Сучасні налаштування аутентифікації в Microsoft 365

Сучасні перевірки аутентифікації (Сучасна аутентифікація) Тепер, за замовчуванням, Microsoft 365/ Azure включається для всіх нових орендарів. Цей протокол аутентифікації безпечніший, ніж застарілий Основна аутентифікація. У другій половині 2021 року Microsoft планує повністю заборонити використання основної аутентифікації для всіх клієнтів Microsoft 365. У цій статті ми розглянемо особливості потужності/вимкнути сучасну та основну аутентифікацію в Microsoft 365.

Зміст:

• Основна та сучасна автентифікація
• Шукайте програми Microsoft 365 за допомогою основної аутентифікації
• Як увімкнути сучасну автентифікацію для орендаря Microsoft 365?
• Підтримка сучасної автентифікації в різних версіях Outlook

Основна та сучасна автентифікація

Тепер Microsoft підтримує такі типи автентифікації для Office 365:

• Основна аутентифікація - Цей тип аутентифікації знайомий усім користувачам Windows. Для виконання Basic Auth використовується просте вікно безпеки Windows, в якому запитуються ім'я та пароль користувача, і є пропозиція зберегти пароль до диспетчера облікового запису Windows (Deliential Manager). Цей тип аутентифікації не підтримує багатофакторну автентифікацію, а не глади для паролів, що примушують паролі. У той же час, програми зберігаються та використовуються для аутентифікації імені та пароля користувача явно.
• Сучасна перевірка аутентифікації (Сучасна аутентифікація) на основі протоколів (бібліотека аутентифікації Active Directory) та Oaute 2.0. Програми не зберігають і не використовують позики користувачів, а аутентифікація базується на жетонах з обмеженим періодом дійсності. Сучасний автор підтримує додаткові фактори аутентифікації (мультифакторна аутентифікація - МЗС). Вікно для введення користувача та пароля під час виконання сучасних торгових точок виглядає так. Він з’явиться під час підключення до служб Microsoft 365 або підключення до Azure (включаючи через PowerShell).

Шукайте програми Microsoft 365 за допомогою основної аутентифікації

Перш ніж увімкнути сучасний тест аутентифікації та відключити базову аутентифікацію, перевірте, які протоколи аутентифікації використовуються вашими користувачами та програмами Microsoft 365.

1. ВІДЧИНЕНО Портал управління Azure;
2. Перехрестя Azure Active Directory -> Журнали входу;
3. Виберіть діапазон Останні 1 місяці;
4. Додайте фільтр у підлогу Клієнтський додаток;
5. Виберіть все для цього фільтра Застаріла аутентифікація.

Це дозволить вам знайти користувачів та програми, які все ще використовують основну аутентифікацію. Потрібно перенести знайдені програми на протокол сучасної аутентифікації (у моєму випадку більшість подій були пов'язані з клієнтами рідної пошти на смартфонах, їм потрібно мігрувати до програми Outlook).

Детальніше про перегляд входів користувача в рекламі Microsoft 365/Azure, описану в цій статті.

Microsoft оголосила, що автоматично від'єднає Basic Auth для орендарів, де він не використовується.

Як увімкнути сучасну автентифікацію для орендаря Microsoft 365?

Ви можете ввімкнути сучасну перевірку автентифікації через центр адміністратора Microsoft 365.

1. Перейдіть до https: // адміністратор.Microsoft.Com
2. Перейдіть до налаштувань -> Налаштування org -> Сучасна аутентифікація
3. Увімкніть опцію Увімкніть сучасну автентифікацію для Outlook 2013 для Windows та пізніше;
4. Збережіть зміни.

Як ми вже згадували, для нового Office 365 в Azure основна аутентифікація була відключена дефектами для всіх програм. У цьому випадку в цьому розділі відображатиметься напис.

У вашій організації увімкнено за замовчуванням за замовчуванням, яку сучасна автентифікація для обміну в Інтернеті відновлена, та основна Autheneticatione Connestiones. Ви повинні вимкнути таємниці на порталі Azure, перш ніж змінити будь -які налаштування, він.

