Базовая аутентификация против современной аутентификации и как ее включить в Office 365

Согласно отчету Verizon, большинство нарушений данных становятся возможными из-за компрометации учетных данных, особенно на почтовых серверах. Социальная инженерия, рыболовство учетных данных и атаки методом перебора являются некоторыми из методов, используемых злоумышленниками для кражи учетных данных.

Для улучшения безопасности входа в Office и предотвращения утечек данных Microsoft ввела современный метод аутентификации. Этот метод требует дополнительной аутентификации и авторизации пользователя при подключении к онлайн-ресурсам Office 365.

Из-за его значительных преимуществ современная аутентификация по умолчанию включена во все арендаторы Office 365, созданные с 2017 года. Это единственный метод входа, доступный для приложений и служб Office 365. Однако в гибридных развертываниях Office с локальными и облачными компонентами необходимо вручную включить современную аутентификацию для старых версий клиентов Office и отключить базовую аутентификацию, где это возможно.

Этот блог предлагает краткий обзор базовых и современных методов аутентификации для гибридных развертываний Office и предоставляет инструкции по включению современной аутентификации в Office 365.

Современная аутентификация против базовой аутентификации

До отмены базовой аутентификации запланированной к концу 2022 года, Microsoft будет предоставлять два типа аутентификации для гибридных развертываний Exchange и Skype for Business: базовая аутентификация и современная аутентификация. Обратите внимание, что для подключения к SharePoint Online с использованием клиента доступны только современная аутентификация и помощник входа в систему Microsoft Online Sign-in Assistant.

Эти два метода аутентификации существенно отличаются по возможностям защиты. Несмотря на то, что базовая аутентификация будет отменена позже в этом году, важно понимать различия между этими двумя вариантами.

Что такое базовая аутентификация?

Базовая аутентификация – это процесс подключения к приложениям Office 365, используя только имя пользователя и пароль. Когда вы вводите свое имя пользователя и пароль в почтовый клиент, они передаются в Exchange Online для проверки и аутентификации перед подключением к облачному сервису.

Это устаревший метод, который больше не способен обеспечить достаточную защиту от угроз, связанных с учетными данными. Одной из основных уязвимостей базовой аутентификации является то, что приложения хранят учетные данные пользователя на устройстве, что создает больше возможностей для хакеров, пытающихся украсть пароли. Более того, многие функции управления идентификацией и доступом от Microsoft, такие как Условный доступ и многофакторная аутентификация (MFA), недоступны при использовании этой устаревшей аутентификации Office 365.

Что такое современная аутентификация?

Современная аутентификация представляет собой комбинацию различных методов аутентификации и авторизации для доступа к ресурсам облака Microsoft Office. Современная аутентификация основана на библиотеке аутентификации Active Directory (ADAL) и OAuth 2.0.

• Библиотека аутентификации Active Directory – это инструмент аутентификации для приложений для доступа к защищенным ресурсам с использованием токенов безопасности. С ADAL пользователи также получают единый вход (SSO) для беспрепятственного доступа к ресурсам Office 365, доступным для них.
• OAuth 2.0 – это протокол авторизации, который позволяет пользователям получать доступ к ресурсам через клиентское приложение с использованием токенов доступа. Эта структура включает делегирование доступа, и, следовательно, учетные данные пользователей не передаются серверу ресурсов.

Современная аутентификационная структура добавляет дополнительный уровень безопасности для пользователей, входящих в свои ресурсы Microsoft 365 из клиентских приложений. Кроме того, эта структура позволяет активировать многофакторную аутентификацию (MFA) и использовать условные политики доступа.

Как включить современную аутентификацию в Office 365

Для арендаторов Microsoft, созданных до августа 2017 года, существуют различные методы включения современной аутентификации в Office 365:

Используя центр администрирования Microsoft 365

Чтобы включить современную аутентификацию в Office 365 через центр администрирования:

1. Войдите в центр администрирования Microsoft 365. В левой панели навигации разверните Настройки, а затем щелкните Настройки организации.
2. В левой боковой панели навигации разверните Настройки и затем нажмите Настройки организации.
3. Под Сервисы, выберите Современная аутентификация.
4. Отметьте checkbox Включить современную аутентификацию для Outlook 2013 для Windows и более поздних версий (рекомендуется).
5. Нажмите Сохранить.

