Блокировка устаревших методов аутентификации с помощью условного доступа

Корпорация Майкрософт рекомендует организациям блокировать запросы проверки подлинности с помощью устаревших протоколов, которые не поддерживают многофакторную проверку подлинности. На основе анализа Майкрософт более 97 процентов атак с учетными данными используют устаревшую проверку подлинности и более 99 процентов атак с распыления паролем используют устаревшие протоколы проверки подлинности. Атаки прекратятся, если простая проверка подлинности будет отключена или заблокирована.

Клиенты без лицензий, включающих условный доступ, могут использовать параметры безопасности по умолчанию для блокировки устаревшей проверки подлинности.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи для экстренного вмешательства, чтобы предотвратить блокировку в случае неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье Управление учетными записями экстренного доступа в Microsoft Entra ID.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочей нагрузки, чтобы определить политики, нацеленные на служебные субъекты.
  • Если в вашей организации используются эти учетные записи в сценариях или коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Следующие действия помогут создать политику условного доступа для блокировки устаревших запросов проверки подлинности. Эта политика переведена в режим отчётности, чтобы администраторы могли определить влияние, которое это оказывает на существующих пользователей. Когда администраторы уверены, что политика применяется как они предусмотрели, они могут переключиться на Вкл или поэтапно развернуть, добавляя определенные группы и исключая другие.

1. Войдите в Центр администрирования Microsoft Entra в качестве по крайней мере администратора условного доступа.
2. Перейдите к Entra ID>условному доступу>политикам.
3. Выберите новую политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
   1. В разделе "Включить" выберите "Все пользователи".
   2. В разделе "Исключить" выберите "Пользователи и группы" и выберите все учетные записи, которые должны поддерживать возможность использования устаревшей проверки подлинности. Корпорация Майкрософт рекомендует исключить хотя бы одну учетную запись, чтобы предотвратить блокировку из-за неправильной настройки.
6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>включитевсе ресурсы (ранее "Все облачные приложения").
7. В разделе "> приложений установите значение "Настроить" в значение "Да".
   1. Установите флажки только для клиентов Exchange ActiveSync и других клиентов.
   2. Нажмите кнопку "Готово".
8. В разделе Элементы управления доступом>Предоставление выберите Блокировать доступ.
   1. Нажмите кнопку "Выбрать".
9. Подтвердите настройки и установите Включить политику в режим Только отчетность.
10. Нажмите кнопку "Создать", чтобы включить политику.

После того как администраторы оценят параметры политики с помощью режима влияния политики или режима только для отчетов, они могут переместить переключатель «Включить политику» из «Только для отчетов» в «Включено».

Выявление использования устаревших методов аутентификации

Чтобы понять, есть ли у пользователей клиентские приложения, использующие устаревшую проверку подлинности, администраторы могут проверить индикаторы в журналах входа, выполнив следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Читателя отчетов.
2. Перейдите к Entra ID>Мониторинг и работоспособность>Журналы входов в систему.
3. Добавьте столбец Client App, если он не отображается, щелкнув на Столбцы>Client App.
4. Выберите "Добавить фильтры>" Клиентское приложение> выберите все устаревшие протоколы проверки подлинности и нажмите кнопку "Применить".
5. Кроме того, выполните эти действия на вкладке "Вход пользователей" (неинтерактивный).

Фильтрация показывает попытки входа, выполненные устаревшими протоколами проверки подлинности. Щелкнув каждую отдельную попытку входа, вы можете получить дополнительные сведения. Поле "Клиентское приложение" на вкладке "Основные сведения" указывает, какой устаревший протокол проверки подлинности использовался. Эти журналы указывают пользователей, использующих клиенты, которые зависят от устаревшей проверки подлинности.

Кроме того, чтобы помочь в проверке устаревшей проверки подлинности в клиенте использовать входы с помощью книги устаревшей проверки подлинности.

Связанный контент

• Отмена базовой проверки подлинности в Exchange Online
• Настройка многофункционного устройства или приложения для отправки электронной почты с помощью Microsoft 365
• Как работает современная проверка подлинности для клиентских приложений Office
• Подключение к Exchange Online PowerShell