Postup: Blokování starší verze ověřování v Azure AD pomocí podmíněného přístupu

Aby vaši uživatelé snadno přistupovaly ke cloudovým aplikacím, Azure Active Directory (Azure AD) podporuje širokou škálu ověřovacích protokolů, včetně starší verze ověřování. Starší verze ověřování ale vícefaktorové ověřování (MFA) nepodporuje. MFA je v mnoha prostředích běžným požadavkem na řešení krádeže identity.

Poznámka

Od 1. října 2022 začneme trvale zakažovat základní ověřování pro Exchange Online ve všech tenantech Microsoft 365 bez ohledu na použití s výjimkou ověřování SMTP.

Alex Weinert, ředitel pro zabezpečení identit v Microsoftu, ve svém blogovém příspěvku 12. března 2020 New tools to block legacy authentication in your organization (Nové nástroje pro blokování starší verze ověřování ve vaší organizaci) klade důraz na to, proč by organizace měly blokovat starší verze ověřování a jaké další nástroje Microsoft k provedení tohoto úkolu nabízí:

Aby bylo MFA efektivní, musíte také zablokovat starší verze ověřování. Je to proto, že starší verze ověřovacích protokolů, jako jsou POP, SMTP, IMAP a MAPI, nenutí více ověřování, takže se jedná o upřednostňované vstupní body pro útoky na vaši organizaci.

... Čísla starší verze ověřování z analýzy provozu Azure Active Directory (Azure AD) jsou zastaralá:

  • Více než 99 % útoků password spray používá starší ověřovací protokoly.
  • Více než 97 procent útoků na ucpání přihlašovacích údajů používá starší verzi ověřování.
  • Účty Azure AD v organizacích, které zakázaly starší verze ověřování, mají o 67 procent méně ohrožení zabezpečení než účty s povoleným starším ověřováním.

Pokud je vaše prostředí připravené zablokovat starší verze ověřování, aby se zlepšila ochrana tenanta, můžete tohoto cíle dosáhnout pomocí podmíněného přístupu. Tento článek vysvětluje, jak nakonfigurovat zásady podmíněného přístupu, které blokují starší verze ověřování pro všechny úlohy v rámci vašeho tenanta.

Při postupném zavážení starší verze ověřování, která blokuje ochranu, doporučujeme fázový přístup místo toho, abyste ho zakazovali všem uživatelům najednou. Zákazníci se mohou rozhodnout, že nejprve začnou zakazovat základní ověřování pro každý protokol s využitím zásad ověřování Exchange Online potom (volitelně) také zablokují starší verze ověřování prostřednictvím zásad podmíněného přístupu, až budou připravené.

Zákazníci bez licencí, které zahrnují podmíněný přístup, mohou využít výchozí nastavení zabezpečení k blokování starší verze ověřování.

Požadavky

Tento článek předpokládá, že znáte základní koncepty podmíněného přístupu Azure AD.

Poznámka

Zásady podmíněného přístupu se vynucuje po dokončení ověřování prvním faktorem. Podmíněný přístup nemá být první obrannou linií organizace pro scénáře, jako jsou útoky na odepření služeb (DoS), ale může pomocí signálů z těchto událostí určit přístup.

Popis scénáře

Azure AD podporuje několik nejčastěji používaných ověřovacích a autorizačních protokolů, včetně starší verze ověřování. Starší verze ověřování označuje základní ověřování, běžně používanější standardní metodu shromažďování informací o uživatelském jménu a hesle. Starší verze klientů ověřování obvykle nemůže vynucovat žádný typ druhého faktoru ověřování. Příklady aplikací, které běžně nebo jenom používají starší verze ověřování:

  • Microsoft Office verze 2013 nebo starší.
  • Aplikace používající e-mailové protokoly, jako jsou POP, IMAP a SMTP AUTH.

Další informace o podpoře moderního ověřování v Office najdete v tématu Jak moderní ověřování funguje Office klientských aplikacích.

