Procedure: verouderde verificatie naar Azure AD blok keren met voorwaardelijke toegangHow to: Block legacy authentication to Azure AD with Conditional Access

Om uw gebruikers eenvoudig toegang te geven tot uw Cloud-apps, ondersteunt Azure Active Directory (Azure AD) een breed scala aan verificatie protocollen, waaronder verouderde verificatie.To give your users easy access to your cloud apps, Azure Active Directory (Azure AD) supports a broad variety of authentication protocols including legacy authentication. Verouderde protocollen bieden echter geen ondersteuning voor multi-factor Authentication (MFA).However, legacy protocols don't support multi-factor authentication (MFA). MFA is in veel omgevingen een algemene vereiste om identiteits diefstal te verhelpen.MFA is in many environments a common requirement to address identity theft.

Alex Weinert, directeur van identiteits beveiliging bij micro soft, in zijn 12 maart 2020 blog post nieuwe hulp middelen voor het blok keren van verouderde verificatie in uw organisatie benadrukt u waarom organisaties verouderde verificatie moeten blok keren en welke extra Hulpprogram Ma's micro soft biedt om deze taak uit te voeren:Alex Weinert, Director of Identity Security at Microsoft, in his March 12, 2020 blog post New tools to block legacy authentication in your organization emphasizes why organizations should block legacy authentication and what additional tools Microsoft provides to accomplish this task:

Voor MFA moet u ook verouderde verificatie blok keren.For MFA to be effective, you also need to block legacy authentication. Dit komt doordat verouderde verificatie protocollen, zoals POP, SMTP, IMAP en MAPI, geen MFA afdwingen, waardoor ze voorkeurs toegangs punten voor aanvallers aanvallen van uw organisatie...This is because legacy authentication protocols like POP, SMTP, IMAP, and MAPI can't enforce MFA, making them preferred entry points for adversaries attacking your organization...

... De aantallen van verouderde verificatie van een analyse van Azure Active Directory verkeer (Azure AD) zijn Stark:...The numbers on legacy authentication from an analysis of Azure Active Directory (Azure AD) traffic are stark:

  • Meer dan 99 procent van de aanvallen voor wachtwoord spray gebruiken verouderde verificatie protocollenMore than 99 percent of password spray attacks use legacy authentication protocols
  • Meer dan 97 procent van de referentie aanvallen gebruiken verouderde verificatieMore than 97 percent of credential stuffing attacks use legacy authentication
  • Azure AD-accounts in organisaties met een uitgeschakelde verouderde verificatie-ervaring van 67 procent minder dan die waar oudere authenticatie is ingeschakeldAzure AD accounts in organizations that have disabled legacy authentication experience 67 percent fewer compromises than those where legacy authentication is enabled

Als uw omgeving klaar is om verouderde verificatie te blok keren om de beveiliging van uw Tenant te verbeteren, kunt u dit doel bereiken met voorwaardelijke toegang.If your environment is ready to block legacy authentication to improve your tenant's protection, you can accomplish this goal with Conditional Access. In dit artikel wordt uitgelegd hoe u beleid voor voorwaardelijke toegang kunt configureren waarmee verouderde verificatie voor uw Tenant wordt geblokkeerd.This article explains how you can configure Conditional Access policies that block legacy authentication for your tenant.

VereistenPrerequisites

In dit artikel wordt ervan uitgegaan dat u bekend bent met de basis concepten van voorwaardelijke toegang tot Azure AD.This article assumes that you are familiar with the basic concepts of Azure AD Conditional Access.

ScenariobeschrijvingScenario description

Azure AD biedt ondersteuning voor een aantal van de meest gebruikte verificatie-en autorisatie protocollen, inclusief verouderde verificatie.Azure AD supports several of the most widely used authentication and authorization protocols including legacy authentication. Verouderde verificatie verwijst naar protocollen die gebruikmaken van basis verificatie.Legacy authentication refers to protocols that use basic authentication. Normaal gesp roken kunnen deze protocollen geen type verificatie van de tweede factor afdwingen.Typically, these protocols can't enforce any type of second factor authentication. Voor beelden voor apps die zijn gebaseerd op verouderde verificatie zijn:Examples for apps that are based on legacy authentication are:

  • Oudere Microsoft Office-appsOlder Microsoft Office apps
  • Apps die e-mail protocollen zoals POP, IMAP en SMTP gebruikenApps using mail protocols like POP, IMAP, and SMTP

