Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
概述
Microsoft建议组织使用不支持多重身份验证的旧协议阻止身份验证请求。 根据Microsoft的分析,超过 97% 的凭据填充攻击使用旧式身份验证,超过 99% 的密码喷射攻击使用旧式身份验证协议。 禁用或阻止基本身份验证即可阻止上述攻击。
没有包含条件访问的许可证的客户可以使用安全默认值来阻止旧式身份验证。
排除用户
条件访问策略是功能强大的工具。 建议从策略中排除以下帐户:
- 紧急访问或不受限帐户,用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下,紧急访问管理帐户可用于登录和恢复访问权限。
-
服务帐户 和 服务主体(如 Microsoft Entra Connect Sync 帐户)。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序,但它们也用于登录系统以实现管理目的。 由服务主体发出的调用不受适用于用户范围的条件访问策略的阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
- 如果你的组织在脚本或代码中使用这些帐户,请将这些帐户替换为 托管标识。
模板部署
组织可以按照下面所述的步骤或使用 条件访问模板部署此策略。
创建条件访问策略
以下步骤将帮助创建条件访问策略以阻止旧式身份验证请求。 此策略被设置为 仅报告模式 开始,这样管理员可以确定其对现有用户的影响。 当管理员确信策略按预期方式应用后,他们可以切换到“开”或通过添加特定组并排除其他组来分阶段进行部署。
- 以条件访问管理员、安全管理员或全局管理员身份登录到 Azure 门户。
- 浏览到 Microsoft Entra ID 的 安全性条件访问。
- 选择“创建新策略”。
- 为策略指定名称。 为策略的名称创建有意义的标准。
- 在分配下,选择用户或工作负载标识。
- 在“包括”下,选择“所有用户”。
- 在“排除”下,选择“用户和组”,然后选择必须保留使用旧式身份验证功能的任何帐户。 Microsoft建议排除至少一个帐户,以防止自己因配置不当而被锁定。
- 在“目标资源”>“资源(以前为云应用)”>“包括”下,选择“所有资源(以前为‘所有云应用’)”。
- 在“条件”和>下,将“配置”设置为“是”。
- 仅选中Exchange ActiveSync 客户端和其他客户端框。
- 选择“完成”。
- 在“访问控制”“授予”下,选择“阻止访问”。
- 选择Select。
- 确认设置,然后将“启用策略”设置为“仅限报告”。
- 选择“ 创建 ”以启用策略。
确认设置后,使用策略影响评估或仅报告模式,将“启用策略” 从“仅报告”切换至“打开”。
注意
完成第一因素身份验证后将强制执行条件访问策略。 在遇到拒绝服务 (DoS) 攻击等情景中,条件访问不应充当组织的第一道防线,但它可以使用这些事件的信号来确定访问权限。
识别旧式身份验证的使用情况
若要了解用户是否有使用旧式身份验证的客户端应用,管理员可通过以下步骤检查登录日志中的指示器:
- 以至少具备 Reports Reader 身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>监控与健康>登录日志。
- 如果未显示客户端应用列,请通过选择列>并选择客户端应用来添加该列。
- 选择“添加筛选器”“客户端应用”>,选择所有旧式身份验证协议,并选择“应用”。
- 此外,可以在用户登录(非交互式)选项卡上执行这些步骤。
筛选显示通过旧式身份验证协议进行的登录尝试。 单击每个登录尝试会显示更多详细信息。 “基本信息”选项卡下的“客户端应用”字段将指示使用了哪个旧式身份验证协议。 这些日志指示使用依赖于旧式身份验证的客户端的用户。
此外,为了帮助在租户中管理旧式身份验证,请使用旧式身份验证登录工作簿。