Blockera äldre autentisering med Azure AD med villkorsstyrd åtkomst

För att ge användarna enkel åtkomst till dina molnappar stöder Azure Active Directory (Azure AD) en mängd olika autentiseringsprotokoll, inklusive äldre autentisering. Äldre autentisering stöder dock inte sådant som multifaktorautentisering (MFA). MFA är ett vanligt krav för att förbättra säkerhetsstatusen i organisationer.

Anteckning

Från och med den 1 oktober 2022 börjar vi permanent inaktivera grundläggande autentisering för Exchange Online i alla Microsoft 365-klienter oavsett användning, förutom SMTP-autentisering. Läs mer här

Alex Weinert, chef för Identity Security på Microsoft, i sitt blogginlägg från den 12 mars 2020 Nya verktyg för att blockera äldre autentisering i din organisation betonar varför organisationer ska blockera äldre autentisering och vilka andra verktyg Microsoft tillhandahåller för att utföra den här uppgiften:

För att MFA ska vara effektivt måste du också blockera äldre autentisering. Detta beror på att äldre autentiseringsprotokoll som POP, SMTP, IMAP och MAPI inte kan framtvinga MFA, vilket gör dem till föredragna startpunkter för angripare som attackerar din organisation...

... Siffrorna för äldre autentisering från en analys av Azure Active Directory-trafik (Azure AD) är starka:

  • Mer än 99 procent av lösenordssprayattackerna använder äldre autentiseringsprotokoll
  • Mer än 97 procent av autentiseringsuppgifterna använder äldre autentisering
  • Azure AD konton i organisationer som har inaktiverat äldre autentisering får 67 procent färre kompromisser än de där äldre autentisering är aktiverat

Om du är redo att blockera äldre autentisering för att förbättra klientorganisationens skydd kan du uppnå det här målet med villkorsstyrd åtkomst. Den här artikeln förklarar hur du kan konfigurera principer för villkorsstyrd åtkomst som blockerar äldre autentisering för alla arbetsbelastningar i din klientorganisation.

När du distribuerar blockeringsskydd för äldre autentisering rekommenderar vi en stegvis metod i stället för att inaktivera den för alla användare samtidigt. Kunder kan välja att först börja inaktivera grundläggande autentisering per protokoll, genom att tillämpa Exchange Online autentiseringsprinciper och sedan (valfritt) även blockera äldre autentisering via principer för villkorsstyrd åtkomst när de är redo.

Kunder utan licenser som inkluderar villkorsstyrd åtkomst kan använda standardinställningar för säkerhet för att blockera äldre autentisering.

Förutsättningar

Den här artikeln förutsätter att du är bekant med de grundläggande begreppen i Azure AD villkorlig åtkomst.

Anteckning

Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsett att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Scenariobeskrivning

Azure AD stöder de mest använda autentiserings- och auktoriseringsprotokollen, inklusive äldre autentisering. Äldre autentisering kan inte fråga användarna om andrafaktorautentisering eller andra autentiseringskrav som krävs för att uppfylla principer för villkorlig åtkomst direkt. Det här autentiseringsmönstret omfattar grundläggande autentisering, en allmänt använd branschstandardmetod för att samla in information om användarnamn och lösenord. Exempel på program som vanligtvis eller endast använder äldre autentisering är:

  • Microsoft Office 2013 eller äldre.
  • Appar som använder e-postprotokoll som POP, IMAP och SMTP AUTH.

Mer information om stöd för modern autentisering i Office finns i Så här fungerar modern autentisering för Office-klientappar.

Enfaktorautentisering (till exempel användarnamn och lösenord) räcker inte i dag. Lösenord är dåliga eftersom de är lätta att gissa och vi (människor) är dåliga på att välja bra lösenord. Lösenord är också sårbara för olika attacker, till exempel nätfiske och lösenordsspray. En av de enklaste sakerna du kan göra för att skydda mot lösenordshot är att implementera multifaktorautentisering (MFA). Med MFA räcker inte enbart lösenordet för att autentisera och komma åt data även om en angripare får tillgång till en användares lösenord.

Hur kan du förhindra att appar som använder äldre autentisering kommer åt klientorganisationens resurser? Rekommendationen är att bara blockera dem med en princip för villkorsstyrd åtkomst. Om det behövs tillåter du endast att vissa användare och specifika nätverksplatser använder appar som baseras på äldre autentisering.

