分享方式:

使用 Microsoft Entra 條件式存取封鎖舊式驗證

  • 文章

為了讓使用者能夠輕鬆存取雲端應用程式,Microsoft Entra ID 支援多種驗證通訊協定,包括舊式驗證。 不過,舊式驗證不支援多重要素驗證 (MFA) 之類的功能。 MFA 是改善組織安全性態勢的常見需求。

根據 Microsoft 分析,超過 97% 的認證填充攻擊使用舊式驗證,超過 99% 的密碼噴灑攻擊使用舊式驗證通訊協定。 這些攻擊會在基本身份驗證停用或封鎖時停止。

注意

自 2022 年 10 月 1 日起生效,我們將開始永久停用所有 Microsoft 365 租用戶中 Exchange Online 的基本驗證,不論其使用方式,但 SMTP 驗證除外。 如需詳細資訊,請參閱本文淘汰 Exchange Online 中的基本驗證

Microsoft 身分識別安全性總監 Alex Weinert 在 2020 年 3 月 12 日發表了一篇部落格文章:封鎖組織中舊式驗證的新工具。文中強調組織為何應封鎖舊式驗證,並重點介紹 Microsoft 為了達成這項工作所提供的其他工具:

本文說明如何設定條件式存取原則來為您租用戶內的所有工作負載封鎖舊式驗證。

在推出舊式驗證封鎖保護時,建議使用分段式方法,而不是一次針對所有使用者將其停用。 客戶可能會藉由套用 Exchange Online 驗證原則,開始依每個通訊協定停用基本身份驗證,然後(選擇性地)也會在就緒時透過條件式存取原則封鎖舊版驗證。

客戶若沒有包含條件式存取的授權,則可以利用安全性預設值來封鎖舊式驗證。

必要條件

本文假設您熟悉 Microsoft Entra 條件式存取的基本概念

注意

完成第一個要素驗證之後,即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。

案例描述

Microsoft Entra ID 支援最常用的驗證和授權通訊協定,包括舊式驗證。 舊式驗證無法直接提示使用者滿足條件式存取原則所需的第二個要素驗證或其他驗證需求。 這個驗證模式包括基本驗證,這是廣泛使用的業界標準方法,用於收集使用者名稱與密碼資訊。 通常或僅使用舊式驗證的應用程式範例如下:

  • Microsoft Office 2013 或更舊版本。
  • 使用 POP、IMAP、SMTP AUTH 等郵件通訊協定的應用程式。

如需 Office 中新式驗證支援的詳細資訊,請參閱 Office 用戶端應用程式的新式驗證運作方式

在現今的環境中,單一要素驗證 (例如,使用者名稱和密碼) 已不敷使用。 密碼的缺點在於容易被猜到,且一般人不太懂得如何選擇理想的密碼。 密碼也很容易遭受各種攻擊,例如網路釣魚和密碼噴濺。 要防範密碼威脅,其中一種最簡單的方式就是實作多重要素驗證 (MFA)。 透過 MFA,即便攻擊者取得使用者的密碼,單靠密碼本身仍不足以成功進行驗證並存取資料。

如何防止使用舊式驗證的應用程式存取您租用戶的資源? 建議您使用條件式存取原則直接加以封鎖。 如有必要,您可以僅允許特定使用者和特定網路位置使用以舊式驗證為基礎的應用程式。

實作

本節說明如何使用條件式存取原則來封鎖舊式驗證。

支援舊式驗證的傳訊通訊協定

下列傳訊通訊協定支援舊式驗證:

  • 已驗證的 SMTP - 用來傳送已驗證的電子郵件訊息。
  • 自動探索 - 由 Outlook 與 EAS 用戶端用於尋找及連線至 Exchange Online 中的信箱。
  • Exchange ActiveSync (EAS) - 用來連線到 Exchange Online 中的信箱。
  • Exchange Online PowerShell - 用於透過 PowerShell 連線至 Exchange Online。 如果您封鎖 Exchange Online PowerShell 的基本驗證,則需使用 Exchange Online PowerShell 模組來連線。 如需指示,請參閱使用多重要素驗證連線至 Exchange Online PowerShell
  • Exchange Web Services (EWS) - Outlook、Mac 版 Outlook 和非Microsoft應用程式所使用的程序設計介面。
  • IMAP4 - IMAP 電子郵件用戶端所使用。
  • MAPI over HTTP (MAPI/HTTP) - Outlook 2010 SP2 和更新版本所使用的主要信箱存取通訊協定。
  • 離線通訊錄 (OAB) - Outlook 所下載與使用的一份地址清單集合。
  • Outlook Anywhere (RPC over HTTP) - 所有目前 Outlook 版本所支援的舊式信箱存取通訊協定。
  • POP3 - POP 電子郵件用戶端所使用。
  • Reporting Web Services - 用於擷取 Exchange Online 中的報告資料。
  • Universal Outlook - Windows 10 版郵件與行事曆應用程式所使用。
  • 其他用戶端 - 其他視為使用舊式驗證的通訊協定。

