如何：使用條件式存取封鎖對 Azure AD 的舊式驗證存取

發行項
07/27/2022

為了讓您的使用者能夠輕鬆存取雲端應用程式，Azure Active Directory (Azure AD) 支援多種驗證通訊協定，包括舊式驗證。不過，舊版驗證不支援多重要素驗證 (MFA)。在許多環境中，MFA 都是防止身分識別遭竊的常用工具。

注意

自 2022 年 10 月 1 日起生效，我們將開始永久停用所有 Microsoft 365 租用戶中 Exchange Online 的基本驗證，不論其使用方式，但 SMTP 驗證除外。請在這裡閱讀更多資訊

Microsoft 身分識別安全性總監 Alex Weinert 在 2020 年 3 月 12 日發表了一篇部落格文章：封鎖組織中舊式驗證的新工具。文中強調組織為何應封鎖舊式驗證，並重點介紹 Microsoft 為了達成這項工作所提供的其他工具：

若要讓 MFA 生效，也需要封鎖舊式驗證。這是因為如 POP、SMTP、IMAP 和 MAPI 等舊式驗證通訊協定無法強制執行 MFA，所以敵人會偏好將這類通訊協定當成攻擊貴組織的進入點。

……根據 Azure Active Directory (Azure AD) 流量分析所得的舊式驗證數目，更凸顯了此現象：

超過 99% 的密碼噴濺攻擊使用舊式驗證通訊協定

超過 97% 的認證填充攻擊使用舊式驗證

在停用舊式驗證的組織中，遭到入侵的 Azure AD 帳戶比啟用舊式驗證的組織少 67%

如果您的環境已準備就緒，可封鎖舊式驗證以改善您租用戶的防護能力，您可以使用條件式存取來達成此目標。本文說明如何設定條件式存取原則來為您租用戶內的所有工作負載封鎖舊式驗證。

在推出舊式驗證封鎖保護時，建議使用分段式方法，而不是一次針對所有使用者將其停用。客戶可以選擇先根據每個通訊協定來開始停用基本驗證，方法是套用 Exchange Online 驗證原則，然後 (選擇性地) 也可在準備好時透過條件式存取原則封鎖舊版驗證。

客戶若沒有包含條件式存取的授權，則可以利用安全性預設值來封鎖舊式驗證。

必要條件

本文假設您熟悉 Azure AD 條件式存取的基本概念。

注意

完成第一個要素驗證後，即會強制執行條件式存取原則。條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線，但是可以利用來自這些事件的訊號來決定存取權。

案例描述

Azure AD 支援最常用的驗證和授權通訊協定，包括舊式驗證。舊版驗證無法直接提示使用者滿足條件式存取原則所需的第二個要素驗證或其他驗證需求。這個驗證模式包括基本驗證，這是廣泛使用的業界標準方法，用於收集使用者名稱與密碼資訊。通常或僅使用舊式驗證的應用程式範例如下：

Microsoft Office 2013 或更舊版本。
使用 POP、IMAP、SMTP AUTH 等郵件通訊協定的應用程式。

如需 Office 中新式驗證支援的詳細資訊，請參閱 Office 用戶端應用程式的新式驗證運作方式。

在現今的環境中，單一要素驗證 (例如，使用者名稱和密碼) 已不敷使用。密碼的缺點在於容易被猜到，且一般人不太懂得如何選擇理想的密碼。密碼也很容易遭受各種攻擊，例如網路釣魚和密碼噴濺。要防範密碼威脅，其中一種最簡單的方式就是實作多重要素驗證 (MFA)。透過 MFA，即便攻擊者取得使用者的密碼，單靠密碼本身仍不足以成功進行驗證並存取資料。

如何防止使用舊式驗證的應用程式存取您租用戶的資源？建議您使用條件式存取原則直接加以封鎖。如有必要，您可以僅允許特定使用者和特定網路位置使用以舊式驗證為基礎的應用程式。

