Útmutató: A feltételes hozzáféréssel rendelkező Azure AD örökölt hitelesítési hozzáférésének letiltása

  • Cikk
  • 8 perc alatt elolvasható

Annak érdekében, hogy a felhasználók könnyen hozzáférjenek a felhőalkalmazásaihoz, a Azure Active Directory (Azure AD) számos hitelesítési protokollt támogat, beleértve az örökölt hitelesítést is. Az örökölt hitelesítés azonban nem támogatja a többtényezős hitelesítést (MFA). Az MFA számos környezetben gyakori követelmény a személyazonosság-lopás kezeléséhez.

Megjegyzés

2022. október 1-jével az SMTP-hitelesítés kivételével minden Microsoft 365 bérlőben véglegesen letiltjuk az alapszintű hitelesítést Exchange Online. További információ itt

Alex Weinert, a Microsoft identitásbiztonsági igazgatója 2020. március 12-i blogbejegyzésében új eszközöket tett közzé az örökölt hitelesítés letiltására a szervezetben , és hangsúlyozza, hogy a szervezeteknek miért kell blokkolnia a régi hitelesítést, és hogy a Microsoft milyen egyéb eszközöket biztosít a feladat elvégzéséhez:

Ahhoz, hogy az MFA hatékony legyen, le kell tiltani az örökölt hitelesítést is. Ennek az az oka, hogy az olyan régi hitelesítési protokollok, mint a POP, az SMTP, az IMAP és a MAPI, nem tudják kikényszeríteni az MFA-t, ezért előnyben részesített belépési pontok a szervezetet támadó támadók számára...

... A Azure Active Directory (Azure AD) forgalom elemzéséből származó örökölt hitelesítésen szereplő számok nem megfelelőek:

  • A jelszópermetes támadások több mint 99%-a örökölt hitelesítési protokollokat használ
  • A hitelesítőadat-feltöltési támadások több mint 97%-a örökölt hitelesítést használ
  • Azure AD régebbi hitelesítést letiltó szervezetek fiókjai 67%-kal kevesebb biztonsági sérülést tapasztalnak, mint azok, amelyeken engedélyezve van az örökölt hitelesítés

Ha a környezet készen áll arra, hogy letiltsa az örökölt hitelesítést a bérlő védelmének javítása érdekében, ezt a célt feltételes hozzáféréssel érheti el. Ez a cikk azt ismerteti, hogyan konfigurálhat olyan feltételes hozzáférési szabályzatokat, amelyek blokkolják az örökölt hitelesítést a bérlő összes számítási feladatához.

Az örökölt hitelesítés blokkolásának bevezetésekor egy szakaszos megközelítést ajánlunk ahelyett, hogy egyszerre minden felhasználónál letiltanánk. Az ügyfelek dönthetnek úgy, hogy először protokollonként kezdik el letiltani az alapszintű hitelesítést Exchange Online hitelesítési házirendek alkalmazásával, majd (opcionálisan) a feltételes hozzáférési szabályzatokkal történő örökölt hitelesítést is letiltják, ha készen állnak.

A feltételes hozzáférést tartalmazó licenccel nem rendelkező ügyfelek az alapértelmezett biztonsági beállításokat használhatják az örökölt hitelesítés letiltásához.

Előfeltételek

Ez a cikk feltételezi, hogy ismeri a feltételes hozzáférés Azure AD alapfogalmait.

Megjegyzés

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kikényszeríthetők. A feltételes hozzáférés nem a szervezet első védelmi vonala olyan forgatókönyvek esetén, mint a szolgáltatásmegtagadásos (DoS-) támadások, de a hozzáférés meghatározásához használhatja az események jeleit.

