Régebbi hitelesítés letiltása a Microsoft Entra feltételes hozzáféréssel

  • Cikk

Annak érdekében, hogy a felhasználók könnyen hozzáférhessenek a felhőalkalmazásokhoz, a Microsoft Entra ID számos hitelesítési protokollt támogat, beleértve az örökölt hitelesítést is. Az örökölt hitelesítés azonban nem támogatja a többtényezős hitelesítést (MFA). Az MFA gyakori követelmény a szervezetek biztonsági helyzetének javításához.

A Microsoft elemzése alapján a hitelesítőadat-töltelékes támadások több mint 97 százaléka használ örökölt hitelesítést, a jelszóspray-támadások több mint 99 százaléka pedig örökölt hitelesítési protokollokat használ. Ezek a támadások leállnának, ha az alapszintű hitelesítés le van tiltva vagy le lett tiltva.

Feljegyzés

2022. október 1-jei hatállyal az SMTP-hitelesítés kivételével minden Microsoft 365-bérlőben elkezdjük az Exchange Online alapszintű hitelesítésének végleges letiltását az összes Microsoft 365-bérlőben. További információ: Az alapszintű hitelesítés elavulása az Exchange Online-ban

Alex Weinert, a Microsoft identitásbiztonsági igazgatója 2020. március 12-i blogbejegyzésében az örökölt hitelesítés letiltását lehetővé tévő új eszközök a szervezetben hangsúlyozza, hogy a szervezeteknek miért kell blokkolnia az örökölt hitelesítést, és milyen egyéb eszközöket biztosít a Microsoft a feladat elvégzéséhez:

Ez a cikk azt ismerteti, hogyan konfigurálhatók olyan feltételes hozzáférési szabályzatok, amelyek letiltják a bérlőn belüli összes számítási feladat örökölt hitelesítését.

Az örökölt hitelesítés blokkolásának bevezetésekor ahelyett, hogy az összes felhasználó számára egyszerre tiltanák le, javasoljuk, hogy egy szakaszos megközelítést alkalmazzon. Az ügyfelek dönthetnek úgy, hogy először elkezdik letiltani az alapszintű hitelesítést protokollonként az Exchange Online hitelesítési házirendjeinek alkalmazásával, majd (opcionálisan) a feltételes hozzáférési szabályzatokkal való korábbi hitelesítést is blokkolják, ha készen állnak.

A feltételes hozzáférést tartalmazó licenccel nem rendelkező ügyfelek biztonsági alapértelmezett beállításokat használhatnak az örökölt hitelesítés letiltásához.

Előfeltételek

Ez a cikk feltételezi, hogy ismeri a Microsoft Entra feltételes hozzáférés alapfogalmait .

Feljegyzés

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Forgatókönyv leírása

A Microsoft Entra ID a leggyakrabban használt hitelesítési és engedélyezési protokollokat támogatja, beleértve az örökölt hitelesítést is. Az örökölt hitelesítés nem kérheti a felhasználóktól a második tényezős hitelesítést vagy a feltételes hozzáférési szabályzatok teljesítéséhez szükséges egyéb hitelesítési követelményeket közvetlenül. Ez a hitelesítési minta alapszintű hitelesítést tartalmaz, amely széles körben használt iparági szabvány a felhasználónevek és a jelszóadatok gyűjtésére. Példák az örökölt hitelesítést gyakran vagy csak használó alkalmazásokra:

  • Microsoft Office 2013 vagy újabb verzió.
  • Az olyan levelezési protokollokat használó alkalmazások, mint a POP, az IMAP és az SMTP AUTH.

Az Office modern hitelesítésének támogatásával kapcsolatos további információkért lásd : Hogyan működik a modern hitelesítés az Office-ügyfélalkalmazásokban.

Az egytényezős hitelesítés (például felhasználónév és jelszó) manapság nem elegendő. A jelszavak rosszak, mivel könnyen kitalálhatóak, és mi (emberek) rosszak vagyunk a jó jelszavak kiválasztásában. A jelszavak különböző támadásoknak is ki vannak téve, például adathalászat és jelszópermet. A jelszófenyegetések elleni védelem egyik legegyszerűbb módja a többtényezős hitelesítés (MFA) megvalósítása. Az MFA használata esetén a jelszó önmagában nem elegendő az adatok sikeres hitelesítéséhez és eléréséhez, még akkor is, ha egy támadó rendelkezik egy felhasználó jelszavával.

Hogyan akadályozhatja meg, hogy az örökölt hitelesítést használó alkalmazások hozzáférjenek a bérlő erőforrásaihoz? A javaslat az, hogy csak letiltsa őket egy feltételes hozzáférési szabályzattal. Szükség esetén csak bizonyos felhasználók és adott hálózati helyek használhatnak örökölt hitelesítésen alapuló alkalmazásokat.

Megvalósítás

Ez a szakasz bemutatja, hogyan konfigurálhat feltételes hozzáférési szabályzatot az örökölt hitelesítés letiltásához.