Использование Exchange Online PowerShell

Следуйте инструкциям ниже, чтобы включить современную аутентификацию с помощью Exchange Online PowerShell:

1. Подключение к Exchange Online PowerShell.
2. Выполните следующую команду для клиентов Outlook 2013 или более поздних версий:
   Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
3. Убедитесь, что изменение было успешным и современная аутентификация была включена с помощью этой команды:
   Get-OrganizationConfig | Format-Table Name,OAuth* -Auto

Важно отметить, что это не останавливает использование базовой аутентификации. Однако вы можете принудительно использовать старый метод аутентификации O365 в Outlook 2013 или более поздних версиях, выполнив команду:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false

Отключение базовой аутентификации Office 365

После включения современной аутентификации в Office 365 вы можете отключить базовые протоколы аутентификации. Однако вам нужно убедиться, что ни один пользователь не пользуется этим. Следуйте этим шагам, чтобы проверить, использует ли кто-нибудь базовую аутентификацию:

1. Откройте свой Microsoft Azure аккаунт.
2. Доступ к Azure Active Directory.

3. Выберите журналы входа в левой панели навигации.
4. Измените диапазон дат на Последние 7 дней или более.
5. Нажмите Добавить фильтры.
6. Выберите клиент приложения затем нажмите Применить.

7. Нажмите на созданный фильтр клиент приложения.
8. Отметьте все флажки под Клиенты устаревшего аутентификации
9. Нажмите Применить.

Этот список включает все события входа вместе с соответствующими пользователями и приложениями. Прежде чем отключить базовую аутентификацию, вы можете перенести все эти приложения на современные протоколы аутентификации, чтобы не потерять их.

Чтобы отключить устаревшую аутентификацию O365:

1. Доступ к Центр администрирования Microsoft 365.
2. В левой панели навигации разверните Настройки и нажмите Организационные настройки.
3. Выберите Современная аутентификация под Службы.
4. Снимите все флажки под Разрешить доступ к протоколам базовой аутентификации.
5. Нажмите Сохранить.

Современная аутентификация Outlook

В то время как последние выпуски Outlook поддерживают современную аутентификацию по умолчанию, добавление ее в более старые клиенты требует ручной настройки. Различные версии Outlook имеют различные требования при включении современной аутентификации:

• Outlook 2010 или более ранняя версия: Современная аутентификация не поддерживается и вам нужно обновить Outlook, чтобы воспользоваться этой функциональностью.
• Outlook 2013: Современная аутентификация доступна, но не включена по умолчанию, и вы должны заставить Outlook использовать ее, как только она будет включена.
• Outlook 2016 или более поздняя версия + Outlook 365: Современная аутентификация доступна и включена по умолчанию.

Таблица ниже суммирует требования для каждой версии:

Версия Outlook	Современная аутентификация	EnableADAL reg key	Force Modern Auth
Outlook 2010	Не поддерживается	Не доступно	Не доступно
Outlook 2013	Поддерживается	Требуется	Требуется
Outlook 2016	Поддерживается	Не требуется	Не требуется
Outlook 2019	Поддерживается	Не требуется	Не требуется
Outlook 365	Поддерживается	Не требуется	Не требуется

Современная аутентификация в Outlook 2013

Как уже упоминалось, Outlook 2013 поддерживает современную аутентификацию, но по умолчанию использует базовую аутентификацию. Вы можете вручную включить современную аутентификацию.

Для этого вам необходимо добавить следующие ключи в реестр Windows:

Ключ реестра	Тип	Значение
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL	REG_DWORD	1
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version	REG_DWORD	1

После установки этих ключей, Microsoft рекомендует добавить еще один ключ реестра для принудительного использования современного аутентификации в Outlook 2013, чтобы он не возвращался к базовой аутентификации. Ключ, который вы должны использовать, это:

Ключ реестра	Тип	Значение
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover	REG_DWORD	1

Современная аутентификация в Outlook 2016 и более поздних версиях

Хотя современная аутентификация включена по умолчанию в Outlook 2016, рекомендуется принудительно использовать современную аутентификацию с помощью следующего ключа реестра:

Ключ реестра	Тип	Значение
HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover	REG_DWORD	1

Современная аутентификация в Skype для бизнеса

Так как современная аутентификация выключена по умолчанию для всех арендаторов Microsoft, созданных до 1 августа 2017 года, вам нужно включить ее вручную. Как и в Outlook, вы можете включить современную аутентификацию в Skype для бизнеса с помощью следующих ключей реестра:

Реестровый ключ	Тип	Значение
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync	REG_DWORD	1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync	REG_DWORD	1

Заключение

Microsoft постепенно отказывается от устаревшей аутентификации O365, поскольку простой набор учетных данных уже не гарантирует необходимой защиты. К счастью, доступны другие меры безопасности, и рекомендуется включить современную аутентификацию в Office 365. После включения вы сможете активировать многофакторную аутентификацию (MFA), определить разрешения и ограничить доступ к определенным приложениям для пользователей.

Тем не менее, использование комплексного резервного решения сторонних производителей обеспечивает оптимальную защиту среды Office 365. Полноценное решение по защите данных, такое как NAKIVO Backup & Replication, включает все необходимые инструменты для защиты данных Microsoft 365 в вашей организации.