Forgatókönyv leírása

Azure AD támogatja a legszélesebb körben használt hitelesítési és engedélyezési protokollokat, beleértve az örökölt hitelesítést is. Az örökölt hitelesítés nem kérheti a felhasználóktól a második tényezős hitelesítést vagy a feltételes hozzáférési szabályzatok teljesítéséhez szükséges egyéb hitelesítési követelményeket. Ez a hitelesítési minta tartalmazza az alapszintű hitelesítést, amely egy széles körben használt iparági szabványnak megfelelő módszer a felhasználónév- és jelszóadatok gyűjtésére. Példák olyan alkalmazásokra, amelyek gyakran vagy csak örökölt hitelesítést használnak:

  • Microsoft Office 2013-at vagy annál régebbi verziót.
  • Olyan levelezési protokollokat használó alkalmazások, mint a POP, az IMAP és az SMTP AUTH.

A Office modern hitelesítésének támogatásával kapcsolatos további információkért lásd: A modern hitelesítés működése Office ügyfélalkalmazásokban.

Az egytényezős hitelesítés (például felhasználónév és jelszó) manapság nem elegendő. A jelszavak rosszak, mivel könnyen kitalálhatóak, és mi (emberek) rosszak a jó jelszavak kiválasztásában. A jelszavak különböző támadásoknak is ki vannak téve, például az adathalászat és a jelszópermet. A jelszófenyegetések elleni védelem egyik legegyszerűbb módja a többtényezős hitelesítés (MFA) megvalósítása. Az MFA használata esetén a jelszó önmagában nem elegendő az adatok sikeres hitelesítéséhez és eléréséhez még akkor sem, ha egy támadó birtokában van egy felhasználó jelszavának.

Hogyan akadályozható meg, hogy az örökölt hitelesítést használó alkalmazások hozzáférjenek a bérlő erőforrásaihoz? A javaslat az, hogy csak letiltsa őket egy feltételes hozzáférési szabályzattal. Ha szükséges, csak bizonyos felhasználók és adott hálózati helyek használhatnak örökölt hitelesítésen alapuló alkalmazásokat.

Implementálás

Ez a szakasz azt ismerteti, hogyan konfigurálhat feltételes hozzáférési szabályzatot az örökölt hitelesítés letiltásához.

Az örökölt hitelesítést támogató üzenetkezelési protokollok

A következő üzenetkezelési protokollok támogatják az örökölt hitelesítést:

  • Hitelesített SMTP – Hitelesített e-mailek küldésére szolgál.
  • Automatikus észlelés – A Outlook és az EAS-ügyfelek használják a postaládák megkeresésére és csatlakoztatására Exchange Online.
  • Exchange ActiveSync protokoll (EAS) – A Exchange Online postaládáihoz való csatlakozásra szolgál.
  • Exchange Online PowerShell – A távoli PowerShell-lel Exchange Online való csatlakozásra szolgál. Ha letiltja Exchange Online PowerShell alapszintű hitelesítését, a csatlakozáshoz a Exchange Online PowerShell-modult kell használnia. Útmutatásért lásd Csatlakozás a PowerShell többtényezős hitelesítéssel történő Exchange Online.
  • Exchange Web Services (EWS) – A Outlook, Mac Outlook és külső alkalmazások által használt programozási felület.
  • IMAP4 – Az IMAP levelezőprogramok használják.
  • MAPI HTTP-n keresztül (MAPI/HTTP) – Az Outlook 2010 SP2 és újabb verziók által használt elsődleges postaláda-hozzáférési protokoll.
  • Offline címjegyzék (OAB) – A Outlook által letöltött és használt címlista-gyűjtemények másolata.
  • Outlook Bárhol (RPC HTTP-n keresztül) – Az összes jelenlegi Outlook verzió támogatja a régi postaláda-hozzáférési protokollt.
  • POP3 – A POP e-mail-ügyfelek használják.
  • Reporting Web Services – Jelentésadatok lekérésére szolgál Exchange Online.
  • Univerzális Outlook – A Posta és a Naptár alkalmazás Windows 10.
  • Egyéb ügyfelek – Örökölt hitelesítést használóként azonosított egyéb protokollok.

Ezekről a hitelesítési protokollokról és szolgáltatásokról további információt a bejelentkezési tevékenység jelentéseiben talál a Azure Active Directory portálon.

