Como: Bloquear o acesso à autenticação de legados a Azure AD com Acesso Condicional

  • Artigo
  • 10 minutos para ler

Para dar aos seus utilizadores um fácil acesso às suas aplicações na nuvem, Azure Ative Directory (Azure AD) suporta uma grande variedade de protocolos de autenticação, incluindo a autenticação antiga. No entanto, a autenticação do legado não suporta a autenticação multifactor (MFA). MFA é em muitos ambientes um requisito comum para abordar o roubo de identidade.

Nota

A partir de 1 de outubro de 2022, começaremos a desativar permanentemente a Autenticação Básica para Exchange Online em todos os Microsoft 365 inquilinos, independentemente da sua utilização, com exceção da Autenticação SMTP. Leia mais aqui

Alex Weinert, Diretor de Segurança de Identidade da Microsoft, no seu post de 12 de março de 2020 Novas ferramentas para bloquear a autenticação de legados na sua organização enfatizam porque é que as organizações devem bloquear a autenticação de legados e quais as outras ferramentas que a Microsoft fornece para realizar esta tarefa:

Para que o MFA seja eficaz, também é necessário bloquear a autenticação do legado. Isto porque protocolos de autenticação de legados como POP, SMTP, IMAP e MAPI não podem impor MFA, tornando-os pontos de entrada preferidos para adversários que atacam a sua organização...

... Os números sobre a autenticação do legado a partir de uma análise do tráfego de Azure Ative Directory (Azure AD) são gritantes:

  • Mais de 99% dos ataques de spray de senha usam protocolos de autenticação legado
  • Mais de 97% dos ataques de recheio credenciais usam autenticação antiga
  • Azure AD contas em organizações que desativaram a experiência de autenticação de legado 67% menos compromissos do que aqueles em que a autenticação de legados está ativada

Se o seu ambiente estiver pronto para bloquear a autenticação do legado para melhorar a proteção do seu inquilino, pode atingir este objetivo com acesso condicional. Este artigo explica como pode configurar políticas de Acesso Condicional que bloqueiam a autenticação de legados para todas as cargas de trabalho dentro do seu inquilino.

Ao lançar a proteção de bloqueio de autenticação de legado, recomendamos uma abordagem faseada, em vez de desativá-la para todos os utilizadores de uma só vez. Os clientes podem optar por começar a desativar a autenticação básica numa base por protocolo, aplicando políticas de autenticação Exchange Online, bloqueando depois (opcionalmente) a autenticação do legado através de políticas de Acesso Condicional quando prontas.

Os clientes sem licenças que incluam Acesso Condicional podem recorrer a falhas de segurança para bloquear a autenticação do legado.

Pré-requisitos

Este artigo assume que está familiarizado com os conceitos básicos de Azure AD Acesso Condicional.

Nota

As políticas de acesso condicional são aplicadas após a autenticação do primeiro fator estar concluída. O Acesso Condicional não pretende ser a primeira linha de defesa de uma organização para cenários como ataques de negação de serviço (DoS), mas pode usar sinais destes eventos para determinar o acesso.

Descrição do cenário

Azure AD suporta os protocolos de autenticação e autorização mais utilizados, incluindo a autenticação do legado. A autenticação de legados não pode levar os utilizadores para a autenticação de segundo fator ou outros requisitos de autenticação necessários para satisfazer as políticas de acesso condicional, diretamente. Este padrão de autenticação inclui a autenticação básica, um método padrão da indústria amplamente utilizado para recolher informações sobre o nome de utilizador e a palavra-passe. Exemplos de aplicações que normalmente ou apenas utilizam a autenticação antiga são:

  • Microsoft Office 2013 ou mais.
  • Aplicativos que usam protocolos de correio como POP, IMAP e SMTP AUTH.

Para obter mais informações sobre o suporte de autenticação moderna em Office, consulte como funciona a autenticação moderna para Office aplicações de clientes.

A autenticação de um único fator (por exemplo, nome de utilizador e palavra-passe) não é suficiente nos dias de hoje. As palavras-passe são más porque são fáceis de adivinhar e nós (humanos) somos maus a escolher boas senhas. As palavras-passe também são vulneráveis a vários ataques, como phishing e spray de senha. Uma das coisas mais fáceis de proteger contra ameaças de senha é implementar a autenticação multifactor (MFA). Com o MFA, mesmo que um intruso obtenha na posse da senha de um utilizador, a palavra-passe por si só não é suficiente para autenticar e aceder com sucesso aos dados.

