Microsoft Entra Koşullu Erişim ile eski kimlik doğrulamasını engelleme

  • Makale

Microsoft Entra ID, kullanıcılarınıza bulut uygulamalarınıza kolay erişim sağlamak için eski kimlik doğrulaması dahil olmak üzere çok çeşitli kimlik doğrulama protokollerini destekler. Ancak, eski kimlik doğrulaması çok faktörlü kimlik doğrulaması (MFA) gibi şeyleri desteklemez. MFA, kuruluşlarda güvenlik duruşunu geliştirmek için yaygın bir gereksinimdir.

Microsoft'un analizine göre kimlik bilgileri doldurma saldırılarının yüzde 97'sinden fazlası eski kimlik doğrulaması kullanır ve parola spreyi saldırılarının yüzde 99'undan fazlası eski kimlik doğrulama protokollerini kullanır. Bu saldırılar temel kimlik doğrulaması devre dışı bırakılmış veya engellenmiş olarak durdurulacak.

Not

1 Ekim 2022 tarihinden itibaren, SMTP Kimlik Doğrulaması dışında kullanımdan bağımsız olarak tüm Microsoft 365 kiracılarında Exchange Online için Temel Kimlik Doğrulamasını kalıcı olarak devre dışı bırakmaya başlayacağız. Daha fazla bilgi için Exchange Online'da Temel kimlik doğrulamasını kullanımdan kaldırma makalesine bakın

Microsoft Kimlik Güvenliği Direktörü Alex Weinert, 12 Mart 2020 blog gönderisinde Kuruluşunuzdaki eski kimlik doğrulamasını engellemeye yönelik yeni araçlar, kuruluşların neden eski kimlik doğrulamasını engellemesi gerektiğini ve Microsoft'un bu görevi gerçekleştirmek için sağladığı diğer araçları vurgular:

Bu makalede, kiracınızdaki tüm iş yükleri için eski kimlik doğrulamasını engelleyen Koşullu Erişim ilkelerini nasıl yapılandırabileceğiniz açıklanmaktadır.

Eski kimlik doğrulama engelleme koruması dağıtılırken, tüm kullanıcılar için aynı anda devre dışı bırakmak yerine aşamalı bir yaklaşım öneririz. Müşteriler önce Exchange Online kimlik doğrulama ilkeleri uygulayarak protokol temelinde temel kimlik doğrulamasını devre dışı bırakmaya başlayabilir, ardından (isteğe bağlı olarak) hazır olduğunda Koşullu Erişim ilkeleri aracılığıyla eski kimlik doğrulamasını da engelleyebilir.

Koşullu Erişim içeren lisansları olmayan müşteriler, eski kimlik doğrulamasını engellemek için güvenlik varsayılanlarını kullanabilir.

Önkoşullar

Bu makalede, Microsoft Entra Koşullu Erişim'in temel kavramlarını bildiğiniz varsayılır.

Not

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Senaryo açıklaması

Microsoft Entra ID, eski kimlik doğrulaması dahil olmak üzere en yaygın kullanılan kimlik doğrulama ve yetkilendirme protokollerini destekler. Eski kimlik doğrulaması, kullanıcılardan doğrudan Koşullu Erişim ilkelerini karşılamak için gereken ikinci faktörlü kimlik doğrulaması veya diğer kimlik doğrulama gereksinimlerini soramaz. Bu kimlik doğrulama düzeni, kullanıcı adı ve parola bilgilerini toplamak için yaygın olarak kullanılan endüstri standardı bir yöntem olan temel kimlik doğrulamasını içerir. Yaygın olarak veya yalnızca eski kimlik doğrulaması kullanan uygulamalara örnek olarak şunlar verilebilir:

  • Microsoft Office 2013 veya üzeri.
  • POP, IMAP ve SMTP AUTH gibi posta protokollerini kullanan uygulamalar.

Office'teki modern kimlik doğrulama desteği hakkında daha fazla bilgi için bkz . Office istemci uygulamaları için modern kimlik doğrulaması nasıl çalışır?

