De acordo com um relatório da Verizon, a maioria das violações de dados são possíveis devido a credenciais comprometidas, especialmente em servidores de e-mail. Engenharia social, phishing de credenciais e ataques de força bruta são alguns dos métodos utilizados por atores maliciosos para roubar credenciais.
Para melhorar a segurança dos logins do Office e ajudar a prevenir violações de dados, a Microsoft introduziu o método de autenticação moderna. Esse método requer autenticação e autorização adicionais do usuário ao se conectar aos recursos online do Office 365.
Devido aos seus benefícios significativos, a autenticação moderna foi habilitada por padrão em todos os locatários do Office 365 criados desde 2017. É o único método de login disponível para aplicativos e serviços do Office 365. No entanto, em implantações híbridas locais-nuvem do Office, é necessário habilitar manualmente a autenticação moderna para versões mais antigas do cliente do Office e desabilitar a autenticação básica sempre que possível.
Este blog oferece uma breve visão geral dos métodos de autenticação básica e moderna para implantações híbridas do Office e fornece os passos para habilitar a autenticação moderna no Office 365.
Autenticação Moderna vs. Autenticação Básica
Até a descontinuação da autenticação básica prevista para o final de 2022, a Microsoft fornecerá dois tipos de autenticação para implantações híbridas do Exchange e Skype for Business: autenticação básica e autenticação moderna. Observe que, para conectar-se ao SharePoint Online usando um cliente, somente a autenticação moderna e o Assistente de Logon do Microsoft Online estão disponíveis.
Esses dois métodos de autenticação diferem amplamente em termos de capacidades de proteção. Mesmo que a autenticação básica seja descontinuada ainda este ano, é importante entender as diferenças entre as duas opções.
O que é autenticação básica?
A autenticação básica é o processo de conexão às aplicações do Office 365 usando apenas um nome de usuário e senha. Quando você insere seu nome de usuário e senha em um cliente de e-mail, esses dados são transmitidos para o Exchange Online para verificação e autenticação antes de conectá-lo ao serviço na nuvem.
Este é um método desatualizado que não pode mais fornecer proteção adequada contra ameaças de credenciais. Uma das principais vulnerabilidades da autenticação básica é que as aplicações armazenam as credenciais do usuário no dispositivo, o que cria mais oportunidades para hackers tentando roubar senhas. Além disso, muitos dos recursos de gerenciamento de identidade e acesso da Microsoft, como Acesso Condicional e autenticação multifator (MFA), não estão disponíveis com essa autenticação legada do Office 365.
O que é autenticação moderna?
Autenticação moderna é uma combinação de diferentes métodos de autenticação e autorização para acessar recursos na nuvem do Microsoft Office. A autenticação moderna é baseada na Active Directory Authentication Library (ADAL) e OAuth 2.0.
- Active Directory Authentication Library é uma ferramenta de autenticação para aplicativos acessarem recursos seguros por meio de tokens de segurança. Com a ADAL, os usuários também obtêm o logon único (SSO) para acesso sem empecilhos aos recursos do Office 365 disponíveis para eles.
- OAuth 2.0 é um protocolo de autorização que permite que os usuários acessem recursos por meio de um aplicativo cliente usando tokens de acesso. Esse framework envolve a delegação de acesso e, como tal, as credenciais do usuário não são compartilhadas com o servidor de recursos.
O framework de autenticação moderna adiciona uma camada extra de segurança para os usuários que se conectam aos recursos do Microsoft 365 a partir de aplicativos clientes. Além disso, esse framework permite a ativação da autenticação multifator (MFA) e o uso de Políticas de Acesso Condicional.
Como Habilitar a Autenticação Moderna no Office 365
Para inquilinos da Microsoft criados antes de agosto de 2017, existem diferentes métodos para habilitar a autenticação moderna no Office 365:
Usando o centro de administração do Microsoft 365
Para ativar a autenticação moderna no Office 365 por meio do centro de administração:
- Faça login no centro de administração do Microsoft 365.
Na navegação lateral esquerda, expanda Configurações e clique emConfigurações da organização . - No painel de navegação esquerdo, expanda Configurações e clique em Configurações da organização.
- Em Serviços, escolha Autenticação moderna.
- Selecione a caixa de seleção Ativar a autenticação moderna para o Outlook 2013 para Windows e posteriores (recomendado).
- Clique em Salvar.
Usando o Exchange Online PowerShell
Siga os passos abaixo para ativar a autenticação moderna usando o Exchange Online PowerShell:
- Conectar-se ao Exchange Online PowerShell.