Implementering

I det här avsnittet beskrivs hur du konfigurerar en princip för villkorsstyrd åtkomst för att blockera äldre autentisering.

Meddelandeprotokoll som stöder äldre autentisering

Följande meddelandeprotokoll stöder äldre autentisering:

  • Autentiserad SMTP – används för att skicka autentiserade e-postmeddelanden.
  • Automatisk upptäckt – Används av Outlook- och EAS-klienter för att hitta och ansluta till postlådor i Exchange Online.
  • Exchange ActiveSync (EAS) – Används för att ansluta till postlådor i Exchange Online.
  • Exchange Online PowerShell – används för att ansluta till Exchange Online med fjärr-PowerShell. Om du blockerar grundläggande autentisering för Exchange Online PowerShell måste du använda Exchange Online PowerShell-modulen för att ansluta. Anvisningar finns i Ansluta till Exchange Online PowerShell med multifaktorautentisering.
  • Exchange Web Services (EWS) – ett programmeringsgränssnitt som används av Outlook, Outlook för Mac och appar från tredje part.
  • IMAP4 – används av IMAP-e-postklienter.
  • MAPI över HTTP (MAPI/HTTP) – Primärt protokoll för postlådeåtkomst som används av Outlook 2010 SP2 och senare.
  • Offlineadressbok (OAB) – En kopia av samlingar med adresslistor som laddas ned och används av Outlook.
  • Outlook Anywhere (RPC över HTTP) – Äldre protokoll för postlådeåtkomst som stöds av alla aktuella Outlook-versioner.
  • POP3 – Används av POP-e-postklienter.
  • Reporting Web Services – används för att hämta rapportdata i Exchange Online.
  • Universell Outlook – används av e-post- och kalenderappen för Windows 10.
  • Andra klienter – Andra protokoll som identifieras använda äldre autentisering.

Mer information om dessa autentiseringsprotokoll och tjänster finns i Rapporter om inloggningsaktivitet i Azure Active Directory-portalen.

Identifiera användning av äldre autentisering

Innan du kan blockera äldre autentisering i katalogen måste du först förstå om användarna har klienter som använder äldre autentisering. Nedan hittar du användbar information för att identifiera och prioritera var klienter använder äldre autentisering.

Indikatorer från Azure AD

  1. Gå tillinloggningsloggarnaför Azure Portal>Azure Active Directory>.
  2. Lägg till kolumnen Klientapp om den inte visas genom att klicka på Klientapp för kolumner>.
  3. Lägg till filter>Klientapp> välj alla äldre autentiseringsprotokoll. Välj utanför filtreringsdialogrutan för att tillämpa dina val och stäng dialogrutan.
  4. Om du har aktiverat den nya förhandsgranskningen av inloggningsaktivitetsrapporterna upprepar du ovanstående steg även på fliken Användarinloggningar (icke-interaktiva).

Filtrering visar endast inloggningsförsök som gjorts av äldre autentiseringsprotokoll. Om du klickar på varje enskilt inloggningsförsök visas mer information. Fältet Klientapp under fliken Grundläggande information anger vilket äldre autentiseringsprotokoll som användes.

Loggarna visar var användarna använder klienter som fortfarande är beroende av äldre autentisering. För användare som inte visas i dessa loggar och som bekräftas att de inte använder äldre autentisering implementerar du endast en princip för villkorsstyrd åtkomst för dessa användare.

För att hjälpa till att prioritera äldre autentisering i klientorganisationen använder du dessutom inloggningarna med en äldre autentiseringsarbetsbok.

Indikatorer från klienten

Information om hur du avgör om en klient använder äldre eller modern autentisering baserat på dialogrutan som visas vid inloggningen finns i artikeln Utfasning av grundläggande autentisering i Exchange Online.

