利用旧身份验证工作簿的登录

你有没有想过如何确定在租户中关闭传统身份验证是否安全？ 利用旧身份验证工作簿的登录可帮助你回答此问题。

本文对使用旧式身份验证的登录工作簿进行了概述。

先决条件

若要将Azure工作簿用于Microsoft Entra ID，需要：

• 具有 Premium P1 许可证的Microsoft Entra租户
• Log Analytics工作区和对该工作区的访问权限
• Azure Monitor 和 Microsoft Entra ID 的适当角色

Log Analytics工作区

在使用Microsoft Entra工作簿之前，您必须创建Log Analytics工作区。 多个因素决定了对Log Analytics工作区的访问。 需要为工作区和发送数据的资源提供适当的角色。

有关详细信息，请参阅 管理对 Log Analytics 工作区的访问。

Azure Monitor 角色

Azure Monitor提供两个内置角色用于查看监视数据和编辑监视设置。 Azure基于角色的访问控制（RBAC）还提供两个Log Analytics内置角色来授予类似的访问权限。

• 视图：

  • 监控读取器
  • 日志分析查看者

• 查看和修改设置：

  • 监视参与者
  • Log Analytics参与者

Microsoft Entra角色

只读访问权限允许查看工作簿中的Microsoft Entra ID日志数据、从Log Analytics查询数据或在Microsoft Entra 管理中心中读取日志。 更新访问权限增加了创建和编辑诊断设置的功能，以便向Log Analytics工作区发送Microsoft Entra数据。

• 读取:

  • 报告阅读器
  • 安全审查者
  • 全局读取器

• 更新：

  • 安全管理员

有关Microsoft Entra内置角色的详细信息，请参阅 Microsoft Entra 内置角色。

有关 Log Analytics RBAC 角色的详细信息，请参阅 Azure 内置角色。

说明

Microsoft Entra ID支持多种最常用的身份验证和授权协议，包括旧式身份验证。 旧身份验证是指基本身份验证，它曾经是一种广泛使用的行业标准方法，用于通过客户端将用户名和密码信息传递给标识提供者。

通常或仅使用旧式身份验证的应用程序示例包括：

• Microsoft Office 2013 或更高版本。

• 使用带 POP、IMAP 和 SMTP AUTH 等邮件协议的旧身份验证的应用程序。

单因素身份验证（例如，用户名和密码）无法为当今的计算环境提供所需的保护级别。 使用密码也不安全，因为它们很容易被猜到，我们并不擅长选择好密码。

遗憾的是，传统身份验证：

• 不支持多重身份验证 (MFA) 或其他强身份验证方法。

• 使你的组织无法转向无密码身份验证。

若要提高Microsoft Entra租户的安全性和用户的体验，应禁用旧身份验证。 但是，你的租户中的重要用户体验可能取决于旧身份验证。 在关闭旧身份验证之前，你可能想要查找这些情况，以便将它们迁移到更安全的身份验证。

使用旧式身份验证登录的工作簿可让你在你的环境中查看所有旧式身份验证登录。 在关闭旧式身份验证之前，此工作簿可帮助你查找关键工作流并将其迁移到更安全的身份验证方法。

如何访问工作簿

1. 使用适当的角色组合登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>监控和健康>Workbooks。

3. 在使用情况部分选择使用旧式身份验证登录工作簿。

工作簿的各个部分

利用此工作簿，可以区分交互和非交互式登录。此工作簿重点显示在整个租户中使用的旧身份验证协议。

数据收集包括三个步骤：

1. 选择旧身份验证协议，然后选择一个应用程序以按访问该应用程序的用户进行筛选。

2. 选择一个用户，查看他们对所选应用的所有传统身份验证登录。

3. 查看用户的所有旧身份验证登录，了解旧身份验证的使用方式。

筛选器

此工作簿支持多个筛选器：

• 时间范围（最多 90 天）

• 用户主体名称

• 应用程序

• 登录状态（成功或失败）

最佳实践

• 有关阻止环境中旧式身份验证的指导，请参阅阻止旧式身份验证以使用条件访问Microsoft Entra ID。

• 许多曾经依赖旧身份验证的电子邮件协议现在支持更安全的新式身份验证方法。 如果你在此工作簿中看到旧电子邮件身份验证协议，请考虑迁移到电子邮件的新式身份验证。 有关详细信息，请参阅 Exchange Online 中基本身份验证的弃用。

• 根据客户端配置，某些客户端可以同时使用旧式身份验证或新式身份验证。 如果在Microsoft Entra日志中看到客户端的“新式移动/桌面客户端”或“浏览器”，则会使用新式身份验证。 如果它具有特定的客户端或协议名称（例如“Exchange ActiveSync”），则它使用旧式身份验证连接到Microsoft Entra ID。 在条件访问中输入的客户端，Microsoft Entra 管理中心中的 Microsoft Entra 报告页面为您区分现代身份验证客户端和旧式身份验证客户端，并且此工作簿中仅记录旧式身份验证。

• 有关Microsoft Entra工作簿的详细信息，请参阅 如何使用Microsoft Entra工作簿。

相关内容

• 如何使用标识工作簿
• 身份验证方法概述