Blokowanie starszego uwierzytelniania przy użyciu Azure AD z dostępem warunkowym

Aby zapewnić użytkownikom łatwy dostęp do aplikacji w chmurze, usługa Azure Active Directory (Azure AD) obsługuje szeroką gamę protokołów uwierzytelniania, w tym starszego uwierzytelniania. Jednak starsze uwierzytelnianie nie obsługuje elementów takich jak uwierzytelnianie wieloskładnikowe (MFA). Uwierzytelnianie wieloskładnikowe jest typowym wymaganiem poprawy stanu zabezpieczeń w organizacjach.

Uwaga

Od 1 października 2022 r. zaczniemy trwale wyłączać uwierzytelnianie podstawowe dla Exchange Online we wszystkich dzierżawach platformy Microsoft 365 niezależnie od użycia, z wyjątkiem uwierzytelniania SMTP. Aby uzyskać więcej informacji, zobacz artykuł Wycofywanie uwierzytelniania podstawowego w Exchange Online

Alex Weinert, dyrektor ds. zabezpieczeń tożsamości w firmie Microsoft, we wpisie w blogu z 12 marca 2020 r. Nowe narzędzia do blokowania starszego uwierzytelniania w organizacji podkreślają, dlaczego organizacje powinny blokować starsze uwierzytelnianie i jakie inne narzędzia oferuje firma Microsoft w celu wykonania tego zadania:

Aby uwierzytelnianie wieloskładnikowe było skuteczne, należy również zablokować starsze uwierzytelnianie. Wynika to z tego, że starsze protokoły uwierzytelniania, takie jak POP, SMTP, IMAP i MAPI, nie mogą wymuszać uwierzytelniania wieloskładnikowego, co czyni je preferowanymi punktami wejścia dla przeciwników atakujących organizację...

... Liczby dotyczące starszego uwierzytelniania z analizy ruchu usługi Azure Active Directory (Azure AD) są bardzo następujące:

  • Ponad 99 procent ataków rozpychanych przy użyciu starszych protokołów uwierzytelniania
  • Ponad 97 procent ataków polegających na wypychaniu poświadczeń używa starszego uwierzytelniania
  • Azure AD kont w organizacjach, które wyłączyły starsze uwierzytelnianie, 67 procent mniej kompromisów niż w przypadku włączenia starszego uwierzytelniania

Jeśli chcesz zablokować starsze uwierzytelnianie w celu zwiększenia ochrony dzierżawy, możesz osiągnąć ten cel za pomocą dostępu warunkowego. W tym artykule wyjaśniono, jak skonfigurować zasady dostępu warunkowego, które blokują starsze uwierzytelnianie dla wszystkich obciążeń w dzierżawie.

Podczas wdrażania ochrony blokującej starsze uwierzytelnianie zalecamy podejście etapowe, zamiast wyłączać je dla wszystkich użytkowników jednocześnie. Klienci mogą najpierw rozpocząć wyłączanie uwierzytelniania podstawowego dla poszczególnych protokołów, stosując zasady uwierzytelniania Exchange Online, a następnie (opcjonalnie) blokowanie starszego uwierzytelniania za pośrednictwem zasad dostępu warunkowego, gdy są gotowe.

Klienci bez licencji obejmujących dostęp warunkowy mogą używać domyślnych ustawień zabezpieczeń w celu blokowania starszego uwierzytelniania.

Wymagania wstępne

W tym artykule założono, że znasz podstawowe pojęcia dotyczące dostępu warunkowego Azure AD.

Uwaga

Zasady dostępu warunkowego są wymuszane po zakończeniu uwierzytelniania pierwszego składnika. Dostęp warunkowy nie jest przeznaczony do pierwszej linii obrony organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.