Verificatie met één factor (bijvoorbeeld gebruikers naam en wacht woord) is niet voldoende dagen.Single factor authentication (for example, username and password) is not enough these days. Wacht woorden zijn ongeldig omdat ze gemakkelijk te raden zijn en wij (mens) zijn slecht bij het kiezen van goede wacht woorden.Passwords are bad as they are easy to guess and we (humans) are bad at choosing good passwords. Wacht woorden zijn ook kwetsbaar voor diverse aanvallen zoals phishing en wachtwoord spray.Passwords are also vulnerable to a variety of attacks like phishing and password spray. Een van de eenvoudigste dingen die u kunt doen om te beschermen tegen wachtwoord dreigingen is het implementeren van multi-factor Authentication (MFA).One of the easiest things you can do to protect against password threats is to implement multi-factor authentication (MFA). Met MFA, zelfs als een aanvaller in bezit is van het wacht woord van een gebruiker, is het wacht woord alleen niet voldoende om te verifiëren en toegang te krijgen tot de gegevens.With MFA, even if an attacker gets in possession of a user's password, the password alone is not sufficient to successfully authenticate and access the data.

Hoe kunt u voor komen dat apps die verouderde verificatie gebruiken, toegang krijgen tot de resources van uw Tenant?How can you prevent apps using legacy authentication from accessing your tenant's resources? De aanbeveling is om ze alleen te blok keren met een beleid voor voorwaardelijke toegang.The recommendation is to just block them with a Conditional Access policy. Als dat nodig is, kunt u alleen bepaalde gebruikers en specifieke netwerk locaties gebruiken voor het gebruik van apps die zijn gebaseerd op verouderde verificatie.If necessary, you allow only certain users and specific network locations to use apps that are based on legacy authentication.

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat de verificatie van de eerste factor is voltooid.Conditional Access policies are enforced after the first-factor authentication has been completed. Daarom is voorwaardelijke toegang niet bedoeld als een eerste verdedigings linie voor scenario's als denial-of-service-aanvallen, maar kunnen ook signalen van deze gebeurtenissen (bijvoorbeeld het risico niveau van de aanmelding, de locatie van de aanvraag enzovoort) worden gebruikt om de toegang te bepalen.Therefore, Conditional Access is not intended as a first line defense for scenarios like denial-of-service (DoS) attacks, but can utilize signals from these events (for example, the sign-in risk level, location of the request, and so on) to determine access.

ImplementatieImplementation

In deze sectie wordt uitgelegd hoe u een beleid voor voorwaardelijke toegang configureert om verouderde verificatie te blok keren.This section explains how to configure a Conditional Access policy to block legacy authentication.

Verouderde verificatie protocollenLegacy authentication protocols

De volgende opties worden beschouwd als verouderde verificatie protocollenThe following options are considered legacy authentication protocols

  • Geverifieerde SMTP: wordt gebruikt door POP-en IMAP-clients voor het verzenden van e-mail berichten.Authenticated SMTP - Used by POP and IMAP clients to send email messages.
  • Automatische detectie: wordt door Outlook-en EAS-clients gebruikt om post vakken in Exchange Online te vinden en er verbinding mee te maken.Autodiscover - Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
  • Exchange ActiveSync (EAS): wordt gebruikt om verbinding te maken met post vakken in Exchange Online.Exchange ActiveSync (EAS) - Used to connect to mailboxes in Exchange Online.
  • Exchange Online Power shell: wordt gebruikt om verbinding te maken met Exchange Online met externe Power shell.Exchange Online PowerShell - Used to connect to Exchange Online with remote PowerShell. Als u basis verificatie voor Exchange Online Power shell blokkeert, moet u de Exchange Online Power shell-module gebruiken om verbinding te maken.If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. Zie verbinding maken met Exchange Online Power shell met multi-factor Authenticationvoor instructies.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
  • Exchange Web Services (EWS): een programmeer interface die wordt gebruikt door Outlook, Outlook voor Mac en apps van derden.Exchange Web Services (EWS) - A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
  • IMAP4: wordt gebruikt door IMAP-e-mailclients.IMAP4 - Used by IMAP email clients.
  • MAPI via HTTP (MAPI/HTTP): wordt gebruikt door Outlook 2010 en hoger.MAPI over HTTP (MAPI/HTTP) - Used by Outlook 2010 and later.
  • Offline adresboek (OAB): een kopie van de adres lijst verzamelingen die worden gedownload en gebruikt door Outlook.Offline Address Book (OAB) - A copy of address list collections that are downloaded and used by Outlook.
  • Outlook Anywhere (RPC via HTTP): wordt gebruikt door Outlook 2016 en eerder.Outlook Anywhere (RPC over HTTP) - Used by Outlook 2016 and earlier.
  • Outlook-service: wordt gebruikt door de mail-en agenda-app voor Windows 10.Outlook Service - Used by the Mail and Calendar app for Windows 10.
  • POP3: wordt gebruikt door POP-e-mailclients.POP3 - Used by POP email clients.
  • Reporting Web Services: wordt gebruikt voor het ophalen van rapport gegevens in Exchange Online.Reporting Web Services - Used to retrieve report data in Exchange Online.
  • Andere clients-andere protocollen die zijn geïdentificeerd als het gebruik van verouderde verificatie.Other clients - Other protocols identified as utilizing legacy authentication.

