Blokowanie starszego uwierzytelniania przy użyciu dostępu warunkowego

Firma Microsoft zaleca, aby organizacje blokowały żądania uwierzytelniania przy użyciu starszych protokołów, które nie obsługują uwierzytelniania wieloskładnikowego. Na podstawie analizy firmy Microsoft ponad 97 procent ataków typu "wypychanie poświadczeń" korzysta z przestarzałego uwierzytelniania, a ponad 99 procent ataków polegających na rozsyłaniu haseł używa przestarzałych protokołów uwierzytelniania. Ataki te ustaną, gdy uwierzytelnianie podstawowe zostanie wyłączone lub zablokowane.

Klienci bez licencji, które obejmują dostęp warunkowy, mogą używać domyślnych ustawień zabezpieczeń do blokowania starszego uwierzytelniania.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta kryzysowe, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usługi i pryncypały usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeniowych, aby zdefiniować zasady przeznaczone dla użytkowników serwisowych.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki ułatwiają tworzenie zasad dostępu warunkowego w celu blokowania starszych żądań uwierzytelniania. Te zasady są wprowadzane w trybie tylko do raportowania, aby administratorzy mogli określić ich wpływ na istniejących użytkowników. Gdy administratorzy są pewni, że zasady stosują się zgodnie z ich zamierzeniami, mogą przełączyć się na Wł. lub przygotować wdrożenie, dodając określone grupy i wykluczając inne.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz Użytkowników lub tożsamości obciążenia.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wybierz wszystkie konta, które muszą zachować możliwość korzystania ze starszego uwierzytelniania. Firma Microsoft zaleca wykluczenie co najmniej jednego konta, aby uniemożliwić sobie zablokowanie z powodu błędnej konfiguracji.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
7. W obszarze Warunki>Aplikacje klienckie ustaw wartość Konfiguruj na Tak.
   1. Zaznacz tylko pola Klienci programu Exchange ActiveSync i Inni klienci.
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu>Przydziel wybierz Blokuj dostęp.
   1. Wybierz Wybierz.
9. Potwierdź ustawienia i ustaw opcję Zezwalaj na politykę na tylko do raportowania.
10. Wybierz Utwórz, aby włączyć swoją politykę.

Po potwierdzeniu przez administratorów ustawień w trybie tylko raportu, mogą przenieść przełącznik Włącz politykę z opcji Tylko raport do opcji Włączone.

Uwaga

Zasady dostępu warunkowego są wymuszane po zakończeniu uwierzytelniania pierwszego etapu. Dostęp warunkowy nie jest przeznaczony do pierwszej linii obrony organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.

Identyfikowanie starszego użycia uwierzytelniania

Aby dowiedzieć się, czy użytkownicy mają aplikacje klienckie korzystające ze starszego uwierzytelniania, administratorzy mogą sprawdzić wskaźniki w dziennikach logowania, wykonując następujące czynności:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do Tożsamość>Monitorowanie i stan>Dzienniki logowania.
3. Dodaj kolumnę Aplikacja kliencka, jeśli nie jest wyświetlana, klikając opcję Kolumny, a następnie Aplikacja kliencka.
4. Wybierz pozycję Dodaj filtry>Aplikacja kliencka> wybierz wszystkie starsze protokoły uwierzytelniania i wybierz pozycję Zastosuj.
5. Wykonaj również te kroki na karcie Logowania użytkownika (nieinterakcyjne).

Filtrowanie pokazuje próby logowania wykonywane przez starsze protokoły uwierzytelniania. Kliknięcie każdej próby logowania indywidualnego spowoduje wyświetlenie dodatkowych szczegółów. Pole Aplikacja kliencka na karcie Informacje podstawowe wskazuje, który starszy protokół uwierzytelniania został użyty. Te dzienniki wskazują użytkowników korzystających z klientów, którzy są zależni od starszego uwierzytelniania.

Ponadto, aby ułatwić klasyfikację starszego uwierzytelniania w Twojej dzierżawie, użyj Analizy logowań z użyciem starszego uwierzytelniania.

Powiązana zawartość

• Wycofanie uwierzytelniania podstawowego w usłudze Exchange Online
• Jak skonfigurować urządzenie wielofunkcyjne lub aplikację do wysyłania wiadomości e-mail przy użyciu platformy Microsoft 365
• Jak działa nowoczesne uwierzytelnianie dla aplikacji klienckich pakietu Office
• Łączenie z programem PowerShell usługi Exchange Online