Blockera äldre autentisering med villkorsstyrd åtkomst i Microsoft Entra
För att ge användarna enkel åtkomst till dina molnappar stöder Microsoft Entra-ID en mängd olika autentiseringsprotokoll, inklusive äldre autentisering. Äldre autentisering stöder dock inte saker som multifaktorautentisering (MFA). MFA är ett vanligt krav för att förbättra säkerhetsstatusen i organisationer.
Baserat på Microsofts analys använder mer än 97 procent av autentiseringsattackerna äldre autentisering och mer än 99 procent av lösenordssprayattackerna använder äldre autentiseringsprotokoll. Dessa attacker skulle sluta med grundläggande autentisering inaktiverad eller blockerad.
Kommentar
Från och med den 1 oktober 2022 börjar vi permanent inaktivera grundläggande autentisering för Exchange Online i alla Microsoft 365-klienter oavsett användning, förutom SMTP-autentisering. Mer information finns i artikeln Utfasning av grundläggande autentisering i Exchange Online
Alex Weinert, chef för identitetssäkerhet på Microsoft, i sitt blogginlägg från den 12 mars 2020 Nya verktyg för att blockera äldre autentisering i din organisation betonar varför organisationer ska blockera äldre autentisering och vilka andra verktyg Microsoft tillhandahåller för att utföra den här uppgiften:
Den här artikeln förklarar hur du kan konfigurera principer för villkorsstyrd åtkomst som blockerar äldre autentisering för alla arbetsbelastningar i din klientorganisation.
När äldre autentisering blockerar skydd rekommenderar vi en stegvis metod i stället för att inaktivera den för alla användare samtidigt. Kunder kan börja inaktivera grundläggande autentisering per protokoll, genom att tillämpa Exchange Online-autentiseringsprinciper och sedan (valfritt) även blockera äldre autentisering via principer för villkorsstyrd åtkomst när de är klara.
Kunder utan licenser som innehåller villkorsstyrd åtkomst kan använda säkerhetsstandarder för att blockera äldre autentisering.
Förutsättningar
Den här artikeln förutsätter att du är bekant med de grundläggande begreppen för villkorsstyrd åtkomst i Microsoft Entra.
Kommentar
Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.
Beskrivning av scenario
Microsoft Entra ID stöder de mest använda autentiserings- och auktoriseringsprotokollen, inklusive äldre autentisering. Äldre autentisering kan inte fråga användarna om andra faktorautentisering eller andra autentiseringskrav som krävs för att uppfylla principer för villkorsstyrd åtkomst, direkt. Det här autentiseringsmönstret omfattar grundläggande autentisering, en allmänt använd branschstandardmetod för insamling av användarnamn och lösenordsinformation. Exempel på program som vanligtvis eller endast använder äldre autentisering är:
- Microsoft Office 2013 eller äldre.
- Appar som använder e-postprotokoll som POP, IMAP och SMTP AUTH.
Mer information om stöd för modern autentisering i Office finns i Så här fungerar modern autentisering för Office-klientappar.
Enfaktorautentisering (till exempel användarnamn och lösenord) räcker inte i dessa dagar. Lösenord är dåliga eftersom de är lätta att gissa och vi (människor) är dåliga på att välja bra lösenord. Lösenord är också sårbara för olika attacker, till exempel nätfiske och lösenordsspray. En av de enklaste sakerna du kan göra för att skydda mot lösenordshot är att implementera multifaktorautentisering (MFA). Med MFA räcker inte enbart lösenordet för att autentisera och komma åt data, även om en angripare får tillgång till en användares lösenord.
Hur kan du förhindra att appar som använder äldre autentisering kommer åt klientorganisationens resurser? Rekommendationen är att bara blockera dem med en princip för villkorsstyrd åtkomst. Om det behövs tillåter du endast vissa användare och specifika nätverksplatser att använda appar som baseras på äldre autentisering.
Implementering
I det här avsnittet beskrivs hur du konfigurerar en princip för villkorlig åtkomst för att blockera äldre autentisering.
