als referentie.

Verouderde verificatie indirect blokkeren

Als uw organisatie nog niet klaar is om verouderde verificatie in de hele organisatie te blokkeren, moet u ervoor zorgen dat aanmeldingen die verouderde verificatie gebruiken, geen beleidsregels omzeilen waarvoor toekenningsbeheer is vereist, zoals het vereisen van meervoudige verificatie of compatibele/hybride Azure AD gekoppelde apparaten. Tijdens verificatie bieden verouderde verificatieclients geen ondersteuning voor het verzenden van MFA, apparaatcompatibiliteit of informatie over de koppelingsstatus aan Azure AD. Pas daarom beleidsregels toe met besturingselementen voor toekenning voor alle clienttoepassingen, zodat aanmeldingen op basis van verouderde verificatie die niet kunnen voldoen aan de besturingselementen voor toekenning, worden geblokkeerd. Met de algemene beschikbaarheid van de voorwaarde voor client-apps in augustus 2020 zijn nieuw gemaakte beleidsregels voor voorwaardelijke toegang standaard van toepassing op alle client-apps.

Wat u moet weten

Het kan tot 24 uur duren voordat het beleid voor voorwaardelijke toegang van kracht wordt.

Het blokkeren van toegang via andere clients blokkeert ook Exchange Online PowerShell en Dynamics 365 met behulp van basisverificatie.

Als u een beleid configureert voor andere clients, blokkeert u de hele organisatie van bepaalde clients, zoals SPConnect. Deze blokkering treedt op omdat oudere clients op onverwachte manieren worden geverifieerd. Het probleem is niet van toepassing op belangrijke Office-toepassingen, zoals oudere Office-clients.

U kunt alle beschikbare toekenningsbesturingselementen selecteren voor de voorwaarde Andere clients; de eindgebruikerservaring is echter altijd hetzelfde: geblokkeerde toegang.

Volgende stappen