אימות בסיסי נגד אימות מודרני וכיצד לאפשר אותו ב-Office 365

מדריכים

על פי דיווח של Verizon, רוב ההפרות בנתונים מתאפשרים על ידי פרטי הכניסה המוחלטים, במיוחד בשרתי דוא"ל. פיתוי חברתי, גידול פרטי הכניסה ותקיפת כוח מאמץ הם חלק מהשיטות שבהן משתמשים פושעים כדי לגנוב פרטי כניסה.

על מנת לשפר את אבטחת כניסת Office ולמנוע הפרות בנתונים, Microsoft הכניסה את שיטת האימות המודרנית. שיטה זו דורשת אימות והרשאה נוספים של משתמשים בעת התחברות למשאבי Office 365 באינטרנט.

בשל היתרונות המשמעותיים שלה, האימות המודרני הופעל כבר בברירת מחדל בכל השוכרים שנוצרו מאז 2017. זהו השיטה היחידה הזמינה לכניסה ליישומי ושירותי Office 365. אך, באימות שילובי של התקנות Office בלתי מקוונות-ענן, עליך להפעיל את האימות המודרני באופן ידני עבור גרסאות מוקדמות יותר של לקוחות Office ולהשבית את האימות הבסיסי במידה האפשר.

בלוג זה מציע סקירה קצרה של השיטות לאימות הבסיסי והמודרני עבור התקנות משולבות של Office ומספק את השלבים להפעלת האימות המודרני ב-Office 365.

אימות מודרני נגד אימות בסיסי

עד סיום הפסקת התמיכה באימות בסיסי המתוכננת לסוף 2022, מיקרוסופט תספק שני סוגי אימות עבור פיתוחים היברידיים של Exchange ו־Skype for Business: אימות בסיסי ואימות מודרני. שימו לב כי עבור התחברות ל־SharePoint Online באמצעות לקוח, רק אימות מודרני ועזרת הכניסה המקוונת של מיקרוסופט זמינים.

שני השיטות לאימות אלו שונות בצורת הגנה. אף על פי שאימות בסיסי יוסר משימוש בשנת הזו, חשוב להבין את ההבדלים בין שתי האפשרויות.

מהו אימות בסיסי?

אימות בסיסי הוא התהליך של התחברות ליישומי Office 365 באמצעות שם משתמש וסיסמה בלבד. כאשר אתה מזין את שם המשתמש והסיסמה שלך בלקוח דוא"ל, הם מועברים ל־Exchange Online לאימות ואימות לפני התחברותך לשירות הענן.

זהו שיטה מיושנת שאינה יכולה עוד לספק הגנה מספקת נגד איומי נתונים. אחת הפגיעות העיקריות באימות בסיסי היא שיישומי נגישות מאחסנים את פרטי ההתחברות של המשתמש במכשיר, מה שיוצר עוד הזדמנויות עבור האקרים שמנסים לגנוב סיסמאות. בנוסף, רבים מתכוני הזהות והגישה של מיקרוסופט, כגון גישה תנאי ואימות רב־גורמים (MFA), אינם זמינים עם אימות מורשה מראש של Office 365.

מהו אימות מודרני?

האומנציה המודרנית היא שילוב של שיטות שונות של אימות והרשאה לגשת למשאבים ענן של Microsoft Office. האומנציה המודרנית מבוססת על ספריית אימות Active Directory (ADAL) ו-OAuth 2.0.

  • ספריית אימות Active Directory היא כלי אימות ליישומים לגשת למשאבים מאובטחים באמצעות תעודות בטחון. עם ADAL, המשתמשים גם מקבלים חד משתנה (SSO) לגישה חלקה למשאבי Office 365 הזמינים להם.
  • OAuth 2.0 היא פרוטוקול הרשאה המאפשר למשתמשים לגשת למשאבים באמצעות יישום לקוח באמצעות תעודות גישה. מסגרת זו כרוכה במתן הרשאות ולכן האסמכתאות של המשתמש אינן מוחלפות עם שרת המשאב.

מסגרת האומנציה המודרנית מוסיפה שכבה נוספת של אבטחה למשתמשים המתחברים למשאבי Microsoft 365 שלהם מיישומי לקוח. בנוסף, מסגרת זו מאפשרת הפעלת אימות רב-שלבי (MFA) ושימוש במדיניות גישה מותנית.

כיצד להפעיל אומנציה מודרנית ב-Office 365

עבור משתמשי Microsoft שנוצרו לפני אוגוסט 2017, ישנן שיטות שונות להפעלת אומנציה מודרנית ב-Office 365:

באמצעות מרכז הניהול של Microsoft 365

כדי להפעיל אומנציה מודרנית ב-Office 365 דרך מרכז הניהול:

  1. התחבר ל-מרכז הניהול של Microsoft 365.בחלון הניווט משמאל, הרחיב את ההגדרות ולאחר מכן לחץ על הגדרות הארגון.
  2. בפינה השמאלית של חלון הניווט, הרחב הגדרות ולאחר מכן לחץ על הגדרות של תאגיד.
  3. תחת שירותים, בחר אבטחה מודרנית.
  4. בחר בתיבת הסימון להדליק אבטחה מודרנית עבור Outlook 2013 עבור Windows ומעלה (מומלץ).
  5. לחץ על שמור.

