使用 Microsoft Entra 條件式存取封鎖舊版驗證

為了讓用戶輕鬆存取雲端應用程式，Microsoft Entra ID 支援各種不同的驗證通訊協定，包括舊版驗證。 不過，舊版驗證不支援多重要素驗證 （MFA） 之類的專案。 MFA 是改善組織中安全性狀態的常見需求。

根據 Microsoft 分析超過 97% 的認證填充攻擊使用舊版驗證，超過 99% 的密碼噴洒攻擊使用舊版驗證通訊協定。 這些攻擊會在基本身份驗證停用或封鎖時停止。

注意

自 2022 年 10 月 1 日起，我們將開始在所有 Microsoft 365 租使用者中永久停用 Exchange Online 的基本身份驗證，不論使用方式為何，但 SMTP 驗證除外。 如需詳細資訊，請參閱在 Exchange Online 中淘汰基本身份驗證一文

Microsoft 身分識別安全性主管 Alex Weinert，在 2020 年 3 月 12 日部落格文章 新工具，以封鎖貴組織中的 舊版驗證，強調為何組織應該封鎖舊版驗證，以及 Microsoft 提供哪些其他工具來完成這項工作：

本文說明如何設定條件式存取原則，以封鎖租用戶內所有工作負載的舊版驗證。

在推出舊版驗證封鎖保護時，我們建議使用階段式方法，而不是一次停用所有使用者。 客戶可以選擇先依通訊協議開始停用基本身份驗證，方法是套用 Exchange Online 驗證原則，然後（選擇性地）也會在就緒時透過條件式存取原則封鎖舊版驗證。

沒有包含條件式存取授權的客戶可以使用 安全性預設值 來封鎖舊版驗證。

必要條件

本文假設您已熟悉 Microsoft Entra 條件式存取的基本概念 。

注意

完成第一個要素驗證之後，即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線，但是可以利用來自這些事件的訊號來決定存取權。

案例描述

Microsoft Entra ID 支援最廣泛使用的驗證和授權通訊協定，包括舊版驗證。 舊版驗證無法提示使用者直接滿足條件式存取原則所需的第二因素驗證或其他驗證需求。 此驗證模式包含基本身份驗證，這是收集使用者名稱和密碼資訊的廣泛使用業界標準方法。 通常或只使用舊版驗證的應用程式範例包括：

• Microsoft Office 2013 或更新版本。
• 使用 POP、IMAP 和 SMTP 驗證等郵件通訊協定的應用程式。

如需 Office 中新式驗證支援的詳細資訊，請參閱 新式驗證如何適用於 Office 用戶端應用程式。

單一要素驗證（例如使用者名稱和密碼）目前還不夠。 密碼是錯誤的，因為它們很容易猜測，我們（人類）不好選擇好密碼。 密碼也容易受到各種攻擊，例如網路釣魚和密碼噴灑。 為了防範密碼威脅，您可以做的其中一件事是實作多重要素驗證（MFA）。 使用 MFA 時，即使攻擊者擁有用戶的密碼，單靠密碼就不足以成功驗證和存取數據。

如何防止使用舊版驗證的應用程式存取租用戶的資源？ 建議只是使用條件式存取原則來封鎖它們。 如有必要，您只允許特定使用者和特定網路位置使用以舊版驗證為基礎的應用程式。

實作

本節說明如何設定條件式存取原則來封鎖舊版驗證。

支援舊版驗證的傳訊通訊協定

下列傳訊通訊協定支援舊版驗證：

• 已驗證的 SMTP - 用來傳送已驗證的電子郵件訊息。
• 自動探索 - Outlook 和 EAS 用戶端用來尋找並連線到 Exchange Online 中的信箱。
• Exchange ActiveSync （EAS） - 用來連線到 Exchange Online 中的信箱。
• Exchange Online PowerShell - 用來使用遠端 PowerShell 連線到 Exchange Online。 如果您封鎖 Exchange Online PowerShell 的基本身份驗證，則必須使用 Exchange Online PowerShell 模組進行連線。 如需指示，請參閱使用多重要素驗證 連線 Exchange Online PowerShell。
• Exchange Web Services （EWS） - Outlook、Mac 版 Outlook 和第三方應用程式所使用的程序設計介面。
• IMAP4 - 由 IMAP 電子郵件客戶程式使用。
• MAPI over HTTP （MAPI/HTTP） - Outlook 2010 SP2 和更新版本所使用的主要信箱存取通訊協定。
• 離線通訊錄 （OAB） - Outlook 下載及使用的通訊清單集合複本。
• Outlook Anywhere （RPC over HTTP） - 所有目前 Outlook 版本支援的舊版信箱存取通訊協定。
• POP3 - POP 電子郵件客戶程式使用。
• Reporting Web Services - 用來擷取 Exchange Online 中的報表數據。
• 通用 Outlook - 適用於 Windows 10 的郵件和行事曆應用程式使用。
• 其他用戶端 - 識別為使用舊版驗證的其他通訊協定。

如需這些驗證通訊協議和服務的詳細資訊，請參閱 登入記錄活動詳細數據。

識別舊版驗證使用

在您可以封鎖目錄中的舊版驗證之前，必須先瞭解您的使用者是否有使用舊版驗證的用戶端應用程式。

登入記錄指標

1. 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 [身分>識別監視與健康情況>登入記錄]。
3. 如果用戶端應用程式資料行未顯示，請按下> [資料行用戶端應用程式] 來新增它。
4. 選取 [新增篩選器>用戶端應用程式>] 選擇所有舊版驗證通訊協議，然後選取 [套用]。
5. 如果您已啟用新的登入活動報告預覽，請在 [使用者登入] 索引標籤上重複上述步驟。