實作

本節說明如何使用條件式存取原則來封鎖舊式驗證。

支援舊式驗證的傳訊通訊協定

下列傳訊通訊協定支援舊式驗證：

已驗證的 SMTP - 用來傳送已驗證的電子郵件訊息。
自動探索 - 由 Outlook 與 EAS 用戶端用於尋找及連線至 Exchange Online 中的信箱。
Exchange ActiveSync (EAS) - 用來連線到 Exchange Online 中的信箱。
Exchange Online PowerShell - 用於透過 PowerShell 連線至 Exchange Online。如果您封鎖 Exchange Online PowerShell 的基本驗證，則需使用 Exchange Online PowerShell 模組來連線。如需指示，請參閱使用多重要素驗證連線至 Exchange Online PowerShell。
Exchange Web 服務 (EWS) - Outlook、Mac 版 Outlook 及協力廠商應用程式使用的程式設計介面。
IMAP4 - IMAP 電子郵件用戶端所使用。
MAPI over HTTP (MAPI/HTTP) - Outlook 2010 SP2 和更新版本所使用的主要信箱存取通訊協定。
離線通訊錄 (OAB) - Outlook 所下載與使用的一份地址清單集合。
Outlook Anywhere (RPC over HTTP) - 所有目前 Outlook 版本所支援的舊式信箱存取通訊協定。
POP3 - POP 電子郵件用戶端所使用。
Reporting Web Services - 用於擷取 Exchange Online 中的報告資料。
Universal Outlook - Windows 10 版郵件與行事曆應用程式所使用。
其他用戶端 - 其他視為使用舊式驗證的通訊協定。

如需上述驗證通訊協定和服務的詳細資訊，請參閱 Azure Active Directory 入口網站中的登入活動報告。

辨識是否使用舊式驗證

首先需要先了解您的使用者是否有用戶端在使用舊式驗證，如此才能在目錄中封鎖舊式驗證。您可以在下方找到有用的資訊，以識別並分級用戶端使用舊版驗證的位置。

來自 Azure AD 的指標

瀏覽至 [Azure 入口網站]>[Azure Active Directory]>[登入記錄]。
按一下 [資料行] > [用戶端應用程式]，以新增未顯示的 [用戶端應用程式] 資料行。
新增篩選條件>用戶端應用程式> 選取所有的舊式驗證通訊協定。在 [篩選] 對話方塊外選取，以套用您的選項並關閉對話方塊。
如果您已啟動新的登入活動報告預覽，則也請在 [使用者登入 (非互動式)] 索引標籤上重複上述步驟。

篩選後，只會顯示您使用舊式驗證通訊協定的登入嘗試。按一下各項登入嘗試，即會顯示更多詳細資料。 [基本資訊] 索引標籤下方的 [用戶端應用程式] 欄位，會標明使用的舊式驗證通訊協定。

這些記錄會指出使用者正在使用仍然依賴舊版驗證的用戶端位置。如果使用者未出現在這些記錄中，並已確認未使用舊版驗證，則請僅針對這些使用者實作條件式存取原則。

此外，若要協助將租用戶內的舊版驗證分級，請使用使用舊版驗證活頁簿的登入。

來自用戶端的指標

若要根據登入時呈現的對話方塊來判斷用戶端使用舊版或新式驗證，請參閱在 Exchange Online 中淘汰基本驗證一文。

重要考量

許多先前僅支援舊版驗證的用戶端現在都支援新式驗證。同時支援舊版和新式驗證的用戶端可能需要組態更新，才能從舊版驗證移至新式驗證。如果您在 Azure AD 記錄中看到用戶端的新式行動、桌面用戶端或瀏覽器，就表示是使用新式驗證。如果有特定的用戶端或通訊協定名稱，例如 Exchange ActiveSync，則是使用舊版驗證。條件式存取、Azure AD 登入記錄和舊版驗證活頁簿中的用戶端類型，會區分新式和舊版驗證用戶端。

