Blokowanie starszego uwierzytelniania przy użyciu dostępu warunkowego firmy Microsoft Entra

  • Artykuł

Aby zapewnić użytkownikom łatwy dostęp do aplikacji w chmurze, usługa Microsoft Entra ID obsługuje szeroką gamę protokołów uwierzytelniania, w tym starszego uwierzytelniania. Jednak starsze uwierzytelnianie nie obsługuje takich elementów jak uwierzytelnianie wieloskładnikowe (MFA). Uwierzytelnianie wieloskładnikowe to typowe wymaganie poprawy stanu zabezpieczeń w organizacjach.

Na podstawie analizy firmy Microsoft ponad 97 procent ataków na wypychanie poświadczeń korzysta ze starszego uwierzytelniania, a ponad 99 procent ataków sprayu haseł używa starszych protokołów uwierzytelniania. Ataki te przestaną być wyłączone lub zablokowane przy użyciu uwierzytelniania podstawowego.

Uwaga

Od 1 października 2022 r. zaczniemy trwale wyłączać uwierzytelnianie podstawowe dla usługi Exchange Online we wszystkich dzierżawach usługi Microsoft 365 niezależnie od użycia, z wyjątkiem uwierzytelniania SMTP. Aby uzyskać więcej informacji, zobacz artykuł Wycofywanie uwierzytelniania podstawowego w usłudze Exchange Online

Alex Weinert, dyrektor ds. zabezpieczeń tożsamości w firmie Microsoft, w swoim blogu z 12 marca 2020 r. w blogu New tools to block legacy authentication in your organizations podkreśla, dlaczego organizacje powinny blokować starsze uwierzytelnianie i jakie inne narzędzia oferuje firma Microsoft w celu wykonania tego zadania:

W tym artykule wyjaśniono, jak skonfigurować zasady dostępu warunkowego, które blokują starsze uwierzytelnianie dla wszystkich obciążeń w dzierżawie.

Podczas wdrażania starszej ochrony blokującej uwierzytelnianie zalecamy podejście etapowe, zamiast wyłączać je dla wszystkich użytkowników jednocześnie. Klienci mogą najpierw rozpocząć wyłączanie uwierzytelniania podstawowego dla poszczególnych protokołów, stosując zasady uwierzytelniania usługi Exchange Online, a następnie (opcjonalnie) blokowanie starszego uwierzytelniania za pośrednictwem zasad dostępu warunkowego, gdy są gotowe.

Klienci bez licencji, które obejmują dostęp warunkowy, mogą używać domyślnych ustawień zabezpieczeń do blokowania starszego uwierzytelniania.

Wymagania wstępne

W tym artykule założono, że znasz podstawowe pojęcia dotyczące dostępu warunkowego firmy Microsoft Entra.

Uwaga

Zasady dostępu warunkowego są wymuszane po zakończeniu uwierzytelniania pierwszego składnika. Dostęp warunkowy nie jest przeznaczony do pierwszej linii obrony organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.

Opis scenariusza

Identyfikator Entra firmy Microsoft obsługuje najczęściej używane protokoły uwierzytelniania i autoryzacji, w tym starsze uwierzytelnianie. Starsze uwierzytelnianie nie może monitować użytkowników o uwierzytelnianie drugie lub inne wymagania dotyczące uwierzytelniania wymagane do spełnienia zasad dostępu warunkowego bezpośrednio. Ten wzorzec uwierzytelniania obejmuje uwierzytelnianie podstawowe, powszechnie używaną w branży metodę zbierania informacji o nazwie użytkownika i haśle. Przykłady aplikacji, które często lub używają tylko starszego uwierzytelniania, to:

  • Pakiet Microsoft Office 2013 lub starszy.
  • Aplikacje korzystające z protokołów poczty, takich jak POP, IMAP i SMTP AUTH.