Jednofaktorové ověřování (například uživatelské jméno a heslo) v těchto dnech nestačí. Hesla jsou chybná, protože se snadno odhadují a my (lidé) nemůžeme vybírat dobrá hesla. Hesla jsou také zranitelná vůči různým útokům, jako jsou phishing a password spray. Jednou z nejjednodušších věcí, které můžete udělat pro ochranu před hrozbami heslem, je implementace vícefaktorového ověřování (MFA). S více ověřováním, i když útočník získá heslo uživatele, nestačí k úspěšnému ověření a přístupu k datům samotné heslo.

Jak můžete aplikacím, které používají starší verze ověřování, zabránit v přístupu k prostředkům vašeho tenanta? Doporučujeme je zablokovat pomocí zásad podmíněného přístupu. V případě potřeby povolíte používání aplikací založených na starší verzi ověřování jenom určitým uživatelům a konkrétním síťovým umístěním.

Zásady podmíněného přístupu se vynucuje po dokončení ověření prvním faktorem. Podmíněný přístup proto není určený jako první obrana pro scénáře, jako jsou útoky na odepření služby (DoS), ale může k určení přístupu využívat signály z těchto událostí (například úroveň rizika přihlášení, umístění žádosti atd.).

Implementace

Tato část vysvětluje, jak nakonfigurovat zásady podmíněného přístupu pro blokování starší verze ověřování.

Protokoly zasílání zpráv, které podporují starší verze ověřování

Starší verze ověřování podporují následující protokoly zasílání zpráv:

  • Ověřený protokol SMTP – Slouží k odesílání ověřených e-mailových zpráv.
  • Automatické zjišťování – Používá se Outlook a klienty EAS k vyhledání poštovních schránek v Exchange Online.
  • protokol Exchange ActiveSync (EAS) – slouží k připojení k poštovním schránkám v Exchange Online.
  • Exchange Online PowerShell – používá se pro připojení Exchange Online pomocí vzdáleného PowerShellu. Pokud zablokujte základní ověřování Exchange Online PowerShellu, musíte se připojit pomocí modulu Exchange Online PowerShellu. Pokyny najdete v tématu Připojení k Exchange Online Prostředí PowerShell pomocí vícefaktorového ověřování.
  • Exchange Web Services (USEDS) – programovací rozhraní, které používá Outlook, Outlook pro Mac a aplikace třetích stran.
  • IMAP4 – používá se e-mailovým klientem IMAP.
  • MAPI přes HTTP (MAPI/HTTP) – Primární protokol pro přístup k poštovní schránce používaný Outlook 2010 SP2 a novější.
  • Offline adresář (OAB) – kopie kolekcí seznamu adres, které si stáhnou a používají Outlook.
  • Outlook Anywhere (RPC přes HTTP) – Starší protokol přístupu k poštovní schránce podporovaný všemi aktuálními Outlook verzemi.
  • POP3 – používá se e-mailovým klientem POP.
  • Reporting Web Services – slouží k načtení dat sestavy v Exchange Online.
  • Univerzální Outlook – používá se v aplikacích Pošta a Kalendář pro Windows 10.
  • Ostatní klienti – Další protokoly identifikované jako využívající starší verze ověřování.

Další informace o těchto ověřovacích protokolech a službách najdete v tématu Sestavy aktivit přihlašování na Azure Active Directory Portal.

Identifikace starší verze ověřování

Než budete moci ve svém adresáři zablokovat starší verze ověřování, musíte nejprve zjistit, jestli vaši uživatelé mají aplikace, které používají starší verzi ověřování, a jaký vliv má na celkový adresář. Protokoly přihlášení Azure AD můžete použít k pochopení, jestli používáte starší verzi ověřování.

  1. Přejděte na Azure Portal > Azure Active Directory > přihlášení.
  2. Pokud se sloupec Klientská aplikace nezobrazí, přidejte ho kliknutím na Columns > Client App (Klientská aplikace sloupců).
  3. Přidání filtrů > Klientská > vybrat všechny starší verze ověřovacích protokolů. Výběrem možnosti mimo dialogové okno filtrování použijete výběry a zavřete dialogové okno.
  4. Pokud jste aktivovali nové sestavy aktivit přihlašování ve verzi Preview,opakujte výše uvedené kroky také na kartě Přihlášení uživatele (neinteraktivní).