如需上述驗證通訊協定和服務的詳細資訊,請參閱登入記錄活動詳細資料

辨識是否使用舊式驗證

首先需要先瞭解您的使用者是否有使用舊式驗證的用戶端應用程式,如此才能在目錄中封鎖舊式驗證。

登入記錄指標

  1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄]
  3. 按一下 [資料行][用戶端應用程式]>,以新增未顯示的 [用戶端應用程式] 資料行。
  4. 選取 [新增篩選條件]>[用戶端應用程式]>,選擇所有的舊版驗證通訊協定,然後選取 [套用]
  5. 此外,請在 [使用者登入][非互動式] 索引標籤上執行這些步驟。

篩選後,只會顯示您使用舊式驗證通訊協定的登入嘗試。 按一下各項個別登入嘗試,即會顯示更多詳細資料。 [基本資訊] 索引標籤下方的 [用戶端應用程式] 欄位,會標明使用的舊式驗證通訊協定。

這些記錄會指出使用者正在使用仍然依賴舊式驗證的用戶端位置。 如果使用者未出現在這些記錄中,並已確認未使用舊版驗證,則請僅針對這些使用者實作條件式存取原則。

此外,若要協助將租用戶內的舊版驗證分級,請使用使用舊版驗證活頁簿的登入

來自用戶端的指標

若要根據登入時呈現的對話方塊來判斷用戶端使用舊版或新式驗證,請參閱在 Exchange Online 中淘汰基本驗證一文。

重要考量

支援舊版和新式驗證的用戶端可能需要設定更新,才能從舊版移轉至新式驗證。 如果您在登入記錄中看到用戶端的新式行動桌面用戶端瀏覽器,就表示是使用新式驗證。 如果有特定的用戶端或通訊協定名稱,例如 Exchange ActiveSync,則是使用舊版驗證。 條件式存取、登入記錄和舊式驗證活頁簿中的用戶端類型,會為您區分新式和舊式驗證用戶端。

  • 支援新式驗證但未設定為使用新式驗證的用戶端,應更新或重新設定以使用新式驗證。
  • 應取代不支援新式驗證的所有用戶端。

重要

具有憑證式驗證 (CBA) 的 EAS

實作具有 CBA 的 Exchange Active Sync (EAS) 時,請將用戶端設定為使用新式驗證。 針對具有 CBA 的 EAS 未使用新式驗證的用戶端,在 Exchange Online 中淘汰基本驗證不會封鎖。 不過,設定為封鎖舊版驗證的條件式存取原則會封鎖這些用戶端。

如需使用 Microsoft Entra ID 和新式驗證實作 CBA 支援的詳細資訊,請參閱:如何設定 Microsoft Entra 憑證式驗證 (預覽)。 另一個選項是在同盟伺服器上執行的 CBA 可以搭配新式驗證使用。

如果您使用 Microsoft Intune,您可以使用推送或部署至裝置的電子郵件設定檔來變更驗證類型。 如果您使用 iOS 裝置 (iPhone 和 iPad),您應該查看在 Microsoft Intune 中新增 iOS 和 iPadOS 裝置的電子郵件設定

封鎖舊式驗證

有兩種方式可使用條件式存取原則來封鎖舊式驗證。

直接封鎖舊式驗證

若要封鎖整個組織的舊式驗證,最簡單的方式就是設定特別適用於舊式驗證用戶端的條件式存取原則,並封鎖存取。 將使用者和應用程式指派給原則時,請務必排除仍需要使用舊式驗證登入的使用者和服務帳戶。 選擇要在其中套用此原則的雲端應用程式時,請選取所有雲端應用程式、Office 365 之類的目標應用程式 (建議使用) 或至少 Office 365 Exchange Online。 組織可以使用條件式存取範本提供的原則,或通用原則條件式存取:封鎖舊版驗證作為參考。

間接封鎖舊式驗證

如果您的組織尚未準備好完全封鎖舊式驗證,您仍應確定使用舊式驗證的登入不會略過需要授與控制權的原則,例如需要多重要素驗證。 在驗證期間,舊式驗證用戶端不支援將 MFA、裝置合規性或聯結狀態資訊傳送至 Microsoft Entra ID。 因此,將具有授與控制權的原則套用至所有用戶端應用程式,以便封鎖無法滿足授與控制權的舊版驗證型登入。 在 2020 年 8 月正式發行用戶端應用程式條件後,新建立的條件式存取原則預設會套用至所有用戶端應用程式。

您應該知道的事情

條件式存取原則最多可能需要 24 小時的時間才會生效。

使用 [其他用戶端] 封鎖存取時,也會封鎖使用基本驗證的 Exchange Online PowerShell 和 Dynamics 365。

其他用戶端設定原則會讓整個組織封鎖特定用戶端,例如 SPConnect。 之所以執行此封鎖,是因為舊版用戶端以非預期的方式進行驗證。 主要的 Office 應用程式 (例如,較舊的 Office 用戶端) 不會有這個問題。

您可以選取 [其他用戶端] 條件所有可用的授與控制項,但使用者體驗一律相同,存取均會遭到封鎖。

下一步