Örökölt hitelesítés használatának azonosítása

Mielőtt letilthatja az örökölt hitelesítést a címtárban, először meg kell tudnia, hogy a felhasználók rendelkeznek-e örökölt hitelesítést használó ügyfelekkel. Az alábbiakban hasznos információkat talál a régi hitelesítést használó ügyfelek azonosításához és osztályozásához.

A Azure AD mutatói

  1. Lépjen a Azure Portal>Azure Active Directory>Bejelentkeztetés naplókhoz.
  2. Adja hozzá az Ügyfélalkalmazás oszlopot, ha az nem jelenik meg az Oszlopok>ügyfélalkalmazás elemre kattintva.
  3. Szűrők> hozzáadása Ügyfélalkalmazás> válassza ki az összes örökölt hitelesítési protokollt. A szűrési párbeszédpanelen kívülre kattintva alkalmazhatja a kijelöléseket, és bezárhatja a párbeszédpanelt.
  4. Ha aktiválta az új bejelentkezési tevékenységjelentések előnézetét, ismételje meg a fenti lépéseket a Felhasználói bejelentkezések (nem interaktív) lapon is.

A szűrés csak az örökölt hitelesítési protokollok által végrehajtott bejelentkezési kísérleteket jeleníti meg. Az egyes bejelentkezési kísérletekre kattintva további részleteket jeleníthet meg. Az Ügyfélalkalmazás mező az Alapadatok lapon jelzi, hogy melyik örökölt hitelesítési protokollt használták.

Ezek a naplók jelzik, hogy a felhasználók hol használják az örökölt hitelesítéstől függő ügyfeleket. Azoknak a felhasználóknak, amelyek nem jelennek meg ezekben a naplókban, és megerősítették, hogy nem használnak örökölt hitelesítést, csak ezekhez a felhasználókhoz implementáljon feltételes hozzáférési szabályzatot.

Emellett az örökölt hitelesítés bérlőn belüli osztályozásához használja a régi hitelesítési munkafüzetet használó bejelentkezéseket.

Az ügyféltől származó mutatók

Annak megállapításához, hogy egy ügyfél a bejelentkezéskor megjelenő párbeszédpanelen alapuló örökölt vagy modern hitelesítést használ-e, olvassa el az alapszintű hitelesítés elavulását Exchange Online.

Fontos szempontok

Számos ügyfél, amely korábban csak az örökölt hitelesítést támogatta, mostantól támogatja a modern hitelesítést. Az örökölt és a modern hitelesítést is támogató ügyfelek esetében előfordulhat, hogy konfigurációfrissítésre lehet szükség az örököltről a modern hitelesítésre való áttéréshez. Ha a Azure AD naplókban modern mobil- vagy asztali ügyfél vagy böngésző jelenik meg, az modern hitelesítést használ. Ha adott ügyfél- vagy protokollnévvel rendelkezik, például Exchange ActiveSync protokoll, örökölt hitelesítést használ. A feltételes hozzáférés ügyféltípusai, a Azure AD a bejelentkezési naplók és az örökölt hitelesítési munkafüzet megkülönbözteti a modern és az örökölt hitelesítési ügyfeleket.

  • A modern hitelesítést támogató, de nem modern hitelesítés használatára konfigurált ügyfeleket frissíteni kell, vagy újra kell konfigurálni a modern hitelesítés használatára.
  • Minden olyan ügyfelet ki kell cserélni, amely nem támogatja a modern hitelesítést.

Fontos

Exchange Active Sync tanúsítványalapú hitelesítéssel (CBA)

Az Exchange Active Sync (EAS) CBA-val történő implementálásakor konfigurálja az ügyfeleket modern hitelesítés használatára. A CBA-val rendelkező EAS-hez nem modern hitelesítést használó ügyfeleket nem blokkolja az alapszintű hitelesítés elavulása Exchange Online. Ezeket az ügyfeleket azonban letiltják az örökölt hitelesítés letiltására konfigurált feltételes hozzáférési szabályzatok.

