使用條件式存取封鎖舊式驗證

Microsoft建議組織使用不支援多重要素驗證的舊版通訊協議來封鎖驗證要求。 根據 Microsoft 分析，超過 97% 的認證填充攻擊使用舊式驗證，超過 99% 的密碼噴灑攻擊使用舊式驗證通訊協定。 這些攻擊會在基本身份驗證停用或封鎖時停止。

客戶若沒有包含條件式存取的授權，則可以利用安全性預設值來封鎖舊式驗證。

使用者排除

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

• 緊急存取 或 中斷帳戶 ，以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下，所有系統管理員都遭到鎖定，您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
• 服務帳戶 和服務 主體，例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式，但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。

範本部署

組織可以選擇使用下面所述的步驟來部署此原則，或使用條件式存取範本 (部分機器翻譯)。

建立條件式存取原則

下列步驟可協助建立條件式存取原則，以封鎖舊式驗證要求。 此原則會以報告專用模式啟動，讓管理員可以判斷對現有使用者的影響。 當管理員確信原則會如預期套用時，可以切換至 [開啟]，或藉由新增特定群組和排除其他群組以進行階段部署。

1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護] > [條件式存取] > [原則]。
3. 選取 [新增原則]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 底下，選取 [使用者和群組]，並選擇必須維持使用舊版驗證功能的任何帳戶。 Microsoft建議您排除至少一個帳戶，以防止自己因為設定錯誤而遭到鎖定。
6. 在 [目標資源資源>]（先前稱為雲端應用程式）>[包含] 下，選取 [所有資源] （先前為 [所有雲端應用程式] 。
7. 在 [條件] > [用戶端應用程式 (預覽)] 下，將 [設定] 設定為 [是]。
   1. 只檢查 [Exchange ActiveSync 用戶端] 和 [其他用戶端] 的方塊。
   2. 選取完成。
8. 在 [存取控制]>[授與] 下，選取 [封鎖存取]。
   1. 選取選取。
9. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
10. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

注意

完成第一個要素驗證之後，即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線，但是可以利用來自這些事件的訊號來決定存取權。

辨識是否使用舊式驗證

若要瞭解您的使用者是否有使用舊版驗證的用戶端應用程式，系統管理員可以使用下列步驟來檢查登入記錄中的指標：

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄]。
3. 按一下 [資料行][用戶端應用程式]>，以新增未顯示的 [用戶端應用程式] 資料行。
4. 選取 [新增篩選條件]>[用戶端應用程式]>，選擇所有的舊版驗證通訊協定，然後選取 [套用]。
5. 此外，請在 [使用者登入][非互動式] 索引標籤上執行這些步驟。

篩選後，只會顯示您使用舊式驗證通訊協定的登入嘗試。 按一下各項個別登入嘗試，即會顯示更多詳細資料。 [基本資訊] 索引標籤下方的 [用戶端應用程式] 欄位，會標明使用的舊式驗證通訊協定。 這些記錄會指出使用相依於舊版驗證之用戶端的使用者。

此外，若要協助將租用戶內的舊版驗證分級，請使用使用舊版驗證活頁簿的登入。

相關內容

• 取代 Exchange Online 中的基本身份驗證
• 如何將多功能裝置或應用程式設為使用 Microsoft 365 傳送電子郵件
• 新式驗證對 Office 用戶端應用程式的運作方式
• 連線至 Exchange Online PowerShell