Filtrování zobrazí pouze pokusy o přihlášení provedené staršími ověřovacími protokoly. Kliknutím na jednotlivé pokusy o přihlášení zobrazíte další podrobnosti. V poli Klientská aplikace na kartě Základní informace se zobrazí starší verze ověřovacího protokolu.

Tyto protokoly udávají, kteří uživatelé stále závisí na starší verzi ověřování a které aplikace k žádostem o ověření používají starší protokoly. Pro uživatele, kteří se v těchto protokolech nezobrazují a u které se potvrdí, že nepou ují starší verze ověřování, implementujte zásady podmíněného přístupu jenom pro tyto uživatele.

Blokování starší verze ověřování

Existují dva způsoby, jak pomocí zásad podmíněného přístupu zablokovat starší verze ověřování.

Přímé blokování starší verze ověřování

Nejjednodušší způsob, jak zablokovat starší verze ověřování v celé organizaci, je konfigurace zásad podmíněného přístupu, které platí speciálně pro starší verze klientů ověřování a blokuje přístup. Při přiřazování uživatelů a aplikací k zásadám nezapomeňte vyloučit uživatele a účty služeb, které se stále potřebují přihlašovat pomocí starší verze ověřování. Při výběru cloudových aplikací, ve kterých se mají tyto zásady použít, vyberte Všechny cloudové aplikace, cílové aplikace, jako je Office 365 (doporučeno) nebo minimálně Office 365 Exchange Online. Nakonfigurujte podmínku klientských aplikací výběrem možnosti protokol Exchange ActiveSync klienti a Další klienti. Pokud chcete pro tyto klientské aplikace zablokovat přístup, nakonfigurujte řízení přístupu na Blokovat přístup.

Podmínka klientských aplikací nakonfigurovaná tak, aby blokoval starší verzi ověřování

Nepřímo blokuje starší verze ověřování

I když vaše organizace není připravená blokovat starší verze ověřování v celé organizaci, měli byste zajistit, aby přihlášení pomocí starší verze ověřování obešly zásady, které vyžadují udělení ovládacích prvků, jako je vyžadování vícefaktorového ověřování nebo kompatibilních/hybridních zařízení připojených k Azure AD. Starší verze klientů ověřování během ověřování nepodporuje odesílání MFA, dodržování předpisů zařízením ani informace o stavu připojení do Azure AD. Proto použijte zásady s ovládacími prvky udělení pro všechny klientské aplikace tak, aby přihlášení na základě starší verze ověřování, která nemohou splňovat ovládací prvky udělení, byla blokována. Vzhledem k obecné dostupnosti podmínky klientských aplikací v srpnu 2020 se nově vytvořené zásady podmíněného přístupu ve výchozím nastavení vztahují na všechny klientské aplikace.

Výchozí konfigurace podmínky klientských aplikací

Co byste měli vědět

Může trvat až 24 hodin, než se zásady podmíněného přístupu projeví.

Blokování přístupu pomocí jiných klientů také blokuje Exchange Online PowerShellu a Dynamics 365 pomocí základního ověřování.

Konfigurace zásad pro ostatní klienty blokuje celou organizaci od určitých klientů, jako je SPConnect. K tomuto bloku dochází proto, že se starší klienti ověřují neočekávaným způsobem. Tento problém se nevztahuje na hlavní Office aplikace, jako jsou Office klienti.

Můžete vybrat všechny dostupné ovládací prvky udělení pro podmínku Ostatní klienti. Prostředí koncového uživatele je ale vždy stejné – zablokovaný přístup.

SharePoint Online

Pokud chcete zablokovat přístup uživatelů prostřednictvím starší verze ověřování SharePoint Online, musí organizace zakázat starší verzi ověřování v SharePoint pomocí příkazu PowerShellu a nastavit Set-SPOTenant -LegacyAuthProtocolsEnabled parametr na $false . Další informace o nastavení tohoto parametru najdete v referenčním SharePoint PowerShellu týkajícím se Set-SPOTenant.

Další kroky