Opis scenariusza

Azure AD obsługuje najczęściej używane protokoły uwierzytelniania i autoryzacji, w tym starsze uwierzytelnianie. Starsze uwierzytelnianie nie może monitować użytkowników o uwierzytelnianie drugiego składnika lub inne wymagania dotyczące uwierzytelniania wymagane bezpośrednio do spełnienia zasad dostępu warunkowego. Ten wzorzec uwierzytelniania obejmuje uwierzytelnianie podstawowe, powszechnie stosowaną w branży metodę zbierania informacji o nazwie użytkownika i haśle. Przykłady aplikacji, które często lub używają tylko starszego uwierzytelniania, to:

  • Pakiet Microsoft Office 2013 lub starszy.
  • Aplikacje korzystające z protokołów poczty, takich jak POP, IMAP i SMTP AUTH.

Aby uzyskać więcej informacji na temat obsługi nowoczesnego uwierzytelniania w pakiecie Office, zobacz Jak działa nowoczesne uwierzytelnianie dla aplikacji klienckich pakietu Office.

Uwierzytelnianie jednoskładnikowe (na przykład nazwa użytkownika i hasło) nie jest wystarczające w tych dniach. Hasła są złe, ponieważ są łatwe do odgadnięcia i my (ludzie) są źle w wyborze dobrych haseł. Hasła są również narażone na różne ataki, takie jak wyłudzanie informacji i spray haseł. Jedną z najprostszych czynności, które można wykonać w celu ochrony przed zagrożeniami haseł, jest zaimplementowanie uwierzytelniania wieloskładnikowego (MFA). W przypadku uwierzytelniania wieloskładnikowego nawet wtedy, gdy osoba atakująca uzyska hasło użytkownika, samo hasło nie jest wystarczające do pomyślnego uwierzytelnienia i uzyskania dostępu do danych.

Jak można uniemożliwić aplikacjom uzyskiwanie dostępu do zasobów dzierżawy przy użyciu starszego uwierzytelniania? Zaleceniem jest zablokowanie ich przy użyciu zasad dostępu warunkowego. W razie potrzeby zezwalasz tylko określonym użytkownikom i określonym lokalizacjom sieciowym na używanie aplikacji opartych na starszym uwierzytelnianiu.

Implementacja

W tej sekcji opisano sposób konfigurowania zasad dostępu warunkowego w celu blokowania starszego uwierzytelniania.

Protokoły obsługi komunikatów, które obsługują starsze uwierzytelnianie

Następujące protokoły obsługi komunikatów obsługują starsze uwierzytelnianie:

  • Uwierzytelniony protokół SMTP — służy do wysyłania uwierzytelnionych wiadomości e-mail.
  • Wykrywanie automatyczne — używane przez klientów programu Outlook i programu EAS do znajdowania skrzynek pocztowych i łączenia się z nimi w Exchange Online.
  • Exchange ActiveSync (EAS) — służy do łączenia się ze skrzynkami pocztowymi w Exchange Online.
  • Exchange Online programu PowerShell — służy do nawiązywania połączenia z Exchange Online za pomocą zdalnego programu PowerShell. Jeśli zablokujesz uwierzytelnianie podstawowe dla programu Exchange Online PowerShell, musisz użyć modułu Exchange Online PowerShell, aby nawiązać połączenie. Aby uzyskać instrukcje, zobacz Nawiązywanie połączenia z programem Exchange Online PowerShell przy użyciu uwierzytelniania wieloskładnikowego.
  • Exchange Web Services (EWS) — interfejs programowania używany przez program Outlook, Outlook dla komputerów Mac i aplikacje innych firm.
  • IMAP4 — używany przez klientów poczty e-mail IMAP.
  • MAPI za pośrednictwem protokołu HTTP (MAPI/HTTP) — podstawowy protokół dostępu do skrzynki pocztowej używany przez program Outlook 2010 SP2 lub nowszy.
  • Książka adresowa trybu offline (OAB) — kopia kolekcji list adresowych, które są pobierane i używane przez program Outlook.
  • Outlook Anywhere (RPC over HTTP) — starszy protokół dostępu do skrzynki pocztowej obsługiwany przez wszystkie bieżące wersje programu Outlook.
  • POP3 — używane przez klientów poczty e-mail POP.
  • Reporting Web Services — służy do pobierania danych raportu w Exchange Online.
  • Uniwersalny program Outlook — używany przez aplikację Poczta i kalendarz do Windows 10.
  • Inni klienci — inne protokoły zidentyfikowane jako wykorzystujące starsze uwierzytelnianie.

