Memblokir autentikasi warisan dengan Microsoft Entra Conditional Access

Untuk memberi pengguna Anda akses mudah ke aplikasi cloud Anda, MICROSOFT Entra ID mendukung berbagai protokol autentikasi termasuk autentikasi lama. Namun, autentikasi lama tidak mendukung hal seperti autentikasi multifaktor (MFA). MFA adalah persyaratan umum untuk meningkatkan postur keamanan dalam organisasi.

Berdasarkan analisis Microsoft lebih dari 97 persen serangan pengisian kredensial menggunakan autentikasi lama dan lebih dari 99 persen serangan semprotan kata sandi menggunakan protokol autentikasi lama. Serangan ini akan berhenti dengan autentikasi dasar dinonaktifkan atau diblokir.

Catatan

Berlaku mulai 1 Oktober 2022, kami akan mulai menonaktifkan Autentikasi Dasar secara permanen untuk Exchange Online di semua penyewa Microsoft 365, terlepas dari penggunaannya, kecuali untuk Autentikasi SMTP. Untuk informasi selengkapnya, lihat artikel Penghentian autentikasi Dasar di Exchange Online

Alex Weinert, Direktur Keamanan Identitas di Microsoft, dalam postingan blog tanggal 12 Maret 2020 yang berjudul Alat baru untuk memblokir autentikasi lama di organisasi Anda menekankan alasan organisasi harus memblokir autentikasi lama dan alat-alat lain yang disediakan Microsoft untuk melakukannya:

Artikel ini menjelaskan cara mengonfigurasi kebijakan Akses Bersyarat yang memblokir autentikasi lama untuk semua beban kerja dalam penyewa Anda.

Saat meluncurkan perlindungan pemblokiran autentikasi lama, sebaiknya gunakan pendekatan bertahap, bukan menonaktifkannya untuk semua pengguna sekaligus. Pelanggan dapat memilih untuk terlebih dahulu mulai menonaktifkan autentikasi dasar pada basis per-protokol, dengan menerapkan kebijakan autentikasi Exchange Online, kemudian (secara opsional) juga memblokir autentikasi warisan melalui kebijakan Akses Bersyarat jika sudah siap.

Pelanggan tanpa lisensi yang menyertakan Akses Bersyarat dapat menggunakan aturan default keamanan untuk memblokir autentikasi lama.

Prasyarat

Artikel ini mengasumsikan bahwa Anda terbiasa dengan konsep dasar Microsoft Entra Conditional Access.

Catatan

Kebijakan Akses Bersyarat diberlakukan setelah autentikasi faktor pertama selesai. Akses Bersyarat tidak dimaksudkan sebagai garis pertahanan pertama organisasi untuk skenario seperti serangan penolakan layanan (DoS), tetapi dapat menggunakan sinyal dari peristiwa ini untuk menentukan akses.

Deskripsi Skenario

MICROSOFT Entra ID mendukung protokol autentikasi dan otorisasi yang paling banyak digunakan termasuk autentikasi warisan. Autentikasi warisan tidak dapat meminta pengguna untuk autentikasi faktor kedua atau persyaratan autentikasi lainnya yang diperlukan untuk memenuhi kebijakan Akses Bersyar, secara langsung. Pola autentikasi ini meliputi autentikasi dasar, metode standar industri yang banyak digunakan untuk mengumpulkan informasi nama pengguna dan kata sandi. Contoh aplikasi yang umum atau hanya menggunakan autentikasi lama meliputi:

  • Microsoft Office 2013 atau versi sebelumnya.
  • Aplikasi yang menggunakan protokol email seperti POP, IMAP, dan SMTP AUTH.

Untuk informasi selengkapnya tentang dukungan autentikasi modern, lihat Cara kerja autentikasi modern untuk aplikasi klien Office.

Autentikasi faktor tunggal (misalnya, nama pengguna dan kata sandi) tidak cukup aman akhir-akhir ini. Kata sandi kurang aman karena mudah ditebak dan kita (manusia) tidak pandai memilih kata sandi yang kuat. Kata sandi juga rentan terhadap berbagai serangan, seperti phishing dan pembobolan kata sandi. Salah satu hal termudah yang dapat dilakukan untuk melindungi dari ancaman kata sandi adalah menerapkan autentikasi multifaktor (MFA). Dengan MFA, meskipun penyerang memiliki kata sandi pengguna, kata sandi saja tidak cukup untuk berhasil mengautentikasi dan mengakses data.