Como evitar que as aplicações que utilizam a autenticação antiga acedam aos recursos do seu inquilino? A recomendação é apenas bloqueá-los com uma política de acesso condicional. Se necessário, permite que apenas certos utilizadores e localizações específicas da rede utilizem aplicações baseadas na autenticação antiga.

Implementação

Esta secção explica como configurar uma política de Acesso Condicional para bloquear a autenticação do legado.

Protocolos de mensagens que suportam a autenticação do legado

Os seguintes protocolos de mensagens suportam a autenticação do legado:

  • SMTP autenticado - Usado para enviar mensagens de correio eletrónico autenticadas.
  • Autodiscover - Usado por clientes Outlook e EAS para encontrar e ligar a caixas de correio em Exchange Online.
  • Exchange ActiveSync (EAS) - Costumava ligar-se a caixas de correio em Exchange Online.
  • Exchange Online PowerShell - Usado para ligar a Exchange Online com o PowerShell remoto. Se bloquear a autenticação básica para Exchange Online PowerShell, tem de utilizar o módulo PowerShell Exchange Online para ligar. Para obter instruções, consulte Ligação para Exchange Online PowerShell utilizando a autenticação multifactor.
  • Exchange Web Services (EWS) - Uma interface de programação que é usada por Outlook, Outlook para Mac e aplicações de terceiros.
  • IMAP4 - Usado por clientes de e-mail IMAP.
  • MAPI over HTTP (MAPI/HTTP) - Protocolo de acesso à caixa de correio primário utilizado por Outlook 2010 SP2 e posteriormente.
  • Offline Address Book (OAB) - Uma cópia das coleções da lista de endereços que são descarregadas e utilizadas por Outlook.
  • Outlook Anywhere (RPC over HTTP) - Protocolo de acesso à caixa de correio legacy suportado por todas as versões Outlook atuais.
  • POP3 - Usado por clientes pop e-mail.
  • Reportar serviços web - Usado para recuperar dados de relatório em Exchange Online.
  • Universal Outlook - Usado pela aplicação Mail and Calendar para Windows 10.
  • Outros clientes - Outros protocolos identificados como utilizando a autenticação do legado.

Para obter mais informações sobre estes protocolos e serviços de autenticação, consulte os relatórios de atividade de Inscrição no portal Azure Ative Directory.

Identificar o uso da autenticação de legados

Antes de bloquear a autenticação do legado no seu diretório, tem de primeiro compreender se os seus utilizadores têm clientes que utilizam a autenticação antiga. Abaixo, você encontrará informações úteis para identificar e triagem onde os clientes estão usando a autenticação antiga.

Indicadores de Azure AD

  1. Navegue para os registos portal do Azure>Azure Ative Directory>Sinsign-in.
  2. Adicione a coluna 'App' cliente se não for mostrada clicando naApp do Clientedas Colunas>.
  3. Adicionar filtros>App do> cliente selecione todos os protocolos de autenticação do legado. Selecione fora da caixa de diálogo de filtragem para aplicar as suas seleções e feche a caixa de diálogo.
  4. Se ativou os novos relatórios de atividade de inscrição, repita os passos acima também no separador 'Iniciar ins') do Utilizador (não interativo ).

A filtragem só lhe mostrará as tentativas de inscrição que foram feitas por protocolos de autenticação de legados. Clicar em cada tentativa de inscrição individual irá mostrar-lhe mais detalhes. O campo de Aplicação do Cliente no separador Informações Básicas indicará qual o protocolo de autenticação legado utilizado.

Estes registos indicam onde os utilizadores estão a utilizar clientes que ainda estão dependentes da autenticação do legado. Para os utilizadores que não aparecem nestes registos e que se confirmem não estarem a utilizar a autenticação antiga, implemente uma política de Acesso Condicional apenas para estes utilizadores.

Além disso, para ajudar a triagem de autenticação de legados dentro do seu inquilino, utilize os Sign-ins utilizando um livro de autenticação legado.

Indicadores do cliente

Para determinar se um cliente está a utilizar o legado ou a autenticação moderna com base na caixa de diálogo apresentada no início de súplica, consulte o artigo Deprecação da Autenticação Básica em Exchange Online.

