Co mogę zrobić, aby zidentyfikować i zablokować starsze uwierzytelnianie?
Istnieje kilka sposobów, na jakie starsze uwierzytelnianie może zostać zablokowane w usłudze Office 365. Jeśli włączyłeś domyślne ustawienia zabezpieczeń (ręcznie lub Twój dzierżawca został utworzony od października 2019 r.), to będzie ono już dla Ciebie zablokowane na poziomie dzierżawcy. Można ją również zablokować bezpośrednio w Exchange Online. Jeśli jednak posiadasz licencję Microsoft na Azure AD Premium P1, najlepszą metodą na zablokowanie starszego uwierzytelniania jest użycie dostępu warunkowego (CA). W przeciwieństwie do domyślnych zabezpieczeń, polityki CA pozwalają na skonfigurowanie wyjątków. Może to być przydatne w przypadku, gdy pracujemy nad nowoczesnym uwierzytelnianiem dla określonych usług i potrzebujemy trochę więcej czasu przed zablokowaniem dostępu do nich za pomocą starszego uwierzytelniania. Należy jednak pamiętać, że od października 2022 będzie to możliwe tylko dla usług uwierzytelniających się poprzez SMTP - wszystkie inne starsze protokoły autoryzacji będą domyślnie zablokowane dla Exchange Online (bez wyjątku).
Użycie starszego uwierzytelniania można łatwo zidentyfikować w usłudze Azure Active Directory, przeglądając logi logowania. Dodaj nowy filtr dla aplikacji Client, a następnie wybierz filtr i zaznacz wszystkie opcje dla Legacy Authentication Clients. Spowoduje to wyświetlenie wszystkich przypadków użycia starszego uwierzytelniania - w tym użytkownika uwierzytelniającego, urządzenia, z którego korzysta, oraz używanego protokołu uwierzytelniania. Sprawdź, czy uwierzytelnianie przy użyciu protokołów takich jak POP3 i IMAP z lokalizacji, które są nietypowe (lub niemożliwe) dla danego użytkownika, przebiega pomyślnie. Jest to mocny dowód na to, że konto zostało naruszone, a skrzynka pocztowa użytkownika jest synchronizowana z nieautoryzowanym urządzeniem. W takich przypadkach zaleca się, aby użytkownik natychmiast zresetował swoje hasło. Zapobiegnie to kolejnym udanym synchronizacjom, chociaż niewiele można zrobić z danymi, które już wyciekły.
Oprócz dzienników logowania do usługi Azure AD firma Microsoft udostępnia również dodatkowe narzędzia, które pomagają zidentyfikować starsze uwierzytelnianie w danym dzierżawcy. Biorąc pod uwagę duże wykorzystanie ActiveSync w środowiskach klientów, zalecam, aby na początku skupić się na tym problemie, ponieważ zablokowanie go może mieć wpływ na wielu użytkowników, a w przypadku urządzeń mobilnych przejście z ActiveSync na nowoczesne uwierzytelnianie jest stosunkowo proste. Firma Apple obsługuje nowoczesne uwierzytelnianie w swojej rodzimej aplikacji pocztowej od systemu iOS 11, a od systemu iOS 14 powinna automatycznie przełączać użytkowników na nowoczesne uwierzytelnianie. Widziałem jednak przypadki, w których użytkownicy musieli wylogować się z firmowego konta pocztowego i ponownie się na nie zalogować, zanim nastąpiło przełączenie na nowoczesne uwierzytelnianie. W przypadku systemu operacyjnego Android sytuacja nie jest tak jednoznaczna - z uwagi na duże zróżnicowanie urządzeń, systemów operacyjnych i natywnych aplikacji pocztowych. Szczególnie w przypadku systemu Android (ale także iOS) zdecydowanie polecam korzystanie z oficjalnej aplikacji mobilnej Microsoft Outlook. Aplikacja ta nie tylko w pełni obsługuje nowoczesne uwierzytelnianie, ale można w niej również stosować zasady ochrony aplikacji w celu szyfrowania, ochrony i bezpiecznego wymazywania danych firmowych przechowywanych w aplikacji Outlook. Nie ma to wpływu na dane osobowe przechowywane na urządzeniu i nie wymaga pełnego zapisania urządzenia do rozwiązania do zarządzania urządzeniami mobilnymi (MDM).