Bagaimana cara mencegah aplikasi yang menggunakan autentikasi lama agar tidak mengakses sumber daya penyewa? Anda cukup memblokir aplikasi tersebut dengan kebijakan Akses Bersyarat. Jika perlu, Anda hanya mengizinkan pengguna tertentu dan lokasi jaringan tertentu untuk menggunakan aplikasi yang didasarkan pada autentikasi lama.

implementasi

Bagian ini menjelaskan cara mengonfigurasi kebijakan Akses Bersyarat untuk memblokir autentikasi lama.

Protokol olahpesan yang mendukung autentikasi lama

Protokol olahpesan berikut mendukung autentikasi lama:

  • SMTP yang diautentikasi - Digunakan untuk mengirim pesan email yang diautentikasi.
  • Autodiscover - Digunakan oleh klien Outlook dan EAS untuk menemukan dan menyambungkan ke kotak pesan di Exchange Online.
  • Exchange ActiveSync (EAS) - Digunakan untuk menyambungkan ke kotak surat di Exchange Online.
  • Exchange Online PowerShell - Digunakan untuk menyambungkan ke Exchange Online dengan PowerShell jarak jauh. Jika Anda memblokir autentikasi Dasar untuk Exchange Online PowerShell, Anda perlu menggunakan Modul Exchange Online PowerShell untuk menyambungkan. Untuk petunjuknya, lihat Menyambungkan ke Exchange Online PowerShell menggunakan autentikasi multifaktor.
  • Exchange Web Services (EWS) - Sebuah antarmuka pemrograman yang digunakan oleh Outlook, Outlook untuk Mac, dan aplikasi pihak ketiga.
  • IMAP4 - Digunakan oleh klien email IMAP.
  • MAPI melalui HTTP (MAPI/HTTP) - Protokol akses kotak surat primer yang digunakan oleh Outlook 2010 SP2 dan yang lebih baru.
  • Offline Address Book (OAB) - Salinan kumpulan daftar alamat yang diunduh dan digunakan oleh Outlook.
  • Outlook Anywhere (RPC melalui HTTP) - Protokol akses kotak surat lama yang didukung oleh semua versi Outlook saat ini.
  • POP3 - Digunakan oleh klien email POP.
  • Layanan Web Pelaporan - Digunakan untuk mengambil data laporan di Exchange Online.
  • Universal Outlook - Digunakan oleh aplikasi Email dan Kalender untuk Windows 10.
  • Klien lain - Protokol lain yang diketahui menggunakan autentikasi lama.

Untuk informasi selengkapnya tentang protokol dan layanan autentikasi ini, lihat Detail aktivitas log masuk.

Mengidentifikasi penggunaan autentikasi lama

Sebelum dapat memblokir autentikasi warisan di direktori, Anda harus terlebih dahulu memahami apakah pengguna Anda memiliki aplikasi klien yang menggunakan autentikasi warisan.

Indikator log masuk

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri ke Pemantauan Identitas>& log Masuk kesehatan.>
  3. Tambahkan kolom Aplikasi Klien jika tidak ditampilkan dengan mengklik Aplikasi Klien Kolom>.
  4. Pilih Tambahkan filter>Aplikasi> Klien pilih semua protokol autentikasi warisan dan pilih Terapkan.
  5. Jika telah mengaktifkan pratinjau laporan aktivitas kredensial masuk baru, ulangi juga langkah-langkah di atas pada tab kredensial masuk pengguna (non-interaktif).

Pemfilteran menunjukkan upaya masuk yang dilakukan oleh protokol autentikasi lama. Mengklik setiap upaya masuk individu menunjukkan detail selengkapnya. Bidang Aplikasi Klien di bawah tab Info Dasar menunjukkan protokol autentikasi warisan mana yang digunakan.

Log ini menunjukkan di mana pengguna menggunakan klien yang masih bergantung pada autentikasi warisan. Untuk pengguna yang tidak muncul dalam log ini dan dikonfirmasi tidak menggunakan autentikasi warisan, terapkan kebijakan Akses Bersyarat hanya untuk pengguna ini.

Selain itu, untuk membantu melakukan triase autentikasi lama di dalam penyewa Anda, gunakan Buku kerja masuk menggunakan autentikasi lama.

Indikator dari klien

Untuk menentukan apakah klien menggunakan autentikasi lama atau modern berdasarkan kotak dialog yang disajikan saat masuk, lihat artikel Penghentian Autentikasi dasar di Exchange Online.

Pertimbangan penting

Banyak klien yang sebelumnya hanya mendukung autentikasi lama kini mendukung autentikasi modern. Klien yang mendukung autentikasi lama dan modern mungkin memerlukan pembaruan konfigurasi untuk berpindah dari autentikasi lama ke modern. Jika Anda melihat seluler modern, klien desktop, atau browser untuk klien di log Masuk, itu menggunakan autentikasi modern. Jika memiliki nama klien atau protokol tertentu, seperti Exchange ActiveSync, klien tersebut menggunakan autentikasi lama. Jenis klien di Akses Bersyarat, Log masuk, dan buku kerja autentikasi warisan membedakan antara klien autentikasi modern dan warisan untuk Anda.