Ви можете ввімкнути базову підтримку Auth для орендаря з Azure (Azure Active Directory -> Властивості -> Керуйте за замовчуванням безпеки -> Увімкнути за замовчуванням безпеку = Немає ).

Зверніть увагу на ряд варіантів у розділі Дозволити доступ до основних протоколів аутентифікації. Тут перераховані різні програми, для яких ви можете дозволити використовувати основну аутентифікацію.

• Клієнт Outlook
• Exchange ActiveSync (EAS)
• Аутодискстерна
• Imap4
• Pop3
• Аутентифікація SMTP (приклад автентифікації SMTP від ​​Telnet)
• Exchange Online PowerShell - (Для сучасного обміну в Інтернеті PowerShell V2 - EXOV2, основна аутентифікація не підтримується)

Відключіть основний авт для всіх додатків, для яких він точно не потрібен.

Якщо у вас є політика аутентифікації в орендаря Office 365, ви можете вивести поточні налаштування та протоколи, для яких дозволено використання основної аутентифікації за допомогою PowerShell:

Отримати автентаціюПоліти

У нашому випадку у нас є лише один політики, і Basicauth заборонено для всіх заявок.

AllowBasicAuthActiveSync : False AllowBasicAuthAutodiscover : False AllowBasicAuthImap : False AllowBasicAuthMapi : False AllowBasicAuthOfflineAddressBook : False AllowBasicAuthOutlookService : False  AllowBasicAuthPop : False AllowBasicAuthReportingWebServices : False AllowBasicAuthRest : False AllowBasicAuthRpc : False AllowBasicAuthSmtp : False AllowBasicAuthWebServices : False AllowBasicAuthPowershell : False

Щоб забезпечити безпеку, ви можете створити окрему політику з різними основними дозволами AUTH для певних протоколів та прив’язати її до користувачів, які використовують застарілі програми. У цьому прикладі ми дозволимо користувачеві підключитися до обміну в Інтернеті за допомогою віддаленого сеансу PowerShell з основною автентифікацією:

SET -AuthenticationPolicy -IDIDETITY "BASICAUTHALLOLLOWOLOSH" -LLOWBASICAUTHPOWERSHELL: $ true
Set -user -Identity Kbuldogov -authenticationPolicy "basicauthalloposhh"

У той же час політика за замовчуванням блокує застарілі протоколи:

New -authenticationPolicy -name "basicauthblock"
Встановити -organizationConfig -DefaultauthenticationPolicy "Блок застаріла автентифікація"

Крім того, зауважте, що в налаштуваннях організації є ще один варіант OAuth2ClentProfileenabled, Що визначає, чи ввімкнено сучасний авт для орендаря:

Get-ArganizationConfig | ft oauth*

Якщо OAuth2ClentProfileenabled = false, то сучасна перевірка аутентифікації відключається.

Підтримка сучасної автентифікації в різних версіях Outlook

Зверніть увагу на специфіку підтримки сучасної автентичності в різних версіях Outlook:

• Outlook 2010 та раніше - Не підтримуйте сучасний авт. Якщо в налаштуваннях орендаря базовий AUTH відключений, такі версії Outlook не зможуть підключитися до обміну в Інтернеті в Microsoft 365;
• Outlook 2013 - Для підтримки OAuth потрібно встановити два параметри в реєстрі у відділенні Hkey_current_user \ програмне забезпечення \ microsoft \ office \ 15.0 \ Загальна \ ідентичність ( Enableadal = один і Версія = один ;
• Outlook 365, 2019, 2016 - Сучасна автентифікація підтримується захистом. Щоб завжди використовувати вдома сучасний авт, встановіть параметр Awaysumsoauthforautodiscover = один У гілці Hkey_current_user \ програмне забезпечення \ microsoft \ Exchange (Якщо цей параметр не ввімкнено, Outlook може постійно вимагати пароля для підключення, або може виникнути інша проблема з порожнім вхідним вікном до Outlook/команд);

Ви можете перевірити, чи клієнт Outlook використовує сучасну автентифікацію для підключення до поштового сервера. Закривати Ctrl і натисніть на піктограму Outlook у Tria. Переконайтесь, що в полі Authn вказано Носій*. Це означає, що клієнт використовує сучасну автентифікацію.