Aby uzyskać więcej informacji na temat obsługi nowoczesnego uwierzytelniania w pakiecie Office, zobacz Jak działa nowoczesne uwierzytelnianie dla aplikacji klienckich pakietu Office.

Uwierzytelnianie jednoskładnikowe (na przykład nazwa użytkownika i hasło) nie jest wystarczające w tych dniach. Hasła są złe, ponieważ są łatwe do odgadnięcia i (ludzie) są złe w wyborze dobrych haseł. Hasła są również narażone na różne ataki, takie jak wyłudzanie informacji i spray haseł. Jedną z najprostszych czynności, które można wykonać w celu ochrony przed zagrożeniami haseł, jest zaimplementowanie uwierzytelniania wieloskładnikowego (MFA). W przypadku uwierzytelniania wieloskładnikowego, nawet jeśli osoba atakująca uzyska hasło użytkownika, samo hasło nie jest wystarczające do pomyślnego uwierzytelnienia i uzyskania dostępu do danych.

Jak uniemożliwić aplikacjom korzystanie ze starszego uwierzytelniania przed uzyskaniem dostępu do zasobów dzierżawy? Zaleca się zablokowanie ich za pomocą zasad dostępu warunkowego. W razie potrzeby zezwalasz tylko niektórym użytkownikom i określonym lokalizacjom sieciowym na używanie aplikacji opartych na starszym uwierzytelnianiu.

Implementacja

W tej sekcji opisano sposób konfigurowania zasad dostępu warunkowego w celu blokowania starszego uwierzytelniania.

Protokoły obsługi komunikatów, które obsługują starsze uwierzytelnianie

Następujące protokoły obsługi komunikatów obsługują starsze uwierzytelnianie:

  • Uwierzytelniony protokół SMTP — służy do wysyłania uwierzytelnionych wiadomości e-mail.
  • Automatyczne wykrywanie — używane przez klientów programu Outlook i EAS do znajdowania skrzynek pocztowych w usłudze Exchange Online i łączenia się z nimi.
  • Exchange ActiveSync (EAS) — służy do łączenia się ze skrzynkami pocztowymi w usłudze Exchange Online.
  • Exchange Online PowerShell — służy do nawiązywania połączenia z usługą Exchange Online za pomocą zdalnego programu PowerShell. Jeśli zablokujesz uwierzytelnianie podstawowe dla programu PowerShell usługi Exchange Online, musisz użyć modułu programu PowerShell usługi Exchange Online, aby nawiązać połączenie. Aby uzyskać instrukcje, zobacz Połączenie do programu PowerShell usługi Exchange Online przy użyciu uwierzytelniania wieloskładnikowego.
  • Exchange Web Services (EWS) — interfejs programowania używany przez program Outlook, Outlook dla komputerów Mac i aplikacje innych firm.
  • IMAP4 — używany przez klientów poczty e-mail IMAP.
  • MAPI za pośrednictwem protokołu HTTP (MAPI/HTTP) — podstawowy protokół dostępu do skrzynki pocztowej używany przez program Outlook 2010 SP2 lub nowszy.
  • Książka adresowa trybu offline (OAB) — kopia kolekcji list adresowych, które są pobierane i używane przez program Outlook.
  • Outlook Anywhere (RPC over HTTP) — starszy protokół dostępu do skrzynki pocztowej obsługiwany przez wszystkie bieżące wersje programu Outlook.
  • POP3 — używany przez klientów poczty e-mail POP.
  • Reporting Web Services — służy do pobierania danych raportu w usłudze Exchange Online.
  • Uniwersalny program Outlook — używany przez aplikację Poczta i Kalendarz dla systemu Windows 10.
  • Inni klienci — inne protokoły zidentyfikowane jako korzystające ze starszego uwierzytelniania.

Aby uzyskać więcej informacji na temat tych protokołów uwierzytelniania i usług, zobacz Szczegóły aktywności dziennika logowania.