  • Klien yang mendukung autentikasi modern tetapi tidak dikonfigurasi untuk menggunakan autentikasi modern harus diperbarui atau dikonfigurasi ulang untuk menggunakan autentikasi modern.
  • Semua klien yang tidak mendukung autentikasi modern harus diganti.

Penting

Exchange Active Sync dengan autentikasi berbasis Sertifikat (CBA)

Saat menerapkan Exchange Active Sync (EAS) dengan CBA, konfigurasikan klien untuk menggunakan autentikasi modern. Klien yang tidak menggunakan autentikasi modern untuk EAS dengan CBA tidak diblokir dengan Penghentian Autentikasi dasar di Exchange Online. Namun, klien ini diblokir oleh kebijakan Akses Bersyarkat yang dikonfigurasi untuk memblokir autentikasi lama.

Untuk informasi selengkapnya tentang menerapkan dukungan untuk CBA dengan ID Microsoft Entra dan autentikasi modern Lihat: Cara mengonfigurasi autentikasi berbasis sertifikat Microsoft Entra (Pratinjau). Sebagai opsi lain, CBA yang dilakukan di server federasi dapat digunakan dengan autentikasi modern.

Jika Anda menggunakan Microsoft Intune, Anda mungkin dapat mengubah jenis autentikasi menggunakan profil email yang Anda dorong atau sebarkan ke perangkat Anda. Jika Anda menggunakan perangkat iOS (iPhone dan iPad), sebaiknya periksa Pengaturan tambahkan email untuk perangkat iOS dan iPadOS di Microsoft Intune.

Memblokir autentikasi warisan

Ada dua cara menggunakan kebijakan Akses Bersyarat untuk memblokir autentikasi lama.

Memblokir autentikasi lama secara langsung

Cara termudah untuk memblokir autentikasi lama di seluruh organisasi Anda adalah dengan mengonfigurasi kebijakan Akses Bersyarat yang berlaku khusus untuk klien autentikasi lama dan memblokir akses. Saat menetapkan pengguna dan aplikasi ke kebijakan, pastikan untuk mengecualikan pengguna dan akun layanan yang masih perlu masuk menggunakan autentikasi lama. Saat memilih aplikasi cloud tempat kebijakan ini diterapkan, pilih Semua aplikasi cloud, aplikasi target seperti Office 365 (direkomendasikan) atau minimal, Office 365 Exchange Online. Organisasi dapat menggunakan kebijakan yang tersedia dalam templat Akses Bersyar atau kebijakan umum Akses Bersyar: Memblokir autentikasi warisan sebagai referensi.

Memblokir autentikasi lama secara tidak langsung

Jika organisasi Anda belum siap untuk memblokir autentikasi warisan sepenuhnya, Anda harus memastikan bahwa masuk menggunakan autentikasi lama tidak melewati kebijakan yang memerlukan kontrol pemberian seperti autentikasi multifaktor. Selama autentikasi, klien autentikasi warisan tidak mendukung pengiriman MFA, kepatuhan perangkat, atau informasi status gabungan ke ID Microsoft Entra. Oleh karena itu, terapkan kebijakan dengan izin kontrol ke semua aplikasi klien sehingga kredensial masuk berbasis autentikasi warisan yang tidak dapat memenuhi izin kontrol diblokir. Dengan tersedianya aplikasi klien bersyarat secara umum pada bulan Agustus 2020, kebijakan Akses Bersyarat yang baru dibuat berlaku untuk semua aplikasi klien secara default.

Yang harus Anda ketahui

Diperlukan waktu hingga 24 jam sebelum kebijakan Akses Bersyarat diberlakukan.

Memblokir akses menggunakan Klien lain juga akan memblokir Exchange Online PowerShell dan Dynamics 365 menggunakan autentikasi dasar.

Mengonfigurasi kebijakan untuk Klien lain akan memblokir seluruh organisasi dari klien tertentu seperti SPConnect. Pemblokiran ini terjadi karena klien yang lebih lama mengautentikasi dengan cara yang tidak terduga. Masalah ini tidak berlaku untuk aplikasi Office utama seperti klien Office yang lebih lama.

Anda dapat memilih semua izin kontrol yang tersedia untuk ketentuan Klien lain; tetapi, pengalaman pengguna akhir selalu sama, yaitu akses yang diblokir.

Langkah berikutnya