- Execute o seguinte comando para clientes do Outlook 2013 ou posteriores:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - Verifique se a alteração foi bem-sucedida e a autenticação moderna foi habilitada com este comando:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
É importante notar que isso não impede que você use o método de autenticação básica. No entanto, você pode forçar o uso da autenticação legada do O365 no Outlook 2013 ou posterior executando o comando:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Desabilitando a Autenticação Básica do Office 365
Depois de habilitar a autenticação moderna no Office 365, agora você pode desabilitar os protocolos de autenticação básica. No entanto, você precisa ter certeza de que nenhum usuário se beneficia disso. Siga estas etapas para verificar se alguém está usando a autenticação básica:
- Abra sua conta Microsoft Azure.
- Acesse o Azure Active Directory.
- Escolha Logs de entrada na navegação lateral esquerda.
- Mude Faixa de datas para Últimos 7 dias ou mais.
- Clique em Adicionar filtros.
- Selecione Aplicativo cliente e clique em Aplicar.
- Clique no filtro recém-criado Aplicativo cliente.
- Marque todas as caixas abaixo de Clientes de autenticação legado
- Clique em Aplicar.
Essa lista inclui todos os eventos de entrada com seus respectivos usuários e aplicativos. Antes de desativar a autenticação básica, você pode migrar todos esses aplicativos para os protocolos de autenticação modernos para que não os perca.
Para desativar a autenticação legada do O365:
- Acesse o centro de administração do Microsoft 365.
- Na navegação lateral esquerda, expanda Configurações e clique em Configurações da organização.
- Escolha Autenticação moderna sob Serviços.
- Desmarque todas as caixas abaixo de Permitir o acesso aos protocolos de autenticação básica.
- Clique em Salvar.
Autenticação moderna do Outlook
Embora as últimas edições do Outlook suportem a autenticação moderna por padrão, adicioná-la a clientes mais antigos requer configuração manual. Diferentes versões do Outlook têm requisitos variados ao habilitar a autenticação moderna:
- Outlook 2010 ou anterior: A autenticação moderna não é suportada e você precisa atualizar o Outlook para beneficiar-se desta funcionalidade.
- Outlook 2013: A autenticação moderna está disponível, mas não é ativada por padrão, e você deve forçar o Outlook a usá-la uma vez que esteja habilitada.
- Outlook 2016 ou posterior + Outlook 365: A autenticação moderna está disponível e ativada por padrão.
A tabela abaixo resume os requisitos de cada versão:
| Versão do Outlook | Autenticação Moderna | Chave EnableADAL | Forçar Autenticação Moderna |
| Outlook 2010 | Não suportado | Não disponível | Não disponível |
| Outlook 2013 | Suportado | Requerido | Requerido |
| Outlook 2016 | Suportado | Não requerido | Não requerido |
| Outlook 2019 | Suportado | Não requerido | Não requerido |
| Outlook 365 | Suportado | Não requerido | Não requerido |
Autenticação moderna no Outlook 2013
Como mencionado anteriormente, o Outlook 2013 suporta a autenticação moderna, mas usa a autenticação básica por padrão. Você pode ativar a autenticação moderna manualmente.
Para fazer isso, você precisa adicionar as seguintes chaves no registro do Windows:
| Chave do Registro | Tipo | Valor |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | REG_DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | REG_DWORD | 1 |
Depois de definir essas chaves, a Microsoft recomenda que você adicione mais uma chave de registro para forçar o Outlook 2013 a usar a autenticação moderna para que não volte à autenticação básica. A chave que você deve usar é:
| Chave do Registro | Tipo | Valor |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Autenticação moderna no Outlook 2016 ou posterior
Embora a autenticação moderna esteja habilitada por padrão no Outlook 2016, é aconselhável forçar a autenticação moderna com a chave de registro abaixo:
| Chave do Registro | Tipo | Valor |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Autenticação moderna do Skype for Business
Como a autenticação moderna está desativada por padrão para todos os inquilinos da Microsoft criados antes de 1º de agosto de 2017, você precisa ativá-la manualmente. Assim como no Outlook, você pode habilitar a autenticação moderna no Skype for Business com as seguintes chaves de registro:
| Chave do Registro | Tipo | Valor |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
Conclusão
A Microsoft está gradualmente eliminando a autenticação legada do O365, pois um conjunto simples de credenciais já não pode garantir a proteção de segurança necessária. Felizmente, outras medidas de segurança estão disponíveis e é recomendável ativar a autenticação moderna no Office 365. Uma vez ativada, você pode ativar a autenticação multifator (MFA), definir permissões e restringir o acesso a aplicativos específicos para usuários.
Dito isso, ter uma solução de backup abrangente de terceiros garante proteção ideal para ambientes do Office 365. Uma solução completa de proteção de dados como o NAKIVO Backup & Replication inclui todas as ferramentas necessárias para proteger os dados do Microsoft 365 em sua organização.
Source:
https://www.nakivo.com/blog/enable-modern-authentication-office-365/