Identyfikowanie starszego użycia uwierzytelniania

Przed zablokowanie starszego uwierzytelniania w katalogu należy najpierw zrozumieć, czy użytkownicy mają aplikacje klienckie korzystające ze starszego uwierzytelniania.

Wskaźniki dziennika logowania

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>
  3. Dodaj kolumnę Aplikacja kliencka, jeśli nie jest wyświetlana, klikając pozycję Aplikacja kliencka kolumn>.
  4. Wybierz pozycję Dodaj filtry>Aplikacja kliencka> wybierz wszystkie starsze protokoły uwierzytelniania i wybierz pozycję Zastosuj.
  5. Jeśli aktywowano podgląd nowych raportów aktywności logowania, powtórz powyższe kroki również na karcie Logowania użytkownika (nieinterakcyjne).

Filtrowanie pokazuje próby logowania wykonywane przez starsze protokoły uwierzytelniania. Kliknięcie każdej próby logowania indywidualnego spowoduje wyświetlenie dodatkowych szczegółów. Pole Aplikacja kliencka na karcie Informacje podstawowe wskazuje, który starszy protokół uwierzytelniania został użyty.

Te dzienniki wskazują, gdzie użytkownicy korzystają z klientów, którzy są nadal w zależności od starszego uwierzytelniania. W przypadku użytkowników, którzy nie są wyświetlani w tych dziennikach i są potwierdzani, że nie korzystają ze starszego uwierzytelniania, zaimplementuj zasady dostępu warunkowego tylko dla tych użytkowników.

Ponadto, aby ułatwić klasyfikację starszego uwierzytelniania w dzierżawie, użyj logowania przy użyciu starszego skoroszytu uwierzytelniania.

Wskaźniki od klienta

Aby określić, czy klient korzysta ze starszego lub nowoczesnego uwierzytelniania na podstawie okna dialogowego przedstawionego podczas logowania, zobacz artykuł Wycofywanie uwierzytelniania podstawowego w usłudze Exchange Online.

Ważne uwagi

Wielu klientów, którzy wcześniej obsługiwali tylko starsze uwierzytelnianie, obsługuje teraz nowoczesne uwierzytelnianie. Klienci, którzy obsługują zarówno starsze, jak i nowoczesne uwierzytelnianie, mogą wymagać aktualizacji konfiguracji, aby przejść ze starszego do nowoczesnego uwierzytelniania. Jeśli w dziennikach logowania jest wyświetlany nowoczesny klient mobilny, klient stacjonarny lub przeglądarka, jest on używany przy użyciu nowoczesnego uwierzytelniania. Jeśli ma określoną nazwę klienta lub protokołu, taką jak Exchange ActiveSync, używa starszego uwierzytelniania. Typy klientów w dziennikach dostępu warunkowego, dziennikach logowania i starszym skoroszycie uwierzytelniania różnią się między nowoczesnymi i starszymi klientami uwierzytelniania.

  • Klienci, którzy obsługują nowoczesne uwierzytelnianie, ale nie są skonfigurowani do używania nowoczesnego uwierzytelniania, powinni zostać zaktualizowani lub ponownie skonfigurowani do korzystania z nowoczesnego uwierzytelniania.
  • Wszyscy klienci, którzy nie obsługują nowoczesnego uwierzytelniania, powinni zostać zamienieni.

Ważne

Exchange Active Sync z uwierzytelnianiem opartym na certyfikatach (CBA)

Podczas implementowania programu Exchange Active Sync (EAS) z usługą CBA należy skonfigurować klientów do korzystania z nowoczesnego uwierzytelniania. Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania w ramach programu EAS z cba , nie są blokowani z wycofaniem uwierzytelniania podstawowego w usłudze Exchange Online. Jednak ci klienci są blokowani przez zasady dostępu warunkowego skonfigurowane do blokowania starszego uwierzytelniania.