Considerações importantes

Muitos clientes que anteriormente apenas suportavam a autenticação antiga agora suportam a autenticação moderna. Os clientes que suportam tanto o legado como a autenticação moderna podem exigir uma atualização de configuração para passar do legado para a autenticação moderna. Se você vê o moderno cliente móvel, desktop ou browser para um cliente nos registos Azure AD, está usando a autenticação moderna. Se tiver um nome específico de cliente ou protocolo, como Exchange ActiveSync, está a usar a autenticação antiga. Os tipos de clientes em Acesso Condicional, Azure AD registos de inscrição, e o livro de autenticação legado distingue entre clientes de autenticação moderna e legado para si.

  • Os clientes que suportam a autenticação moderna mas não estão configurados para utilizar a autenticação moderna devem ser atualizados ou reconfigurados para utilizar a autenticação moderna.
  • Todos os clientes que não suportam a autenticação moderna devem ser substituídos.

Importante

Exchange Ative Sync com autenticação baseada em certificados (CBA)

Ao implementar Exchange Ative Sync (EAS) com a CBA, configuure os clientes para utilizarem a autenticação moderna. Os clientes que não utilizem a autenticação moderna para AEA com CBA não estão bloqueados com a Deprecação da Autenticação Básica em Exchange Online. No entanto, estes clientes são bloqueados por políticas de Acesso Condicional configuradas para bloquear a autenticação do legado.

Para mais informações sobre a implementação do suporte à CBA com Azure AD e autenticação moderna Consulte: Como configurar Azure AD autenticação baseada em certificados (Pré-visualização). Como outra opção, a CBA realizada num servidor da federação pode ser usada com a autenticação moderna.

Se estiver a utilizar Microsoft Intune, poderá ser capaz de alterar o tipo de autenticação utilizando o perfil de e-mail que empurra ou implementa para os seus dispositivos. Se estiver a utilizar iOS dispositivos (iPhones e iPads), deve dar uma olhada nas definições de e-mail para dispositivos iOS e iPadOS em Microsoft Intune.

Bloquear a autenticação legada

Existem duas formas de usar políticas de Acesso Condicional para bloquear a autenticação do legado.

Bloqueando diretamente a autenticação do legado

A forma mais fácil de bloquear a autenticação de legados em toda a sua organização é configurar uma política de Acesso Condicional que se aplica especificamente aos clientes de autenticação antiga e bloqueia o acesso. Ao atribuir utilizadores e aplicações à apólice, certifique-se de excluir os utilizadores e contas de serviço que ainda precisam de iniciar sessão com a autenticação do legado. Ao escolher as aplicações em nuvem para aplicar esta política, selecione Todas as aplicações em nuvem, aplicações direcionadas como Office 365 (recomendado) ou no mínimo, Office 365 Exchange Online. Configurar a condição de aplicações do cliente selecionando Exchange ActiveSync clientes e outros clientes. Para bloquear o acesso a estas aplicações de clientes, configurar os controlos de acesso ao acesso ao Bloco.

Client apps condition configured to block legacy auth

Bloqueando indiretamente a autenticação do legado

Mesmo que a sua organização não esteja pronta para bloquear a autenticação de legados em toda a organização, deve garantir que os sign-ins que utilizam a autenticação antiga não estão a contornar as políticas que requerem controlos de concessão, tais como a necessidade de autenticação multifactor ou dispositivos de Azure AD de união de Azure AD. Durante a autenticação, os clientes de autenticação de legados não suportam o envio de MFA, conformidade do dispositivo ou aderir a informações do Estado para Azure AD. Por isso, aplique políticas com controlos de concessão a todas as aplicações do cliente para que os logins baseados na autenticação que não satisfaçam os controlos da concessão sejam bloqueados. Com a disponibilidade geral das aplicações do cliente em agosto de 2020, as políticas de Acesso Condicional recentemente criadas aplicam-se a todas as aplicações do cliente por padrão.

Client apps condition default configuration

O que deve saber

Pode levar até 24 horas para que a política de acesso condicional entre em vigor.

Bloquear o acesso usando Outros clientes também bloqueia Exchange Online PowerShell e Dynamics 365 usando auth básico.

Configurar uma política para outros clientes bloqueia toda a organização de certos clientes como o SPConnect. Este bloco acontece porque os clientes mais velhos autenticam de formas inesperadas. A questão não se aplica a aplicações de Office importantes como os clientes Office mais velhos.

Pode selecionar todos os controlos de subvenção disponíveis para a condição de Outros clientes ; no entanto, a experiência do utilizador final é sempre a mesma - acesso bloqueado.

Passos seguintes