בשימוש ב-Exchange Online PowerShell

בצע את השלבים הבאים כדי להפעיל אבטחה מודרנית באמצעות Exchange Online PowerShell:

  1. התחברות ל-Exchange Online PowerShell.
  2. הפעל את הפקודה הבאה עבור לקוחות Outlook 2013 או מאוחר יותר:
    Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
  3. וודא שהשינוי הושלם בהצלחה ואבטחה מודרנית פועלת עם הפקודה הזו:
    Get-OrganizationConfig | Format-Table Name,OAuth* -Auto

�חשוב לציין שזה לא מונע ממך להשתמש בשיטת האבטחה הבסיסית. עם זאת, אפשר לאפשר שימוש באבטחה הישנה של O365 ב-Outlook 2013 או מאוחר יותר על ידי הפעלת הפקודה:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false

כיבוי אבטחה בסיסית של Office 365

לאחר הפעלת אבטחה מודרנית ב-Office 365, עכשיו תוכל לבטל את השיטות האבטחה הבסיסיות. עם זאת, עליך לוודא שאף משתמש לא משתמש בהן. בצע את השלבים הבאים כדי לבדוק אם מישהו משתמש באבטחה הבסיסית:

  1. פתח את חשבונך Microsoft Azure.
  2. גש Azure Active Directory.

  1. בחר Sign-in logs בפינה השמאלית של מסך הניווט.
  2. שנה את Date range לLast 7 days או יותר.
  3. לחץ על Add filters.
  4. בחר Client app ולאחר מכן לחץ על Apply.

  1. לחץ על המסנן הנוצר לאחרונה Client app.
  2. סמן את כל התיבות מתחת לLegacy Authentication Clients.
  3. לחץ על Apply.

הרשימה כוללת את כל אירועי ההתחברות עם המשתמשים והיישומים המתאימים. לפני שאתה משבית את האימות הבסיסי, אתה יכול להעביר את כל היישומים האלה לפרוטוקולי האימות המודרניים כך שלא תאבד אותם.

כדי להשבית את האימות המודגש הישן של O365:

  1. גש Microsoft 365 admin center.
  2. בפינה השמאלית של מסך הניווט, הרחיב את Settings ולחץ על Org settings.
  3. בחר Modern authentication תחת Services.
  4. לא לבחור את כל התיבות תחת Allow access to basic authentication protocols.
  5. לחץ על Save.

Outlook Modern Authentication

בעוד שהגרסאות האחרונות של Outlook תומכות באימות מודרני כברירת מחדל, הוספתו לגרסאות ישנות יותר מחייבת קונפיגורציה ידנית. לגרסאות השונות של Outlook יש דרישות שונות כאשר מדובר בהפעלת אימות מודרני:

  • Outlook 2010 או קודם לכן: אימות מודרני אינו נתמך ויש לשדרג את Outlook כדי ליהנות מתכונה זו.
  • Outlook 2013: אימות מודרני זמין אך אינו מופעל כברירת מחדל, ויש להכריח את Outlook להשתמש בו לאחר הפעלתו.
  • Outlook 2016 או מאוחר יותר + Outlook 365: אימות מודרני זמין ומופעל כברירת מחדל.

הטבלה למטה מסכמת את הדרישות של כל גרסה:

גרסת Outlook אימות מודרני EnableADAL reg key הכרח אימות מודרני
Outlook 2010 לא נתמך לא זמין לא זמין
Outlook 2013 נתמך נדרש נדרש
Outlook 2016 נתמך לא נדרש לא נדרש
Outlook 2019 נתמך לא נדרש לא נדרש
Outlook 365 נתמך לא נדרש לא נדרש

אימות מודרני ב-Outlook 2013

כפי שצוין קודם לכן, Outlook 2013 תומך באימות מודרני אך משתמש באימות בסיסי כברירת מחדל. ניתן להפעיל אימות מודרני באופן ידני.

כדי לעשות זאת, עליך להוסיף את המפתחות הבאים ברישום של Windows:

מפתח רישום סוג ערך
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL REG_DWORD 1
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version REG_DWORD 1

לאחר הגדרת המפתחות הללו, מיקרוסופט ממליצה להוסיף מפתח רישום נוסף כדי לכפות על Outlook 2013 להשתמש באימות מודרני כך שלא יחזור לאימות בסיסי. המפתח שעליך להשתמש בו הוא:

מפתח רישום סוג ערך
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover REG_DWORD 1

אימות מודרני ב-Outlook 2016 או גרסה מאוחרת יותר

בעוד שאימות מודרני מופעל כברירת מחדל ב-Outlook 2016, מומלץ לכפות אימות מודרני עם מפתח הרישום הבא:

מפתח רישום סוג ערך
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover REG_DWORD 1

אימות מודרני ב-Skype for Business

מכיוון שאימות מודרני כבוי כברירת מחדל עבור כל הדיירים של מיקרוסופט שנוצרו לפני 1 באוגוסט 2017, עליך להפעיל אותו ידנית. כמו ב-Outlook, תוכל להפעיל אימות מודרני ב-Skype for Business עם מפתחות הרישום הבאים:

רשומת הרשומות סוג ערך
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync REG_DWORD 1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync REG_DWORD 1

מסקנה

חברת Microsoft מבצעת הבחנה באיטום האימות הנטוש של O365 מאחר שסט פשוט של פרטי כניסה כבר לא מבטיח את ההגנה הנדרשת. למרבה המזל, ישנם צעדים אחרים לביטחון זמינים, ומומלץ להפעיל אימות מודרני ב-Office 365. לאחר הפעלה, תוכלו להפעיל אימות רב-גורמי (MFA), להגדיר אישורים ולהגביל גישה ליישומים ספציפיים עבור משתמשים.

עם זאת, יש להשתמש בפתרון גיבוי מקיף מצד שלישי כדי להבטיח הגנה אופטימלית עבור סביבות Office 365. פתרון הגנת נתונים מלא כמו NAKIVO Backup & Replication כולל את כל הכלים הנדרשים להגנת נתוני Microsoft 365 בארגון שלך.

Source:
https://www.nakivo.com/blog/enable-modern-authentication-office-365/