Az örökölt hitelesítést támogató üzenetkezelési protokollok

Az alábbi üzenetkezelési protokollok támogatják az örökölt hitelesítést:

  • Hitelesített SMTP – Hitelesített e-mailek küldésére szolgál.
  • Automatikus észlelés – Az Outlook és az EAS-ügyfelek az Exchange Online-ban található postaládák megkeresésére és az azokhoz való csatlakozásra használják.
  • Exchange ActiveSync protokoll (EAS) – Az Exchange Online-beli postaládákhoz való csatlakozásra szolgál.
  • Exchange Online PowerShell – Az Exchange Online-hoz való csatlakozáshoz használható távoli PowerShell-lel. Ha letiltja az Exchange Online PowerShell alapszintű hitelesítését, a csatlakozáshoz az Exchange Online PowerShell-modult kell használnia. Útmutatásért tekintse meg Csatlakozás az Exchange Online PowerShell többtényezős hitelesítéssel való használatát.
  • Exchange Web Services (EWS) – Az Outlook, a Mac Outlook és a külső alkalmazások által használt programozási felület.
  • IMAP4 – Az IMAP e-mail-ügyfelek használják.
  • MAPI http-n keresztül (MAPI/HTTP) – Az Outlook 2010 SP2 és újabb verziói által használt elsődleges postaláda-hozzáférési protokoll.
  • Offline címjegyzék (OAB) – Az Outlook által letöltött és használt címlistagyűjtemények másolata.
  • Outlook Bárhol (RPC HTTP-n keresztül) – Örökölt postaláda-hozzáférési protokoll, amelyet az Outlook összes jelenlegi verziója támogat.
  • POP3 – A POP e-mail-ügyfelek használják.
  • Jelentéskészítési webszolgáltatások – Jelentésadatok lekérésére szolgál az Exchange Online-ban.
  • Univerzális Outlook – A Windows 10 Posta és Naptár alkalmazás használja.
  • Egyéb ügyfelek – Örökölt hitelesítést használó egyéb protokollok.

További információ ezekről a hitelesítési protokollokról és szolgáltatásokról: Bejelentkezési naplótevékenységek részletei.

Örökölt hitelesítés használatának azonosítása

Mielőtt letilthatja az örökölt hitelesítést a címtárban, először meg kell tudnia, hogy a felhasználók rendelkeznek-e örökölt hitelesítést használó ügyfélalkalmazásokkal.

Bejelentkezési naplójelzők

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
  3. Adja hozzá az Ügyfélalkalmazás oszlopot, ha az nem jelenik meg az Oszlopok>ügyfélalkalmazás elemre kattintva.
  4. Válassza a Szűrők>hozzáadása ügyfélalkalmazás lehetőséget>, válassza ki az összes régi hitelesítési protokollt, és válassza az Alkalmaz lehetőséget.
  5. Ha aktiválta az új bejelentkezési tevékenységjelentések előnézetét, ismételje meg a fenti lépéseket a Felhasználói bejelentkezések (nem interaktív) lapon is.

A szűrés az örökölt hitelesítési protokollok által végrehajtott bejelentkezési kísérleteket mutatja. Az egyes bejelentkezési kísérletekre kattintva további részleteket jeleníthet meg. Az Ügyfélalkalmazás mező az Alapadatok lapon jelzi, hogy melyik örökölt hitelesítési protokollt használták.

Ezek a naplók azt jelzik, hogy a felhasználók hol használnak olyan ügyfeleket, amelyek továbbra is az örökölt hitelesítéstől függenek. Azokban a felhasználókban, amelyek nem jelennek meg ezekben a naplókban, és megerősítették, hogy nem használnak örökölt hitelesítést, csak ezekhez a felhasználókhoz implementáljon feltételes hozzáférési szabályzatot.

Emellett az örökölt hitelesítés bérlőn belüli osztályozásához használja a bejelentkezéseket örökölt hitelesítési munkafüzet használatával.

Jelzők az ügyféltől

Annak megállapításához, hogy az ügyfél a bejelentkezéskor megjelenő párbeszédpanelen alapuló örökölt vagy modern hitelesítést használ-e, olvassa el az Alapszintű hitelesítés elavultsága az Exchange Online-ban című cikket.

Fontos tényezők

Számos olyan ügyfél, amely korábban csak az örökölt hitelesítést támogatta, most már támogatja a modern hitelesítést. Az örökölt és a modern hitelesítést támogató ügyfelek konfigurációfrissítést igényelhetnek az örököltről a modern hitelesítésre való áttéréshez. Ha modern mobil, asztali ügyfél vagy böngésző jelenik meg egy ügyfélhez a bejelentkezési naplókban, az modern hitelesítést használ. Ha egy adott ügyfél- vagy protokollnévvel (például Exchange ActiveSync protokoll) rendelkezik, örökölt hitelesítést használ. A feltételes hozzáférés ügyféltípusai, a bejelentkezési naplók és az örökölt hitelesítési munkafüzet különbséget tesznek a modern és az örökölt hitelesítési ügyfelek között.