Att tänka på

Många klienter som tidigare bara hade stöd för äldre autentisering har nu stöd för modern autentisering. Klienter som stöder både äldre och modern autentisering kan kräva konfigurationsuppdatering för att gå från äldre till modern autentisering. Om du ser modern mobil, skrivbordsklient eller webbläsare för en klient i Azure AD loggar använder den modern autentisering. Om den har ett specifikt klient- eller protokollnamn, till exempel Exchange ActiveSync, använder den äldre autentisering. Klienttyperna i villkorlig åtkomst Azure AD inloggningsloggar och den äldre autentiseringsarbetsboken skiljer mellan moderna och äldre autentiseringsklienter åt dig.

  • Klienter som stöder modern autentisering men inte är konfigurerade för att använda modern autentisering bör uppdateras eller konfigureras om för att använda modern autentisering.
  • Alla klienter som inte stöder modern autentisering bör ersättas.

Viktigt

Exchange Active Sync med certifikatbaserad autentisering (CBA)

När du implementerar Exchange Active Sync (EAS) med CBA konfigurerar du klienterna så att de använder modern autentisering. Klienter som inte använder modern autentisering för EAS med CBA blockeras inte med utfasning av grundläggande autentisering i Exchange Online. Dessa klienter blockeras dock av principer för villkorsstyrd åtkomst som konfigurerats för att blockera äldre autentisering.

Mer information om hur du implementerar stöd för CBA med Azure AD och modern autentisering finns i: Så här konfigurerar du Azure AD certifikatbaserad autentisering (förhandsversion). Som ett annat alternativ kan CBA som utförs på en federationsserver användas med modern autentisering.

Om du använder Microsoft Intune kanske du kan ändra autentiseringstypen med hjälp av den e-postprofil som du push-överför eller distribuerar till dina enheter. Om du använder iOS-enheter (iPhone och iPad) bör du ta en titt på Lägg till e-postinställningar för iOS- och iPadOS-enheter i Microsoft Intune.

Blockera äldre autentisering

Det finns två sätt att använda principer för villkorsstyrd åtkomst för att blockera äldre autentisering.

Direkt blockering av äldre autentisering

Det enklaste sättet att blockera äldre autentisering i hela organisationen är genom att konfigurera en princip för villkorsstyrd åtkomst som gäller specifikt för äldre autentiseringsklienter och blockerar åtkomst. När du tilldelar användare och program till principen måste du exkludera användare och tjänstkonton som fortfarande behöver logga in med äldre autentisering. När du väljer de molnappar där den här principen ska tillämpas väljer du Alla molnappar, riktade appar som Office 365 (rekommenderas) eller minst Office 365 Exchange Online. Konfigurera klientappens villkor genom att välja Exchange ActiveSync klienter och Andra klienter. Om du vill blockera åtkomst för dessa klientappar konfigurerar du åtkomstkontrollerna till Blockera åtkomst.

Villkor för klientappar som konfigurerats för att blockera äldre autentisering

Indirekt blockerande äldre autentisering

Om din organisation inte är redo att blockera äldre autentisering i hela organisationen bör du se till att inloggningar som använder äldre autentisering inte kringgår principer som kräver beviljandekontroller som kräver multifaktorautentisering eller kompatibel/hybrid Azure AD anslutna enheter. Under autentiseringen stöder äldre autentiseringsklienter inte att skicka MFA, enhetsefterlevnad eller ansluta tillståndsinformation till Azure AD. Tillämpa därför principer med beviljandekontroller för alla klientprogram så att äldre autentiseringsbaserade inloggningar som inte kan uppfylla beviljandekontrollerna blockeras. Med den allmänna tillgängligheten för klientappvillkoret i augusti 2020 gäller nyligen skapade principer för villkorsstyrd åtkomst för alla klientappar som standard.

Standardkonfiguration för klientappars villkor

Det här bör du veta

Det kan ta upp till 24 timmar innan principen för villkorsstyrd åtkomst börjar gälla.

Om du blockerar åtkomst med andra klienter blockeras även Exchange Online PowerShell och Dynamics 365 med grundläggande autentisering.

Om du konfigurerar en princip för Andra klienter blockeras hela organisationen från vissa klienter som SPConnect. Det här blocket beror på att äldre klienter autentiseras på oväntade sätt. Problemet gäller inte för större Office-program som de äldre Office-klienterna.

Du kan välja alla tillgängliga beviljandekontroller för villkoret Andra klienter . Slutanvändarupplevelsen är dock alltid densamma – blockerad åtkomst.

Nästa steg