Microsoft устанавливает дату отключения базовой проверки подлинности в Exchange Online

Опубликовано: 9 Марта, 2023
Microsoft устанавливает дату отключения базовой проверки подлинности в Exchange Online

Еще в 2021 году Microsoft объявила, что отключит базовую проверку подлинности для всех клиентов Exchange Online в Microsoft 365. Поскольку COVID изменил все, крайний срок был отложен. Но Microsoft теперь установила определенную дату, объявив, что «с 1 октября 2022 года мы начнем постоянно отключать обычную аутентификацию для всех арендаторов, независимо от использования, за исключением аутентификации SMTP». Что это значит для тебя? Для новичков в Microsoft 365 обычная проверка подлинности позволяет пользователям подключаться к почтовому ящику, используя только имя пользователя и пароль. Причина остановки этого заключается в том, что это предотвратит взлом учетных записей или падет жертвой атак с использованием паролей. Политика не влияет на локальный Exchange Server.

Каждый день обычная проверка подлинности остается включенной в вашем клиенте, ваши данные находятся под угрозой, поэтому ваша роль заключается в том, чтобы отключить базовую проверку подлинности для ваших клиентов и приложений, перевести их на более надежные и лучшие параметры, а затем защитить вашего клиента, прежде чем мы это сделаем.

– команда Microsoft Exchange

Современная аутентификация заменит базовую аутентификацию

Современная проверка подлинности — это то, что вы и ваша организация должны использовать в будущем. Если вы используете Exchange 2016 и более поздних версий и у вас гибридная версия, вы можете включить современную проверку подлинности в Exchange и Microsoft 365, но это обсуждение выходит за рамки этой статьи. Чтобы отключить обычную аутентификацию, ваши клиенты должны поддерживать новый метод аутентификации. На docs.microsoft.com они предоставляют список поддерживаемых клиентов, и вы должны время от времени проверять его, чтобы убедиться, что вы соответствуете требованиям. Вот ссылка на статью.

Клиенты, которые они перечислили, следующие:

  • Outlook 2016 для Mac или более поздней версии
  • Outlook 2013 и выше
  • Outlook на iOS и Android
  • Почтовое приложение для iOS 11.3.1 или выше

Если вы перейдете на портал администрирования, вы должны заметить объявления о базовой аутентификации. Вы можете обнаружить, что корпорация Майкрософт уже отключила ее в вашем арендаторе, или они отключат обычную проверку подлинности. Если вы не готовы, у вас может закончиться довольно напряженный день или неделя, связанные с устранением проблем. Обратите внимание, что базовая аутентификация отключается для нескольких протоколов, в том числе:

  • POP3
  • IMAP4
  • Удаленная PowerShell
  • Веб-службы Exchange
  • Адресная книга офиса
  • МАПИ
  • RPC
  • АктивСинк
  • SMTP-аутентификация

Вы можете снова включить обычную аутентификацию, но только временно

Как видите, список длинный, и если Microsoft отключила базовую аутентификацию в вашем клиенте, вы можете включить ее снова. Но когда в следующем году придет время, когда он подойдет к концу, он будет отключен навсегда. Вот пример сообщения в центре администрирования:

Для тех, кто обеспокоен безопасностью базовой аутентификации, возникает вопрос: «Как мне отключить базовую аутентификацию?» У вас есть несколько вариантов. Вот некоторые из них:

  • Политики аутентификации
  • Включение параметров безопасности по умолчанию (это автоматически включается для новых клиентов Microsoft 365)
  • Правила доступа клиентов

С политиками проверки подлинности вы можете создать новую политику с помощью PowerShell, а затем применить политику ко всем пользователям, которые блокируют устаревшие методы проверки подлинности.

Включение настроек безопасности по умолчанию

Включить параметры безопасности по умолчанию можно из Azure Active Directory. В центре администрирования Microsoft 365 вы можете развернуть центры администрирования слева, а затем щелкнуть Azure Active Directory, после чего откроется новая страница и вам будет предложено войти в систему с учетной записью, которая является глобальным администратором. После входа вас встретит главная страница Azure AD. Нажмите на Azure Active Directory, как показано ниже:

После того, как вы щелкнули Azure Active Directory (стрелка 1), средний раздел изменится и предоставит вам список параметров. Выберите «Свойства» (стрелка 2) и в нижней части страницы, где написано «Управление доступом к ресурсам Azure», нажмите «Управление параметрами безопасности по умолчанию» (стрелка 3). Это вызовет меню с правой стороны (стрелка 4). Как видите, для моего клиента установлено значение «Нет». После того, как вы нажмете кнопку «Да», активируется кнопка «Сохранить», которая неактивна, и вы можете нажать ее.

Это запустит задачу в Azure AD, и вы увидите в разделе уведомлений вверху, что она есть в списке. Теперь, когда я включил его в своем клиенте и попытался войти в один из центров администрирования, меня попросили настроить многофакторную проверку подлинности Azure AD и условный доступ, который попросил отправить текстовое сообщение на мой телефон.

Теперь, когда мы включили параметры безопасности по умолчанию, базовая аутентификация отключена. Чтобы узнать больше о параметрах безопасности по умолчанию, вы можете обратиться к этой странице документов Microsoft.

Если вы перейдете в центр администрирования Microsoft 365 и нажмете «Настройки», а затем «Настройки организации» и прокрутите список вниз, пока не увидите «Современная аутентификация», справа вы увидите сообщение, если у вас включены параметры безопасности по умолчанию:

Если вы хотите просмотреть отчет о входе с базовой проверкой подлинности, щелкните предпоследнюю ссылку в правом блоке под названием Просмотреть отчеты о входе с базовой проверкой подлинности на портале Azure. Это снова откроет страницу входа в Azure Active Directory, и вы сможете просматривать отчеты. Это даст вам представление о том, сколько пользователей или приложений все еще используют обычную аутентификацию, чтобы вы могли спланировать свой переход.

Если корпорация Майкрософт отключила обычную проверку подлинности и это влияет на вашу организацию, вы можете снова включить ее при переходе на современную проверку подлинности. Не откладывайте переход на современную аутентификацию на последнюю минуту, потому что у вас может не хватить времени. Но основная причина, по которой вам следует как можно раньше перейти на современную аутентификацию, заключается в том, что ваши данные подвергаются риску при базовой аутентификации.