Базовая аутентификация (Basic Authentication) – этот тип аутентификации знаком многим пользователям Windows. Для выполнения базовой аутентификации используется простое окно Windows Security, где запрашиваются имя и пароль пользователя, с возможностью сохранения пароля в диспетчере учетных записей Windows (Credential Manager). Основные недостатки базовой аутентификации:
— Не поддерживает мультифакторную аутентификацию (MFA).
— Уязвима к атакам перебора паролей.
— Приложения хранят и используют учетные данные пользователей в явном виде.
Современная проверка подлинности (Modern Authentication) основана на протоколах Active Directory Authentication Library (ADAL) и OAuth 2.0. Основные преимущества Modern Authentication:
— Не требует хранения учетных данных пользователей в приложениях.
— Использует токены с ограниченным сроком действия для аутентификации.
— Поддерживает дополнительные факторы аутентификации, такие как MFA.
Окно для ввода имени пользователя и пароля при использовании современной аутентификации появляется при подключении к сервисам Microsoft 365 или Azure, включая подключение через PowerShell.
Поиск приложений Microsoft 365, использующих Basic Authentication
Перед включением современной проверки подлинности и отключением базовой аутентификации, необходимо определить, какие пользователи и приложения все еще используют Basic Authentication.
— Откройте портал управления Azure.
— Перейдите в Azure Active Directory -> Sign-in logs.
— Выберите диапазон Last 1 month.
— Добавьте фильтр по полю Client App.
— Выберите все Legacy Authentication Clients.
Этот процесс поможет выявить пользователей и приложения, которые продолжают использовать базовую аутентификацию, и мигрировать их на Modern Authentication.
Microsoft анонсировала отключение Basic Authentication
Microsoft планирует автоматически отключать Basic Authentication для тенантов, где она не используется, начиная с февраля 2023 года.
Как включить Modern Authentication для тенанта Microsoft 365?
Modern Authentication можно включить через Microsoft 365 Admin Center:
— Перейдите на https://admin.microsoft.com.
— Перейдите в Settings -> Org Settings -> Modern authentication.
— Включите опцию Turn on modern authentication for Outlook 2013 for Windows and later.
— Сохраните изменения.
Для новых тенантов Office 365 Modern Authentication включена по умолчанию, и базовая аутентификация уже отключена.
Включение поддержки Basic Auth для тенанта
Если необходимо, поддержку Basic Authentication можно включить через портал Azure:
— Перейдите в Azure Active Directory -> Properties -> Manage Security defaults.
— Установите Enable Security defaults = No.
— В разделе Allow access to basic authentication protocols выберите необходимые приложения, для которых разрешена базовая аутентификация:
— Outlook client
— Exchange ActiveSync (EAS)
— Autodiscover
— IMAP4
— POP3
— Authenticated SMTP
— Exchange Online PowerShell (только EXOv2 поддерживает Modern Authentication)
— Отключите Basic Auth для всех приложений, где она не нужна.
Проверка текущих настроек аутентификации с помощью PowerShell
Для вывода текущих настроек и разрешенных протоколов можно использовать команды PowerShell:
Get-AuthenticationPolicy
Get-AuthenticationPolicy -AllowBasicAuth
Создание и применение политик аутентификации
Для обеспечения безопасности можно создать отдельную политику с разрешениями на использование Basic Authentication для определенных протоколов:
— Создайте политику:
Set-AuthenticationPolicy -Identity "BasicAuthAllowPoSh" -AllowBasicAuthPowershell:$true
— Примените политику к пользователю:
Set-User -Identity kbuldogov -AuthenticationPolicy "BasicAuthAllowPoSh"
— Создайте политику по умолчанию для блокировки устаревших протоколов:
New-AuthenticationPolicy -Name "BasicAuthBlock"
Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Legacy Authentication"
Проверка состояния Modern Authentication
Убедитесь, что Modern Authentication включена для тенанта:
Get-OrganizationConfig | ft OAuth*
Если OAuth2ClientProfileEnabled = False, значит Modern Authentication отключена.
Поддержка Modern Authentication в разных версиях Outlook
Важно учитывать специфику поддержки Modern Authentication в различных версиях Outlook:
Outlook 2010 и ранее: Не поддерживают Modern Authentication. Если Basic Auth отключена, эти версии не смогут подключиться к Exchange Online.
Outlook 2013: Для поддержки OAuth необходимо установить параметры реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\Identity
— EnableADAL = 1
— Version = 1
Outlook 365, 2019, 2016: Modern Authentication поддерживается по умолчанию. Для обеспечения постоянного использования Modern Authentication установите параметр AlwaysUseMSOAuthForAutoDiscover = 1 в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Exchange
Если этот параметр не установлен, Outlook может постоянно запрашивать пароль или возникнут проблемы с пустым окном входа.
Проверка использования Modern Authentication клиентом Outlook
Чтобы убедиться, что клиент Outlook использует Modern Authentication:
— Зажмите Ctrl и щелкните по значку Outlook в трее.
— Убедитесь, что в поле Authn указано Bearer*. Это означает, что клиент использует современную аутентификацию.
Переход на Modern Authentication в Microsoft 365 обеспечивает более высокий уровень безопасности и поддержку современных методов аутентификации, таких как мультифакторная аутентификация. Рекомендуется своевременно мигрировать все приложения и пользователей на Modern Authentication, чтобы избежать проблем с доступом и повысить защиту ваших данных.