Aby uzyskać więcej informacji na temat tych protokołów i usług uwierzytelniania, zobacz Raporty aktywności logowania w portalu usługi Azure Active Directory.

Identyfikowanie starszego użycia uwierzytelniania

Aby zablokować starsze uwierzytelnianie w katalogu, należy najpierw zrozumieć, czy użytkownicy mają klientów korzystających ze starszego uwierzytelniania. Poniżej znajdziesz przydatne informacje dotyczące identyfikowania i klasyfikacji, w których klienci korzystają ze starszego uwierzytelniania.

Wskaźniki z Azure AD

  1. Przejdź do dziennikówlogowania Azure Portal >Azure Active Directory>.
  2. Dodaj kolumnę Aplikacja kliencka, jeśli nie jest wyświetlana, klikając pozycjęAplikacja klienckakolumn>.
  3. Wybierz pozycję Dodaj filtryAplikacja >kliencka> wybierz wszystkie starsze protokoły uwierzytelniania, a następnie wybierz pozycję Zastosuj.
  4. Jeśli aktywowano podgląd nowych raportów aktywności logowania, powtórz powyższe kroki również na karcie Logowania użytkownika (nieinterakcyjne).

Filtrowanie spowoduje wyświetlenie tylko prób logowania, które zostały wykonane przez starsze protokoły uwierzytelniania. Kliknięcie każdej próby logowania indywidualnego spowoduje wyświetlenie dodatkowych szczegółów. Pole Aplikacja kliencka na karcie Informacje podstawowe wskaże, który starszy protokół uwierzytelniania został użyty.

Te dzienniki będą wskazywać, gdzie użytkownicy korzystają z klientów, którzy nadal zależą od starszego uwierzytelniania. W przypadku użytkowników, którzy nie są wyświetlani w tych dziennikach i są potwierdzani, że nie korzystają ze starszego uwierzytelniania, zaimplementuj zasady dostępu warunkowego tylko dla tych użytkowników.

Ponadto, aby ułatwić klasyfikację starszego uwierzytelniania w dzierżawie, użyj logowania przy użyciu starszego skoroszytu uwierzytelniania.

Wskaźniki od klienta

Aby określić, czy klient korzysta ze starszego lub nowoczesnego uwierzytelniania na podstawie okna dialogowego przedstawionego podczas logowania, zobacz artykuł Wycofywanie uwierzytelniania podstawowego w Exchange Online.

Istotne zagadnienia

Wielu klientów, którzy wcześniej obsługiwali tylko starsze uwierzytelnianie, obsługuje teraz nowoczesne uwierzytelnianie. Klienci, którzy obsługują zarówno starsze, jak i nowoczesne uwierzytelnianie, mogą wymagać aktualizacji konfiguracji, aby przejść ze starszego do nowoczesnego uwierzytelniania. Jeśli w dziennikach Azure AD zobaczysz nowoczesnego klienta mobilnego, klasycznego klienta lub przeglądarkę, jest to nowoczesne uwierzytelnianie. Jeśli ma określoną nazwę klienta lub protokołu, taką jak Exchange ActiveSync, używa starszego uwierzytelniania. Typy klientów w obszarze Dostęp warunkowy, Azure AD dzienniki logowania i starszy skoroszyt uwierzytelniania rozróżniają dla Ciebie nowoczesnych i starszych klientów uwierzytelniania.

  • Klienci, którzy obsługują nowoczesne uwierzytelnianie, ale nie są skonfigurowani do korzystania z nowoczesnego uwierzytelniania, powinni zostać zaktualizowani lub ponownie skonfigurowani w celu korzystania z nowoczesnego uwierzytelniania.
  • Należy zastąpić wszystkich klientów, którzy nie obsługują nowoczesnego uwierzytelniania.

