Freigeben über

Legacy-Authentifizierung mit bedingtem Zugriff blockieren

Microsoft empfiehlt, dass Organisationen Authentifizierungsanforderungen mit Legacyprotokollen, die die Multi-Faktor-Authentifizierung nicht unterstützen, blockieren. Laut Microsofts Analyse verwenden mehr als 97 Prozent der Angriffe zum Ausfüllen von Kennwörtern (Credential Stuffing) veraltete Authentifizierungsprotokolle und mehr als 99 Prozent der Angriffe mit Kennwort-Spray veraltete Authentifizierungsprotokolle. Diese Angriffe würden aufhören, wenn die Basisauthentifizierung deaktiviert oder blockiert wäre.

Kunden ohne Lizenzen, die bedingten Zugriff enthalten, können Sicherheitsstandardwerte verwenden, um die Legacyauthentifizierung zu blockieren.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:

  • Notfallzugriff oder Notfallkonten, um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
  • Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
    • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.

Vorlagenbereitstellung

Organisationen können diese Richtlinie bereitstellen, indem Sie die unten beschriebenen Schritte ausführen oder die Vorlagen für bedingten Zugriff verwenden.

Erstellen Sie eine Richtlinie für bedingten Zugriff

Durch Ausführen der folgenden Schritte können Sie eine Richtlinie für bedingten Zugriff erstellen, um Legacyauthentifizierungsanforderungen zu blockieren. Diese Richtlinie wird zunächst in den Berichtsmodus versetzt, damit Administratoren die Auswirkungen auf vorhandene Benutzer ermitteln können. Wenn Administratoren sicher sind, dass die Richtlinie wie beabsichtigt gilt, können sie zu "Ein" wechseln oder die Bereitstellung schrittweise durchführen, indem sie bestimmte Gruppen hinzufügen und andere ausschließen.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
  3. Wählen Sie "Neue Richtlinie" aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
    1. Wählen Sie unter "Einschließen" "Alle Benutzer" aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen aus und wählen Sie alle Konten aus, die die ältere Authentifizierung beibehalten müssen. Microsoft empfiehlt, dass Sie mindestens ein Konto ausschließen, um zu verhindern, dass Sie aufgrund von Fehlkonfigurationen gesperrt werden.
  6. Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen die Option Alle Ressourcen (ehemals 'Alle Cloud-Apps') aus.
  7. Legen Sie unter Bedingungen>Client-Apps " Konfigurieren" auf "Ja" fest.
    1. Aktivieren Sie nur die Kontrollkästchen Exchange ActiveSync-Clients und andere Clients.
    2. Wählen Sie "Fertig" aus.
  8. Unter Access controls>Grant wählen Sie Block access aus.
    1. Wählen Sie "Auswählen" aus.
  9. Bestätigen Sie Ihre Einstellungen und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".

Hinweis

Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Bedingter Zugriff ist nicht als die erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.

Identifizieren der Verwendung der Legacy-Authentifizierung

Um zu bestimmen, ob Ihre Benutzer über Client-Apps verfügen, die die Legacyauthentifizierung verwenden, können Administratoren anhand der folgenden Schritte nach entsprechenden Anzeichen in den Anmeldeprotokollen suchen:

  1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra IDÜberwachung & GesundheitSign-In-Protokollen.
  3. Fügen Sie die Spalte Client-App hinzu, wenn sie nicht angezeigt wird, indem Sie auf Spalten>Client-App klicken.
  4. Wählen Sie Filter hinzufügen>Client-App> aus, wählen Sie alle älteren Authentifizierungsprotokolle aus, und wählen Sie Übernehmen aus.
  5. Führen Sie außerdem diese Schritte auf der Registerkarte " Benutzeranmeldungen ( nicht interaktiv) aus .

Die Filterung zeigt Ihnen Anmeldeversuche an, die mit älteren Authentifizierungsprotokollen unternommen wurden. Wenn Sie auf jeden einzelnen Anmeldeversuch klicken, erhalten Sie weitere Details. Das Feld "Client-App " auf der Registerkarte " Grundlegende Informationen " gibt an, welches Legacyauthentifizierungsprotokoll verwendet wurde. Diese Protokolle zeigen, welche Benutzer Clients verwenden, die auf die Legacyauthentifizierung zurückgreifen.

Um die Legacy-Authentifizierung in Ihrem Mandanten zu verwalten, verwenden Sie außerdem das Bericht für Anmeldungen mit Legacy-Authentifizierung.

Verwandte Inhalte