Aby uzyskać więcej informacji na temat implementowania obsługi cba przy użyciu identyfikatora Microsoft Entra ID i nowoczesnego uwierzytelniania, zobacz: Jak skonfigurować uwierzytelnianie oparte na certyfikatach firmy Microsoft (wersja zapoznawcza). Jako kolejna opcja cba wykonywana na serwerze federacyjnym może być używana z nowoczesnym uwierzytelnianiem.

Jeśli używasz usługi Microsoft Intune, możesz zmienić typ uwierzytelniania przy użyciu profilu poczty e-mail, który wypychasz lub wdrażasz na urządzeniach. Jeśli używasz urządzeń z systemem iOS (i Telefon i iPad), zapoznaj się z dokumentem Dodawanie ustawień poczty e-mail dla urządzeń z systemem iOS i iPadOS w usłudze Microsoft Intune.

Blokuj starsze uwierzytelnianie

Istnieją dwa sposoby blokowania starszego uwierzytelniania za pomocą zasad dostępu warunkowego.

Bezpośrednie blokowanie starszego uwierzytelniania

Najprostszym sposobem blokowania starszego uwierzytelniania w całej organizacji jest skonfigurowanie zasad dostępu warunkowego, które mają zastosowanie specjalnie do starszych klientów uwierzytelniania i blokują dostęp. Podczas przypisywania użytkowników i aplikacji do zasad pamiętaj, aby wykluczyć użytkowników i konta usług, które nadal muszą zalogować się przy użyciu starszego uwierzytelniania. Podczas wybierania aplikacji w chmurze, w których mają być stosowane te zasady, wybierz pozycję Wszystkie aplikacje w chmurze, aplikacje docelowe, takie jak Office 365 (zalecane) lub co najmniej usługa Office 365 Exchange Online. Organizacje mogą używać zasad dostępnych w szablonach dostępu warunkowego lub wspólnego dostępu warunkowego zasad : Blokuj starsze uwierzytelnianie jako odwołanie.

Pośrednie blokowanie starszego uwierzytelniania

Jeśli twoja organizacja nie jest gotowa do całkowitego blokowania starszego uwierzytelniania, upewnij się, że logowania przy użyciu starszego uwierzytelniania nie są pomijane przez zasady, które wymagają udzielania kontrolek, takich jak uwierzytelnianie wieloskładnikowe. Podczas uwierzytelniania starsi klienci uwierzytelniania nie obsługują wysyłania uwierzytelniania wieloskładnikowego, zgodności urządzeń ani dołączania informacji o stanie do identyfikatora Entra firmy Microsoft. W związku z tym należy zastosować zasady z kontrolkami udzielania dla wszystkich aplikacji klienckich, aby starsze logowania oparte na uwierzytelnianiu, które nie mogą spełnić wymagań kontrolek udzielania, są blokowane. Dzięki ogólnej dostępności warunku aplikacji klienckich w sierpniu 2020 r. nowo utworzone zasady dostępu warunkowego są domyślnie stosowane do wszystkich aplikacji klienckich.

Co należy wiedzieć

Wprowadzenie zasad dostępu warunkowego może potrwać do 24 godzin.

Blokowanie dostępu przy użyciu innych klientów blokuje również program Exchange Online PowerShell i usługę Dynamics 365 przy użyciu podstawowego uwierzytelniania.

Skonfigurowanie zasad dla innych klientów blokuje całą organizację od niektórych klientów, takich jak SP Połączenie. Ten blok występuje, ponieważ starsi klienci uwierzytelniają się w nieoczekiwany sposób. Problem nie dotyczy głównych aplikacja pakietu Office licacji, takich jak starsi klienci pakietu Office.

Możesz wybrać wszystkie dostępne kontrolki udzielania dla warunku Inne klienci, jednak środowisko użytkownika końcowego jest zawsze takie samo — zablokowany dostęp.

Następne kroki