Inícios de sessão com o livro de autenticação legada

  • Artigo

Você já se perguntou como você pode determinar se é seguro desativar a autenticação herdada em seu locatário? Os logins usando a pasta de trabalho de autenticação herdada ajudam você a responder a essa pergunta.

Este artigo fornece uma visão geral da pasta de trabalho Entradas usando autenticação herdada.

Pré-requisitos

Para usar as Pastas de Trabalho do Azure para o Microsoft Entra ID, você precisa:

  • Um locatário do Microsoft Entra com uma licença Premium P1
  • Um espaço de trabalho do Log Analytics e acesso a esse espaço de trabalho
  • As funções apropriadas para o Azure Monitor e o Microsoft Entra ID

Área de trabalho do Log Analytics

Você deve criar um espaço de trabalhodo Log Analytics antes de poder usar as pastas de trabalho do Microsoft Entra. vários fatores determinam o acesso aos espaços de trabalho do Log Analytics. Você precisa das funções certas para o espaço de trabalho e os recursos que enviam os dados.

Para obter mais informações, consulte Gerenciar o acesso a espaços de trabalho do Log Analytics.

Funções do Azure Monitor

O Azure Monitor fornece duas funções internas para exibir dados de monitoramento e editar configurações de monitoramento. O RBAC (controle de acesso baseado em função) do Azure também fornece duas funções internas do Log Analytics que concedem acesso semelhante.

  • Visão:

    • Leitor de Monitorização
    • Leitor do Log Analytics

  • Visualize e modifique as configurações:

    • Contribuidor de Monitorização
    • Contribuidor do Log Analytics

Funções do Microsoft Entra

O acesso somente leitura permite visualizar dados de log do Microsoft Entra ID dentro de uma pasta de trabalho, consultar dados do Log Analytics ou ler logs no centro de administração do Microsoft Entra. O acesso à atualização adiciona a capacidade de criar e editar configurações de diagnóstico para enviar dados do Microsoft Entra para um espaço de trabalho do Log Analytics.

  • Read (Ler):

    • Leitor de Relatórios
    • Leitor de Segurança
    • Leitor Global

  • Atualização:

    • Administrador de Segurança

Para obter mais informações sobre as funções internas do Microsoft Entra, consulte Funções internas do Microsoft Entra.

Para obter mais informações sobre as funções RBAC do Log Analytics, consulte Funções internas do Azure.

Description

Screenshot of workbook thumbnail.

O Microsoft Entra ID suporta vários dos protocolos de autenticação e autorização mais utilizados, incluindo autenticação herdada. A autenticação herdada refere-se à autenticação básica, que já foi um método padrão do setor amplamente utilizado para passar informações de nome de usuário e senha através de um cliente para um provedor de identidade.

Exemplos de aplicativos que comumente ou usam apenas a autenticação herdada são:

  • Microsoft Office 2013 ou anterior.

  • Aplicativos que usam autenticação herdada com protocolos de email como POP, IMAP e SMTP AUTH.

A autenticação de fator único (por exemplo, nome de usuário e senha) não fornece o nível necessário de proteção para os ambientes de computação atuais. As palavras-passe são más, pois são fáceis de adivinhar e os seres humanos são maus a escolher boas palavras-passe.

Infelizmente, a autenticação herdada:

  • Não suporta autenticação multifator (MFA) ou outros métodos de autenticação forte.

  • Torna impossível para sua organização mover para a autenticação sem senha.

Para melhorar a segurança do locatário do Microsoft Entra e a experiência dos usuários, você deve desabilitar a autenticação herdada. No entanto, experiências de usuário importantes em seu locatário podem depender da autenticação herdada. Antes de desativar a autenticação herdada, convém localizar esses casos para migrá-los para uma autenticação mais segura.

A pasta de trabalho Entradas usando autenticação herdada permite que você veja todas as entradas de autenticação herdada em seu ambiente. Esta pasta de trabalho ajuda você a localizar e migrar fluxos de trabalho críticos para métodos de autenticação mais seguros antes de desativar a autenticação herdada.

Como acessar a pasta de trabalho

  1. Entre no centro de administração do Microsoft Entra usando a combinação apropriada de funções.

  2. Navegue até Monitoramento de Identidade>& Pastas de Trabalho de integridade>.

  3. Selecione a pasta de trabalho Entradas usando autenticação herdada na seção Uso .

Seções da pasta de trabalho

Com esta pasta de trabalho, você pode distinguir entre entradas interativas e não interativas. Esta pasta de trabalho destaca quais protocolos de autenticação herdados são usados em todo o seu locatário.

A recolha de dados consiste em três etapas:

  1. Selecione um protocolo de autenticação herdado e, em seguida, selecione um aplicativo para filtrar pelos usuários que acessam esse aplicativo.

  2. Selecione um usuário para ver todos os seus logins de autenticação herdados no aplicativo selecionado.

  3. Exiba todos os logins de autenticação herdados para que o usuário entenda como a autenticação herdada está sendo usada.

Filtros

Esta pasta de trabalho suporta vários filtros:

  • Intervalo de tempo (até 90 dias)

  • Nome principal do usuário

  • Aplicação

  • Estado do início de sessão (êxito ou falha)

Filter options

Melhores práticas

  • Para obter orientação sobre como bloquear a autenticação herdada em seu ambiente, consulte Bloquear autenticação herdada para o Microsoft Entra ID com acesso condicional.

  • Muitos protocolos de e-mail que antes dependiam da autenticação herdada agora oferecem suporte a métodos de autenticação modernos mais seguros. Se você vir protocolos de autenticação de email herdados nesta pasta de trabalho, considere migrar para a autenticação moderna para email. Para obter mais informações, consulte Substituição da autenticação básica no Exchange Online.

  • Alguns clientes podem usar a autenticação herdada ou a autenticação moderna, dependendo da configuração do cliente. Se você vir "cliente móvel/desktop moderno" ou "navegador" para um cliente nos logs do Microsoft Entra, ele está usando autenticação moderna. Se ele tiver um nome de cliente ou protocolo específico, como "Exchange ActiveSync", ele está usando autenticação herdada para se conectar à ID do Microsoft Entra. Os tipos de cliente no Acesso Condicional e a página de relatórios do Microsoft Entra no centro de administração do Microsoft Entra demarcam clientes de autenticação modernos e clientes de autenticação herdados para você, e somente a autenticação herdada é capturada nesta pasta de trabalho.

  • Para saber mais sobre proteção de identidade, consulte O que é proteção de identidade.

  • Para obter mais informações sobre pastas de trabalho do Microsoft Entra, consulte Como usar pastas de trabalho do Microsoft Entra.