De acordo com um relatório da Verizon, a maioria dos breches de dados é possibilitada por credenciais comprometidas, especialmente em servidores de email. Engenharia social, phishing de credenciais e ataques de força bruta são algumas das metodologias usadas por atores maliciosos para roubar credenciais.
Para melhorar a segurança dos logins do Office e ajudar a prevenir breches de dados, a Microsoft introduziu o método de autenticação moderna. Esse método requer autenticação e autorização adicionais de usuários ao se conectar a recursos online do Office 365.
Devido aos seus benefícios significativos, a autenticação moderna está habilitada por padrão em todos os locatários do Office 365 criados desde 2017. É o único método de login disponível para aplicativos e serviços do Office 365. No entanto, em implantações híbridas em nuvem-local do Office, você deve habilitar a autenticação moderna manualmente para versões anteriores do cliente do Office e desabilitar a autenticação básica quando possível.
Esse blog oferece uma visão geral rápida dos métodos de autenticação básica e moderna para implantações híbridas do Office e fornece os passos para habilitar a autenticação moderna no Office 365.
Autenticação Moderna vs. Autenticação Básica
Até a desativação da autenticação básica agendada para o final de 2022, a Microsoft fornecerá dois tipos de autenticação para implantações híbridas do Exchange e Skype for Business: autenticação básica e autenticação moderna. Observe que, para se conectar ao SharePoint Online usando um cliente, apenas a autenticação moderna e o Assistente de Logon Online da Microsoft estão disponíveis.
Esses dois métodos de autenticação diferem amplamente em termos de capacidades de proteção. Mesmo que a autenticação básica seja desativada ainda este ano, é importante entender as diferenças entre as duas opções.
O que é autenticação básica?
A autenticação básica é o processo de conexão às aplicações do Office 365 usando apenas um nome de usuário e senha. Quando você insere seu nome de usuário e senha em um cliente de email, esses dados são transmitidos para o Exchange Online para verificação e autenticação antes de conectá-lo ao serviço de nuvem.
Este é um método desatualizado que não pode mais fornecer proteção adequada contra ameaças de credenciais. Uma das principais vulnerabilidades da autenticação básica é que as aplicações armazenam as credenciais do usuário no dispositivo, o que cria mais oportunidades para hackers tentando roubar senhas. Além disso, muitos dos recursos de gerenciamento de identidade e acesso da Microsoft, como Acesso Condicional e autenticação multifator (MFA), não estão disponíveis com esta autenticação legada do Office 365.
O que é autenticação moderna?
A autenticação moderna é uma combinação de diferentes métodos de autenticação e autorização para acessar recursos de nuvem do Microsoft Office. A autenticação moderna é baseada na Biblioteca de Autenticação do Active Directory (ADAL) e no OAuth 2.0.
- A Biblioteca de Autenticação do Active Directory é uma ferramenta de autenticação para aplicativos acessarem recursos seguros por meio de tokens de segurança. Com o ADAL, os usuários também obtêm logon único (SSO) para acesso contínuo aos recursos do Office 365 disponíveis para eles.
- OAuth 2.0 é um protocolo de autorização que permite aos usuários acessarem recursos por meio de um aplicativo cliente usando tokens de acesso. Este framework envolve delegação de acesso e, como tal, as credenciais do usuário não são compartilhadas com o servidor de recursos.
O framework de autenticação moderna adiciona uma camada extra de segurança para os usuários que fazem login em seus recursos do Microsoft 365 a partir de aplicativos cliente. Além disso, este framework permite a ativação da autenticação multifatorial (MFA) e o uso de políticas de Acesso Condicional.
Como Habilitar a Autenticação Moderna no Office 365
Para inquilinos da Microsoft criados antes de agosto de 2017, existem diferentes métodos para habilitar a autenticação moderna no Office 365:
Usando o centro de administração do Microsoft 365
Para ativar a autenticação moderna no Office 365 através do centro de administração:
- Acesse o centro de administração do Microsoft 365.
No painel de navegação à esquerda, expanda Configurações e clique em seguida emConfigurações da organização . - No painel de navegação esquerdo, expanda Configurações e clique em Configurações da organização.
- Em Serviços, escolha Autenticação moderna.
- Selecione a caixa de seleção Ativar a autenticação moderna para o Outlook 2013 para Windows e posteriores (recomendado).
- Clique em Salvar.
Usando o PowerShell do Exchange Online
Siga as etapas abaixo para ativar a autenticação moderna usando o PowerShell do Exchange Online:
- Conectar-se ao PowerShell do Exchange Online.