Ważne

Exchange Active Sync z uwierzytelnianiem opartym na certyfikatach (CBA)

Podczas implementowania programu Exchange Active Sync (EAS) z usługą CBA należy skonfigurować klientów do korzystania z nowoczesnego uwierzytelniania. Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania w ramach programu EAS z cba, nie są blokowani z powodu wycofania uwierzytelniania podstawowego w Exchange Online. Jednak ci klienci są blokowani przez zasady dostępu warunkowego skonfigurowane do blokowania starszego uwierzytelniania.

Aby uzyskać więcej informacji na temat implementowania obsługi cba przy użyciu Azure AD i nowoczesnego uwierzytelniania, zobacz: Jak Azure AD skonfigurować uwierzytelnianie oparte na certyfikatach (wersja zapoznawcza). Inną opcją, CBA wykonywane na serwerze federacyjnym może być używany z nowoczesnym uwierzytelnianiem.

Jeśli używasz Microsoft Intune, możesz zmienić typ uwierzytelniania przy użyciu profilu poczty e-mail, który wypychasz lub wdrażasz na urządzeniach. Jeśli używasz urządzeń z systemem iOS (iPhone i iPad), zobacz Dodawanie ustawień poczty e-mail dla urządzeń z systemem iOS i iPadOS w Microsoft Intune.

Blokowanie starszego uwierzytelniania

Istnieją dwa sposoby blokowania starszego uwierzytelniania przy użyciu zasad dostępu warunkowego.

Bezpośrednie blokowanie starszego uwierzytelniania

Najprostszym sposobem blokowania starszego uwierzytelniania w całej organizacji jest skonfigurowanie zasad dostępu warunkowego, które są stosowane specjalnie do starszych klientów uwierzytelniania i blokuje dostęp. Podczas przypisywania użytkowników i aplikacji do zasad należy wykluczyć użytkowników i konta usług, które nadal muszą zalogować się przy użyciu starszego uwierzytelniania. Podczas wybierania aplikacji w chmurze, w których mają być stosowane te zasady, wybierz pozycję Wszystkie aplikacje w chmurze, aplikacje docelowe, takie jak Office 365 (zalecane) lub co najmniej, Office 365 Exchange Online. Organizacje mogą używać zasad dostępnych w szablonach dostępu warunkowego lub dostęp warunkowy common policy : Blokuj starsze uwierzytelnianie jako odwołanie.

Pośrednie blokowanie starszego uwierzytelniania

Jeśli Twoja organizacja nie jest gotowa do blokowania starszego uwierzytelniania w całej organizacji, upewnij się, że logowania przy użyciu starszego uwierzytelniania nie są pomijane przez zasady wymagające kontroli udzielania, takie jak wymaganie uwierzytelniania wieloskładnikowego lub zgodne/hybrydowe Azure AD urządzeń dołączonych. Podczas uwierzytelniania starsi klienci uwierzytelniania nie obsługują wysyłania informacji o stanie uwierzytelniania wieloskładnikowego, zgodności urządzeń ani dołączania ich do Azure AD. W związku z tym należy zastosować zasady z kontrolkami udzielania do wszystkich aplikacji klienckich, aby starsze logowania oparte na uwierzytelnianiu, które nie mogły spełnić wymagań kontrolek udzielania, są blokowane. Po ogólnym udostępnieniu warunku aplikacji klienckich w sierpniu 2020 r. nowo utworzone zasady dostępu warunkowego są domyślnie stosowane do wszystkich aplikacji klienckich.

Co należy wiedzieć

Zastosowanie zasad dostępu warunkowego może potrwać do 24 godzin.

Blokowanie dostępu przy użyciu innych klientów blokuje również Exchange Online programu PowerShell i usługi Dynamics 365 przy użyciu uwierzytelniania podstawowego.

Skonfigurowanie zasad dla innych klientów blokuje całą organizację od niektórych klientów, takich jak SPConnect. Ten blok występuje, ponieważ starsi klienci uwierzytelniają się w nieoczekiwany sposób. Problem nie dotyczy głównych aplikacji pakietu Office, takich jak starsi klienci pakietu Office.

Dla warunku Inne klienci można wybrać wszystkie dostępne kontrolki udzielania; jednak środowisko użytkownika końcowego jest zawsze takie samo — zablokowany dostęp.

Następne kroki