  • A modern hitelesítést támogató, de nem modern hitelesítés használatára konfigurált ügyfeleket frissíteni vagy újrakonfigurálni kell a modern hitelesítés használatára.
  • Minden olyan ügyfelet ki kell cserélni, amely nem támogatja a modern hitelesítést.

Fontos

Exchange Active Sync tanúsítványalapú hitelesítéssel (CBA)

Az Exchange Active Sync (EAS) CBA-val való implementálásakor konfigurálja az ügyfeleket a modern hitelesítés használatára. A CBA-val rendelkező EAS-hez nem modern hitelesítést használó ügyfeleket nem blokkoljaaz Alapszintű hitelesítés elavulása az Exchange Online-ban. Ezeket az ügyfeleket azonban letiltják az örökölt hitelesítés letiltására konfigurált feltételes hozzáférési szabályzatok.

További információ a CBA microsoft Entra-azonosítóval és modern hitelesítéssel való támogatásáról: A Microsoft Entra tanúsítványalapú hitelesítésének konfigurálása (előzetes verzió). Másik lehetőségként az összevonási kiszolgálón végrehajtott CBA modern hitelesítéssel használható.

Ha a Microsoft Intune-t használja, előfordulhat, hogy a leküldéses vagy üzembe helyezési e-mail-profil használatával módosíthatja a hitelesítési típust. Ha iOS-eszközöket (i Telefon és iPadeket) használ, tekintse meg az iOS- és iPadOS-eszközök e-mail beállításainak hozzáadása a Microsoft Intune-ban című részt.

Régi hitelesítési folyamat letiltása

A feltételes hozzáférési szabályzatok kétféleképpen tilthatják le az örökölt hitelesítést.

A régi hitelesítési folyamat közvetlen letiltása

Az örökölt hitelesítést a legegyszerűbben úgy tilthatja le a teljes szervezetben, ha konfigurál egy feltételes hozzáférési szabályzatot, amely kifejezetten az örökölt hitelesítési ügyfelekre vonatkozik, és letiltja a hozzáférést. Amikor felhasználókat és alkalmazásokat rendel a szabályzathoz, mindenképpen zárja ki azokat a felhasználókat és szolgáltatásfiókokat, amelyeknek továbbra is régi hitelesítéssel kell bejelentkeznie. Amikor kiválasztja a felhőalkalmazásokat, amelyekben alkalmazni szeretné ezt a szabályzatot, válassza a Minden felhőalkalmazás, a célzott alkalmazások, például az Office 365 (ajánlott) vagy legalább az Office 365 Exchange Online lehetőséget. A szervezetek használhatják a feltételes hozzáférési sablonokban elérhető szabályzatot vagy a feltételes hozzáférésre vonatkozó közös szabályzatot : Referenciaként letilthatják az örökölt hitelesítést .

A régi hitelesítési folyamat közvetett letiltása

Ha a szervezet nem áll készen arra, hogy teljesen letiltsa az örökölt hitelesítést, győződjön meg arról, hogy az örökölt hitelesítést használó bejelentkezések nem kerülik meg az olyan szabályzatokat, amelyek olyan vezérlőket igényelnek, mint a többtényezős hitelesítés. A hitelesítés során az örökölt hitelesítési ügyfelek nem támogatják az MFA, az eszközmegfelelőség vagy az állapotinformációk Microsoft Entra-azonosítóba való küldését. Ezért minden ügyfélalkalmazásra alkalmazza a támogatási vezérlőkkel rendelkező szabályzatokat, hogy az örökölt hitelesítésen alapuló bejelentkezések, amelyek nem képesek kielégíteni a támogatási vezérlőket, le legyenek tiltva. Mivel az ügyfélalkalmazások feltétele 2020 augusztusában általánosan elérhető, az újonnan létrehozott feltételes hozzáférési szabályzatok alapértelmezés szerint az összes ügyfélalkalmazásra érvényesek.

Alapismeretek

A feltételes hozzáférési szabályzat életbe lépése akár 24 órát is igénybe vehet.

A Más ügyfelekkel való hozzáférés letiltása az Exchange Online PowerShellt és a Dynamics 365-öt is letiltja alapszintű hitelesítéssel.

A más ügyfelekre vonatkozó szabályzat konfigurálása letiltja a teljes szervezetet bizonyos ügyfelektől, például az SP Csatlakozás. Ez a blokk azért fordul elő, mert a régebbi ügyfelek váratlan módon hitelesítik magukat. A probléma nem vonatkozik a nagyobb Office-app licációkra, például a régebbi Office-ügyfelekre.

A Többi ügyfél feltételhez minden elérhető engedélyezési vezérlőt kiválaszthat, azonban a végfelhasználói élmény mindig ugyanaz – letiltott hozzáférés.

Következő lépések