Tek faktörlü kimlik doğrulaması (örneğin, kullanıcı adı ve parola) bu günlerde yeterli değildir. Parolaları tahmin etmek kolay olduğundan kötü ve biz (insanlar) iyi parola seçmede kötüysek. Parolalar, kimlik avı ve parola spreyi gibi çeşitli saldırılara karşı da savunmasızdır. Parola tehditlerine karşı korumak için yapabileceğiniz en kolay şeylerden biri, çok faktörlü kimlik doğrulaması (MFA) uygulamaktır. MFA ile, bir saldırgan kullanıcının parolasını ele geçirse bile, tek başına parola, verilerin kimliğini başarıyla doğrulamak ve verilere erişmek için yeterli değildir.

Eski kimlik doğrulaması kullanan uygulamaların kiracınızın kaynaklarına erişmesini nasıl engelleyebilirsiniz? Öneri, koşullu erişim ilkesiyle bunları engellemeye yöneliktir. Gerekirse, yalnızca belirli kullanıcıların ve belirli ağ konumlarının eski kimlik doğrulamasını temel alan uygulamaları kullanmasına izin verirsiniz.

Uygulama

Bu bölümde, eski kimlik doğrulamasını engellemek için Koşullu Erişim ilkesini yapılandırma açıklanmaktadır.

Eski kimlik doğrulamasını destekleyen mesajlaşma protokolleri

Aşağıdaki mesajlaşma protokolleri eski kimlik doğrulamasını destekler:

  • Kimliği doğrulanmış SMTP - Kimliği doğrulanmış e-posta iletileri göndermek için kullanılır.
  • Otomatik Bulma - Outlook ve EAS istemcileri tarafından Exchange Online'da posta kutularını bulmak ve bu posta kutularına bağlanmak için kullanılır.
  • Exchange ActiveSync (EAS) - Exchange Online'da posta kutularına bağlanmak için kullanılır.
  • Exchange Online PowerShell - Uzak PowerShell ile Exchange Online'a bağlanmak için kullanılır. Exchange Online PowerShell için Temel kimlik doğrulamasını engellerseniz, bağlanmak için Exchange Online PowerShell Modülünü kullanmanız gerekir. Yönergeler için bkz. Çok faktörlü kimlik doğrulaması kullanarak Exchange Online PowerShell'e Bağlan.
  • Exchange Web Services (EWS) - Outlook, Mac için Outlook ve üçüncü taraf uygulamalar tarafından kullanılan bir programlama arabirimi.
  • IMAP4 - IMAP e-posta istemcileri tarafından kullanılır.
  • HTTP üzerinden MAPI (MAPI/HTTP) - Outlook 2010 SP2 ve üzeri tarafından kullanılan birincil posta kutusu erişim protokolü.
  • Çevrimdışı Adres Defteri (OAB) - Outlook tarafından indirilen ve kullanılan adres listesi koleksiyonlarının bir kopyası.
  • Outlook Anywhere (HTTP üzerinden RPC) - Tüm geçerli Outlook sürümleri tarafından desteklenen eski posta kutusu erişim protokolü.
  • POP3 - POP e-posta istemcileri tarafından kullanılır.
  • Raporlama Web Hizmetleri - Exchange Online'da rapor verilerini almak için kullanılır.
  • Evrensel Outlook - Windows 10 için Posta ve Takvim uygulaması tarafından kullanılır.
  • Diğer istemciler - Eski kimlik doğrulamasını kullanmak olarak tanımlanan diğer protokoller.

Bu kimlik doğrulama protokolleri ve hizmetleri hakkında daha fazla bilgi için bkz . Oturum açma günlüğü etkinliği ayrıntıları.

Eski kimlik doğrulama kullanımını belirleme

Dizininizde eski kimlik doğrulamasını engelleyebilmeniz için önce kullanıcılarınızın eski kimlik doğrulaması kullanan istemci uygulamaları olup olmadığını anlamanız gerekir.

