使用条件访问功能阻止旧式身份验证

Microsoft 建议组织使用不支持多重身份验证的旧协议来阻止身份验证请求。 根据 Microsoft 的分析结果显示，超过 97% 的凭据填充攻击使用旧式身份验证，超过 99% 的密码喷洒攻击使用旧式身份验证协议。 禁用或阻止基本身份验证即可阻止上述攻击。

没有许可证（包括条件访问）的客户可以使用 安全默认值 来阻止旧式身份验证。

用户排除项

条件访问策略是功能强大的工具。 建议从策略中排除以下帐户：

• “紧急访问”帐户或“应急”帐户，用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下，紧急访问管理帐户可用于登录和恢复访问权限。
  • 有关详细信息，请参阅文章《在 Microsoft Entra ID 中管理紧急访问帐户》。
• Service accounts 和 Service principals（如 Microsoft Entra Connect Sync Account）。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序，但它们也用于登录系统以实现管理目的。 由服务主体（service principal）发出的调用不受适用于用户的条件访问策略的阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
  • 如果你的组织在脚本或代码中使用这些帐户，请将这些帐户替换为 托管标识。

模板部署

组织可以按照下面所述的步骤或使用 条件访问模板部署此策略。

创建条件访问策略

以下步骤将帮助创建条件访问策略以阻止旧式身份验证请求。 此策略被设置为 仅报告模式 开始，这样管理员可以确定其对现有用户的影响。 当管理员认为策略按预期方式应用时，可以通过添加特定组并排除其他组来切换到“开”或暂存部署。

1. 登录到 Microsoft Entra 管理中心，身份至少是 条件访问管理员。
2. 浏览到 Entra ID条件访问策略。
3. 选择“新策略”。
4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
5. 在“分配”下，选择“用户或工作负载标识”。
   1. 在“包括”下，选择“所有用户”。
   2. 在“排除”下，选择“用户和组”，然后选择必须保留使用旧式身份验证功能的任何帐户。 Microsoft 建议你至少排除一个帐户，以防止你自己由于配置错误而被锁定。
6. 在目标资源资源（以前称为云应用）包括下，选择所有资源（以前称为“所有云应用”）。
7. 在“条件”“客户端应用”下，将“配置”设置为“是”。
   1. 仅勾选“Exchange ActiveSync 客户端”和“其他客户端”框。
   2. 选择“完成”。
8. 在“访问控制”“授予”下，选择“阻止访问”。
   1. 选择“选择”。
9. 确认设置，然后将“启用策略”设置为“仅限报告”。
10. 选择“ 创建 ”以启用策略。

在使用“策略影响”或“仅报告”模式确认设置后，将“启用策略”开关从“仅报告”切换至“开启”。

注意

完成第一因素身份验证后将强制执行条件访问策略。 在遇到拒绝服务 (DoS) 攻击等情景中，条件访问不应充当组织的第一道防线，但它可以使用这些事件的信号来确定访问权限。

识别旧式身份验证的使用情况

若要了解用户是否有使用旧式身份验证的客户端应用，管理员可通过以下步骤检查登录日志中的指示器：

1. 至少以 Reports Reader 身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID监控与健康状况登录日志。
3. 如果未显示“客户端应用”列，请单击“列”“客户端应用”以添加该列。
4. 选择“添加筛选器”“客户端应用”，选择所有旧式身份验证协议，并选择“应用”。
5. 此外，请在 “用户登录”（非交互式） 选项卡上执行这些步骤。

筛选显示通过旧式身份验证协议进行的登录尝试。 单击每个登录尝试会显示更多详细信息。 “基本信息”选项卡下的“客户端应用”字段指示使用了哪些旧身份验证协议。 这些日志指示使用依赖于旧式身份验证的客户端的用户。

此外，为了帮助对租户中的旧式身份验证进行分类，请使用旧式身份验证登录分析工作簿。

相关内容

• Exchange Online 弃用基本身份验证
• 如何设置多功能设备或应用程序，以使用 Microsoft 365 发送电子邮件
• 新式身份验证如何适用于 Office 客户端应用
• 连接到 Exchange Online PowerShell