支援新式驗證但未設定為使用新式驗證的用戶端，應更新或重新設定以使用新式驗證。
應取代不支援新式驗證的所有用戶端。

重要

具有憑證式驗證 (CBA) 的 Exchange Active Sync

實作具有 CBA 的 Exchange Active Sync (EAS) 時，請將用戶端設定為使用新式驗證。針對具有 CBA 的 EAS 未使用新式驗證的用戶端，在 Exchange Online 中淘汰基本驗證中不會封鎖。不過，設定為封鎖舊版驗證的條件式存取原則會封鎖這些用戶端。

如需使用 Azure AD 和新式驗證實作 CBA 支援的詳細資訊，請參閱：如何設定 Azure AD 憑證式驗證 (預覽)。另一個選項是在同盟伺服器上執行的 CBA 可以搭配新式驗證使用。

如果您使用 Microsoft Intune，您可以使用推送或部署至裝置的電子郵件設定檔來變更驗證類型。如果您使用 iOS 裝置 (iPhone 和 iPad)，您應該查看在 Microsoft Intune 中新增 iOS 和 iPadOS 裝置的電子郵件設定。

封鎖舊式驗證

有兩種方式可使用條件式存取原則來封鎖舊式驗證。

直接封鎖舊式驗證
間接封鎖舊式驗證

直接封鎖舊式驗證

若要封鎖整個組織的舊式驗證，最簡單的方式就是設定特別適用於舊式驗證用戶端的條件式存取原則，並封鎖存取。將使用者和應用程式指派給原則時，請務必排除仍需要使用舊式驗證登入的使用者和服務帳戶。選擇要在其中套用此原則的雲端應用程式時，請選取所有雲端應用程式、Office 365 之類的目標應用程式 (建議使用) 或至少 Office 365 Exchange Online。選取 [Exchange ActiveSync 客戶端] 和 [其他客戶端]，來設定用戶端應用程式條件。若要封鎖這些用戶端應用程式的存取，請設定存取控制以封鎖存取。

Client apps condition configured to block legacy auth

間接封鎖舊式驗證

即使您的組織尚未準備好封鎖整個組織的舊式驗證，您仍應確定使用舊式驗證的登入不會略過需要授與控制權的原則，例如需要多重要素驗證或加入符合規範/混合式 Azure AD 的裝置。在驗證期間，舊版驗證用戶端不支援將 MFA、裝置合規性或聯結狀態資訊傳送至 Azure AD。因此，將具有授與控制權的原則套用至所有用戶端應用程式，以便封鎖無法滿足授與控制權的舊版驗證型登入。在 2020 年 8 月正式發行用戶端應用程式條件後，新建立的條件式存取原則預設會套用至所有用戶端應用程式。

Client apps condition default configuration

您應該知道的事情

條件式存取原則最多可能需要 24 小時的時間才會生效。

使用 [其他用戶端] 封鎖存取時，也會封鎖使用基本驗證的 Exchange Online PowerShell 和 Dynamics 365。

為其他用戶端設定原則會讓整個組織封鎖特定用戶端，例如 SPConnect。之所以執行此封鎖，是因為舊版用戶端以非預期的方式進行驗證。主要的 Office 應用程式 (例如，較舊的 Office 用戶端) 不會有這個問題。

您可以選取 [其他用戶端] 條件所有可用的授與控制項，但使用者體驗一律相同，存取均會遭到封鎖。

後續步驟

使用條件式存取的僅限報告模式來判斷影響
如果您還不太了解如何設定條件式存取原則，則請參閱利用 Azure Active Directory 條件式存取來取得特定應用程式的 MFA，以取得範例。
如需新式驗證支援的詳細資訊，請參閱 Office 用戶端應用程式的新式驗證運作方式
如何將多功能裝置或應用程式設為使用 Microsoft 365 傳送電子郵件