Oturum açma günlük göstergeleri

  1. Microsoft Entra yönetim merkezinde en az Koşullu Erişim Yönetici istratörü olarak oturum açın.
  2. Kimlik>İzleme ve sistem durumu>Oturum açma günlüklerine göz atın.
  3. Sütunlar>İstemci Uygulaması'na tıklayarak gösterilmiyorsa İstemci Uygulaması sütununu ekleyin.
  4. Filtre>ekle İstemci Uygulaması'nı> seçin, tüm eski kimlik doğrulama protokollerini seçin ve Uygula'yı seçin.
  5. Yeni oturum açma etkinliği raporları önizlemesini etkinleştirdiyseniz, kullanıcı oturum açma işlemleri (etkileşimli olmayan) sekmesinde de yukarıdaki adımları yineleyin.

Filtreleme, eski kimlik doğrulama protokolleri tarafından yapılan oturum açma girişimlerini gösterir. Her bir oturum açma girişimine tıklanması size daha fazla ayrıntı gösterir. Temel Bilgi sekmesinin altındaki İstemci Uygulaması alanı, hangi eski kimlik doğrulama protokollerinin kullanıldığını gösterir.

Bu günlükler, kullanıcıların eski kimlik doğrulamasına bağlı olan istemcileri nerede kullandığını gösterir. Bu günlüklerde görünmeyen ve eski kimlik doğrulaması kullanmadığı onaylanan kullanıcılar için, yalnızca bu kullanıcılar için bir Koşullu Erişim ilkesi uygulayın.

Ayrıca, kiracınızdaki eski kimlik doğrulamasını önceliklendirmeye yardımcı olmak için eski kimlik doğrulama çalışma kitabını kullanarak oturum açma bilgilerini kullanın.

İstemciden göstergeler

İstemcinin oturum açma sırasında sunulan iletişim kutusuna göre eski veya modern kimlik doğrulaması kullanıp kullanmadığını belirlemek için Exchange Online'da Temel kimlik doğrulamasını kullanımdan kaldırma makalesine bakın.

Dikkat edilmesi gereken önemli hususlar

Daha önce yalnızca eski kimlik doğrulamasını destekleyen birçok istemci artık modern kimlik doğrulamasını destekliyor. Hem eski hem de modern kimlik doğrulamasını destekleyen istemciler, yapılandırma güncelleştirmesinin eski kimlik doğrulamasından modern kimlik doğrulamasına geçiş yapılmasını gerektirebilir. Oturum açma günlüklerinde bir istemci için modern mobil, masaüstü istemcisi veya tarayıcı görüyorsanız, modern kimlik doğrulaması kullanılır. Exchange ActiveSync gibi belirli bir istemci veya protokol adına sahipse, eski kimlik doğrulamasını kullanır. İstemci, Koşullu Erişim, Oturum açma günlükleri ve eski kimlik doğrulama çalışma kitabındaki türleri sizin için modern ve eski kimlik doğrulama istemcilerini birbirinden ayırır.

  • Modern kimlik doğrulamasını destekleyen ancak modern kimlik doğrulaması kullanacak şekilde yapılandırılmamış istemciler, modern kimlik doğrulaması kullanacak şekilde güncelleştirilmelidir veya yeniden yapılandırılmalıdır.
  • Modern kimlik doğrulamayı desteklemeyen tüm istemciler değiştirilmelidir.

Önemli

Sertifika tabanlı kimlik doğrulamasıyla Exchange Active Sync (CBA)

CBA ile Exchange Active Sync (EAS) uygularken istemcileri modern kimlik doğrulaması kullanacak şekilde yapılandırın. CBA ile EAS için modern kimlik doğrulaması kullanmayan istemciler, Exchange Online'da Temel kimlik doğrulamasının kullanımdan kaldırılmasıyla engellenmez. Ancak, bu istemciler eski kimlik doğrulamasını engellemek için yapılandırılmış Koşullu Erişim ilkeleri tarafından engellenir .