Meddelandeprotokoll som stöder äldre autentisering
Följande meddelandeprotokoll stöder äldre autentisering:
- Autentiserad SMTP – används för att skicka autentiserade e-postmeddelanden.
- Automatisk upptäckt – Används av Outlook- och EAS-klienter för att hitta och ansluta till postlådor i Exchange Online.
- Exchange ActiveSync (EAS) – Används för att ansluta till postlådor i Exchange Online.
- Exchange Online PowerShell – Används för att ansluta till Exchange Online med fjärransluten PowerShell. Om du blockerar Grundläggande autentisering för Exchange Online PowerShell måste du använda Exchange Online PowerShell-modulen för att ansluta. Anvisningar finns i Ansluta till Exchange Online PowerShell med multifaktorautentisering.
- Exchange Web Services (EWS) – ett programmeringsgränssnitt som används av Outlook, Outlook för Mac och andra appar än Microsoft.
- IMAP4 – används av IMAP-e-postklienter.
- MAPI via HTTP (MAPI/HTTP) – Åtkomstprotokoll för primär postlåda som används av Outlook 2010 SP2 och senare.
- Offlineadressbok (OAB) – en kopia av adresslistesamlingar som laddas ned och används av Outlook.
- Outlook Anywhere (RPC via HTTP) – Äldre postlådeåtkomstprotokoll som stöds av alla aktuella Outlook-versioner.
- POP3 – Används av POP-e-postklienter.
- Reporting Web Services – används för att hämta rapportdata i Exchange Online.
- Universell Outlook – används av appen E-post och kalender för Windows 10.
- Andra klienter – Andra protokoll som identifieras som användning av äldre autentisering.
Mer information om dessa autentiseringsprotokoll och tjänster finns i Information om inloggningsloggaktivitet.
Identifiera äldre autentiseringsanvändning
Innan du kan blockera äldre autentisering i katalogen måste du först förstå om användarna har klientappar som använder äldre autentisering.
Inloggningsloggindikatorer
- Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
- Bläddra till Loggar för identitetsövervakning>och hälsoinloggning.>
- Lägg till kolumnen Klientapp om den inte visas genom att klicka på Klientapp för kolumner>.
- Välj Lägg till filter>Klientapp> välj alla äldre autentiseringsprotokoll och välj Tillämpa.
- Utför också de här stegen på fliken Användarinloggningar (icke-interaktiva).
Filtrering visar inloggningsförsök som görs av äldre autentiseringsprotokoll. Om du klickar på varje enskilt inloggningsförsök visas mer information. Fältet Klientapp under fliken Grundläggande information anger vilket äldre autentiseringsprotokoll som användes.
Dessa loggar anger var användarna använder klienter som fortfarande är beroende av äldre autentisering. För användare som inte visas i dessa loggar och som bekräftas att de inte använder äldre autentisering implementerar du endast en princip för villkorsstyrd åtkomst för dessa användare.
För att hjälpa dig att sortera äldre autentisering i klientorganisationen använder du dessutom inloggningarna med hjälp av en äldre autentiseringsarbetsbok.
Indikatorer från klienten
Information om huruvida en klient använder äldre eller modern autentisering baserat på dialogrutan som visas vid inloggningen finns i artikeln Utfasning av grundläggande autentisering i Exchange Online.
Viktigt!
Klienter som stöder både äldre och modern autentisering kan kräva en konfigurationsuppdatering för att gå från äldre till modern autentisering. Om du ser modern mobil, skrivbordsklient eller webbläsare för en klient i inloggningsloggarna använder den modern autentisering. Om den har ett specifikt klient- eller protokollnamn, till exempel Exchange ActiveSync, använder den äldre autentisering. Klienttyperna i villkorlig åtkomst, inloggningsloggar och den äldre autentiseringsarbetsboken skiljer mellan moderna och äldre autentiseringsklienter åt dig.
- Klienter som stöder modern autentisering men inte är konfigurerade att använda modern autentisering bör uppdateras eller konfigureras om för att använda modern autentisering.