Zie voor meer informatie over deze verificatie protocollen en-services aanmeldings activiteiten rapporten in de Azure Active Directory Portal.For more information about these authentication protocols and services, see Sign-in activity reports in the Azure Active Directory portal.

Gebruik van verouderde authenticatie identificerenIdentify legacy authentication use

Voordat u verouderde verificatie in uw Directory kunt blok keren, moet u eerst begrijpen of uw gebruikers apps hebben die gebruikmaken van verouderde verificatie en hoe dit van invloed is op uw algemene Directory.Before you can block legacy authentication in your directory, you need to first understand if your users have apps that use legacy authentication and how it affects your overall directory. Aanmeld logboeken van Azure AD kunnen worden gebruikt om te begrijpen of u gebruikmaakt van verouderde verificatie.Azure AD sign-in logs can be used to understand if you're using legacy authentication.

  1. Navigeer naar het Azure Portal > Azure Active Directory > -Azure Active Directory aanmeldingen.Navigate to the Azure portal > Azure Active Directory > Sign-ins.
  2. Voeg de kolom client toepassing toe als deze niet wordt weer gegeven door te klikken op de client-app Columns > Client App.Add the Client App column if it is not shown by clicking on Columns > Client App.
  3. Filters toevoegen > Client-App > alle verouderde verificatie protocollen selecteren.Add filters > Client App > select all of the legacy authentication protocols. Selecteer buiten het dialoog venster filteren om uw selecties toe te passen en sluit het dialoog venster.Select outside the filtering dialog box to apply your selections and close the dialog box.

Bij filteren worden alleen de aanmeldings pogingen weer gegeven die zijn gemaakt door verouderde verificatie protocollen.Filtering will only show you sign-in attempts that were made by legacy authentication protocols. Als u op elke afzonderlijke aanmeldings poging klikt, wordt er meer informatie weer gegeven.Clicking on each individual sign-in attempt will show you additional details. In het veld client-app onder het tabblad basis informatie wordt aangegeven welk verouderde verificatie protocol is gebruikt.The Client App field under the Basic Info tab will indicate which legacy authentication protocol was used.

In deze logboeken wordt aangegeven welke gebruikers nog steeds afhankelijk zijn van verouderde verificatie en welke toepassingen verouderde protocollen gebruiken om verificatie aanvragen uit te voeren.These logs will indicate which users are still depending on legacy authentication and which applications are using legacy protocols to make authentication requests. Voor gebruikers die niet in deze logboeken worden weer gegeven en worden bevestigd dat ze geen verouderde authenticatie gebruiken, implementeert alleen het beleid voor voorwaardelijke toegang voor deze gebruikers.For users that do not appear in these logs and are confirmed to not be using legacy authentication, implement a Conditional Access policy for these users only.

Verouderde verificatie blokkerenBlock legacy authentication

Er zijn twee manieren om het beleid voor voorwaardelijke toegang te gebruiken om verouderde verificatie te blok keren.There are two ways to use Conditional Access policies to block legacy authentication.