Microsoft Entra Id ve modern kimlik doğrulaması ile CBA desteği uygulama hakkında daha fazla bilgi için bkz. Microsoft Entra sertifika tabanlı kimlik doğrulamasını yapılandırma (Önizleme). Başka bir seçenek olarak, federasyon sunucusunda gerçekleştirilen CBA, modern kimlik doğrulaması ile kullanılabilir.

Microsoft Intune kullanıyorsanız, cihazlarınıza gönderdiğiniz veya dağıttığınız e-posta profilini kullanarak kimlik doğrulama türünü değiştirebilirsiniz. iOS cihazları (i Telefon s ve iPad'ler) kullanıyorsanız, Microsoft Intune'da iOS ve iPadOS cihazları için e-posta ayarları ekleme bölümüne göz atmalısınız.

Eski kimlik doğrulamasını engelleme

Eski kimlik doğrulamasını engellemek için Koşullu Erişim ilkelerini kullanmanın iki yolu vardır.

Eski kimlik doğrulamasını doğrudan engelleme

Kuruluşunuzun tamamında eski kimlik doğrulamasını engellemenin en kolay yolu, özellikle eski kimlik doğrulama istemcileri için geçerli olan ve erişimi engelleyen bir Koşullu Erişim ilkesi yapılandırmaktır. İlkeye kullanıcı ve uygulama atarken, eski kimlik doğrulamasını kullanarak oturum açması gereken kullanıcıları ve hizmet hesaplarını dışladığınızdan emin olun. Bu ilkenin uygulanacağı bulut uygulamalarını seçerken Tüm bulut uygulamaları, Office 365 (önerilir) gibi hedeflenen uygulamalar veya en azından Office 365 Exchange Online'ı seçin. Kuruluşlar, Koşullu Erişim şablonlarında sağlanan ilkeyi veya ortak ilke Koşullu Erişim: Başvuru olarak eski kimlik doğrulamasını engelle seçeneğini kullanabilir.

Eski kimlik doğrulamasını dolaylı olarak engelleme

Kuruluşunuz eski kimlik doğrulamasını tamamen engellemeye hazır değilse, eski kimlik doğrulaması kullanan oturum açmaların çok faktörlü kimlik doğrulaması gibi izin verme denetimleri gerektiren ilkeleri atlamadığından emin olmanız gerekir. Kimlik doğrulaması sırasında, eski kimlik doğrulama istemcileri MFA, cihaz uyumluluğu veya durum bilgilerini Microsoft Entra Id'ye birleştirmeyi desteklemez. Bu nedenle, verme denetimlerine sahip ilkeleri tüm istemci uygulamalarına uygulayarak, verme denetimlerini karşılayabilen eski kimlik doğrulaması tabanlı oturum açma işlemleri engellenir. Ağustos 2020'de istemci uygulamaları koşulunun genel kullanıma sunulduğundan, yeni oluşturulan Koşullu Erişim ilkeleri varsayılan olarak tüm istemci uygulamalarına uygulanır.

Bilmeniz gerekenler

Koşullu Erişim ilkesinin geçerli olması 24 saate kadar sürebilir.

Diğer istemcileri kullanarak erişimi engelleme temel kimlik doğrulaması kullanarak Exchange Online PowerShell ve Dynamics 365'i de engeller.

Diğer istemciler için bir ilkenin yapılandırılması, sp Bağlan gibi belirli istemcilerden kuruluşun tamamını engeller. Bu engelleme, eski istemcilerin beklenmeyen yollarla kimlik doğrulamasından kaynaklanır. Sorun, eski Office istemcileri gibi önemli Office uygulaması dağıtımlar için geçerli değildir.

Diğer istemciler koşulu için tüm kullanılabilir izin denetimlerini seçebilirsiniz; ancak, son kullanıcı deneyimi her zaman aynıdır - engellenen erişim.

Sonraki adımlar