Современная проверки подлинности ( Modern Authentication ) сейчас по умолчанию включена для всех новых тенантов Microsoft 365/ Azure. Это протокол аутентификации более безопасный, чем устаревший Basic Authentication . Во второй половине 2021 года Microsoft планирует полностью запретить использовать Basic Authentication для всех клиентов Microsoft 365. В этой статье мы рассмотрим особенности включения/отключения Modern и Basic Authentication в Microsoft 365.
Microsoft сейчас поддерживает следующие виды аутентификации для Office 365:
Прежде чем включать современную проверку подлинности и отключать basic authentication, проверьте какие протоколы аутентификации используют ваши пользователи и приложения Microsoft 365.
Это позволит вам найти пользователей и приложения, которые все еще используют basic аутентификацию. Вам нужно мигрировать найденные приложения на протокол современной аутентификации (в моем случае большинство события были связаны с нативными почтовыми клиентами на смартфонах, их нужно мигрировать на Outlook App).
Microsoft анонсировала, что будет автоматически отключать Basic Auth для тенантов, где он не используется.
Вы можете включить современную проверку подлинности через Microsoft 365 Admin Center.
Your organization has security defaults enabled, which means modern authentication to Exchange Online is required, and basic authentication connections are blocked. You must turn off security defaults in the Azure portal before you can change any settings here.
Включить поддержку Basic Auth для тенанта можно из портала Azure (Azure Active Directory -> Properties -> Manage Security defaults -> Enable Security defaults = No
).
Обратите внимание на ряд опций в секции Allow access to basic authentication protocols . Здесь перечислены различные приложения, для которых вы можете разрешить использовать Basic Authentication.
Отключите Basic Auth для всех приложений, для которых она точно не нужна.
Если у вас в тенанте Office 365 настроены политики аутентификации, можно вывести текущие настройки и протоколы, для которых разрешено использование Basic Authentication с помощью PowerShell:
Get-AuthenticationPolicy
В нашем случае у нас всего одна политикиа и BasicAuth запрещена для всех приложений.
AllowBasicAuthActiveSync : False_x000D_AllowBasicAuthAutodiscover : False_x000D_AllowBasicAuthImap : False_x000D_AllowBasicAuthMapi : False_x000D_AllowBasicAuthOfflineAddressBook : False_x000D_AllowBasicAuthOutlookService : False_x000D_ AllowBasicAuthPop : False_x000D_AllowBasicAuthReportingWebServices : False_x000D_AllowBasicAuthRest : False_x000D_AllowBasicAuthRpc : False_x000D_AllowBasicAuthSmtp : False_x000D_AllowBasicAuthWebServices : False_x000D_AllowBasicAuthPowershell : False
В целях обеспечения безопасности вы можете создать отдельную политику с разными разрешениями Basic Auth для определенных протоколов и привязать ее к пользователям, которые используют legacy приложения. В данном примере мы разрешим пользователю подключение к Exchange Online через удалённую сессию PowerShell с базовой аутентификацией:
Set-AuthenticationPolicy -Identity "BasicAuthAllowPoSh" -AllowBasicAuthPowershell:$true
Set-User -Identity kbuldogov -AuthenticationPolicy "BasicAuthAllowPoSh"
При этом политика по умолчанию будет блокировать устаревшие протоколы:
New-AuthenticationPolicy -Name "BasicAuthBlock"
Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Legacy Authentication"
Кроме того, обратите внимание что в настройках организации есть еще одна опция OAuth2ClientProfileEnabled , которая определяет включена ли Modern Auth для тенанта:
Get-OrganizationConfig | ft OAuth*
Если OAuth2ClientProfileEnabled = False, значит современная проверка подлинности отключена.
Обратите внимание на специфику поддержки современной проверки подлинности в разных версиях Outlook:
HKEY_CURRENT_USERSOFTWAREMicrosoftOffice15.0CommonIdentity
( EnableADAL = 1
и Version = 1
; AlwaysUseMSOAuthForAutoDiscover = 1
в ветке HKEY_CURRENT_USERSoftwareMicrosoftExchange
(если этот параметр не включен, Outlook может постоянно запрашивать пароль для подключения , или может быть другая проблема с пустым окном входа в Outlook/Teams ); Вы можете проверить, что клиент Outlook использует Modern Authentication для подключения к почтовому серверу. Зажмите Ctrl
и щелкните по значку Outlook в трее. Убедитесь, что в поле Authn указано Bearer* . Это означает, что клиент использует современную аутентификацию.
Как менялся логотип Apple на протяжении многих лет. Логотип Apple — это не просто символ,…
Security Boot Fail при загрузке Acer — решение проблемы При загрузке ноутбука Acer с флешки,…
Ноутбук не включается — варианты решения Если при попытке включить ноутбук вы обнаруживаете, что он…
The AC power adapter wattage and type cannot be determined — причины и решение При…
Свистит или звенит блок питания компьютера — причины и решения Некоторые владельцы ПК могут обратить…
Мигает Caps Lock на ноутбуке HP — почему и что делать? При включении ноутбука HP…