- Execute o seguinte comando para clientes do Outlook 2013 ou posteriores:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - Verifique se a alteração foi bem-sucedida e a autenticação moderna foi habilitada com este comando:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
É importante notar que isso não impede que você use o método de autenticação básica. No entanto, você pode forçar o uso da autenticação legada do O365 no Outlook 2013 ou posterior executando o comando:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Desabilitando a Autenticação Básica do Office 365
Depois de habilitar a autenticação moderna no Office 365, agora você pode desabilitar os protocolos de autenticação básica. No entanto, você precisa ter certeza de que nenhum usuário se beneficia disso. Siga estas etapas para verificar se alguém está usando a autenticação básica:
- Abre sua conta Microsoft Azure.
- Acesse o Azure Active Directory.
- Selecione Logs de entrada na navegação lateral esquerda.
- Mude o Intervalo de data para Últimos 7 dias ou mais.
- Clique em Adicionar filtros.
- Selecione Aplicativo cliente e clique em Aplicar.
- Clique no filtro recém-criado Aplicativo cliente.
- Marque todas as caixas abaixo de Clientes de autenticação legado
- Clique em Aplicar.
Esta lista inclui todos os eventos de entrada com seus usuários e aplicativos correspondentes. Antes de desabilitar a autenticação básica, você pode migrar todos esses aplicativos para os protocolos de autenticação modernos para que você não os perca.
Para desabilitar a autenticação legada do O365:
- Acesse o Centro de administração do Microsoft 365.
- Na navegação lateral esquerda, expanda Configurações e clique em Configurações da organização.
- Escolha Autenticação moderna em Serviços.
- Desmarque todas as caixas abaixo de Permitir acesso aos protocolos de autenticação básica.
- Clique em Salvar.
Autenticação moderna do Outlook
Enquanto as últimas edições do Outlook suportam a autenticação moderna por padrão, adicioná-la a clientes mais antigos requer configuração manual. Diferentes versões do Outlook têm requisitos variáveis quando se trata de habilitar a autenticação moderna:
- Outlook 2010 ou anterior: A autenticação moderna não é suportada e você precisa atualizar o Outlook para beneficiar-se desta funcionalidade.
- Outlook 2013: A autenticação moderna está disponível, mas não é ativada por padrão, e você deve forçar o Outlook a usá-la uma vez que estiver habilitada.
- Outlook 2016 ou posterior + Outlook 365: A autenticação moderna está disponível e ativada por padrão.
A tabela abaixo resume os requisitos de cada versão:
| Versão do Outlook | Autenticação Moderna | Chave EnableADAL | Forçar Autenticação Moderna |
| Outlook 2010 | Não suportado | Não disponível | Não disponível |
| Outlook 2013 | Suportado | Requerido | Requerido |
| Outlook 2016 | Suportado | Não requerido | Não requerido |
| Outlook 2019 | Suportado | Não requerido | Não requerido |
| Outlook 365 | Suportado | Não requerido | Não requerido |
A autenticação moderna no Outlook 2013
Como mencionado anteriormente, o Outlook 2013 suporta a autenticação moderna, mas usa a autenticação básica por padrão. Você pode ativar a autenticação moderna manualmente.
Para fazer isso, você precisa adicionar as seguintes chaves no registro do Windows:
| Chave do Registro | Tipo | Valor |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | REG_DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | REG_DWORD | 1 |
Depois de definir essas chaves, a Microsoft recomenda que você adicione mais uma chave de registro para forçar o Outlook 2013 a usar a autenticação moderna para que não volte à autenticação básica. A chave que você deve usar é:
| Chave do Registro | Tipo | Valor |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Autenticação moderna no Outlook 2016 ou posterior
Embora a autenticação moderna seja habilitada por padrão no Outlook 2016, é aconselhável forçar a autenticação moderna com a chave de registro abaixo:
| Chave do Registro | Tipo | Valor |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Autenticação moderna do Skype for Business
Como a autenticação moderna é desativada por padrão para todos os inquilinos da Microsoft criados antes de 1º de agosto de 2017, você precisa ativá-la manualmente. Assim como no Outlook, você pode habilitar a autenticação moderna no Skype for Business com as seguintes chaves de registro:
| Chave do Registro | Tipo | Valor |
| HKEY\_CURRENT\_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG\_DWORD | 1 |
| HKEY\_CURRENT\_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG\_DWORD | 1 |
Conclusão
A autenticação herdada do O365 está sendo descontinuada pela Microsoft, visto que um único conjunto de credenciais já não é suficiente para garantir a proteção de segurança necessária. Felizmente, outras medidas de segurança estão disponíveis, e é recomendável ativar a autenticação moderna no Office 365. Uma vez ativada, é possível ativar a autenticação de vários fatores (MFA), definir permissões e restringir o acesso a aplicações específicas para os usuários.
No entanto, ter uma solução completa de backup de terceiros garante uma proteção otimizada para ambientes do Office 365. Uma solução completa de proteção de dados como o NAKIVO Backup & Replication inclui todas as ferramentas necessárias para proteger os dados do Microsoft 365 na sua organização.
Source:
https://www.nakivo.com/blog/enable-modern-authentication-office-365/