Verouderde verificatie rechtstreeks blok kerenDirectly blocking legacy authentication

De eenvoudigste manier om verouderde verificatie voor uw hele organisatie te blok keren, is door een beleid voor voorwaardelijke toegang te configureren dat specifiek van toepassing is op verouderde authenticatie clients en de toegang blokkeert.The easiest way to block legacy authentication across your entire organization is by configuring a Conditional Access policy that applies specifically to legacy authentication clients and blocks access. Wanneer u gebruikers en toepassingen aan het beleid toewijst, moet u ervoor zorgen dat u gebruikers en service accounts uitsluit die nog moeten worden aangemeld met verouderde verificatie.When assigning users and applications to the policy, make sure to exclude users and service accounts that still need to sign in using legacy authentication. Configureer de client-apps voor waarde door Exchange ActiveSync-clients en andere clients te selecteren.Configure the client apps condition by selecting Exchange ActiveSync clients and Other clients. Als u de toegang voor deze client-Apps wilt blok keren, configureert u de toegangs elementen om de toegang te blok keren.To block access for these client apps, configure the access controls to Block access.

Voor waarde voor client-apps geconfigureerd om verouderde auth te blok keren

Verouderde verificatie indirect blok kerenIndirectly blocking legacy authentication

Zelfs als uw organisatie niet gereed is voor het blok keren van verouderde verificatie voor de hele organisatie, moet u ervoor zorgen dat aanmeldingen met behulp van verouderde verificatie geen beleids regels passeren waarvoor toekennings controles nodig zijn, zoals het vereisen van multi-factor Authentication of compatibele/hybride Azure AD-apparaten.Even if your organization isn’t ready to block legacy authentication across the entire organization, you should ensure that sign-ins using legacy authentication aren’t bypassing policies that require grant controls such as requiring multi-factor authentication or compliant/hybrid Azure AD joined devices. Tijdens de verificatie bieden verouderde verificatie-clients geen ondersteuning voor het verzenden van MFA, apparaatcompatibiliteit of status informatie aan Azure AD.During authentication, legacy authentication clients do not support sending MFA, device compliance, or join state information to Azure AD. Daarom moet u beleids regels met granting Controls Toep assen op alle client toepassingen, zodat verouderde op verificatie gebaseerde aanmeldingen die niet aan de toekennings besturings elementen kunnen voldoen, worden geblokkeerd.Therefore, apply policies with grant controls to all client applications so that legacy authentication based sign-ins that cannot satisfy the grant controls are blocked. Met de algemene Beschik baarheid van de voor waarde client-apps in augustus 2020 is nieuw gemaakt beleid voor voorwaardelijke toegang standaard van toepassing op alle client-apps.With the general availability of the client apps condition in August 2020, newly created Conditional Access policies apply to all client apps by default.

Standaard configuratie van client-apps voor waarde

Wat u moet wetenWhat you should know

Het blok keren van toegang met andere clients blokkeert ook Exchange Online Power shell en Dynamics 365 met behulp van basis verificatie.Blocking access using Other clients also blocks Exchange Online PowerShell and Dynamics 365 using basic auth.

Het configureren van een beleid voor andere clients blokkeert de hele organisatie van bepaalde clients, zoals SPConnect.Configuring a policy for Other clients blocks the entire organization from certain clients like SPConnect. Dit blok treedt op omdat oudere clients op onverwachte wijze worden geverifieerd.This block happens because older clients authenticate in unexpected ways. Het probleem is niet van toepassing op grote Office-toepassingen zoals de oudere Office-clients.The issue doesn't apply to major Office applications like the older Office clients.

Het kan tot 24 uur duren voordat het beleid van kracht wordt.It can take up to 24 hours for the policy to go into effect.

U kunt alle beschik bare granting-besturings elementen voor de andere voor waarden van de clients selecteren. de ervaring van de eind gebruiker is echter altijd dezelfde toegang die wordt geblokkeerd.You can select all available grant controls for the Other clients condition; however, the end-user experience is always the same - blocked access.

Share point online en B2B-gast gebruikersSharePoint Online and B2B guest users

Om B2B-gebruikers toegang te blok keren via verouderde verificatie naar share point online, moeten organisaties verouderde verificatie uitschakelen in share point met de Set-SPOTenant Power shell-opdracht en de -LegacyAuthProtocolsEnabled para meter instellen op $false .To block B2B user access via legacy authentication to SharePoint Online, organizations must disable legacy authentication on SharePoint using the Set-SPOTenant PowerShell command and setting the -LegacyAuthProtocolsEnabled parameter to $false. Meer informatie over het instellen van deze para meter vindt u in het referentie document van share point Power shell over set-SPOTenantMore information about setting this parameter can be found in the SharePoint PowerShell reference document regarding Set-SPOTenant

Volgende stappenNext steps