篩選會顯示由舊版驗證通訊協議進行的登入嘗試。 按兩下每個個別登入嘗試會顯示更多詳細數據。 [基本資訊] 索引標籤的 [用戶端應用程式] 字段會指出使用了哪些舊版驗證通訊協定。

這些記錄會指出使用者目前仍依賴舊版驗證的用戶端。 針對未出現在這些記錄中且已確認未使用舊版驗證的使用者，請只針對這些用戶實作條件式存取原則。

此外，若要協助分級租使用者內的舊版驗證，請使用 使用舊版驗證活頁簿的登入。

來自用戶端的指標

若要根據登入時顯示的對話框來判斷用戶端是否使用舊版或新式驗證，請參閱在 Exchange Online 中淘汰基本身份驗證一文。

重要考量

先前只支援舊版驗證的許多用戶端現在都支援新式驗證。 支援舊版和新式驗證的用戶端可能需要設定更新，才能從舊版移至新式驗證。 如果您在 登入記錄中看到用戶端的新式行動裝置、 桌面用戶端 或 瀏覽器 ，則會使用新式驗證。 如果它有特定的用戶端或通訊協議名稱，例如 Exchange ActiveSync，則會使用舊版驗證。 條件式存取、登入記錄和舊版驗證活頁簿中的用戶端類型會為您區分新式和舊版驗證用戶端。

• 支援新式驗證但未設定為使用新式驗證的用戶端，應更新或重新設定為使用新式驗證。
• 應取代不支援新式驗證的所有用戶端。

重要

Exchange Active Sync with Certificate-based authentication （CBA）

使用 CBA 實作 Exchange Active Sync （EAS） 時，請將客戶端設定為使用新式驗證。 未使用新式EAS 與 CBA 驗證的用戶端不會在Exchange Online 中淘汰基本身份驗證而遭到封鎖。 不過，這些用戶端 會 遭到設定為封鎖舊版驗證的條件式存取原則封鎖。

如需使用 Microsoft Entra ID 和新式驗證實作 CBA 支援的詳細資訊，請參閱： 如何設定 Microsoft Entra 憑證型驗證 （預覽） 。 作為另一個選項，在同盟伺服器上執行的 CBA 可以搭配新式驗證使用。

如果您使用 Microsoft Intune，您可以使用您推送或部署至裝置的電子郵件設置檔來變更驗證類型。 如果您使用 iOS 裝置（i 電話 和 iPad），您應該看看在 Microsoft Intune 中新增 iOS 和 iPadOS 裝置的電子郵件設定。

封鎖舊式驗證

有兩種方式可以使用條件式存取原則來封鎖舊版驗證。

• 直接封鎖舊式驗證
• 間接封鎖舊式驗證

直接封鎖舊式驗證

若要封鎖整個組織的舊版驗證，最簡單的方式是設定特別套用至舊版驗證客戶端的條件式存取原則，並封鎖存取。 將使用者和應用程式指派給原則時，請務必排除仍需要使用舊版驗證登入的使用者和服務帳戶。 選擇要套用此原則的雲端應用程式時，請選取 [所有雲端應用程式]、目標應用程式，例如 Office 365（建議使用）或至少 Office 365 Exchange Online。 組織可以使用條件式存取範本或通用原則條件式存取中可用的原則：封鎖舊版驗證作為參考。

間接封鎖舊式驗證

如果您的組織尚未準備好完全封鎖舊版驗證，您應該確定使用舊版驗證的登入不會略過需要授與控制的原則，例如多重要素驗證。 在驗證期間，舊版驗證客戶端不支援將 MFA、裝置合規性或將狀態資訊加入 Microsoft Entra ID。 因此，將具有授與控件的原則套用至所有用戶端應用程式，以便封鎖無法滿足授與控件的舊版驗證型登入。 隨著 2020 年 8 月用戶端應用程式條件的正式運作，新建立的條件式存取原則預設會套用至所有用戶端應用程式。

您應該知道的事情

條件式存取原則最多可能需要 24 小時才會生效。

封鎖使用 其他用戶端 的存取也會封鎖使用基本身份驗證的 Exchange Online PowerShell 和 Dynamics 365。

設定其他客戶端的原則會封鎖整個組織，例如SP連線。 發生此區塊的原因是較舊的用戶端會以非預期的方式進行驗證。 此問題不適用於舊版 Office 用戶端等主要 Office 應用程式 數據。

您可以選取 [其他用戶端] 條件的所有可用授與控件;不過，用戶體驗一律是相同的 - 封鎖存取權。

下一步

• 使用僅限條件式存取報表模式來判斷效果
• 如果您還不熟悉設定條件式存取原則，請參閱 使用 Microsoft Entra 條件式存取 針對特定應用程式要求 MFA，以取得範例。
• 如需新式驗證支援的詳細資訊，請參閱 新式驗證如何適用於 Office 用戶端應用程式
• 如何使用 Microsoft 365 設定多功能裝置或應用程式以傳送電子郵件
• 在 Exchange Online 中啟用新式驗證
• 在 Windows 裝置上啟用 Office 2013 的新式驗證
• 如何設定 Exchange Server 內部部署以使用混合新式驗證
• 如何使用新式驗證搭配 商務用 Skype