További információ a CBA támogatásának Azure AD és modern hitelesítéssel történő megvalósításáról: Azure AD tanúsítványalapú hitelesítés (előzetes verzió) konfigurálása. Másik lehetőségként az összevonási kiszolgálón végrehajtott CBA modern hitelesítéssel is használható.

Ha Microsoft Intune használ, lehetséges, hogy a leküldéses vagy központi telepítésű e-mail-profil használatával meg tudja változtatni a hitelesítési típust. Ha iOS eszközöket (iPhone-okat és iPadeket) használ, tekintse meg iOS és iPadOS-eszközök e-mail-beállításainak hozzáadása Microsoft Intune.

Régi hitelesítési folyamat letiltása

A feltételes hozzáférési szabályzatok kétféleképpen tilthatják le az örökölt hitelesítést.

Az örökölt hitelesítés közvetlen blokkolása

A legegyszerűbben úgy tilthatja le az örökölt hitelesítést a teljes szervezetben, ha konfigurál egy feltételes hozzáférési szabályzatot, amely kifejezetten az örökölt hitelesítési ügyfelekre vonatkozik, és letiltja a hozzáférést. Amikor felhasználókat és alkalmazásokat rendel a szabályzathoz, mindenképpen zárja ki azokat a felhasználókat és szolgáltatásfiókokat, amelyeknek továbbra is régi hitelesítéssel kell bejelentkeznie. Amikor kiválasztja azokat a felhőalkalmazásokat, amelyekben alkalmazni szeretné ezt a szabályzatot, válassza a Minden felhőalkalmazás, a megcélzott alkalmazások, például a Office 365 (ajánlott) lehetőséget, vagy legalább Office 365 Exchange Online. Konfigurálja az ügyfélalkalmazások feltételét Exchange ActiveSync protokoll ügyfelek és egyéb ügyfelek kiválasztásával. Az ügyfélalkalmazások hozzáférésének letiltásához konfigurálja a hozzáférés-vezérlést a Hozzáférés letiltása beállításra.

Client apps condition configured to block legacy auth

Az örökölt hitelesítés közvetett letiltása

Még ha a szervezet nem is áll készen az örökölt hitelesítés letiltására a teljes szervezetben, gondoskodnia kell arról, hogy az örökölt hitelesítést használó bejelentkezések ne kerüljék meg az olyan szabályzatokat, amelyek olyan vezérlőket igényelnek, mint például a többtényezős hitelesítés vagy a megfelelő/hibrid Azure AD csatlakoztatott eszközök megkövetelése. A hitelesítés során a régi hitelesítési ügyfelek nem támogatják az MFA, az eszközmegfelelés vagy az állapotinformációk csatlakoztatását Azure AD. Ezért minden ügyfélalkalmazásra alkalmazzon engedélyezési vezérlőkkel rendelkező szabályzatokat, hogy az örökölt, hitelesítésen alapuló bejelentkezések, amelyek nem felelnek meg az engedélyezési vezérlőknek, le legyenek tiltva. Mivel 2020 augusztusában általánosan elérhetővé tette az ügyfélalkalmazások feltételét, az újonnan létrehozott feltételes hozzáférési szabályzatok alapértelmezés szerint az összes ügyfélalkalmazásra vonatkoznak.

Client apps condition default configuration

Alapismeretek

A feltételes hozzáférési szabályzat érvénybe lépése akár 24 órát is igénybe vehet.

A Hozzáférés más ügyfelekkel való letiltása a PowerShell és a Dynamics 365 Exchange Online is blokkolja alapszintű hitelesítéssel.

A más ügyfelekre vonatkozó szabályzatok konfigurálása blokkolja a teljes szervezetet bizonyos ügyfelektől, például az SPConnecttől. Ez a blokkolás azért történik, mert a régebbi ügyfelek nem várt módon hitelesítik magukat. A probléma nem vonatkozik a nagyobb Office alkalmazásokra, például a régebbi Office-ügyfelekre.

Az Egyéb ügyfelek feltételhez tartozó összes elérhető engedélyezési vezérlőt kiválaszthatja; a végfelhasználói élmény azonban mindig ugyanaz – letiltott hozzáférés.

Következő lépések