- Alla klienter som inte stöder modern autentisering bör ersättas.
Viktigt!
Exchange Active Sync med certifikatbaserad autentisering (CBA)
När du implementerar Exchange Active Sync (EAS) med CBA konfigurerar du klienter att använda modern autentisering. Klienter som inte använder modern autentisering för EAS med CBA blockeras inte med utfasning av grundläggande autentisering i Exchange Online. Dessa klienter blockeras dock av principer för villkorsstyrd åtkomst som har konfigurerats för att blockera äldre autentisering.
Mer information om hur du implementerar stöd för CBA med Microsoft Entra-ID och modern autentisering finns i: Så här konfigurerar du Microsoft Entra-certifikatbaserad autentisering (förhandsversion). Som ett annat alternativ kan CBA som utförs på en federationsserver användas med modern autentisering.
Om du använder Microsoft Intune kanske du kan ändra autentiseringstypen med hjälp av den e-postprofil som du pushar eller distribuerar till dina enheter. Om du använder iOS-enheter (iPhone och iPad) bör du ta en titt på Lägg till e-postinställningar för iOS- och iPadOS-enheter i Microsoft Intune.
Blockera äldre autentisering
Det finns två sätt att använda principer för villkorlig åtkomst för att blockera äldre autentisering.
Direkt blockering av äldre autentisering
Det enklaste sättet att blockera äldre autentisering i hela organisationen är genom att konfigurera en princip för villkorlig åtkomst som gäller specifikt för äldre autentiseringsklienter och blockerar åtkomst. När du tilldelar användare och program till principen måste du undanta användare och tjänstkonton som fortfarande behöver logga in med äldre autentisering. När du väljer de molnappar där principen ska tillämpas väljer du Alla resurser, riktade appar som Office 365 (rekommenderas) eller minst Office 365 Exchange Online. Organisationer kan använda principen som är tillgänglig i mallar för villkorsstyrd åtkomst eller den gemensamma principen Villkorlig åtkomst: Blockera äldre autentisering som referens.
Indirekt blockering av äldre autentisering
Om din organisation inte är redo att blockera äldre autentisering helt bör du se till att inloggningar med äldre autentisering inte kringgår principer som kräver beviljandekontroller som multifaktorautentisering. Under autentiseringen stöder äldre autentiseringsklienter inte att skicka MFA, enhetsefterlevnad eller ansluta tillståndsinformation till Microsoft Entra-ID. Tillämpa därför principer med beviljandekontroller för alla klientprogram så att äldre autentiseringsbaserade inloggningar som inte kan uppfylla beviljandekontrollerna blockeras. Med den allmänna tillgängligheten för klientappsvillkoret i augusti 2020 gäller nyligen skapade principer för villkorsstyrd åtkomst för alla klientappar som standard.
Det här bör du känna till
Det kan ta upp till 24 timmar innan principen för villkorsstyrd åtkomst träder i kraft.
Om du blockerar åtkomst med andra klienter blockeras även Exchange Online PowerShell och Dynamics 365 med grundläggande autentisering.
Om du konfigurerar en princip för Andra klienter blockeras hela organisationen från vissa klienter som SPConnect. Det här blocket inträffar eftersom äldre klienter autentiserar på oväntade sätt. Problemet gäller inte större Office-appen likeringar som de äldre Office-klienterna.
Du kan välja alla tillgängliga beviljandekontroller för villkoret Andra klienter . Slutanvändarens upplevelse är dock alltid densamma – blockerad åtkomst.
Nästa steg
- Fastställa effekten med hjälp av rapportläge för villkorsstyrd åtkomst
- Mer information om stöd för modern autentisering finns i Så här fungerar modern autentisering för Office-klientappar
- Så här konfigurerar du en enhet eller ett program för flera funktioner för att skicka e-post med Microsoft 365
- Aktivera modern autentisering i Exchange Online
- Konfigurera Exchange Server lokalt att använda Modern hybridautentisering