使用条件访问禁用基本身份验证

如何使用条件访问策略禁用 Office 365 中的基本身份验证？您希望阻止 Azure AD 中称为旧版身份验证的基本身份验证，因为您已为 Exchange Online 和本地 Exchange 部署了新式身份验证。此外，许多攻击都是通过基本身份验证进行的，阻止它们是明智的选择。本文将了解如何在 Azure AD 中创建条件访问策略以禁用旧身份验证。

为什么应该阻止基本身份验证

配置多重身份验证后，为什么需要阻止基本身份验证？

为了使 MFA 有效，您还需要阻止旧身份验证。这是因为 POP、SMTP、IMAP 和 MAPI 等传统身份验证协议无法强制执行 MFA，这使得它们成为攻击您组织的对手的首选入口点。

对 Azure Active Directory (Azure AD) 流量的分析得出的旧式身份验证数字很明确：

• 超过 99% 的密码喷射攻击使用旧版身份验证协议
• 超过 97% 的撞库攻击使用旧版身份验证
• 与启用旧身份验证的组织相比，禁用旧身份验证的组织中的 Azure AD 帐户遭受的危害减少了 67%

如今单因素身份验证（例如用户名和密码）已经不够了。密码很糟糕，因为它们很容易被猜到，而我们（人类）不善于选择好的密码。密码还容易受到各种攻击，例如网络钓鱼和密码喷射。防止密码威胁最简单的方法之一就是实施多重身份验证 (MFA)。使用 MFA，即使攻击者掌握了用户的密码，仅凭密码也不足以成功验证和访问数据。

如何防止使用旧身份验证的应用程序访问租户的资源？建议使用条件访问策略来阻止它们。 如有必要，您只允许某些用户和特定网络位置使用基于旧版身份验证的应用。

使用条件访问阻止基本身份验证

请按照以下步骤阻止基本身份验证，也称为使用 Azure AD 条件访问的旧身份验证。

步骤 1. 检查 Azure AD Premium 许可证

检查您是否有 Azure AD Premium 计划 1 或 2。登录到 Microsoft Azure。在门户中，导航到Azure Active Directory > 概述。在下面的示例中，有一个 Azure AD Premium P2 许可证。

步骤 2. 新政策

创建条件访问策略以强制阻止所有用户的基本身份验证。您只能选择选定的用户组。但是，我们建议禁用所有用户的基本身份验证。

浏览至Active Directory > 安全 > 条件访问。点击新政策。

步骤 3. 名称

将其命名为[BLOCK]旧版身份验证。

步骤 4. 作业

单击用户和组，然后单击包含。选择所有用户。

步骤 5. 云应用程序或操作

点击云应用，然后点击包含。选择所有云应用。

步骤 6. 条件

单击条件，然后单击客户端应用。单击是。选择Exchange ActiveSync 客户端和其他客户端。

步骤 7. 授予

点击授予。选择阻止访问。单击选择。

步骤 8. 启用策略

单击开启开关以启用该策略。选择我了解我的帐户将受到此政策的影响。仍然继续。点击创建。

该策略显示在条件访问策略列表中。

[BLOCK]旧身份验证策略最多可能需要 24 小时才能生效。

了解更多：在本地 Exchange 中配置混合现代身份验证 »

结论

在本文中，您了解了如何使用条件访问禁用基本身份验证。制定策略并保护组织免受攻击至关重要。如果某些应用程序或打印机需要通过基本身份验证进行连接，您可以将用户添加到排除组中或将位置添加到排除列表中。这样，他们仍然可以使用基本身份验证。

您喜欢这篇文章吗？您可能还喜欢将 Exchange Online 许可证添加到 Exchange 混合中的邮箱。不要忘记关注我们并分享这篇文章。